1、 備份你的資料。如果你不幸被勒索軟體光顧,那麼你就不用支付贖金,因為你做了備份。
3、 利用好你的審計系統,裡頭有好多很酷的工具可以幫助你監控系統。如果你确實遭到了入侵,那麼審計系統也許就可以告訴你發生了什麼,以及攻擊者做了些什麼。
4、 說到日志,把日志定向到集中式伺服器上總是一個不錯的想法,因為如果某個黑客侵入你的系統裡,他首先要攻擊的就是日志系統以便隐藏他的蹤迹。建構一個好的入侵檢測系統來監控日志,這對于防範黑客也很有幫助。
7、 不要安裝或者使用 flash。firefox 不再支援它了,同時也希望大多數 web 伺服器正在遠離它。
10、 <code>inaccessibledirectories=/home</code> 是一個 systemd 單元的選項,它使用挂載命名空間的方式使從服務的角度看不到 <code>/home</code> 目錄(或者其它任何目錄),這會使得被入侵的服務攻擊到資料更為困難。
11、 <code>readonlydirectories=/var</code> 是另外一個 systemd 單元的選項,它使用挂載命名空間的方式來将目錄内容變成隻讀模式。基本上你總是可以讓 <code>/usr</code> 運作在隻讀模式。這可以阻止一個被入侵的應用程式重寫二進制檔案,因為那可以在下次服務重新開機時,該服務依舊是被入侵的。
12、 降低服務權限(<code>capabilityboundingset=cap_chown cap_kill</code>)。在核心中,特權服務被分解成一些列不同的權限。大多數服務不需要很多權限(如果需要一些的話),而 systemd 提供了一個簡單的開關來從服務中剝離這些權限。
13、 如果服務不使用網絡,那麼你可以使用 <code>privatenetwork=yes</code> 來為該服務關閉網絡功能。隻需在服務的單元檔案中開啟該選項,就可以享受它帶來的好處,關閉服務所有可用的網絡。黑客常常并不是真的想破壞你的機器——他隻是想用它作為攻擊伺服器來攻擊其它機器。如果服務連不上網絡,那麼就不會受到攻擊。
14、 控制服務可用的裝置。 systemd 提供了 <code>deviceallow</code> 配置,它控制了該服務可用的裝置。<code>deviceallow=/dev/null rw</code> 将通路限制為 <code>/dev/null</code>,且僅可通路該裝置節點,不允許對其它任何裝置節點的通路。該功能實作于裝置的 cgroup 控制器頂端。
17、 隻從受信源安裝軟體。不要安裝你從網際網路找來的危險東西,對于你的手機、計算機系統、虛拟機以及容器等等也一樣。
18、 我不會在我的手機上進行網上銀行操作——我隻在我的 linux 計算機上做這事兒。如果黑客偷了我的信用卡,也許我就丢了那麼 50 美元;而如果他黑進我的銀行賬戶,那我丢的錢就會更多。我想我是個老古闆。(“滾出我的地盤。”——那些老古闆都會這樣說。)
19、 我用我手機做的一件很酷的事情,就是設定讓我的信用卡公司每次在我的信用卡消費時給我發送短信。那樣的話,如果賬号被盜,我會更快地知道。
21、 在你的計算機系統上運作 linux。當我第一次想用計算機聯絡我的父親時,在他的計算機中毒前,我很少回家。我回去給他的系統安了個 linux,而他從那以後就一直運作着它。我相信 linux 大體上說是一個更加安全的系統,因為它的設計方式。而且我也相信這個桌面被黑的可能性也相對較小,因為用它的人相對較少。有些人或許要持反對意見了,他們會說 windows 在過去幾年中已經有了很大的改進了,但對于我而言,我仍然堅持己見。
23、 運作一個企業級核心。在容器中,單點故障往往是核心。如果你想要保證它安全,那麼就使用一個企業級核心,即便它不是一個最新的版本,但也包含了最新的安全更新檔。記住,最新的核心雖然帶來了最新的安全更新檔,但是它也帶來了大量的新代碼,這些代碼可能存在漏洞。
24、 大多數非法入侵都是通過社會工程學實施的——例如,電子郵件連結、web 浏覽器攻擊,以及電話。對于此,最好的選擇是接受相關教育,并且對一切留個心眼兒。沒有哪個來自奈及利亞的家夥會給你錢,國稅局也不會打電話到你家問你要錢。如果你電子郵件收到了來自你銀行的電子郵件,裡面包含有到某個網站的連結,那麼不要直接去點選那個連結,在 web 浏覽器中輸入那個位址來打開。
25、 總是把你的系統打上最新的安全更新檔。已知有安全漏洞以及過時的系統的數量十分可怕,腳本小子們依賴于你不更新系統。
26、 當連接配接到網絡上的服務時,請始終使用 https。chrome 和 firefox 現在有個強制開啟 https 的模式。到 2016 年為止,那些還不支援安全通訊的網站可能就不值得你們通路。
29、 加密你系統上的資料。至少對于筆記本而言,應該把家目錄以及你的其它資料目錄加密。幾年前,我正乘坐在倫敦的地鐵上,我的筆記本就成了某些人的目标——我下了車,車門關上了,而我發現我的筆記本不見了。此時,地鐵已經駛出了站台。幸運的是,我把磁盤加密了。
32、 使用雙因素認證(2fa)。密碼變得無關緊要,使用 yubikey 以及諸如此類的工具可以使得雙因素認證很友善,我們都有手機。在大腦中記一個密碼,并在手機中生成一個密鑰,總是比一個密碼來得更好。
35、 如果你經常輸入密碼,那就使用一個容易記憶的句子,而不是一個單詞。我所偏好的用于記憶密碼的方式,就是使用有幾個單詞并且易于輸入的詞組。
37、 在過去幾年中,我一直工作于容器方面,讓我們來說說容器的安全吧。首先,讓它們在開啟強制模式的 selinux 的系統中運作。如果你的系統不支援 selinux,那就換個支援它的版本吧。selinux 是使用檔案系統來保護容器免遭破壞的最佳工具。
39、 在虛拟機中運作容器。虛拟機提供比容器更好的隔離機制,在虛拟機中跑像容器之類的東西,更加靈活有彈性,并且互相隔離。
40、 在不同的虛拟機中,按不同的安全需求跑容器應用。你可以在 dmz 中的虛拟機上跑 web 服務容器,而在 dmz 外的虛拟機上跑資料容器。
41、 同時,記得在不同的實體機上跑需要最高安全性的虛拟機,并且容器放在不同虛拟機上(這也叫深度防護)(lctt 譯注:此處原文有誤,根據了解修改)。
45、 給你的容器打上最新的 cve 更新檔。使用像 openshift 這樣的工具來建構并維護你的容器鏡像是個不錯的主意,因為它會在新的安全更新檔出現時自動重構容器鏡像。
50、 為你孩子收到的所有那些聖誕物聯網裝置設定一個特别的客戶網絡。我鐘愛我的 amazon echo,還有自動化燈以及電源開關(“alexa,打開聖誕燈“),但是所有這些都是由可能存在安全問題的 linux 作業系統控制。
原文釋出時間為:2017-01-21
本文來自雲栖社群合作夥伴“linux中國”
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)