无论你是新手还是想要增加技能，这十篇安全文章中都有适合你的内容。

如果安全是一个过程（确实如此），那么理所当然的，不同的项目（及其贡献者）的情况各有不同。有些应用程序经历了多年的安全测试，由在信息安全领域工作了几十年的人员所设计。而另外一些则是由开发人员在他们的第一个开源项目中开发的全新项目。毫不奇怪，这十大安全文章囊括了代表这一范围的经验。我们有介绍基本安全实践的文章，也有深入探讨更高级主题的文章。

无论你是新手还是想要增加你在传奇职业生涯中获得的技能，2019 年十大安全文章中都有适合你的内容。

《安全强化你的 Linux 服务器的七个步骤》

安全如舍，地基不牢，房屋不稳。Patrick H. Mullins 的杰作《安全强化你的 Linux 服务器的七个步骤》让你从 Linux 服务器的基本安全步骤开始。即使你有很多管理服务器的经验，本文也提供了一个很好的清单以确保你掌握了基础知识。在此基础上，你可以开始添加额外的安全层。

《使用防火墙让你的 Linux 更加强大》

七步捍卫你的 Linux 服务器中的一步即是启用防火墙。但什么是防火墙，它是如何工作的呢？ Seth Kenlon 在《使用防火墙让你的 Linux 更加强大》一文中回答了这些问题，然后详细描述了为了更好的安全性应如何配置你的防火墙。使用 firewalld 与 Network Manager，你可以为不同的网络设置不同的防火墙配置。例如，这允许你在家庭网络上进行信任配置，并在你最喜欢的咖啡店的 WiFi 网络上进行更多疑的配置。

《用集中日志减少安全风险》

保护系统安全，只有开始，没有结束：安全是一个过程而不是状态。保持系统安全工作的一部分即是密切关注所发生的事情。集中化日志是实现这一点的一种方法，尤其是在管理多系统时。在《减少集中日志的安全风险》中 Hannah Suarez 分享了要如何开始（她这篇文章基于她在 FOSDEM'19 [自由及开源软件开发者欧洲会议] 中的闪电演讲）。

《在 SSH 中使用 GPG 密钥》

大多数人都会为 SSH 的密钥认证使用 SSH 密钥。为什么不呢？毕竟 SSH 就在名字里。从安全的角度来看，这些方法非常好。但若想简化某些形式的密钥分发与备份还有另一种方法，Brian Exelbierd 的三部曲系列介绍了《如何启用使用 GPG 子钥的 SSH 访问》、《如何导入现有 SSH 密钥》、《如何将备份量减少到单个密钥文件》

《使用 Seahorse 图形化管理 SSH 密钥》

并不是所有人都喜欢用 GPG 作为 SSH 密钥，但这并不意味着你在密钥管理上会不顺利。Seahorse 是一个在 GNOME 桌面中用于管理 SSH 密钥及其他身份验证方法的图形化工具。Alan Formy-Duval 的《[使用 Seahorse 图形化管理 SSH 密钥》对新手用户特别有帮助。

《安全扫描你的 DevOps 流程》

如今到处都是容器。但它们容纳着什么？了解容器满足你的安全策略是保持安全性的重要部分。幸运的是，你可以使用开源工具来帮助自动化合规检查。Jessica Cherry（原名: Repka）的《安全扫描你的 DevOps 流程》是一个循序渐进的教程，向你展示了如何使用 Jenkins 构建系统和 Anchore 检查服务为容器镜像和注册库创建扫描流程。

《4 种开源云安全工具》

云服务的一大优点是你的数据可以从任何地方访问。云服务的一个缺点是你的数据可以从任何地方访问。如果你使用的是 “-as-a-Service”（LCTT 译注: 某某即服务，如 IaaS、PaaS、Saa）产品，那么你需要确保它们是经过安全配置的。Anderson Silva、Alison Naylor、Travis McPeak 和 Rich Monk 联合推出《4 种开源云安全工具》以帮助在使用 GitHub 和 AWS 时提高安全性。如果你正在寻找被不小心提交的机密信息，或尝试从一开始就阻止这些机密信息被提交，这篇文章提供了工具。

