安全和隐私:您知道系统中潜藏着什么吗?
我曾经做过一件引人入胜的工作,其中涉及为我们将用于安全性项目的系统设计强化程序。 大概是15年前了,不仅我使用的Linux发行版的指南不多了,而且我们的工作还是相当利基的。 一开始,我想我以为我可以编写一个脚本来关闭一些守护进程1的漏洞,这些守护进程1一直无缘无故运行:httpd,sendmail和类似的东西。 当然,这确实涉及到这一点,但是后来我意识到还有更多事情要做,并开始潜入兔子洞。
首先是内核。 我最终手工制作了一个内核,删除了我认为不太可能需要的所有内容,然后重新启动了几次,发现系统无法启动,因为我认为我理解的东西比我意识到的还要深奥。 。 我不是内核开发人员,这是那些人的熟练程度的有益教训。 至少在我这样做的时候,代码和选项少于今天。 另一方面,我不得不退回到所需的状态,现在开始使用的精简内核和系统比那时还多。
我最后留下的另一篇文章是修剪已安装的操作系统应用程序和关联的实用程序。 再说一次,现在有比现在更容易使用的缩减选项,但是我也有一些奇怪的要求-例如,我认为我们需要Java,它具有或具有…。 好吧,我们说很多依赖。 大多数现代Linux发行版3都是通过安装大量组件开始的,因此您可以快速上手,而不必担心试图为要运行的每个外部软件确定依赖性。
这是可以理解的,但是当我们这样做时,我们需要意识到我们正在做出可用性/安全性的权衡。 5添加到系统中的每个实用程序,每个库,每个可执行文件都会增加攻击面和漏洞的可能性。
问题不仅仅在于您引入了漏洞,而且一旦存在漏洞,它们往往就会留在那里。 不仅是您不需要的代码,而且,更糟糕的是,您不需要的代码。 这是一个罕见但值得称赞的黑客6 ,他花时间研究旧代码并删除不再需要的依赖项。 这是一项无聊的,复杂的任务,通常更容易将cruft 7保留在原处,并为下一发行版提供一个稍大的软件包。
有时,代码会被重构和剥离:最常见的是与安全性相关的代码。 这是一件很好的事情,但事实证明这还远远不够。 我写这篇文章的原因是因为The Register中有关beep
命令的最新报道 。 该命令使用了大多数与PC兼容的主板上安装的小扬声器发出的声音。 当时它是一个有用的小工具,但是由于大多数主板不附带相关的硬件,因此它是无关紧要的。 问题8是,在系统上安装和使用beep
命令会导致信息泄漏给缺少相关权限的用户。 这可能是一件非常糟糕的事情。 有一个很好的,简要概述这里 。
现在,默认情况下,在我正在撰写本文的系统(Fedora 27)上,我所使用的发行版中未默认安装beep
,尽管它可以从我启用的标准存储库之一中轻松安装。 可以缓解一下,尽管这无论如何对于这台机器而言并不是攻击的载体。
什么,不过, 我已经安装了该系统,该系统是脆弱的,我从来没有想过要检查? 忘记我不需要打开的所有内核参数,但这些内核参数已由分发启用,以便于在多个系统中使用。 忘记我每天安装和使用的应用程序。 甚至忘了我曾经安装并尝试删除的应用程序。 那我什至不知道的应用程序呢?我从未意识到的应用程序会影响系统的安全状态吗? 我不知道,几乎找不到答案。
该系统不运行关键业务操作。 当我第一次安装它并安装操作系统时,我决定改用可用性,并准备将其丢弃9 ,如果遇到折衷的问题,请重新开始。 但是,数百万其他系统并非如此。 我敦促您考虑系统上正在运行的东西,系统上已安装的东西以及真正需要的东西。 修补需要的内容,删除不需要的内容。 是时候进行Spring大扫除了。 10
1.我这样想拼写这个词的守护进程,但我认为这可能是考虑我的中古英语的痴迷太远。 2
2.我提到我学习过中级英语,对吗?
3.在这里,我对(GNU)Linux最为感兴趣,因为我是一个坚决的开源倡导者,并且因为它是我最了解的操作系统。 4
4.哦,我应该透露我为Red Hat工作。
5.与我们业务中的许多事情一样。
6.好的类型,或者我可能会说“饼干”。
7.甚至还有一个词,看吗?
8.除了二阶问题以外,建议的修补程序似乎使最初的问题更加严重…
9.身体上,如果需要的话。
10.至少在北半球。
本文最初出现在安全博客Alice,Eve和Bob上 ,经许可重新发布。
翻译自: https://opensource.com/article/18/5/whats-lurking-your-system
安全和隐私:您知道系统中潜藏着什么吗?相关推荐
- win10+计算机安全配置,做好个人电脑安全隐私设置Windows10系统磁盘数据加密操作...
