Linux下的常见错误配置

标签: 系统安全 linux安全 | 发表时间:2014-03-10 10:30 | 作者:Taskiller
出处:http://www.freebuf.com

    经过对大量客户的配置审计与渗透测试,我们总结出了一些Linux系统下的常见配置错误。我们相信总结、回顾这些常见错误可以在以后为我们节省更多时间与资源,更重要的是可以帮助系统管理员,使其服务器更加安全可靠。

    五个常见配置错误如下:

1、用户/home目录的权限
2、系统中的getgid与setuid程序
3、全局可读/可写的文件/目录
4、使用包含漏洞的服务
5、默认的NFS挂载选项或不安全的导出选项

1、用户的/home目录权限

    在大部分Linux发行版中,/home目录的默认权限是755,即任何登录系统的用户都可以访问其他用户的/home目录。而某些用户如管理员或开发者,可能会在他们自己的用户目录下存放某些敏感信息,如密码、访问当前或其它网络服务器的key等。

2、系统中的setgid与setuid程序

    文件的set uid位非常危险,因为它可能允许文件以一种特权用户的身份运行,如root用户:如果某个文件的所有者是root,并且设置了setuid位,那么在其运行时就是以root权限运行的。这意味着如果攻击者找到了该文件的漏洞,或者以一种非预期的方式运行了该程序,那他很有可能能够以root权限执行自己构造的命令,那么整个系统的权限就沦陷了。

3、全局可读/可写的文件/目录

    全局可读与可写的文件和目录产生的问题与之前介绍的因用户主目录权限配置不当引起的问题类似,但其影响范围可能涉及到整个系统。产生全局可读的文件的主要原因是,创建文件的默认umask掩码是0022或0002,正是由于这种不当的配置,那些可能包含敏感信息的文件可能被登录系统的任何人读取到。如果文件是全局可写的,那么也可能被任何人修改,也因此可能导致攻击者有机会修改某些文件或脚本来隐藏自己,并通过修改管理员经常使用的脚本来执行某些敏感命令。

4、配置不当的服务或设置

    应该运行那些最小化配置的服务。经常会看到有些服务配置不当或使用默认的证书与配置,使用不安全的通信渠道的现象也非常常见,加重了服务器被攻击的风险。在使用某项服务时,需要对其选项和配置进行复审,以确保部署的安全或配置恰当。但同时也经常看到有些服务被绑定到多个端口,而不是只进行本地监听或只监听某个特定端口。

5、默认的挂载选项或不安全的导出选项

    所有挂载的默认选项都是“ rw, suid, dev, exec, auto, nouser, async”。但是使用这些默认选项是不恰当的,因为它们允许如NFS协议等外部挂载的文件系统中的文件被设置suid位和guid位。当导出NFS共享时,建议不要设置no_root_squash选项。通常默认为root_squash选项,但我们经常看到其在实际使用中会被修改。如果设置了no_root_squash选项,当用户以root用户登录时,对这个共享目录来说就拥有了root权限,可以作任何事。这些不当设置如果保持默认,就会允许root用户登录服务器,但本来不应该允许这种权限的用户登录的。

    这些设置在配置Linux服务器时经常会被忽视,而恰恰是这些不当配置,使攻击者或恶意用户可以非法获得大量信息,或者提升自己在服务器中的权限。掩耳盗铃和一叶障目总比老老实实地加固系统来得简单,但是如果不想在自己睡得正香的时候服务器被人XXOO,就去踏踏实实地加固你的系统吧。

[via infosecinstitute]

相关 [linux 常见 错误] 推荐:

Linux下的常见错误配置

- - FreeBuf.COM
    经过对大量客户的配置审计与渗透测试,我们总结出了一些Linux系统下的常见配置错误. 我们相信总结、回顾这些常见错误可以在以后为我们节省更多时间与资源,更重要的是可以帮助系统管理员,使其服务器更加安全可靠.     五个常见配置错误如下:. 1、用户/home目录的权限 2、系统中的getgid与setuid程序 3、全局可读/可写的文件/目录 4、使用包含漏洞的服务 5、默认的NFS挂载选项或不安全的导出选项.

linux xampp常见问题

- We_Get - 博客园-首页原创精华区
1.安装xampp4linux后,只能本机(http://localhost)访问,局域网内其他机器无法访问. 解答:在/opt/lampp/etc中修改httpd.conf,将Listen 80修改为Listen 本机ip地址:80 本机ip地址使用ifconfig 查看. 2.我按照1修改之后,局域网内的机器还是无法访问.