《如何使用 OpenSSL：哈希、数字签名等》

许多信息安全是基于数学的：特别是用于加密数据和验证用户或文件内容的加密函数。在《开始使用 OpenSSL：密码学基础》中进行介绍后，Marty Kalin 深入讨论了《如何使用 OpenSSL：哈希、数字签名等》的细节，解释了如何使用 OpenSSL 实用程序来探索这些常用但不常被理解的概念。

《使用树莓派和 Kali Linux 学习计算机安全》

廉价硬件与开源软件构成了一个很好的组合，特别是对于那些希望边做边学的人来说。在《使用树莓派和 Kali Linux 学习计算机安全》这篇文章中，Anderson Silva 介绍了面向安全的 Kali Linux 发行版。这是一篇短文，但它满是关于文档和安全相关项目的有用的链接，你可以在自己的树莓派上使用它们。

《量子计算会打破现有的安全体系吗？》

这篇文章的余下部分是浪费吗？量子计算会让我们对安全的所知变得过时吗？好消息是：回答是否定的，但是量子计算仍然可以在更广泛的范围内对安全和计算世界产生深远的影响。在《量子计算会打破现有的安全体系吗？》一文中，Mike Bursell 剖析了它好坏两方面的影响，当然，量子计算可能会让加密的破解变得更容易，但如果坏人一开始就无法获得你的数据，那也没有关系。

展望 2020

安全永远是重要的，（正如那篇量子计算文章所建议的）未来几年将是该领域的一个有趣时期。在 2020 年，我们的文章将着眼于开源安全的前沿，并帮助向不断增长的开源社区解释基础知识。如果你有一个你想要我们报导的主题，请在评论中分享它，或者更进一步 —— 如果你想写一篇文章，就写给我们吧。

via: https://opensource.com/article/19/12/security-resources

作者：Ben Cotton 选题：lujun9972 译者：nacyro 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

是的，这是年终摘要文章之一。这是一篇很长的文章，因为就网络安全新闻来说，2019 年就是一场灾难，每周都会有一个或多个重大事件发生。

以下是按月组织的过去 10 个月安全灾难的摘要。

七月

哈萨克斯坦政府拦截了所有本地 HTTPS 流量：HTTPS 拦截工作针对 Facebook，Google，Twitter 和其他站点。苹果、谷歌和 Mozilla 最终干预并禁止了用于 HTTPS 中间人攻击的证书。

黑客窃取了数百万保加利亚人的数据：一名黑客窃取了数百万保加利亚人的个人详细信息，并将窃取的数据的下载链接通过电子邮件发送给了本地新闻出版物。该数据窃取自该国国家税务局，最终在网上泄露。

黑客侵入了 FSB 的承包商：黑客侵入了俄罗斯国家情报局 FSB 的承包商 SyTech，他们从那里窃取了该公司代表该机构开展的内部项目的信息，包括将 Tor 流量匿名化的信息。

iMessages 可能使你的 iPhone 变砖：该漏洞在被广泛利用之前得到了修补。

Urgent/11 安全漏洞：TCP 库中的主要错误影响了路由器、打印机、SCADA、医疗设备和许多 IoT 设备。

苹果公司的 AWDL 协议受到安全漏洞的困扰：苹果公司在五月份修补了一个错误，但学者说，其余的漏洞需要重新设计某些苹果服务。错误会启用跟踪和中间人攻击。

DHS 警告小型飞机的 CAN 总线漏洞：DHS 网络安全机构 CISA 建议这些小型飞机的所有者“尽其所能”限制对飞机的访问，以防止这个漏洞可能被用来破坏飞机。

GE 麻醉机中发现的漏洞：GE 建议设备所有者不要将脆弱的麻醉机连接到医院的主要网络。该公司否认这些漏洞可能导致患者受到伤害，但后来撤回该说法并承认这些问题可能对人类生命构成危险。

