Linux系统安全最佳实践

Linux系统安全最佳实践TT服务器技术专题之“Linux系统安全最佳实践”Page2of31Linux系统安全最佳实践千里之堤，溃于蚁穴。在科技发展迅速的今天，小处的安全问题更容易被我们忽视，但这很可能酿成之后的大问题，而在服务器系统中，不引人注目的漏洞也许就会导致整个系统的崩溃。如果你是一名Linux管理员，安全工作可千万不可忽视，本手册就将为你奉献独家实用的Linux系统安全最佳实践。认知指导实践人不能一口吃成一个胖子，Linux管理员也不能赶鸭子上架般地直接上手操作解决安全问题，心急吃不了热豆腐，在实践之前，没有足够的认知，不但解决不了原有的问题，甚至可能造成更大的问题。所以我们在真正学习Linux安全最佳实践前，先来对觉的安全问题做一定了解。LinuxWeb系统上常见安全漏洞浏览潜伏在你身边的Linux安全漏洞Linux安全政策管理的常见缺口实用妙招全掌握对Linux安全问题的了解已经完成，我们来看看实际Linux管理员的过程中遇到的具体问题，要如何解决这些切实的问题？有没有什么工具可以帮助我们又快又好地解决这些问题？在这一小节中，我们整理了Linux安全的实用小妙招，赶紧把它们用到工作中吧！urnKeyLinuxHub加速云设备管理TT服务器技术专题之“Linux系统安全最佳实践”Page3of31解决开源Web设备中的安全故障运用Nmap助力Linux管理与安全最后的安全保卫战我们的Linux保卫战已经到了最后一步了，打赢这一仗还需要最后一步，赶紧把这些Linux系统安全最佳实践学到手，一步一步动手吧，把这些安全实践应用到日常工作中，绝对让你受益菲浅哦！使用BackTrack检查Linux安全漏洞支招：解决物理安全对Linux系统的威胁实战：如何安装OpenVAS？TT服务器技术专题之“Linux系统安全最佳实践”Page4of31LinuxWeb系统上常见安全漏洞浏览在执行漏洞评估和渗透测试时，我们通常纠结于操作系统级别的漏洞，最终忽视了Layer7问题。由于在远程登录和SSH的Linux系统上存在许多攻击面，因此这是一个非常危险的陷阱。事实上，在我看来，多数基于Linux的缺陷位于应用层。可能是Apache、PHP或OpenSSL，或者只是一般的错误配置，如果漏洞可以通过HTTP访问，那就更危险了。常见的漏洞有SQL攻击和跨站点脚本，对于LinuxWeb安全来说还有更多。下面列出的是我经常看见的基于Linux的系统上的其他Web安全漏洞，供你参考，便于降低与Web相关的风险：PHP代码入侵会允许恶意代码直接执行。我见到过服务器端脚本引擎接受未过滤的PHP输入，运行在服务器上，提供系统级别的服务器访问。使用HTTPGET请求而不是POST请求通过用户名和密码。这个缺点能造成允许Web应用和操作系统级别的特权扩展。密码弱连同入侵者锁定的缺少。我曾发现使用自动的密码破解者，如Brutus和旧有的登录猜测器，通常，当出现弱登录时，获取在Web站点或应用的未授权访问非常简单。弱的文件和目录权限会允许系统列举。我常发现备份或测试文件包含旧有和未经维护的代码，提供了不是每个人都需要看见的信息。(作者：KevinBeaver译者：唐琼瑶来源：TechTarget中国)原文标题：LinuxWeb系统上常见安全漏洞浏览原文链接：服务器技术专题之“Linux系统安全最佳实践”Page5of31潜伏在你身边的Linux安全漏洞在本文中，我将和你们分享一些现实世界中的Linux安全漏洞。通常最简单的漏洞旨在从Linux系统中取得没有受保护的NetBIOS共享资料。有缺陷的Samba配置文件通常很容易泄露。例如，文件共享创造为了方便起见，也可能结束了你的困扰。我曾见过基于Samba的Linux系统分享那些给所有在网络中的人访问敏感信息的资源，这些敏感信息包括病人健康记录和有详细信息（例如：基础设施系统的密码和源代码等）的网络图。。