安全性不仅仅是一个技术问题 - 这是一个人的问题。在愚蠢的人类错误之前,您只能在网络上抛出这项技术。
但猜猜怎么了?这些错误通常由应该了解更好的人:系统管理员和其他IT人员。
Intermedia 2015年内部风险报告调查发现,IT专业人士是最有可能从事“危险”安全行为的群体,如共享密码/登录、在商业应用程序中重复使用个人密码,或向他人提供个人帐户凭证。
由于系统管理员在网络上拥有至高无上的权力,这样的失误往往比普通用户的失误风险大得多。IT专业人士可能和用户一样容易受到影响网络钓鱼,恶意软件和其他攻击 - 并被盗,特权的SYS管理凭据几乎总是导致更严重的安全漏洞。
以下是系统管理员和其他IT人员常犯的10个安全错误:
错误1:凡事都用sudo
当您以root用户身份登录时,您可以完全控制该框。这可能是极其危险的,因为如果您的凭证被盗,攻击者可以做任何他或她想做的事情。
在Windows中,如果没有需要执行的管理员级别任务,则不需要以Administrator身份登录。不要直接以root身份登录系统,而是通过您的个人帐户登录,并根据需要使用sudo来执行特定的命令。
如果你不小心,它很容易倒退。脚本失败,因为其中一个命令需要sudo - 现在必须重新启动一切。如果您未能跟踪哪些命令需要升高的权限,并且您可能会返回以SUDO运行所有内容。
错误2:运行来历不明的脚本
安装第三方Linux应用程序是sudo可能被滥用的另一个领域。您所要做的就是将这个命令直接复制并粘贴到终端中,以启动安装脚本。该脚本中的每一个命令都将以提升的权限执行。
以下是一个示例,从Web上复制(隐藏URL):
sudo -v && wget -nv - o - https://xxx/xxx/linux-installer.py | sudo python -c "import sys;主要=λ:sys.stderr。写(“下载失败\ n”);exec (sys.stdin.read ());main()”
这为Web上其他地方托管的项目提供了sudo权限,并在本地运行Python。不推荐!Windows管理员在下载时也会面临类似的潜在灾难PowerShell脚本.
即使您信任源代码,也不要认为从Internet下载的脚本是安全的。总是先检查脚本的内容,并验证执行命令不会导致恶意操作。
Blunder第3号:以root身份运行特权服务
应用程序不应该以根用户身份运行。为机器上运行的每个应用程序和服务创建具有特定特权的唯一服务帐户。
服务帐户通常没有主目录,如果有人试图使用该帐户登录,它们在文件系统上的操作受到限制。如果攻击者破坏了服务帐户,他或她仍然需要利用本地漏洞来获得更多的特权来执行代码。
每个应用程序都应使用自定义帐户访问数据库而不是root或管理员的个人帐户。Web应用程序应由相应的组和用户拥有。将域权限分配给Windows应用程序时,请不要给出应用程序管理员级访问权限。
主要的Linux发行版默认情况下句柄服务帐户,但如果管理员手动配置第三方包,则很容易弄错。请记住在所有安装和配置完成后切换权限以确保root或管理员的个人帐户不再是应用程序的所有者。
错误4:重复使用密码
继续,翻白眼。我们都听说过跨站点、系统和应用程序重用密码的弊端。但事实是,这仍然是一个大问题,系统管理员也不能幸免。
Mozilla最近表示,一个未知的攻击者侵入了一个特权用户的Bugzilla漏洞跟踪数据库,窃取了大约53个关键漏洞的信息。事实证明,“特权用户”在另一个网站上重复使用了Bugzilla的密码,而且密码在该网站的泄露中被暴露了。
很多时候,服务器设置了较弱的管理员密码,或者与网络上的其他机器设置了相同的密码。使用普通密码和字典单词的蛮力攻击之所以有效,是因为仍然有足够多的人犯这种基本错误。当多台机器有相同的密码时,问题就复杂了。
系统管理员应该选择使用密钥文件,而不是在所有机器上设置相同的根密码。每个服务器都应该有一个公钥文件,系统管理员的工作站将拥有与公钥相关联的私钥。通过这种方式,系统管理员可以访问网络上部署的所有机器,但是如果没有有效的密钥,通过网络横向移动的攻击者将无法登录。也没有密码可以拦截。
错误5:共享管理帐户
管理员帐户——例如对数据库和管理员门户的访问——通常在网络中共享。不是设置环境以便管理员在需要时请求提高权限,而是随意共享这些管理帐户。那是自找麻烦。
