完美世界txt全集下载,怎么写网络小说,好看的历史书籍推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

系統(tǒng)管理員千萬別犯這十大安全錯(cuò)誤

安全不僅僅是技術(shù)問題，而是人的問題。許多低級(jí)錯(cuò)誤竟然經(jīng)常是由那些應(yīng)該懂更多的人犯的：系統(tǒng)管理員或其他IT員工。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計(jì)、成都網(wǎng)站設(shè)計(jì)、彭澤網(wǎng)絡(luò)推廣、小程序設(shè)計(jì)、彭澤網(wǎng)絡(luò)營(yíng)銷、彭澤企業(yè)策劃、彭澤品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供彭澤建站搭建服務(wù)，24小時(shí)服務(wù)熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

Intermedia公司《2015內(nèi)部風(fēng)險(xiǎn)報(bào)告》發(fā)現(xiàn)：IT專業(yè)人士才是最有可能進(jìn)行“危險(xiǎn)”安全操作的人群，比如說共享密碼/登錄、重復(fù)使用個(gè)人密碼登錄業(yè)務(wù)應(yīng)用，或者將個(gè)人賬戶憑證交給他人。

有鑒于系統(tǒng)管理員對(duì)神一般的控制權(quán)限，這類過失發(fā)生在他們身上比發(fā)生在普通用戶身上危險(xiǎn)得多。IT專業(yè)人士和普通用戶一樣容易被網(wǎng)絡(luò)釣魚、惡意軟件和其他攻擊攻陷，被盜取的有特權(quán)的系統(tǒng)管理員憑證幾乎總是能造成嚴(yán)重得多的安全事故。管理員犯錯(cuò)比用戶犯錯(cuò)危害大得多。下面給您列出十大常見的安全錯(cuò)誤，以及它們的補(bǔ)救措施：

1. 萬事用sudo

當(dāng)你用root登錄，你就對(duì)面前的金屬小盒子擁有了完全控制權(quán)。這是極端危險(xiǎn)的，因?yàn)橹灰愕膽{證被盜，攻擊者可以對(duì)你的系統(tǒng)為所欲為。

用Windows的說法，只要不執(zhí)行管理員級(jí)的任務(wù)就沒必要用管理員賬戶登錄。你可以用個(gè)人賬戶登錄，然后在需要執(zhí)行特定命令的時(shí)候用sudo，而不是直接以root賬戶登錄系統(tǒng)。

一不小心，故態(tài)復(fù)萌簡(jiǎn)直不要太容易。只要一條命令需要sudo，整個(gè)腳本就會(huì)執(zhí)行失敗——全部都得從頭再來。如果你不能搞清哪些命令需要特權(quán)而哪些不需要，就很可能又退回到萬事用sudo的狀態(tài)。

2. 運(yùn)行來源不明的腳本

安裝第三方Linux應(yīng)用是另一個(gè)sudo可能被濫用的地方。你要做的僅僅是直接往終端里復(fù)制和粘貼命令來啟動(dòng)安裝腳本——命令早已設(shè)置為利用sudo來執(zhí)行了。腳本里的每一條命令都將以特權(quán)權(quán)限執(zhí)行。

舉例如下，直接從網(wǎng)頁上復(fù)制過來的(URL隱去了)：

sudo -v && wget -nv -O- https://xxx/xxx/linux-installer.py | sudo python -c “import sys; main=lambda:sys.stderr.write(‘Download failed\n’); exec(sys.stdin.read()); main()”

這條命令給網(wǎng)上其他地方托管的東西賦予了sudo權(quán)限，以及本地運(yùn)行Python的權(quán)限。極端不建議這么做!!Windows系統(tǒng)管理員面臨同樣的潛在災(zāi)難——執(zhí)行下載的PowerShell腳本。

即使你信任源，千萬別假設(shè)從互聯(lián)網(wǎng)上下載的腳本是安全的。一定要先仔細(xì)檢查腳本的內(nèi)容，確認(rèn)執(zhí)行這些命令不會(huì)引發(fā)不良行為。

3. 以root運(yùn)行特權(quán)服務(wù)