一些攻击执行起来非常简单。所有执行这些事情的人都要以正常的Windows用户权限登录到网络（即使没有管理员权限），运行一个像GFILANguard一样的网络安全和漏洞扫描工具，然后再运行一个类似FileLocator的信息搜索工具。这样一来，任何人想要获得一些不该被访问的机密文件就真得相当简单了，并且这永远不会被人察觉。相关的攻击只针对不善配置FTP服务器的使用者，他们的服务器允许匿名连接或者设置安全级别弱的密码，甚至不设密码。在这里举一个例子来说明：TT服务器技术专题之“Linux系统安全最佳实践”Page6of31图1：在Linux系统中匿名FTP导致数据被访问在这种情况下，提供匿名FTP访问配置文件，以此从财政管理数据库的编码中获得了密码，知道在那里可以获取所要的信息。另一种Samba利用可能导致远程用户的枚举。当一个Linux系统的Samba配置允许访客访问的时候，像Nessus和QualysGuard一样的漏洞扫描器能够收集用户名。在大多数情况下，攻击者能够使用这个用户名，在随后的密码破解中对Linux的账户进行攻击。在许多情况下，你也能够使用类似WebInspect或Acunetix的网络漏洞扫描器通过一个安装不完善的Apache（即没有在httpd.conf中禁用UserDir指令）来收集Linux用户的账户信息。关于密码的话题，我最近曾经看到过这样的情况，CGI应用程序运行在基于Linux的Web服务器时，没有正确的过滤输入信息，并且在HTTP查询中允许包含本地文件，如图2所示。TT服务器技术专题之“Linux系统安全最佳实践”Page7of31图2：网站输入验证问题可能会导致Linux文件被访问在这种特定的情况下，通过Web应用程序返回的Linux密码文件中，就会泄露数以百计的用户账户。虽然这个密码屏蔽，但破解系统的密码仍然容易，因为所有的用户账户都是已知的。这种类型的攻击也可能会导致其它的Linux操作系统和数据文件易于暴露。最后，如果我没有提及补丁问题的话，那么我是失职的。论证表明，它是导致最坏结果的最易利用的漏洞之一。这适用于操作系统和第三方软件。例如在这种情况下，攻击者在连接到互联网期间的短短几分钟之内，就可以通过使用Metasploit之类的免费工具来获得如图3中的操作系统的所有权限。图3：使用这个Metasploit工具来利用过期版本的Samba同样，在大多数情况下，直到为时已晚，没有人会知道这样的攻击。有时你会发现Linux内核本身没能识别出有些漏洞，但是它们仍然会被利用，产生更多的Linux系统问题。执行Linux漏洞检查时，别忘记尽可能从每一个角度查看一下你的Linux系统。只是因为一些问题不能从外部利用并不意味着不能被所谓的“值得信赖”的人通过正常的TT服务器技术专题之“Linux系统安全最佳实践”Page8of31登录方式登录后滥用。此外，因为在风险报告并不能把系统环境中的每个安全隐患都一一列出，你需要有保留地采用自动扫描工具获得一些发现。从剩下的电子干扰讯号中筛选出重要的东西只会让你投入太过，并且给你带来更多的麻烦。(作者：KevinBeaver译者：Mark来源：TechTarget中国)原文标题：潜伏在你身边的Linux安全漏洞原文链接：服务器技术专题之“Linux系统安全最佳实践”Page9of31Linux安全政策管理的常见缺口这几年不管是审计员、监察主管还是IT经理都在说：要完善安全政策，减少信息风险。虽然这些话都是老生常谈了，但安全政策管理实施起来很简单，而且大多数企业都能实现。拿商业活动来举例，从中你可能会找到关于基本的密码、数据备份和电脑使用的条例。看上去似乎都没有问题。但是这些政策通常不涉及Linux安全。为什么会出现这种情况呢？