陈小兵访谈实录：系统安全防御应从内部入手(1)

陈小兵访谈实录：系统安全防御应从内部入手(1)

51CTO.com独家特稿】51CTO联合数家网站共同举办的“Linux学习月”大型系列活动到今天已经接近尾声。今天，Linux活动月请来了第三位做客庄家访谈聊天室的系统安全专家——陈小兵。

陈小兵：目前任职于海军某部，兼任多家公司网站安全顾问，助理研究员。主要从事系统开发和网路维护，8年信息系统开发以及网络安全维护经验，主要研究方向：网络安全技术以及数据库开发技术。已由清华大学出版社出版《SQL Server 2000培训教程》以及电子工业出版社出版《黑客攻防实战案例详解》二本图书，正在策划网络安全系列图书，先后在《网管员世界》、《黑客防线》、《黑客手册》等杂志媒体发布稿件100余篇，核心期刊论文也达到两篇。

27日下午两点，陈小兵与网友就Linux安全问题进行了近两个小时的热烈互动。以下为聊天实录，51CTO略有整理视频资料稍后整理上传）。

主持人与嘉宾合影留念

◆Linux系统安全部分

主持人：今天是我们Linux学习月的第四期，今天很高兴请到了陈小兵，陈小兵在海军某部联络员，主要是从事系统开发和网络维护的工作，现在已经有了8年信息系统开发网络维护的经验，现在已经出版了两本书，是由清华大学出版的一本叫《黑客攻防案例实战解析》等。现在网络安全的书，先后也在网管员世界，黑客防线也发表过一百余篇文章，现在请您给大家简单打个招呼吧。

陈小兵：大家好！很高兴51CTO.COM提供一个跟大家交流的机会，其实51CTO.COM作为我是Linux专家有点汗颜，本人对这块是有一点爱好，在这儿跟大家共同探讨一下，说的不道的地方请大家包涵指正。

主持人：咱们今天谈的是Linux安全和优化方面的问题。先请陈老师给我们讲一下，Linux安全的概念大约分成几个方面？

陈小兵：从我来看，应该是可以分为四个方面，一个是系统的安全，这个里面主要是一些基本的东西，比如说用户、目录，文档、数据，还有一些文件类型，最重要的Linux下面有很多安全的命令，这些命令在维护跟入侵当中非常重要，在以后我们会在这个里面简单介绍一下。第二个，网络安全，主要是讲一下中小企业的Linux网络的安全策略，还要介绍一些网络安全工具，其实这个网络安全工具现在有很多，这个有点跟武林类似用多了可以杀人，现在网络工具也是一样，每一个工具只有用熟了以后才能发挥出威力。第三部分主要是讲一下Linux服务的安全，在这个下面主要是入侵主机，入侵以后应该怎么办？有一些这方面的经验。

主持人：刚才您谈了一个是系统的安全。

陈小兵：第三部分还要讲一个比较流行的就是Linux加LAMP，这个网上有很多这种文件，大家看一下把它看懂就可以了，我在这个地方主要是提一些东西。第四部分，主要是讲一下Linux的病毒与恢复，这个是比较实用一点地方。

主持人：刚才陈老师已经向我们介绍，现在Linux主要分四大方面，系统、服务、网络和病毒。现在能不能请陈老师简单介绍一下，关于Linux系统的防护，如果分解开来讲，分哪几点，或者是有哪些需要我们注意的？因为我们知道Linux系统公认的Widows是比较安全的操作系统，虽然安全，但是也有很多可能会有一些不足的地方，或者有一些缺陷的设置并不安全。

陈小兵：我觉得对于这个系统的方面，平时一方面要关注一些新的东西，比如新的安全，像Linux、宏碁，有可能出现新的补丁，而这些补丁有可能是致命的东西，一个是关注最新的状况。另外一个平时要做好系统的维护，还要经常看一下自己的日志文件。在入侵以后，一定要比较仔细，反复看一下，这到底是为什么发生这个情况，找到原因然后更治它。

作为管理人员，还有一方面，要跟系统管理的人要进行安全方面的培训。还有社会工程学方面的攻击，社会工程学虽然不是技术，但它胜过技术，网上也有很多这方面的资料。这个有一个典故，比如赌球的，第一次这个人发了1000个邮件，有500是赌对的，有500是错的，这个肯定有一个结果，肯定一个对，一个错，对的说这个人很厉害，第二次又重复，可能在这500个里面又发250个、250个，这种方式循环下去以后，肯定有人相信了，说我现在掌握了某一门技术，你给我500块钱，这是可能的绝对的东西，所以社会工程学很厉害，需要关注的地方。

主持人：刚才您谈到了一个是补丁，及时关注Linux厂商的一些安全补丁，一定要及时给系统打上，一个是要经常察看日志，一些比较敏感的目录需要注意察看。在系统安全方面，请您简单介绍一下，比如说Linux的用户目录，有哪些需要注意的吗？

