Sudo 非常非常的重要虽然这只是很基本的东西,但就是这些基本的东西会让我的黑客生涯会变得更困难一些。如果你没有配置 sudo,还请配置好它。
另外你的上所有的用户必须使用他们自己的密码,不要都免密码使用sudo执行所有命令。无需密码而可以 sudo 任何命令的用户,只会让我的黑客活动变得更容易,这样就相当于拥有了你机器的 root 权限。
设置较低的sudo超时时间。当黑客劫持到一个用户的会话,如果该用户能够使用 sudo设置超时时间较长,那么你就再次给了黑客一个自由的通道,哪怕你设置的有sudo的密码。我推荐sudo的超时时间大约为 10 分钟,甚至是 5 分钟。虽然用户们将需要反复地输入他们的密码,但是这将减少你的受攻击面。
限制sudo访问的命令,并禁止通过 sudo 来访问 shell。大多数 Linux 发行版目前默认允许你使用 sudo bash 来获取一个 root 身份的 shell,当你需要做大量的系统管理的任务时,这种机制是非常好的。然而,应该对大多数用户实际需要运行的命令有一个限制。你对他们限制越多,你主机的受攻击面就越小。如果你允许我 shell 访问,我将能够做任何类型的事情。
防火墙是非常好的,硬件防火墙可以帮你很好的保护好服务器。但是内网的人呢?
你使用过基于Linux系统的防火墙或者系统的入侵检测系统吗?如果使用过,请正确配置好它。限制当前正在运行的服务是非常必要的,需要什么服务就按照什么服务。如果你使用的Linux 发行版本默认会安装完整的 LAMP 套件,而你又不需要使用这些服务,那么卸载它。禁止那些服务,不要开启它们。
任何服务程序不要使用默认的身份运行,确保服务已被安全地配置。例如你正在运行 Tomcat的时候,不要残留没有使用没有维护的网站程序。确保它们不会以 root 的身份运行。对服务做的限制越多,你的机器就越接近安全。
曾经我们处理过这样一个问题。一个顾客设置了非常完善的日志记录但是从来不去看日志记录,通过日志可以非常容易的检测到他们的机器早在半年前就已经被入侵了,并且他们的整个网络都是对外开放的。对于日志记录我是这样处理的,每天早上起来都会花15分钟检查我的 email,浏览我的日志记录清楚的明白服务的状态。
有一次,机房里的三台服务器死机了紧急重启了他们,然后从日志记录里面查出什么出了问题。通过 Syslog、Splunk 等日志整合工具将你的日志进行集中存放是非常好的。黑客最喜欢事情就是修改你的日志记录让你不知道服务器已经被入侵。当然要确保你有足够的磁盘空间用来存储集中的日志。
关于作者:Mike Guthrie 就职于能源部,主要做红队交战和渗透测试。
via: https://www.linux.com/news/webinar/2017/how-keep-hackers-out-your-linux-machine-part-2-three-more-easy-security-tips
作者:MIKE GUTHRIE 译者:zhousiyu325 校对:wxy
本文由 LCTT 原创编译,Linux中国 荣誉推出
评论