讓你的 Linux 遠離黑客(二):另外三個建議
在這個系列中, 我們會討論一些阻止黑客入侵你的系統的重要信息。觀看這個免費的網路點播研討會獲取更多的信息。
在這個系列的第一部分中,我分享過兩種簡單的方法來阻止黑客黑掉你的 Linux 主機。這裡是另外三條來自於我最近在 Linux 基金會的網路研討會上的建議,在這次研討會中,我分享了更多的黑客用來入侵你的主機的策略、工具和方法。完整的網路點播研討會視頻可以在網上免費觀看。
簡單的 Linux 安全提示 #3
Sudo。
Sudo 非常、非常的重要。我認為這只是很基本的東西,但就是這些基本的東西會讓我的黑客生涯會變得更困難一些。如果你沒有配置 sudo,還請配置好它。
還有,你主機上所有的用戶必須使用他們自己的密碼。不要都免密碼使用 sudo 執行所有命令。當我有一個可以無需密碼而可以 sudo 任何命令的用戶,只會讓我的黑客活動變得更容易。如果我可以無需驗證就可以 sudo ,同時當我獲得你的沒有密碼的 SSH 密鑰後,我就能十分容易的開始任何黑客活動。這樣,我就擁有了你機器的 root 許可權。
保持較低的超時時間。我們喜歡劫持用戶的會話,如果你的某個用戶能夠使用 sudo,並且設置的超時時間是 3 小時,當我劫持了你的會話,那麼你就再次給了我一個自由的通道,哪怕你需要一個密碼。
我推薦的超時時間大約為 10 分鐘,甚至是 5 分鐘。用戶們將需要反覆地輸入他們的密碼,但是,如果你設置了較低的超時時間,你將減少你的受攻擊面。
還要限制可以訪問的命令,並禁止通過 sudo 來訪問 shell。大多數 Linux 發行版目前默認允許你使用 sudo bash 來獲取一個 root 身份的 shell,當你需要做大量的系統管理的任務時,這種機制是非常好的。然而,應該對大多數用戶實際需要運行的命令有一個限制。你對他們限制越多,你主機的受攻擊面就越小。如果你允許我 shell 訪問,我將能夠做任何類型的事情。
簡單的 Linux 安全提示 #4
限制正在運行的服務。
防火牆很好,你的邊界防火牆非常的強大。當流量流經你的外部網路時,有幾家防火牆產品可以幫你很好的保護好自己。但是防火牆內的人呢?
你正在使用基於主機的防火牆或者基於主機的入侵檢測系統嗎?如果是,請正確配置好它。怎樣可以知道你的正在受到保護的東西是否出了問題呢?
答案是限制當前正在運行的服務。不要在不需要提供 MySQL 服務的機器上運行它。如果你有一個默認會安裝完整的 LAMP 套件的 Linux 發行版,而你不會在它上面運行任何東西,那麼卸載它。禁止那些服務,不要開啟它們。
同時確保用戶不要使用默認的身份憑證,確保那些內容已被安全地配置。如何你正在運行 Tomcat,你不應該可以上傳你自己的小程序(applets)。確保它們不會以 root 的身份運行。如果我能夠運行一個小程序,我不會想著以管理員的身份來運行它,我能訪問就行。你對人們能夠做的事情限制越多,你的機器就將越安全。
簡單的 Linux 安全提示 #5
小心你的日誌記錄。
看看它們,認真地,小心你的日誌記錄。六個月前,我們遇到一個問題。我們的一個顧客從來不去看日誌記錄,儘管他們已經擁有了很久、很久的日誌記錄。假如他們曾經看過日誌記錄,他們就會發現他們的機器早就已經被入侵了,並且他們的整個網路都是對外開放的。我在家裡處理的這個問題。每天早上起來,我都有一個習慣,我會檢查我的 email,我會瀏覽我的日誌記錄。這僅會花費我 15 分鐘,但是它卻能告訴我很多關於什麼正在發生的信息。
就在這個早上,機房裡的三台電腦死機了,我不得不去重啟它們。我不知道為什麼會出現這樣的情況,但是我可以從日誌記錄裡面查出什麼出了問題。它們是實驗室的機器,我並不在意它們,但是有人會在意。
通過 Syslog、Splunk 或者任何其他日誌整合工具將你的日誌進行集中是極佳的選擇。這比將日誌保存在本地要好。我最喜歡做是事情就是修改你的日誌記錄讓你不知道我曾經入侵過你的電腦。如果我能這麼做,你將不會有任何線索。對我來說,修改集中的日誌記錄比修改本地的日誌更難。
它們就像你的很重要的人,送給它們鮮花——磁碟空間。確保你有足夠的磁碟空間用來記錄日誌。由於磁碟滿而變成只讀的文件系統並不是一件愉快的事情。
還需要知道什麼是不正常的。這是一件非常困難的事情,但是從長遠來看,這將使你日後受益匪淺。你應該知道什麼正在進行和什麼時候出現了一些異常。確保你知道那。
在第三篇也是最後的一篇文章里,我將就這次研討會中問到的一些比較好的安全問題進行回答。現在開始看這個完整的免費的網路點播研討會吧。
Mike Guthrie 就職於能源部,主要做紅隊交戰和滲透測試。
作者:MIKE GUTHRIE 譯者:zhousiyu325 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive