安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?

何为舟
最小权限原则在Linux系统中的应用
防止权限滥用ROOT
实践最小权限原则
日志监控工具
用户登录日志、特殊事件日志和进程日志
系统日志信息存储
解决权限问题
文件属性和粘滞位的功能
文件和目录的读、写、执行权限
使用弱密码库检测弱密码
制定适当的密码策略
弱密码导致的身份信息泄露
Chage命令修改密码管理策略
/etc/passwd和/etc/shadow
正确配置用户层权限
使用官方镜像并保持更新
按照插件漏洞的防护方法
内核安全被突破的影响
用户层的安全基础
内核层的安全功能
正确配置安全机制提升安全保障
Linux中的审计机制
Linux中的授权机制
Linux中的认证机制
Linux系统安全防护核心
用户层需要确保权限的正确配置
Linux内核安全提供的基于权限的访问控制
主体->请求->客体流程
不需要过多关心内核的安全
内核安全的重要性
内核层和用户层
基础环境和工具中的安全机制
代码、操作系统、网络、数据库
是否可以利用知识对ROOT权限进行限制
进程具备ROOT权限
用户具备ROOT权限
认证、授权和审计
黄金法则在Linux系统中的应用
用户层的操作
Linux的安全模型
Linux系统和应用安全
检查Linux服务器的ROOT权限
多人共用服务器,如何防止别人干“坏事”?
思考题
参考文章

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
从这一讲开始,我们讨论 Linux 系统和应用安全。我们知道,在开发一个应用的过程中,需要涉及代码、操作系统、网络和数据库等多个方面。所以,只是了解代码安全肯定是不够的,我们还需要了解常见的基础环境和工具中的安全机制,学会通过正确地配置这些安全机制,来提升安全保障。
谈到 Linux,我相信你每天都在使用 Linux 进行各种开发和运维操作。但是,大多数情况下,公司不会给每一个员工分配专有的 Linux 服务器,而是多个开发和运维共用一台 Linux 服务器。那么,其他员工在使用 Linux 服务器的时候,会不会对我们自己的数据和进程产生影响呢?另外,我在 Web 安全中讲过,黑客可以通过很多漏洞控制 Linux 服务器,那我们又该如何避免和控制黑客的破坏呢?

如何理解 Linux 中的安全模型?

要解决这些安全问题,我们首先要了解一个安全模型,Linux 的安全模型。
我们先来看一下 Linux 的构成,Linux 可以分为内核层和用户层。用户层通过内核层提供的操作接口来执行各类任务。
内核层提供的权限划分、进程隔离和内存保护的安全功能,是用户层的安全基础。一旦内核安全被突破(比如黑客能够修改内核逻辑),黑客就可以任意地变更权限、操作进程和获取内存了。这个时候,任何用户层的安全措施都是没有意义的。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文主要讨论了Linux系统和应用安全的重要性,特别是在多人共用Linux服务器的情况下,如何防止别人干“坏事”成为了一个重要问题。文章从Linux安全模型、认证、授权和审计等方面进行了探讨。强调了内核层和用户层的安全基础,介绍了Linux中的认证机制,包括密码管理和降低密码泄露的可能性。另外,还提到了使用已知的弱密码库来对Linux中的弱密码进行检测的方法。在授权机制方面,强调了最小权限原则的重要性,以及如何通过一些已知的工具来实现“最小权限”启动长驻进程的功能。最后,对Linux中的审计机制进行了介绍,包括系统日志的存储和监控工具的推荐。总的来说,本文通过对Linux系统安全的核心内容进行分析,为读者提供了一些关于多人共用Linux服务器时如何防止“坏事”的实用建议。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(17)

  • 最新
  • 精选
  • hello
    请教老师,您说的“为了避免进程漏洞,适当的通过 iptables 进行访问限制,也能够起到不错的保护效果”,这句话不太明白,能否例举一两个事实应用的例子,多谢!