原标题:做好个人电脑安全隐私设置Windows10系统磁盘数据加密操作 做好个人电脑安全隐私设置Windows10系统磁盘数据加密操作 Windows10系统 Windows10发布 操作方法 1.进 ...
- 系统页面升级系统中_国产系统哪家强?华为EMUI系统大升级,拿下最强指日可待...
国内手机厂商林立,每家厂商都有自己的操作系统,并且这些操作系统在功能性.设计思路上往往并不同.但是目前国内手机厂商所用的系统其实都是基于安卓系统修改而来的,可谓"一种菜,百样做法" ...
- 图书漂流系统的设计和研究_研究在设计系统中的作用
图书漂流系统的设计和研究 Having spent the past 8 months of my academic career working co-ops and internships in ...
- Linux 系统中成功恢复已删除的文件
点击上方"朱小厮的博客",选择"设为星标" 后台回复"书",获取 后台回复"k8s",可领取k8s资料 当用户意外地删除 ...
- 用计算机华为隐藏空间,真香,华为手机开启隐私空间双系统,一部手机当两部用...
原标题:真香,华为手机开启隐私空间双系统,一部手机当两部用 作为一个成年人,谁手机里还没有个小秘密.那么当我们手机中有一些小秘密,不想要另一半知道的时候,用华为手机的小伙伴,就有福利嘞. 用华为手机的 ...
- onedrive登陆以后是白板,我下载了onedrive以后,安装到登陆界面,输入账号,提示:我们的系统中没有 - Microsoft Community...
Hi 李柏, 你的前2张截图说明你正在尝试使用Office 365商业版的网址登陆.由于Office 365商业版和家庭版是2种不同的产品,所以在系统中找不到你的用户ID.对于家庭版用户,请使用这个网 ...
- 新买苹果电脑,mac系统中小白应该了解哪些东西?
本文旨在分享新买了mac电脑,应该做哪些设置,帮助苹果电脑小白轻松上手使用mac电脑,当然,新电脑肯定是需要安装各种软件,这里,小编推荐一下可以看看小编写的mac软件装机必备Mac 装机必备软件推荐, ...
- 怎样在 Linux 系统中恢复被删除文件
导读 当用户意外地删除了一个仍然需要的文件时,大多数情况下,是没有简便的方法可以重新找回或重建这个文件.不过,幸运的是文件是可以通过一些方法恢复的.当用户删除了一个文件,该文件并没有消失,只是被隐藏了 ...
- 自动驾驶系统中视觉感知模块的安全测试
本文由吴昊,王浩,苏醒,李明昊,许封元,仲盛联合创作 摘要 近年来,基于深度学习的视觉感知技术的发展极大地促进了车联网领域中自动驾驶的繁荣,然而自动驾驶系统的安全问题频出引发了人们对自动驾驶未来的担忧 ...
最新文章
- 移动端rem屏幕设置
- 华工智能车队--这里有一群热爱智能车的人
- IOS客户端rtmp
- Java线程详解(14)-信号量
- 《精通Windows API-函数、接口、编程实例》——第4章文件系统
- android控件属性文档,1.Android控件属性收集
- android开源项目框架大全:《IT蓝豹》
- python示例_带有示例的Python功能指南
- 离散数学关系的性质_关系和关系的性质| 离散数学
- magic_quotes_gpc与magic_quotes_runtime区别
- docker search
- java笔_JAVA笔试题(基础一)
- Android 要收费?周鸿祎:这是迟早的事!
- bootstrap 使用总结
- 地铁沉降观测数据分析之巧用VBA编程处理
- 读书笔记之《得未曾有》
- win10 无法查看工作组计算机名,win10系统无法查看工作组计算机的技巧
- 程序员如何摆脱天天CRUD这种打杂状态?
- 简单的Windows远程连接
- 1103. Integer Factorization (30)
热门文章
- java数据结构之折半查找
- Django开发自己的博客系统
- linux 命令详解 十六
- Firefox改变查看页面源代码的程序
- 教你进入有密码 Windows XP 系统的方法
- Chrome DevTools的Network面板
- IDEA快捷键拆解系列(三):Edit篇
- 规划System Center 2012 R2 Operations manager
- 连接目标数据库+无恢复目录连接目标数据库+使用有恢复目录连接目标数据库+注册数据库+目录同步+取消目标数据库的连接...
- NSString、NSMutableString基本用法