您所在的位置:操作系统 > Linux > 服务环境搭建 > 陈小兵访谈实录:系统安全防御应从内部入手(1)

陈小兵访谈实录:系统安全防御应从内部入手(1)

2008-11-27 17:08 Robbin 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

51CTO联合数家网站共同举办的“Linux学习月”大型系列活动到今天已经接近尾声。今天,Linux活动月请来了第三位做客庄家访谈聊天室的系统安全专家——陈小兵。

AD:

【51CTO.com独家特稿】51CTO联合数家网站共同举办的“Linux学习月”大型系列活动到今天已经接近尾声。今天,Linux活动月请来了第三位做客庄家访谈聊天室的系统安全专家——陈小兵。

陈小兵:目前任职于海军某部,兼任多家公司网站安全顾问,助理研究员。主要从事系统开发和网路维护,8年信息系统开发以及网络安全维护经验,主要研究方向:网络安全技术以及数据库开发技术。已由清华大学出版社出版《SQL Server 2000培训教程》以及电子工业出版社出版《黑客攻防实战案例详解》二本图书,正在策划网络安全系列图书,先后在《网管员世界》、《黑客防线》、《黑客手册》等杂志媒体发布稿件100余篇,核心期刊论文也达到两篇。

27日下午两点,陈小兵与网友就Linux安全问题进行了近两个小时的热烈互动。以下为聊天实录,51CTO略有整理(视频资料稍后整理上传)。

主持人与嘉宾合影留念
主持人与嘉宾合影留念

◆Linux系统安全部分

主持人:今天是我们Linux学习月的第四期,今天很高兴请到了陈小兵,陈小兵在海军某部联络员,主要是从事系统开发和网络维护的工作,现在已经有了8年信息系统开发网络维护的经验,现在已经出版了两本书,是由清华大学出版的一本叫《黑客攻防案例实战解析》等。现在网络安全的书,先后也在网管员世界,黑客防线也发表过一百余篇文章,现在请您给大家简单打个招呼吧。

陈小兵:大家好!很高兴51CTO.COM提供一个跟大家交流的机会,其实51CTO.COM作为我是Linux专家有点汗颜,本人对这块是有一点爱好,在这儿跟大家共同探讨一下,说的不道的地方请大家包涵指正。

主持人:咱们今天谈的是Linux安全和优化方面的问题。先请陈老师给我们讲一下,Linux安全的概念大约分成几个方面?

陈小兵:从我来看,应该是可以分为四个方面,一个是系统的安全,这个里面主要是一些基本的东西,比如说用户、目录,文档、数据,还有一些文件类型,最重要的Linux下面有很多安全的命令,这些命令在维护跟入侵当中非常重要,在以后我们会在这个里面简单介绍一下。第二个,网络安全,主要是讲一下中小企业的Linux网络的安全策略,还要介绍一些网络安全工具,其实这个网络安全工具现在有很多,这个有点跟武林类似用多了可以杀人,现在网络工具也是一样,每一个工具只有用熟了以后才能发挥出威力。第三部分主要是讲一下Linux服务的安全,在这个下面主要是入侵主机,入侵以后应该怎么办?有一些这方面的经验。

主持人:刚才您谈了一个是系统的安全。

陈小兵:第三部分还要讲一个比较流行的就是Linux加LAMP,这个网上有很多这种文件,大家看一下把它看懂就可以了,我在这个地方主要是提一些东西。第四部分,主要是讲一下Linux的病毒与恢复,这个是比较实用一点地方。

主持人:刚才陈老师已经向我们介绍,现在Linux主要分四大方面,系统、服务、网络和病毒。现在能不能请陈老师简单介绍一下,关于Linux系统的防护,如果分解开来讲,分哪几点,或者是有哪些需要我们注意的?因为我们知道Linux系统公认的Widows是比较安全的操作系统,虽然安全,但是也有很多可能会有一些不足的地方,或者有一些缺陷的设置并不安全。

陈小兵:我觉得对于这个系统的方面,平时一方面要关注一些新的东西,比如新的安全,像Linux、宏碁,有可能出现新的补丁,而这些补丁有可能是致命的东西,一个是关注最新的状况。另外一个平时要做好系统的维护,还要经常看一下自己的日志文件。在入侵以后,一定要比较仔细,反复看一下,这到底是为什么发生这个情况,找到原因然后更治它。

作为管理人员,还有一方面,要跟系统管理的人要进行安全方面的培训。还有社会工程学方面的攻击,社会工程学虽然不是技术,但它胜过技术,网上也有很多这方面的资料。这个有一个典故,比如赌球的,第一次这个人发了1000个邮件,有500是赌对的,有500是错的,这个肯定有一个结果,肯定一个对,一个错,对的说这个人很厉害,第二次又重复,可能在这500个里面又发250个、250个,这种方式循环下去以后,肯定有人相信了,说我现在掌握了某一门技术,你给我500块钱,这是可能的绝对的东西,所以社会工程学很厉害,需要关注的地方。

主持人:刚才您谈到了一个是补丁,及时关注Linux厂商的一些安全补丁,一定要及时给系统打上,一个是要经常察看日志,一些比较敏感的目录需要注意察看。在系统安全方面,请您简单介绍一下,比如说Linux的用户目录,有哪些需要注意的吗?