    作者回复: 可以详细了解下iptables的使用。简单来说,可以通过iptables阻止或者允许向Linux系统发起的请求。比如,我不希望ssh的22端口被随意的访问,那就通过iptables,给22端口设定几个白名单的ip。那么,对于非白名单的ip来说,本机的22端口就相当于下线了。这样一来,即使ssh存在弱密码,风险性也小很多。

    2020-01-09
    2
    14
  • Chaos
    通常 Linux 发行版都会使用 User Private Group scheme 来创建用户(默认行为),也就是创建用户时,会创建一个同名的组,用户是这个组唯一成员,这个很多人不知道为什么。有兴趣的可以延伸阅读,看一下「为何 Unix-like 系统采用 User Private Group 方案」。开始用 Linux 时红帽系和 Fedora 已默认使用 UPG 方案,且基本是个人使用 Linux 桌面,没有多人使用服务器的情况,所以对 UPG 之前系统管理员所经历的权限管理菊花之痛理解不够深刻,这篇讲得很清楚,推荐阅读: https://twitter.com/terrywang/status/1259661708223606784 原文 https://security.ias.edu/how-and-why-user-private-groups-unix 另外善用 sudo 尽量不用 root 用户本身。 用容器之后,尤其是用 Docker 实现的话,会存在 rootless container 的 concern (目前只有 Podman 能解决问题)这个没有覆盖到 ;-)

    作者回复: 厉害~

    2020-05-21
    8
  • humor
    我们为什么可以那么相信Linux内核呢?Linux内核就一定是安全的吗? 我们使用的Linux镜像有可能也像Windows一样被事先植入后门之类的吗? 还有如果Linux本身不可信的话,我们检测Linux是否安全的方法是不是也行不通了呢?

    作者回复: 可能没说清楚,Linux内核当然不可能是完全安全的,也会不时的曝出各种高危漏洞。但是,普通的Linux使用者通常是没有能力和精力去关注Linux内核的安全。所以我们能做的就是像插件安全一样,正常的使用Linux内核,并且保持更新即可。或者悲观一点的说,除了相信Linux内核,并没有其他的选择。

    2020-01-31
    3
    6
  • humor
    老师好,您说“我们普通的Linux使用者通常是没有能力和精力去关注Linux内核的安全”,那么对于Linux内核的安全,业界或者大公司会有专业的团队来检测Linux内核的安全吗?如果有的话,是不是就意味着只要是在官网发布的Linux镜像,我们普通的开发者就可以认为Linux是安全的了呢?

    作者回复: 大部分公司的安全团队都会检测Linux用户层各种配置是否安全,以及Linux内核是否存在已公开的漏洞。对于内核的安全检测,只有部分公司会专门招人作安全研究,比如360、腾讯、阿里的各种安全实验室,他们会主动进行挖掘,然后将发现的未知漏洞提报到CVE中去。

    2020-02-07
    2
  • 小晏子
    我的留言居然丢了…再写一下, 曾经使用过的linux服务器极少会用root账号登陆,系统管理员不会分配这个权限的,但是却有sudo用户权限,感觉sudo用户权限也是很高的权限了,个人认为给很多用户分配了sudo权限也是不安全的,应该限制,按照“最小权限”原则,应该区分用户权限,如果用户有安装软件需求,那就提交申请,不过这样会比较麻烦。

    作者回复: 如果只是两三个人公用的话还好,要是人多了,就容易出现问题,比如把别人的进程kill了之类的。另外,sudo启动的进程也是root的,root权限的进程过多,更容易对安全造成威胁。

    2020-01-08
    4
    2
  • 弹弹君
    针对公司很多服务器的情况,使用Ansible这类工具批量管理密码策略,iptables,日志等,是常见的做法吗?

    作者回复: Ansible属于运维类的工具,对于多服务器的管理是十分高效的,是比较常见的工具。

    2020-01-09
    1
  • Cy23
    加深印象,看来我还差很多啊,基本上都给root权限了

    作者回复: 谨慎谨慎

    2020-01-08
    1
  • 大坏狐狸
    《鸟哥私房菜》里面说可以进入目录是由w 写的权限来控制的。

    作者回复: have a try

    2020-03-28
    2
  • Teresa
    nobody可以理解成访客登录吗?

    作者回复: 差不多。不过linux本身没有访客这个概念。

    2020-03-26
  • 小老鼠
    老师,咬字要清楚
    2020-01-08
    4
收起评论
显示
设置
留言
17
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部