應(yīng)用程序永遠(yuǎn)不應(yīng)該以root運(yùn)行。為機(jī)器上運(yùn)行的每個(gè)應(yīng)用程序和服務(wù)都創(chuàng)建單獨(dú)的具有特定權(quán)限的服務(wù)賬戶。

服務(wù)賬戶通常都缺少主目錄，如果以服務(wù)賬戶登錄，對(duì)文件系統(tǒng)的操作通常都是受限的。即使攻擊者攻陷了服務(wù)賬戶，他/她仍然需要搞定一個(gè)本地漏洞利用才能獲取更多的權(quán)限來執(zhí)行代碼。

每個(gè)應(yīng)用程序都必須使用定制的賬戶訪問數(shù)據(jù)庫(kù)，而不是用root或管理員個(gè)人賬戶訪問。網(wǎng)頁應(yīng)用應(yīng)該歸屬于恰當(dāng)?shù)慕M和用戶。給Windows應(yīng)用程序分配域權(quán)限時(shí)，不要給予管理員級(jí)別的權(quán)限。

主流Linux版本都默認(rèn)使用服務(wù)賬戶，但如果管理員手動(dòng)配置第三方包，很容易就會(huì)犯錯(cuò)。要記得在所有的安裝和配置都結(jié)束后切換許可，確保root或管理員個(gè)人賬戶不再是該應(yīng)用程序的所有者。

4. 重復(fù)使用密碼

瞪大雙眼準(zhǔn)備接受下一波驚嚇吧!我們都聽過太多在不同網(wǎng)站、系統(tǒng)和應(yīng)用間重復(fù)使用密碼的罪惡。但事實(shí)總是殘酷的，這一問題到了今天依然是個(gè)大問題，而系統(tǒng)管理員們也不能免俗。

最近，Mozilla稱某未知攻擊者闖入了一名特權(quán)用戶的Bugzilla漏洞跟蹤數(shù)據(jù)庫(kù)賬戶，盜取了大約33個(gè)關(guān)鍵漏洞的信息。事情真相是：該“特權(quán)用戶”在另一個(gè)網(wǎng)站上重復(fù)使用了他的Bugzilla密碼，而該密碼已經(jīng)在那個(gè)網(wǎng)站的泄露事件中被曝光了。

太多太多次，服務(wù)器被設(shè)置了弱管理員密碼或與該網(wǎng)絡(luò)中其他機(jī)器的密碼相同。用常見密碼和字典進(jìn)行暴力攻擊會(huì)奏效就是因?yàn)橛凶銐蚨嗟娜艘廊辉诜高@種低級(jí)錯(cuò)誤。當(dāng)多臺(tái)機(jī)器密碼相同，問題便疊加了。

系統(tǒng)管理員們不應(yīng)該在所有機(jī)器上都設(shè)置相同的root密碼，而應(yīng)該選擇使用密鑰文件。每臺(tái)服務(wù)器都應(yīng)有個(gè)公鑰文件而系統(tǒng)管理員的工作站上應(yīng)該放有與該公鑰文件相關(guān)聯(lián)的私鑰。采用這種方式，系統(tǒng)管理員可以訪問網(wǎng)絡(luò)上部署的所有機(jī)器，而在網(wǎng)絡(luò)中橫向移動(dòng)的攻擊者只要沒有有效密鑰便不能登錄。而且也攔截不到密碼了。

5. 共享管理員賬戶

管理員賬戶——諸如訪問數(shù)據(jù)庫(kù)和管理頁面的，常常會(huì)在網(wǎng)絡(luò)內(nèi)共享。不通過設(shè)置環(huán)境以便管理員能在需要的時(shí)候請(qǐng)求特權(quán)，而是亂七八糟地共享管理員賬戶，那根本就是在自找麻煩。

理想狀態(tài)下，應(yīng)該是采用獨(dú)立賬戶：一個(gè)root賬戶，然后每個(gè)管理員分發(fā)一個(gè)單獨(dú)的賬戶。管理員賬戶不應(yīng)該一開始就分配最高級(jí)別的訪問權(quán)限——可以在執(zhí)行特殊任務(wù)時(shí)請(qǐng)求特別訪問權(quán)。Intermedia的報(bào)告發(fā)現(xiàn)32%的IT專業(yè)人員將自己的登錄和密碼憑證給了其他員工。

