过对大量客户的配置审计与渗透测试,我们总结出了一些Linux系统下的常见配置错误。我们相信总结、回顾这些常见错误可以在以后为我们节省更多时间与资源,更重要的是可以帮助系统管理员,使其服务器更加安全可靠。
五个常见配置错误如下:
1、用户/home目录的权限
2、系统中的getgid与setuid程序
3、全局可读/可写的文件/目录
4、使用包含漏洞的服务
5、默认的NFS挂载选项或不安全的导出选项
1、用户的/home目录权限
在大部分Linux发行版中,/home目录的默认权限是755,即任何登录系统的用户都可以访问其他用户的/home目录。而某些用户如管理员或开发者,可能会在他们自己的用户目录下存放某些敏感信息,如密码、访问当前或其它网络服务器的key等。
2、系统中的setgid与setuid程序
文件的set uid位非常危险,因为它可能允许文件以一种特权用户的身份运行,如root用户:如果某个文件的所有者是root,并且设置了setuid位,那么在其运行时就是以root权限运行的。这意味着如果攻击者找到了该文件的漏洞,或者以一种非预期的方式运行了该程序,那他很有可能能够以root权限执行自己构造的命令,那么整个系统的权限就沦陷了。
3、全局可读/可写的文件/目录
全局可读与可写的文件和目录产生的问题与之前介绍的因用户主目录权限配置不当引起的问题类似,但其影响范围可能涉及到整个系统。产生全局可读的文件的主要原因是,创建文件的默认umask掩码是0022或0002,正是由于这种不当的配置,那些可能包含敏感信息的文件可能被登录系统的任何人读取到。如果文件是全局可写的,那么也可能被任何人修改,也因此可能导致攻击者有机会修改某些文件或脚本来隐藏自己,并通过修改管理员经常使用的脚本来执行某些敏感命令