經(jīng)過對(duì)大量客戶的配置審計(jì)與滲透測試，我們總結(jié)出了一些Linux系統(tǒng)下的常見配置錯(cuò)誤。我們相信總結(jié)、回顧這些常見錯(cuò)誤可以在以后為我們節(jié)省更多時(shí)間與資源，更重要的是可以幫助系統(tǒng)管理員，使其服務(wù)器更加安全可靠。

    五個(gè)常見配置錯(cuò)誤如下：

1、用戶/home目錄的權(quán)限
2、系統(tǒng)中的getgid與setuid程序
3、全局可讀/可寫的文件/目錄
4、使用包含漏洞的服務(wù)
5、默認(rèn)的NFS掛載選項(xiàng)或不安全的導(dǎo)出選項(xiàng)

1、用戶的/home目錄權(quán)限

    在大部分Linux發(fā)行版中，/home目錄的默認(rèn)權(quán)限是755，即任何登錄系統(tǒng)的用戶都可以訪問其他用戶的/home目錄。而某些用戶如管理員或開發(fā)者，可能會(huì)在他們自己的用戶目錄下存放某些敏感信息，如密碼、訪問當(dāng)前或其它網(wǎng)絡(luò)服務(wù)器的key等。

2、系統(tǒng)中的setgid與setuid程序

    文件的set uid位非常危險(xiǎn)，因?yàn)樗赡茉试S文件以一種特權(quán)用戶的身份運(yùn)行，如root用戶：如果某個(gè)文件的所有者是root，并且設(shè)置了setuid位，那么在其運(yùn)行時(shí)就是以root權(quán)限運(yùn)行的。這意味著如果攻擊者找到了該文件的漏洞，或者以一種非預(yù)期的方式運(yùn)行了該程序，那他很有可能能夠以root權(quán)限執(zhí)行自己構(gòu)造的命令，那么整個(gè)系統(tǒng)的權(quán)限就淪陷了。

3、全局可讀/可寫的文件/目錄

    全局可讀與可寫的文件和目錄產(chǎn)生的問題與之前介紹的因用戶主目錄權(quán)限配置不當(dāng)引起的問題類似，但其影響范圍可能涉及到整個(gè)系統(tǒng)。產(chǎn)生全局可讀的文件的主要原因是，創(chuàng)建文件的默認(rèn)umask掩碼是0022或0002，正是由于這種不當(dāng)?shù)呐渲茫切┛赡馨舾行畔⒌奈募赡鼙坏卿浵到y(tǒng)的任何人讀取到。如果文件是全局可寫的，那么也可能被任何人修改，也因此可能導(dǎo)致攻擊者有機(jī)會(huì)修改某些文件或腳本來隱藏自己，并通過修改管理員經(jīng)常使用的腳本來執(zhí)行某些敏感命令。

4、配置不當(dāng)?shù)姆?wù)或設(shè)置

    應(yīng)該運(yùn)行那些最小化配置的服務(wù)。經(jīng)常會(huì)看到有些服務(wù)配置不當(dāng)或使用默認(rèn)的證書與配置，使用不安全的通信渠道的現(xiàn)象也非常常見，加重了服務(wù)器被攻擊的風(fēng)險(xiǎn)。在使用某項(xiàng)服務(wù)時(shí)，需要對(duì)其選項(xiàng)和配置進(jìn)行復(fù)審，以確保部署的安全或配置恰當(dāng)。但同時(shí)也經(jīng)常看到有些服務(wù)被綁定到多個(gè)端口，而不是只進(jìn)行本地監(jiān)聽或只監(jiān)聽某個(gè)特定端口。

5、默認(rèn)的掛載選項(xiàng)或不安全的導(dǎo)出選項(xiàng)

    所有掛載的默認(rèn)選項(xiàng)都是“rw, suid, dev, exec, auto, nouser, async”。但是使用這些默認(rèn)選項(xiàng)是不恰當(dāng)?shù)模驗(yàn)樗鼈冊试S如NFS協(xié)議等外部掛載的文件系統(tǒng)中的文件被設(shè)置suid位和guid位。當(dāng)導(dǎo)出NFS共享時(shí)，建議不要設(shè)置no_root_squash選項(xiàng)。通常默認(rèn)為root_squash選項(xiàng)，但我們經(jīng)常看到其在實(shí)際使用中會(huì)被修改。如果設(shè)置了no_root_squash選項(xiàng)，當(dāng)用戶以root用戶登錄時(shí)，對(duì)這個(gè)共享目錄來說就擁有了root權(quán)限，可以作任何事。這些不當(dāng)設(shè)置如果保持默認(rèn)，就會(huì)允許root用戶登錄服務(wù)器，但本來不應(yīng)該允許這種權(quán)限的用戶登錄的。

    這些設(shè)置在配置Linux服務(wù)器時(shí)經(jīng)常會(huì)被忽視，而恰恰是這些不當(dāng)配置，使攻擊者或惡意用戶可以非法獲得大量信息，或者提升自己在服務(wù)器中的權(quán)限。掩耳盜鈴和一葉障目總比老老實(shí)實(shí)地加固系統(tǒng)來得簡單，但是如果不想在自己睡得正香的時(shí)候服務(wù)器被人XXOO，就去踏踏實(shí)實(shí)地加固你的系統(tǒng)吧。