2020-01-09请教老师,您说的“为了避免进程漏洞,适当的通过 iptables 进行访问限制,也能够起到不错的保护效果”,这句话不太明白,能否例举一两个事实应用的例子,多谢!作者回复: 可以详细了解下iptables的使用。简单来说,可以通过iptables阻止或者允许向Linux系统发起的请求。比如,我不希望ssh的22端口被随意的访问,那就通过iptables,给22端口设定几个白名单的ip。那么,对于非白名单的ip来说,本机的22端口就相当于下线了。这样一来,即使ssh存在弱密码,风险性也小很多。
4
2020-01-08老师,咬字要清楚 1
2020-01-08我的留言居然丢了…再写一下,
曾经使用过的linux服务器极少会用root账号登陆,系统管理员不会分配这个权限的,但是却有sudo用户权限,感觉sudo用户权限也是很高的权限了,个人认为给很多用户分配了sudo权限也是不安全的,应该限制,按照“最小权限”原则,应该区分用户权限,如果用户有安装软件需求,那就提交申请,不过这样会比较麻烦。作者回复: 如果只是两三个人公用的话还好,要是人多了,就容易出现问题,比如把别人的进程kill了之类的。另外,sudo启动的进程也是root的,root权限的进程过多,更容易对安全造成威胁。
2 1
2020-02-07老师好,您说“我们普通的Linux使用者通常是没有能力和精力去关注Linux内核的安全”,那么对于Linux内核的安全,业界或者大公司会有专业的团队来检测Linux内核的安全吗?如果有的话,是不是就意味着只要是在官网发布的Linux镜像,我们普通的开发者就可以认为Linux是安全的了呢?- 2020-01-31我们为什么可以那么相信Linux内核呢?Linux内核就一定是安全的吗? 我们使用的Linux镜像有可能也像Windows一样被事先植入后门之类的吗? 还有如果Linux本身不可信的话,我们检测Linux是否安全的方法是不是也行不通了呢?
作者回复: 可能没说清楚,Linux内核当然不可能是完全安全的,也会不时的曝出各种高危漏洞。但是,普通的Linux使用者通常是没有能力和精力去关注Linux内核的安全。所以我们能做的就是像插件安全一样,正常的使用Linux内核,并且保持更新即可。或者悲观一点的说,除了相信Linux内核,并没有其他的选择。
2020-01-09针对公司很多服务器的情况,使用Ansible这类工具批量管理密码策略,iptables,日志等,是常见的做法吗?作者回复: Ansible属于运维类的工具,对于多服务器的管理是十分高效的,是比较常见的工具。
2020-01-09切换到nobody用户去执行确实是个非常实用的招数:学到了一招了;其它方面之前做的还算可以。
2020-01-08加深印象,看来我还差很多啊,基本上都给root权限了作者回复: 谨慎谨慎