理想情况下,应该有单独的帐户:一个用于root,每个管理员一个。管理员帐户不应该以最高级别的访问级别启动 - 管理员可以在研究专门任务时询问特殊访问权限。介质报告发现,32%的IT专业人员已经向其他员工提供了他们的登录名和密码凭据。
不知道谁在使用管理员账户已经够糟糕的了,更糟糕的是,当管理员离开公司时,密码很少被重置。因为密码不会被定期使用,所以以前的同事可以马上回来,造成损害而不受惩罚。Intermedia的调查发现,五分之一的IT专业人士表示,他们会在离职后访问公司的信息。密码更改策略并不只适用于最终用户。定期修改密码,特别是管理员和业务帐户的密码。当管理员离开时,重新设置密码。
BLUNDER 6:将故障排除故障排除到位
在进行故障排除时,您需要执行各种技巧和实验来发现和修复问题。当您进行这些尝试时,您倾向于绕过通常的流程。当你解决了问题,继续下一场火灾时,问题就来了。匆忙的管理员可能会忘记并留下混乱的东西——并可能被滥用。
例如,您可以在防火墙中打开端口,因为您尝试弄清楚应用程序未响应的原因。修复后,您需要在攻击者使用之前返回并关闭这些端口。通过同样的令牌,如果您关闭SELinux,因为它正在干扰故障排除,请记住完成后再次将其重新打开。
在故障排除时,请跟踪您的工作情况,以便之后您可以将配置还原到原始设置 - 除了您真正需要进行的更改。
错误7:没有跟踪日志文件
日志文件很方便,尤其是在故障排除时,因为他们让您了解最粒度可能的级别发生了什么。当您不再需要这些文件时,请关闭生成它们的进程。您要做的最后一件事就是留下调试并生成包含对攻击者可能有用的信息的日志文件。
作为一种最佳实践,始终跟踪所创建的日志,并了解其中包含哪些信息。
错误8:将密码存储在明文文件中
当有这么多的密码来跟踪时,将它们写在文本文件中是诱人的。这是一个攻击者攻击的礼物,因为他们可以访问各种系统。它听起来很明显,但每个人都知道至少有人在文本文件中保存所有重要密码的实例。
如果密码必须以纯文本形式保存在文件中(例如应用程序的数据库凭据),则设置文件权限以限制谁可以查看文件的内容。另外,请确保数据库帐户是去掉了特权的服务帐户。
错误9:把没用过的账户放在那里
旧的、未使用的帐户是负债。也许安装软件是为了进行评估,然后删除了——作为安装的一部分添加的帐户仍然在系统中。不要把它们留在那里。攻击者可以利用这些被遗忘的账户,特别是如果他们保留了默认密码。
对于需要保留在系统的帐户但不会被使用前进,通过编辑密码文件并使用一串字符替换帐户密码来禁用帐户。显然,当员工留下您的组织时,应立即到解一个过程以取代其账户。
Blymer 10:关于贴片的宽松
黄金法则:一旦安全更新可用,就立即安装(当然,首先要备份受影响的系统)。太多的服务器被攻击不是因为零日漏洞,而是因为从未安装一个一年的补丁。
即使它是关键服务器,即将到期的停机时间,作为预定的维护窗口的一部分远远超过失去时间和日期,因为攻击者成功地损坏了该框。及时测试修补程序,因为它们被释放并创建了滚动更新的计划。
不幸的是,你可能会在立即打补丁的努力中受挫——通常是因为补丁会破坏旧应用。在这种情况下,不要只是耸耸肩说“太糟糕了”。向适当的涉众强调问题。升级这个问题。也许有办法隔离服务器以最小化风险或采用新技术并减少对遗留产品的依赖。
在现实生活中,修补可能是一个政治泥潭。如果一个级别比你高的经理阻止系统被修补,要确保每个人都明白不这么做的风险。
不要吝惜安全技术
作为一般规则,安全技术有助于让已知的糟糕演员出来,并在事情飙升时可以帮助表面问题。例如,在特定工作站或服务器上没有运行防病毒或防火墙可能是有利的理由,但这些情况很少见。
考虑到几种类型的DDoS恶意软件目前正在传播,它们感染了Linux Web服务器,因为它们没有工具来阻止这些恶意软件。安全技术应该部署在每个终端上,以确保所有用户——高级管理人员、工作人员、系统管理员和其他拥有特殊特权的个人——免受攻击。
尽可能保持机器清洁。删除您不使用的应用程序,这样您就不会忘记机器上的帐户或工具。目标是运行一个尽可能干净的系统,以最小化攻击面。只需要一个错误,一时的疏忽,一切就会变得糟糕。
安全工具可以帮助您了解网络上正在发生的事情。使用Nmap扫描在故障排除会话期间可能已打开的开放端口。检查哪些机器缺少哪些补丁,并提出一个计划。
这些工具会告诉你哪里出了问题,并让你有机会在攻击者袭击之前修复它们。但是,如果系统管理员不以身作则,不遵守他们为所有人制定的规则,那么世界上所有的安全技术都不会有任何好处。
这个故事,“系统管理员犯的10个愚蠢的安全错误”最初是由信息世界 .