顛末對(duì)大量客戶的設(shè)置審計(jì)與滲透測(cè)試，我們總結(jié)出了一些Linux系統(tǒng)下的常見設(shè)置錯(cuò)誤。我們相信總結(jié)、回首這些常見錯(cuò)誤可以在今后為我們節(jié)減更多時(shí)間與資源，更重要的是可以輔佐系統(tǒng)打點(diǎn)員，使其處事器越發(fā)安詳靠得住。

    五個(gè)常見設(shè)置錯(cuò)誤如下：

1、用戶/home目次的權(quán)限
2、系統(tǒng)中的getgid與setuid措施
3、全局可讀/可寫的文件/目次
4、利用包括裂痕的處事
5、默認(rèn)的NFS掛載選項(xiàng)或不安詳?shù)膶?dǎo)出選項(xiàng)

1、用戶的/home目次權(quán)限

    在大部門Linux刊行版中，/home目次的默認(rèn)權(quán)限是755，即任何登錄系統(tǒng)的用戶都可以會(huì)見其他用戶的/home目次。而某些用戶如打點(diǎn)員或開拓者，大概會(huì)在他們本身的用戶目次下存放某些敏感信息，如暗碼、會(huì)見當(dāng)前或其它網(wǎng)絡(luò)處事器的key等。

2、系統(tǒng)中的setgid與setuid措施

    文件的set uid位很是危險(xiǎn)，因?yàn)樗蟾糯鹪饰募砸环N特權(quán)用戶的身份運(yùn)行，如root用戶：假如某個(gè)文件的所有者是root，而且配置了setuid位，那么在其運(yùn)行時(shí)就是以root權(quán)限運(yùn)行的。這意味著假如進(jìn)攻者找到了該文件的裂痕，可能以一種非預(yù)期的方法運(yùn)行了該措施，那他很有大概可以或許以root權(quán)限執(zhí)行本身結(jié)構(gòu)的呼吁，那么整個(gè)系統(tǒng)的權(quán)限就淪亡了。

3、全局可讀/可寫的文件/目次

    全局可讀與可寫的文件和目次發(fā)生的問題與之前先容的因用戶主目次權(quán)限設(shè)置不妥引起的問題雷同，但其影響范疇大概涉及到整個(gè)系統(tǒng)。發(fā)生全局可讀的文件的主要原因是，建設(shè)文件的默認(rèn)umask掩碼是0022或0002，正是由于這種不妥的設(shè)置，那些大概包括敏感信息的文件大概被登錄系統(tǒng)的任何人讀取到。假如文件是全局可寫的，那么也大概被任何人修改，也因此大概導(dǎo)致進(jìn)攻者有時(shí)機(jī)修改某些文件或腳原來埋沒本身，并通過修改打點(diǎn)員常常利用的腳原來執(zhí)行某些敏感呼吁。

4、設(shè)置不妥的處事或配置

    應(yīng)該運(yùn)行那些最小化設(shè)置的處事。常常會(huì)看到有些處事設(shè)置不妥或利用默認(rèn)的證書與設(shè)置，利用不安詳?shù)耐ㄐ徘赖默F(xiàn)象也非經(jīng)常見，加重了處事器被進(jìn)攻的風(fēng)險(xiǎn)。在利用某項(xiàng)處事時(shí)，需要對(duì)其選項(xiàng)和設(shè)置舉辦復(fù)審，以確保陳設(shè)的安詳或設(shè)置得當(dāng)。但同時(shí)也常常看到有些處事被綁定到多個(gè)端口，而不是只舉辦當(dāng)?shù)乇O(jiān)聽或只監(jiān)聽某個(gè)特定端口。

5、默認(rèn)的掛載選項(xiàng)或不安詳?shù)膶?dǎo)出選項(xiàng)

    所有掛載的默認(rèn)選項(xiàng)都是“rw, suid, dev, exec, auto, nouser, async”。可是利用這些默認(rèn)選項(xiàng)是不得當(dāng)?shù)模驗(yàn)樗鼈兇鹪嗜鏝FS協(xié)議等外部掛載的文件系統(tǒng)中的文件被配置suid位和guid位。當(dāng)導(dǎo)出NFS共享時(shí)，發(fā)起不要配置no_root_squash選項(xiàng)。凡是默認(rèn)為root_squash選項(xiàng)，但我們常常看到其在實(shí)際利用中會(huì)被修改。假如配置了no_root_squash選項(xiàng)，當(dāng)用戶以root用戶登錄時(shí)，對(duì)這個(gè)共享目次來說就擁有了root權(quán)限，可以作任何事。這些不妥配置假如保持默認(rèn)，就會(huì)答允root用戶登錄處事器，但原來不該該答允這種權(quán)限的用戶登錄的。

    這些配置在設(shè)置Linux處事器時(shí)常常會(huì)被忽視，而恰恰是這些不妥設(shè)置，使進(jìn)攻者或惡意用戶可以犯科得到大量信息，香港主機(jī)租用 香港高防服務(wù)器，可能晉升本身在處事器中的權(quán)限。掩耳盜鈴和一葉障目總比老誠懇實(shí)地加固系統(tǒng)來得簡樸，可是假如不想在本身睡得正香的時(shí)候處事器被人XXOO，就去踏踏實(shí)實(shí)地加固你的系統(tǒng)吧。