Spring MVC的常见错误

- - Java译站
10年前我开始自己的职业生涯的时候,Struts还是市场上的主流标准. 然而多年过后,我发现Spring MVC已经越来越流行了. 对我而言这并不意外,因为它能和Spring容器无缝集成,同时它还提供了灵活性及扩展性. 从我迄今为止对Spring的经验来看,我发现有不少人在配置Spring的时候经常会犯一些常见的错误.

varnish常见错误的解决方法

- - 开心平淡对待每一天。热爱生活
这是因为从2.0.6以后,obj.ttl 已经变更为beresp.ttl. 2. beresp.cacheable的含义是什么. 官方的解释:beresp.cacheable. A response is considered cacheable if HTTP status code is 200, 203, 300, 301, 302, 404 or 410 and pass wasn’t called in vcl_recv.

Mark Lutz:Python程序员的常见错误

- - 博客 - 伯乐在线
译注: Mark Lutz 是《Learning Python | 学习Python》的作者之一. 在这篇文章中,我将总结新老Python程序员常犯的一些错误,以帮助你们在自己的工作避免犯同样或类似错误. 首先我要说明一下的是,这些都是来源于第一手的经验. 我以讲授Python的知识为生. 在过去的7年里,我已经给上千名学生讲授上百堂Python的课程,同时看着这些学生们犯同样的错.

SEO中常见的七个错误

- - Java译站
SEO作为一个战略营销服务多年来它的效果一直都是非常不错的. 他们通过给网站进行深度优化从而使网站流量得到了质的提升. 品牌的曝光度和知名度的提升. 这些理由足以让营销人员将SEO作为主要的在线营销策略了. 然而,需要仔细调整SEO来适应客户企业以及目标用户的分布特征. 许多SEO服务提供商在替客户取得满意的效果前都经历了许多常见的错误的方法.

hadoop常见错误及解决办法!

- - 企业架构 - ITeye博客
转: http://p-x1984.iteye.com/blog/989577 1:Shuffle Error: Exceeded MAX_FAILED_UNIQUE_FETCHES; bailing-out Answer: 程序里面需要打开多个文件,进行分析,系统一般默认数量是1024,(用ulimit -a可以看到)对于正常使用是够了,但是对于程序来讲,就太少了.

(总结)Linux下Oracle11gR2的ORA-00845错误解决方法

- - 服务器运维与网站架构|Linux运维|X研究
PS:前些时间一台演示环境的Oracle 11g for Linux不知什么原因,启动不起来,报错ORA-00845. 搜索了下,这个问题是由于设置SGA的大小超过了操作系统/dev/shm的大小. 当时解决了没空写总结,今天有点空,总结分享一下:. Oracle在metalink的文档:Doc ID: Note:460506.1中进行了说明.

linux下redis执行bgsave时,报overcommit_memory错误问题

- - 博学无忧
一台机器如果内存用完,在进行bgsave时,可能会报错. To fix this issue add 'vm.overcommit_memory = 1' to /etc/sysctl.conf and then reboot or run the command 'sysctl vm.overcommit_memory=1' for this to take effect.

[转][转]LINUX共享内存使用常见陷阱与分析

- - heiyeluren的blog(黑夜路人的开源世界)
来源: http://www.dcshi.com/?p=79. 所谓共享内存就是使得多个进程可以访问同一块内存空间,是最快的可用IPC形式. 是针对其他通信机制运行效率较低而设计的. 往往与其它通信机制,如信号量结合使用,来达到进程间的同步及互斥. 其他进程能把同一段共享内存段“连接到”他们自己的地址空间里去.