經(jīng)過對大量客戶的配置審計與滲透測試，我們總結(jié)出了一些Linux系統(tǒng)下的常見配置錯誤。我們相信總結(jié)、回顧這些常見錯誤可以在以后為我們節(jié)省更多時間與資源，更重要的是可以幫助系統(tǒng)管理員，使其服務(wù)器更加安全可靠。

五個常見配置錯誤如下：

1、用戶/home目錄的權(quán)限
2、系統(tǒng)中的getgid與setuid程序
3、全局可讀/可寫的文件/目錄
4、使用包含漏洞的服務(wù)
5、默認(rèn)的NFS掛載選項或不安全的導(dǎo)出選項

1、用戶的/home目錄權(quán)限

在大部分Linux發(fā)行版中，/home目錄的默認(rèn)權(quán)限是755，即任何登錄系統(tǒng)的用戶都可以訪問其他用戶的/home目錄。而某些用戶如管理員或開發(fā)者，可能會在他們自己的用戶目錄下存放某些敏感信息，如密碼、訪問當(dāng)前或其它網(wǎng)絡(luò)服務(wù)器的key等。

2、系統(tǒng)中的setgid與setuid程序

文件的set uid位非常危險，因為它可能允許文件以一種特權(quán)用戶的身份運(yùn)行，如root用戶：如果某個文件的所有者是root，并且設(shè)置了setuid位，那么在其運(yùn)行時就是以root權(quán)限運(yùn)行的。這意味著如果攻擊者找到了該文件的漏洞，或者以一種非預(yù)期的方式運(yùn)行了該程序，那他很有可能能夠以root權(quán)限執(zhí)行自己構(gòu)造的命令，那么整個系統(tǒng)的權(quán)限就淪陷了。

3、全局可讀/可寫的文件/目錄

全局可讀與可寫的文件和目錄產(chǎn)生的問題與之前介紹的因用戶主目錄權(quán)限配置不當(dāng)引起的問題類似，但其影響范圍可能涉及到整個系統(tǒng)。產(chǎn)生全局可讀的文件的主要原因是，創(chuàng)建文件的默認(rèn)umask掩碼是0022或0002，正是由于這種不當(dāng)?shù)呐渲?，那些可能包含敏感信息的文件可能被登錄系統(tǒng)的任何人讀取到。如果文件是全局可寫的，那么也可能被任何人修改，也因此可能導(dǎo)致攻擊者有機(jī)會修改某些文件或腳本來隱藏自己，并通過修改管理員經(jīng)常使用的腳本來執(zhí)行某些敏感命令。

4、配置不當(dāng)?shù)姆?wù)或設(shè)置

應(yīng)該運(yùn)行那些最小化配置的服務(wù)。經(jīng)常會看到有些服務(wù)配置不當(dāng)或使用默認(rèn)的證書與配置，使用不安全的通信渠道的現(xiàn)象也非常常見，加重了服務(wù)器被攻擊的風(fēng)險。在使用某項服務(wù)時，需要對其選項和配置進(jìn)行復(fù)審，以確保部署的安全或配置恰當(dāng)。但同時也經(jīng)?？吹接行┓?wù)被綁定到多個端口，而不是只進(jìn)行本地監(jiān)聽或只監(jiān)聽某個特定端口。

5、默認(rèn)的掛載選項或不安全的導(dǎo)出選項

所有掛載的默認(rèn)選項都是“ rw, suid, dev, exec, auto, nouser, async”。但是使用這些默認(rèn)選項是不恰當(dāng)?shù)?，因為它們允許如NFS協(xié)議等外部掛載的文件系統(tǒng)中的文件被設(shè)置suid位和guid位。當(dāng)導(dǎo)出NFS共享時，建議不要設(shè)置no_root_squash選項。通常默認(rèn)為root_squash選項，但我們經(jīng)?？吹狡湓趯嶋H使用中會被修改。如果設(shè)置了no_root_squash選項，當(dāng)用戶以root用戶登錄時，對這個共享目錄來說就擁有了root權(quán)限，可以作任何事。這些不當(dāng)設(shè)置如果保持默認(rèn)，就會允許root用戶登錄服務(wù)器，但本來不應(yīng)該允許這種權(quán)限的用戶登錄的。

這些設(shè)置在配置Linux服務(wù)器時經(jīng)常會被忽視，而恰恰是這些不當(dāng)配置，使攻擊者或惡意用戶可以非法獲得大量信息，或者提升自己在服務(wù)器中的權(quán)限。掩耳盜鈴和一葉障目總比老老實實地加固系統(tǒng)來得簡單，但是如果不想在自己睡得正香的時候服務(wù)器被人XXOO，就去踏踏實實地加固你的系統(tǒng)吧。