陈小兵:其实Linux用户,这个定义可能不是很准确,跟Windows 相比客户Duast,在Linux后面我问了很多人,没有这个区分,可能有一些组,安全权限,特定两个组,在这两个组里面,一般原则是运行的时候不要使用高级管理员权限。目录权限一定要做好,跟Windows安全有一些类似的地方,比如说/home目录,还有其它的目录,每一个目录你把它定义好,包括ANP里面讲到一个概念,分装到里面去了,只能在这个里面干,不影响系统。

主持人:这就是关于文件访问权限的问题,只把用户设定到只能访问某些目录,相对来说更安全一点?

陈小兵:对。

主持人:关于一些文件的类型,咱们可能是跟Windows和Linux可能有很大差别,能不能简单介绍一下Windows文件的类型和Linux文件类型的简单差别呢?

陈小兵:其实Windows 跟Linux的文件类型有一些是一样的,有一些不一样,比如像压缩文件,TDZ压缩文件就是以Tar文件结束的,还有gz、tbz、tgz,因为它是开元的,有很多人开发以后提供这些,其实跟Win2类似,还有一些通用的,比如像声音文件.az,图像文件gif,HTML、PDF、TXT,这个是公用的。还有一些主要跟系统有关的文件,.conf,.lock,他是把它锁定一些文件,还有一个重要的格式IPM,软件管理的文件。关于文件类型,我就介绍到这个地方。

主持人:关于在Linux一些基本的文件类型,这些都属于比较基本的知识,咱们如果谈到Linux安全的话,这些基本知识是绝对不能少的,包括一些网络命令,一些基本的文件操作命令,咱们在这儿就不再详细谈了。我想问一个问题,在咱们运维的过程中,安全需要注意哪些?比如说远程登录主机,网络环境或者是系统服务方面的设置,需要有哪些注意的地方?

陈小兵:关于网络运维方面,个人经验,不一定全对,有一个原则使用最小权限原则,第二个就是设置一个权限的密码,第三一个是严格配置管理。最小权限原则很多人都知道,但是真正落到实处有的没有注意,包括前一段时间,也是一个朋友公布了一个系统的利用方法,就是虚拟主机的,通过一个很细小的细节问题,整个服务群就一台机器,但这台机器把所有的脚本文件都放到服务器里面,而这个脚本里面包含了用户名跟密码。

第二个设置一个强健的密码,这个已经不是一个老生常谈的问题,通过我个人的经验很多人喜欢设置生日,用户名,或者自己小孩的名字,这个算不上强健密码。包括我们参加一些会议上面,有的人提到设置强健密码的方式,这个我非常赞同。这里我要提一点,现在包括无线加密的方式破密码很快,包括最近网上提供了彩虹表下的120个G的哈希表,它下载以后,一般是几分钟就可以破解。

什么叫强健的密码,至少是20位以上。我觉得我们应该有一个优点,因为我们中国的诗词特别多,随便一个诗里面我就选一句,比如说我今天来到了51CTO.COM,我把前面的每一个字取出来,中间加一个大写,或者加上时间,加上自己的名字,这就是一个很强的密码。

严格配置管理,这个是什么意思呢?从总体上来说入侵不是那么容易,其实他找也是找漏洞,除了未公开的漏洞以外,一般情况,你如果设置得很好,还是不容易真的把那个系统渗透掉,可能拿到一些权限,可能修改一些文件。

这个配置管理跟Windows比较类似,特别是M(音译),里面有一个记录用户密码的,凡是有用户密码端口这些都是敏感的东西,管理频可以部署JAR那个包,这个东西如果是入侵者拿到用户名跟口令,有的时候末端就没有设置密码,我就直接可以登陆上去,只是上传一个GSP的系统,很容易把系统控制住,我可能用UE等编辑器打开以后形成一个贝克(音译)文件,有人曾经发现在网站把用户名跟密码全写在里面,这个是从配置上来讲。

还有,很多程序不是自己开发的,它可能是请某一个公司合作开发的,在开发过程中,程序员可能使用了一个密码,比如说A4A123456,这个密码没有修改,这也是很危险的,因为现在也有很多工具,把密码拿到以后,可以直接登陆,登录到服务器上面进行操作,而且还有他原来的开发程序人员,坏的可能会干一些坏事。

还有一个MySQL(音译),如果把这个密码拿到以后,有很多连接它的数据,能够看到你的数据,可以操作你的数据,能够修改、添加、删除,那就很容易呀。前面我们从原则上面这是三个大的原则。

主持人:一个是使用最小权限,包括文件的权限和用户的权限。第二个是设置一个强健的密码,陈老师用这么多年的经验给大家介绍了一个设置强健密码的方法,比如使用古诗词,或者一句话。

陈小兵:这个一定要自己容易记得住,还有比如说歌词,你记得很熟的,但是你记住以后不要到处去说,你比如说像毛主席语录,这里面随便拿一句话。

主持人:您的意思就是说您这一句古诗词“明月几时有,把酒问青天”,这句话假设设置在这台服务器上,就不能设置在另一台服务器上了。

陈小兵:现在我发现有很多计算机,管理员也是因为密码记不住,所有的系统里面,管理员密码全部是一样的,这个很危险。

主持人:密码不能设成一样的?

陈小兵:对,稍微有一点差别,比如说这个是01,下面的改一个02,要有一个连续性。

内容导航



分享到:

栏目热门

更多>>

热点职位

更多>>

热点专题

更多>>

读书

SQL Server 2005中文版精粹
本书内容包括: ● 框架的总览:SQL Server 2005的功能是如何集成在一起的,以及这些功能对于用户的意义。 ● 安全性

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院