讓你的 Linux 遠離黑客（三）：FAQ

Mike Guthrie 最近在 Linux 基金會的網路研討會上回答了一些安全相關的問題。

這個系列的第一篇和第二篇文章覆蓋了 5 個讓你的 Linux 遠離黑客的最簡單方法，並且知道他們是否已經進入。這一次，我將回答一些我最近在 Linux 基金會網路研討會上收到的很好的安全性問題。

如果系統自動使用私鑰認證，如何存儲密鑰密碼？

這個很難。這是我們一直在鬥爭的事情，特別是我們在做 「Red Team」 的時候，因為我們有些需要自動調用的東西。我使用 Expect，但我傾向於在這上面使用老方法。你需要編寫腳本，是的，將密碼存儲在系統上不是那麼簡單的一件事，當你這麼做時你需要加密它。

我的 Expect 腳本加密了存儲的密碼，然後解密，發送密碼，並在完成後重新加密。我知道到這有一些缺陷，但它比使用無密碼的密鑰更好。

如果你有一個無密碼的密鑰，並且你確實需要使用它。我建議你盡量限制需要用它的用戶。例如，如果你正在進行一些自動日誌傳輸或自動化軟體安裝，則只給那些需要執行這些功能的程序許可權。

你可以通過 SSH 運行命令，所以不要給它們一個 shell，使它只能運行那個命令就行，這樣就能防止某人竊取了這個密鑰並做其他事情。

你對密碼管理器如 KeePass2 怎麼看？

對我而言，密碼管理器是一個非常好的目標。隨著 GPU 破解的出現和 EC2 的一些破解能力，這些東西很容易就變成過去時。我一直在竊取這些密碼庫。

現在，我們在破解這些庫的成功率是另外一件事。我們差不多有 10% 左右的破解成功率。如果人們不能為他們的密碼庫用一個安全的密碼，那麼我們就會進入並會獲得豐碩成果。比不用要強，但是你仍需要保護好這些資產。如你保護其他密碼一樣保護好密碼庫。

你認為從安全的角度來看，除了創建具有更高密鑰長度的主機密鑰之外，創建一個新的 「Diffie-Hellman」 模數並限制 2048 位或更高值得么？

值得的。以前在 SSH 產品中存在弱點，你可以做到解密數據包流。有了它，你可以傳遞各種數據。作為一種加密機制，人們不假思索使用這種方式來傳輸文件和密碼。使用健壯的加密並且改變你的密鑰是很重要的。 我會輪換我的 SSH 密鑰 - 這不像我的密碼那麼頻繁，但是我每年會輪換一次。是的，這是一個麻煩，但它讓我安心。我建議儘可能地使你的加密技術健壯。

使用完全隨機的英語單詞（大概 10 萬個）作為密碼合適么？

當然。我的密碼實際上是一個完整的短語。它是帶標點符號和大小寫一句話。除此以外，我不再使用其他任何東西。

我是一個「你可以記住而不用寫下來或者放在密碼庫的密碼」的大大的支持者。一個你可以記住不必寫下來的密碼比你需要寫下來的密碼更安全。

使用短語或使用你可以記住的四個隨機單詞比那些需要經過幾次轉換的一串數字和字元的字元串更安全。我目前的密碼長度大約是 200 個字元。這是我可以快速打出來並且記住的。

在物聯網情景下對保護基於 Linux 的嵌入式系統有什麼建議么？

物聯網是一個新的領域，它是系統和安全的前沿，日新月異。現在，我盡量都保持離線。我不喜歡人們把我的燈光和冰箱搞亂。我故意不去購買支持聯網的冰箱，因為我有朋友是黑客，我可不想我每天早上醒來都會看到那些不雅圖片。封住它，鎖住它，隔離它。

目前物聯網設備的惡意軟體取決於默認密碼和後門，所以只需要對你所使用的設備進行一些研究，並確保沒有其他人可以默認訪問。然後確保這些設備的管理介面受到防火牆或其他此類設備的良好保護。

你可以提一個可以在 SMB 和大型環境中使用的防火牆/UTM（OS 或應用程序）么？

我使用 pfSense，它是 BSD 的衍生產品。我很喜歡它。它有很多模塊，實際上現在它有商業支持，這對於小企業來說這是非常棒的。對於更大的設備、更大的環境，這取決於你有哪些管理員。

我一直都是 CheckPoint 管理員，但是 Palo Alto 也越來越受歡迎了。這些設備與小型企業或家庭使用很不同。我在各種小型網路中都使用 pfSense。

雲服務有什麼內在問題么？

並沒有雲，那隻不過是其他人的電腦而已。雲服務存在內在的問題。只知道誰訪問了你的數據，你在上面放了什麼。要知道當你向 Amazon 或 Google 或 Microsoft 上傳某些東西時，你將不再完全控制它，並且該數據的隱私是有問題的。

要獲得 OSCP 你建議需要準備些什麼？

我現在準備通過這個認證。我的整個團隊是這樣。閱讀他們的材料。記住， OSCP 將成為令人反感的安全基準。你一切都要使用 Kali。如果不這樣做 - 如果你決定不使用 Kali，請確保仿照 Kali 實例安裝所有的工具。

這將是一個基於工具的重要認證。這是一個很好的方式。看看一些名為「滲透測試框架」的內容，因為這將為你提供一個很好的測試流程，他們的實驗室似乎是很棒的。這與我家裡的實驗室非常相似。

隨時免費觀看完整的網路研討會。查看這個系列的第一篇和第二篇文章獲得 5 個簡單的貼士來讓你的 Linux 機器安全。

Mike Guthrie 為能源部工作，負責 「Red Team」 的工作和滲透測試。

via: https://www.linux.com/news/webinar/2017/how-keep-hackers-out-your-linux-machine-part-3-your-questions-answered

作者：MIKE GUTHRIE 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive