顛末對大量客戶的設置審計與滲透測試，我們總結出了一些Linux系統下的常見設置錯誤。我們相信總結、回首這些常見錯誤可以在今后為我們節減更多時間與資源，更重要的是可以輔佐系統打點員，使其處事器越發安詳靠得住。

    五個常見設置錯誤如下：

1、用戶的/home目次權限

    在大部門Linux刊行版中，/home目次的默認權限是755，即任何登錄系統的用戶都可以會見其他用戶的/home目次。而某些用戶如打點員或開拓者，大概會在他們本身的用戶目次下存放某些敏感信息，如暗碼、會見當前或其它網絡處事器的key等。

2、系統中的setgid與setuid措施

    文件的set uid位很是危險，因為它大概答允文件以一種特權用戶的身份運行，如root用戶：假如某個文件的所有者是root，而且配置了setuid位，那么在其運行時就是以root權限運行的。這意味著假如進攻者找到了該文件的裂痕，可能以一種非預期的方法運行了該措施，那他很有大概可以或許以root權限執行本身結構的呼吁，那么整個系統的權限就淪亡了。

3、全局可讀/可寫的文件/目次

    全局可讀與可寫的文件和目次發生的問題與之前先容的因用戶主目次權限設置不妥引起的問題雷同，但其影響范疇大概涉及到整個系統。發生全局可讀的文件的主要原因是，建設文件的默認umask掩碼是0022或0002，正是由于這種不妥的設置，那些大概包括敏感信息的文件大概被登錄系統的任何人讀取到。假如文件是全局可寫的，那么也大概被任何人修改，也因此大概導致進攻者有時機修改某些文件或腳原來埋沒本身，并通過修改打點員常常利用的腳原來執行某些敏感呼吁。

4、設置不妥的處事或配置

    應該運行那些最小化設置的處事。常常會看到有些處事設置不妥或利用默認的證書與設置，利用不安詳的通信渠道的現象也非經常見，加重了處事器被進攻的風險。在利用某項處事時，需要對其選項和設置舉辦復審，以確保陳設的安詳或設置得當。但同時也常常看到有些處事被綁定到多個端口，而不是只舉辦當地監聽或只監聽某個特定端口。

5、默認的掛載選項或不安詳的導出選項

    所有掛載的默認選項都是“rw, suid, dev, exec, auto, nouser, async”。可是利用這些默認選項是不得當的，因為它們答允如NFS協議等外部掛載的文件系統中的文件被配置suid位和guid位。當導出NFS共享時，發起不要配置no_root_squash選項。凡是默認為root_squash選項，但我們常常看到其在實際利用中會被修改。假如配置了no_root_squash選項，當用戶以root用戶登錄時，對這個共享目次來說就擁有了root權限，可以作任何事。這些不妥配置假如保持默認，就會答允root用戶登錄處事器，但原來不該該答允這種權限的用戶登錄的。

    這些配置在設置Linux處事器時常常會被忽視，而恰恰是這些不妥設置，使進攻者或惡意用戶可以犯科得到大量信息，香港主機租用 香港高防服務器，可能晉升本身在處事器中的權限。掩耳盜鈴和一葉障目總比老誠懇實地加固系統來得簡樸，可是假如不想在本身睡得正香的時候處事器被人XXOO，就去踏踏實實地加固你的系統吧。