颠末对大量客户的设置审计与渗透测试,我们总结出了一些Linux系统下的常见设置错误。我们相信总结、回首这些常见错误可以在今后为我们节减更多时间与资源,更重要的是可以辅佐系统打点员,使其处事器越发安详靠得住。
五个常见设置错误如下:
1、用户/home目次的权限2、系统中的getgid与setuid措施
3、全局可读/可写的文件/目次
4、利用包括裂痕的处事
5、默认的NFS挂载选项或不安详的导出选项
1、用户的/home目次权限
在大部门Linux刊行版中,/home目次的默认权限是755,即任何登录系统的用户都可以会见其他用户的/home目次。而某些用户如打点员或开拓者,大概会在他们本身的用户目次下存放某些敏感信息,如暗码、会见当前或其它网络处事器的key等。
2、系统中的setgid与setuid措施
文件的set
uid位很是危险,因为它大概答允文件以一种特权用户的身份运行,如root用户:假如某个文件的所有者是root,而且配置了setuid位,那么在其运行时就是以root权限运行的。这意味着假如进攻者找到了该文件的裂痕,可能以一种非预期的方法运行了该措施,那他很有大概可以或许以root权限执行本身结构的呼吁,那么整个系统的权限就沦亡了。
3、全局可读/可写的文件/目次
全局可读与可写的文件和目次发生的问题与之前先容的因用户主目次权限设置不妥引起的问题雷同,但其影响范畴大概涉及到整个系统。发生全局可读的文件的主要原因是,建设文件的默认umask掩码是0022或0002,正是由于这种不妥的设置,那些大概包括敏感信息的文件大概被登录系统的任何人读取到。假如文件是全局可写的,那么也大概被任何人修改,也因此大概导致进攻者有时机修改某些文件或脚原来埋没本身,并通过修改打点员常常利用的脚原来执行某些敏感呼吁。
4、设置不妥的处事或配置
应该运行那些最小化设置的处事。常常会看到有些处事设置不妥或利用默认的证书与设置,利用不安详的通信渠道的现象也非经常见,加重了处事器被进攻的风险。在利用某项处事时,需要对其选项和设置举办复审,以确保陈设的安详或设置得当。但同时也常常看到有些处事被绑定到多个端口,而不是只举办当地监听或只监听某个特定端口。
5、默认的挂载选项或不安详的导出选项
所有挂载的默认选项都是“rw, suid, dev, exec, auto, nouser, async”。可是利用这些默认选项是不得当的,因为它们答允如NFS协议等外部挂载的文件系统中的文件被配置suid位和guid位。当导出NFS共享时,发起不要配置no_root_squash选项。凡是默认为root_squash选项,但我们常常看到其在实际利用中会被修改。假如配置了no_root_squash选项,当用户以root用户登录时,对这个共享目次来说就拥有了root权限,可以作任何事。这些不妥配置假如保持默认,就会答允root用户登录处事器,但原来不该该答允这种权限的用户登录的。
这些配置在设置Linux处事器时常常会被忽视,而恰恰是这些不妥设置,使进攻者或恶意用户可以犯科得到大量信息,香港主机租用 香港高防服务器,可能晋升本身在处事器中的权限。掩耳盗铃和一叶障目总比老诚恳实地加固系统来得简朴,可是假如不想在本身睡得正香的时候处事器被人XXOO,就去踏踏实实地加固你的系统吧。