不清楚到底是誰在用管理員賬戶就已經(jīng)夠糟的了，更糟的是：這些密碼在管理員離任后竟然還不帶改的。由于密碼沒有經(jīng)常更換，前同事大模大樣地殺回來，造成破壞后從容離去無跡可尋的場(chǎng)景也不是不可能發(fā)生。Intermedia的調(diào)查發(fā)現(xiàn)，1/5的IT專業(yè)人士承認(rèn)自己會(huì)在離職后還去訪問原公司的信息。密碼修改策略不僅僅針對(duì)終端用戶。要定期修改密碼，尤其是管理員和服務(wù)賬戶密碼。而且，無論何時(shí)，只要管理員離任，請(qǐng)務(wù)必重置密碼。

6. 故障診斷完后甩手不管

故障診斷的時(shí)候，你執(zhí)行各種花招和試驗(yàn)來找尋并修復(fù)問題。在進(jìn)行這些嘗試的時(shí)候，你很可能會(huì)繞過那些常規(guī)的處理過程。問題往往出現(xiàn)在你修復(fù)了已發(fā)現(xiàn)的問題而進(jìn)行到下一個(gè)任務(wù)的時(shí)候。管理員總是很匆忙，有可能忘了恢復(fù)現(xiàn)場(chǎng)而令事情陷入混亂——給潛在的濫用以可乘之機(jī)。

比如說，在試圖找出為什么一個(gè)應(yīng)用程序沒有響應(yīng)的時(shí)候，你有可能在防火墻中開啟了一些端口。當(dāng)問題修復(fù)，你得在這些被臨時(shí)開啟的端口被攻擊者利用之前關(guān)上它們。同樣地，如果你由于SELinux干擾了故障診斷而暫時(shí)關(guān)閉了它，記得在你完工之后重新啟動(dòng)它。

故障診斷之時(shí)，記錄下你所做的改動(dòng)，這樣便能在之后將各種設(shè)置恢復(fù)到原始的狀態(tài)——除了你真的需要做出的那些修改。

7. 未能跟蹤日志文件

日志文件很有用，尤其是在故障診斷的時(shí)候，因?yàn)樗鼈兡茏屇憧吹阶罴?xì)粒度層次上發(fā)生的事情。當(dāng)你不再需要這些日志文件，請(qǐng)停止產(chǎn)生它們的進(jìn)程。相信我，你最不想看到的事情之一，就是調(diào)試進(jìn)程一直開啟，不停產(chǎn)生那些包含了可能對(duì)攻擊者也有用的信息的日志文件。

作為最佳實(shí)踐，要記得總是記錄下有哪些日志被創(chuàng)建了，做到對(duì)其中的信息類型心中有數(shù)。

8. 在文本文件中存儲(chǔ)密碼

要記的密碼太多時(shí)，很容易就會(huì)把它們都記在文本文件中。對(duì)四處窺探的攻擊者而言，這簡(jiǎn)直就是叩開各種系統(tǒng)的天賜神物。這種做法的后果十分明顯，但大家基本都聽說過那么一兩個(gè)將所有重要密碼記錄到文本文件中的例子。

如果密碼必須以明文保存到某個(gè)文件中(比如某個(gè)應(yīng)用程序的數(shù)據(jù)庫(kù)憑證)，設(shè)置文件權(quán)限以限制能查看該文件內(nèi)容的用戶。另外，確保數(shù)據(jù)庫(kù)賬戶是一個(gè)只有最低權(quán)限的服務(wù)賬戶。

9. 留下閑置賬戶

過期的，限制的賬戶就是些礙事的東西?？赡苡熊浖H僅是評(píng)測(cè)了一下就卸載了，但作為安裝進(jìn)程的一部分而添加的賬戶卻一直留在系統(tǒng)中。別那么干。攻擊者很可能利用這類被遺忘的賬戶，尤其是它們還保留有默認(rèn)密碼的時(shí)候。