当管理层不把注意力放在信息安全上时，人们大多会产生“安全政策只要覆盖多数操作系统就可以了”的观点，这就导致了Linux安全政策的疏忽。这种观点都是建立在以下想法：“我们的关键商务程序——电子邮件服务器、金融系统和网站都在Windows上运行，而且我们的安全政策涵盖了这些系统。这些就是我们审查的内容。我们要Linux做什么呢？”管理层要为此负部分责任，因为他们没有对此进行管理，也没有说明自己和他人在信息风险最小化中的责任。但是网络管理员和Linux管理员也有一定的责任：他们创建自己的系统——或用作测试或用作产品——却不告之他人。这些系统通常都不在安全监管的范围之内。这就是循环的开始。当Linux安全成为问题时这个循环看似不是问题，但实际上不是这样的。考虑以下的现象：网络管理员和开发人员使用的都是装有Linux系统的笔记本电脑，他们的加密硬盘里都存储涉及知识产权的敏感信息和客户数据：当原代码公开或数据外泄时会怎么样呢？企业电子商务系统中的Linux应用程序服务器没有对一些常见攻击进行防御，更没有对安全漏洞进行测试：一个脆弱的密码系统可以导致未授权访问或者OpenSSL的非最新版受到拒绝服务攻击，从而导致很长的故障期，这该怎么办呢？当用于保护网络免受攻击的Linux防火墙和网络监控系统被非监管人员或无责任心的人员任意修改时：当防火墙规则被“稍稍”修改以致网络访问切断，或者发生信息泄露，调查却发现审计日志丢失时又会怎么样呢？笔者经常看到这些情况发生在Linux系统中。不管出于什么原因，这些系统通常都徘徊在重要的安全政策之外，这时我们不希望的情况就出现了。这些问题对各种商业活动都会产生巨大影响。现在谈的不仅是安全政策管理的最佳实施情况，而且是不断增加的电脑信息泄露、身份盗取和与规则遵从相关的法律案件。Linux安全政策管理的必要性TT服务器技术专题之“Linux系统安全最佳实践”Page10of31Linux系统是所有商业网络的一部分，应该得到与其它系统同样的安全政策和安全监管。一些系统过去没有审计或证明出存在漏洞并不代表它们的安全就不重要。我们退一步看看自己的信息安全政策，这些安全政策的存在并不代表它们就涵盖了所有正确的领域，也不代表它们是健康、合理的。一个良好的安全政策管理验证程序首先应该明白哪些信息系统存在风险（包括Linux系统）。基于这些危险和漏洞，然后决定哪个系统和商业领域需要哪种政策。接着为你的安全政策文件开发一个正式模板，以保证它们的一致性，这样在引用时会很方便，理解起来也很简单。最后，周期性地检查有没有新的风险和监管政策。不仅要检查Windows或者其它经常使用的系统，而是检查所有的系统。所有的这些仅需对一个看似安全却可能出现问题的Linux系统进行安全监管。(作者：KevinBeaver译者：Dan来源：TechTarget中国)原文标题：Linux安全政策管理的常见缺口原文链接：服务器技术专题之“Linux系统安全最佳实践”Page11of31TurnKeyLinuxHub加速云设备管理对许多企业的IT经理来说，高效管理企业云端设备的重要性增强了。利用Novell产品的帮助，VMware公司和TurnKeyLinux一类的企业制造虚拟产品的能力在突飞猛进，这无疑给管理云端设备锦上添花。像rPath一样的新公司，是围绕创造、部署、管理虚拟设备的理念上建立起来的。另一件促使云端产品的管理工作提上日程的是开放虚拟化格式（OVF）。八月份，OVF1.1版被采用并作为美国国家标准协会标准。这一标准能够让主要的虚拟化产品供应商按照统一格式制造虚拟设备，还能够让亚巴逊等云服务提供商的部署工作变得很简单。TurnKeyLinux最近通过基于网络的TurnKeyHub工具，增强了部署和管理AmazonEC2的所有基于Linux的免费应用的能力。入门指南第一件要做的事情就是注册TurnKeyHub测