陈小兵：其实Linux用户，这个定义可能不是很准确，跟Windows 相比客户Duast，在Linux后面我问了很多人，没有这个区分，可能有一些组，安全权限，特定两个组，在这两个组里面，一般原则是运行的时候不要使用高级管理员权限。目录权限一定要做好，跟Windows安全有一些类似的地方，比如说/home目录，还有其它的目录，每一个目录你把它定义好，包括ANP里面讲到一个概念，分装到里面去了，只能在这个里面干，不影响系统。

主持人：这就是关于文件访问权限的问题，只把用户设定到只能访问某些目录，相对来说更安全一点？

陈小兵：对。

主持人：关于一些文件的类型，咱们可能是跟Windows和Linux可能有很大差别，能不能简单介绍一下Windows文件的类型和Linux文件类型的简单差别呢？

陈小兵：其实Windows 跟Linux的文件类型有一些是一样的，有一些不一样，比如像压缩文件，TDZ压缩文件就是以Tar文件结束的，还有gz、tbz、tgz，因为它是开元的，有很多人开发以后提供这些，其实跟Win2类似，还有一些通用的，比如像声音文件.az，图像文件gif，HTML、PDF、TXT，这个是公用的。还有一些主要跟系统有关的文件，.conf，.lock，他是把它锁定一些文件，还有一个重要的格式IPM，软件管理的文件。关于文件类型，我就介绍到这个地方。

主持人：关于在Linux一些基本的文件类型，这些都属于比较基本的知识，咱们如果谈到Linux安全的话，这些基本知识是绝对不能少的，包括一些网络命令，一些基本的文件操作命令，咱们在这儿就不再详细谈了。我想问一个问题，在咱们运维的过程中，安全需要注意哪些？比如说远程登录主机，网络环境或者是系统服务方面的设置，需要有哪些注意的地方？

陈小兵：关于网络运维方面，个人经验，不一定全对，有一个原则使用最小权限原则，第二个就是设置一个权限的密码，第三一个是严格配置管理。最小权限原则很多人都知道，但是真正落到实处有的没有注意，包括前一段时间，也是一个朋友公布了一个系统的利用方法，就是虚拟主机的，通过一个很细小的细节问题，整个服务群就一台机器，但这台机器把所有的脚本文件都放到服务器里面，而这个脚本里面包含了用户名跟密码。

第二个设置一个强健的密码，这个已经不是一个老生常谈的问题，通过我个人的经验很多人喜欢设置生日，用户名，或者自己小孩的名字，这个算不上强健密码。包括我们参加一些会议上面，有的人提到设置强健密码的方式，这个我非常赞同。这里我要提一点，现在包括无线加密的方式破密码很快，包括最近网上提供了彩虹表下的120个G的哈希表，它下载以后，一般是几分钟就可以破解。

什么叫强健的密码，至少是20位以上。我觉得我们应该有一个优点，因为我们中国的诗词特别多，随便一个诗里面我就选一句，比如说我今天来到了51CTO.COM，我把前面的每一个字取出来，中间加一个大写，或者加上时间，加上自己的名字，这就是一个很强的密码。

严格配置管理，这个是什么意思呢？从总体上来说入侵不是那么容易，其实他找也是找漏洞，除了未公开的漏洞以外，一般情况，你如果设置得很好，还是不容易真的把那个系统渗透掉，可能拿到一些权限，可能修改一些文件。

这个配置管理跟Windows比较类似，特别是M音译），里面有一个记录用户密码的，凡是有用户密码端口这些都是敏感的东西，管理频可以部署JAR那个包，这个东西如果是入侵者拿到用户名跟口令，有的时候末端就没有设置密码，我就直接可以登陆上去，只是上传一个GSP的系统，很容易把系统控制住，我可能用UE等编辑器打开以后形成一个贝克音译）文件，有人曾经发现在网站把用户名跟密码全写在里面，这个是从配置上来讲。

还有，很多程序不是自己开发的，它可能是请某一个公司合作开发的，在开发过程中，程序员可能使用了一个密码，比如说A4A123456，这个密码没有修改，这也是很危险的，因为现在也有很多工具，把密码拿到以后，可以直接登陆，登录到服务器上面进行操作，而且还有他原来的开发程序人员，坏的可能会干一些坏事。

还有一个MySQL音译），如果把这个密码拿到以后，有很多连接它的数据，能够看到你的数据，可以操作你的数据，能够修改、添加、删除，那就很容易呀。前面我们从原则上面这是三个大的原则。

主持人：一个是使用最小权限，包括文件的权限和用户的权限。第二个是设置一个强健的密码，陈老师用这么多年的经验给大家介绍了一个设置强健密码的方法，比如使用古诗词，或者一句话。

陈小兵：这个一定要自己容易记得住，还有比如说歌词，你记得很熟的，但是你记住以后不要到处去说，你比如说像毛主席语录，这里面随便拿一句话。

主持人：您的意思就是说您这一句古诗词“明月几时有，把酒问青天”，这句话假设设置在这台服务器上，就不能设置在另一台服务器上了。

陈小兵：现在我发现有很多计算机，管理员也是因为密码记不住，所有的系统里面，管理员密码全部是一样的，这个很危险。

主持人：密码不能设成一样的？

陈小兵：对，稍微有一点差别，比如说这个是01，下面的改一个02，要有一个连续性。