對(duì)那些需要留存在系統(tǒng)中但未來不會(huì)被使用的賬戶，可以通過修改密碼文件，用一串字符串替換掉賬戶密碼來禁用該賬戶。顯然，當(dāng)員工離職，必然要進(jìn)行的一步就是立即撤銷他們的賬戶。

10. 疏于打補(bǔ)丁

金科玉律：安全更新一出，即刻安裝(當(dāng)然，備份好受影響的系統(tǒng)先)。太多太多的服務(wù)器不是因?yàn)榱闳章┒蠢帽还ハ?，而是因?yàn)榻?jīng)年的補(bǔ)丁從未打上。

即使是關(guān)鍵服務(wù)器，一小段計(jì)劃維護(hù)的停機(jī)時(shí)間也遠(yuǎn)比被攻擊者成功入侵后的數(shù)小時(shí)乃至數(shù)天的宕機(jī)時(shí)間要好得多。補(bǔ)丁發(fā)布就應(yīng)立即測(cè)試并創(chuàng)建推出更新的計(jì)劃任務(wù)。

然而，不幸的是，在立即打補(bǔ)丁這件事上你很可能會(huì)感到挫敗——通常是由于該補(bǔ)丁會(huì)讓某個(gè)遺留應(yīng)用崩潰。這種情況下，不要簡(jiǎn)單地聳聳肩，甩一句“太糟了”了事。應(yīng)及時(shí)將情況上報(bào)恰當(dāng)?shù)睦嫦嚓P(guān)者。升級(jí)該問題?；蛟S就有方法將服務(wù)器隔離至最小風(fēng)險(xiǎn)或者采用新技術(shù)降低對(duì)遺留產(chǎn)品的依賴呢。

在實(shí)際生活中，打補(bǔ)丁有可能就跟政治泥潭一樣恐怖。如果有級(jí)別比你高的經(jīng)理級(jí)人物下令不對(duì)系統(tǒng)進(jìn)行更新，要確保每個(gè)人都知道不打補(bǔ)丁的風(fēng)險(xiǎn)。

不要吝惜您的安全技術(shù)

一般情況下，安全技術(shù)能幫助阻擋已知慣犯，并在事情變得不正常時(shí)幫助將問題暴露出來?；蛟S會(huì)有在某個(gè)特別的工作站或服務(wù)器上不宜運(yùn)行反病毒或防火墻的情況，但這種情況相當(dāng)罕見。

考慮到當(dāng)下有多種DDoS惡意軟件肆虐，就因?yàn)長(zhǎng)inux Web服務(wù)器沒有工具阻攔壞東西的入侵而感染這些服務(wù)器，安全技術(shù)應(yīng)該被部署到所有終端以保護(hù)所有用戶——高層管理人員、一線工人、系統(tǒng)管理員和其他有著特殊權(quán)限的個(gè)人，不受攻擊的侵害。

盡量保持機(jī)器的干凈清潔。卸載那些你用不著的應(yīng)用程序以便在機(jī)器上不留下被遺忘的賬戶或工具。我們的目標(biāo)是讓系統(tǒng)盡可能地干凈以最小化攻擊界面。僅僅需要一個(gè)小錯(cuò)，一瞬間的疏忽大意，所有努力都可能付諸東流。

安全工具能幫你看清網(wǎng)絡(luò)中正在發(fā)生的事件。可以使用Nmap掃描那些可能在故障診斷會(huì)話中被打開的端口。檢查哪些機(jī)器缺失了哪些補(bǔ)丁，制訂出修復(fù)計(jì)劃。

有工具可以告訴你哪兒出了問題，給你在攻擊者乘虛而入之前修復(fù)問題的機(jī)會(huì)。但世界上所有的安全技術(shù)都幫不了你——如果系統(tǒng)管理員不以身作則遵守那些他們?yōu)榇蠹抑贫ǖ囊?guī)則的話。

本文標(biāo)題：系統(tǒng)管理員千萬別犯這十大安全錯(cuò)誤
標(biāo)題URL：http://m.fisionsoft.com.cn/article/djgceid.html

新聞中心

其他資訊