洛杉矶警方陷入数据泄露：黑客窃取了 2500 多名洛杉矶警察的个人记录。黑客直接通过电子邮件发送给该部门，并提供了一些据称是被盗信息的样本以支持他们的说法。

路易斯安那州州长在当地勒索软件爆发后宣布州紧急状态：是的。勒索软件变得非常糟糕。然后它袭击了德克萨斯州、牙医办公室和托管服务提供商。

蓝牙漏洞利用可以跟踪和识别 iOS、微软移动设备用户：尽管存在本机操作系统保护但该漏洞可用于监视用户，它影响 Windows 10、iOS 和 macOS 计算机上的蓝牙设备。其中包括 iPhone、iPad、Apple Watch、MacBook 和微软的平板电脑和笔记本电脑。

“7-11” 日本的客户由于移动应用漏洞而损失了 50 万美元：7-11 最终关闭了该应用。

八月

SWAPGSAttack CPU 漏洞：研究人员详细介绍了该硬件漏洞，它绕过了 Windows 系统上针对 Spectre 和 Meltdown CPU 漏洞的缓解措施，并影响了所有使用自 2012 年以来制造的英特尔处理器的系统。

新的 Dragonblood 漏洞：今年四月初，两名安全研究人员披露了 WiFi 联盟最近发布的 WPA3 WiFi 安全和身份验证标准中五个漏洞（统称为 Dragonblood）的详细信息。

14 个 iOS 零日漏洞：自 2016 年 9 月以来，谷歌发现了针对 14 个 iOS 漏洞的攻击，这些漏洞分为五个漏洞利用链，并已被广泛部署。

VPN 安全漏洞：黑客对 Pulse Secure 和 Fortinet VPN 发起攻击。

Windows CTF 漏洞：Microsoft CTF 协议中的漏洞可以追溯到 Windows XP。该错误允许黑客劫持任何 Windows 应用，逃脱沙箱并获得管理员权限。

WS-Discovery 协议被滥用于 DDoS 攻击：该协议被 DDoS 租用服务所利用，已在实际攻击中使用。

Capitol One 黑客事件：一名黑客侵入了 Capitol One，从那里窃取了 1 亿用户的记录。她还入侵了其他 30 家公司。

Hy-Vee 卡泄露：超市连锁店 Hy-Vee 承认其某些 PoS 系统存在安全漏洞。该数据最终被在黑客论坛上出售。

员工将核电厂连接到互联网，以便他们可以开采加密货币：乌克兰核电厂的员工为了开采比特币而承担了不必要的安全风险。他们最终被捕。

莫斯科的区块链投票系统在大选前一个月就被攻破了：法国研究人员因在基于以太坊的投票系统中发现漏洞而获得 15000 美元的奖金。

美国军方购买了价值 3280 万美元的具有已知安全风险的电子产品：国防部购买的易受攻击产品包括 Lexmark 打印机、GoPro相机和联想计算机。

AT＆T 员工受贿以在公司网络上植入恶意软件：美国司法部指控巴基斯坦男子贿赂 AT＆T 员工超过 100 万美元，以在该公司网络上安装恶意软件，解锁超过 200 万台设备。

Windows 恶意软件会记录用户在成人网站上的访问：新的 Varenyky 木马会记录用户浏览成人网站的桌面视频。当前仅针对法国用户。

TrickBot 木马具备协助 SIM 交换攻击的功能：TrickBot 木马可以收集 Sprint、T-Mobile 和 Verizon Wireless 帐户的凭据和 PIN 码。

战争技术：黑客可以使用包裹传递服务将黑客设备直接运送到你公司的门口。

Instagram 踢掉了广告合作伙伴 Hyp3r：Instagram 发现该广告合作伙伴收集其用户数据。

九月

Simjacker 攻击：安全研究人员详细介绍了一种基于 SMS 的攻击，该攻击可以通过滥用 SIM 卡上运行的鲜为人知的应用程序，使恶意行为者可以跟踪用户的设备。发现 29 个国家/地区的 SIM 卡受到了影响。 还发现了第二起名为 WIBAttack 的攻击。

智能电视间谍活动：两项学术论文发现，智能电视正在收集有关用户的电视观看习惯的数据。

Checkm8 iOS 越狱：针对所有运行 A5 至 A11 芯片的 iOS 设备（在 iPhone 4S 以及 iPhone 8 和 X 上）发布的新 Checkm8 越狱。过去九年来，这是第一个在硬件级别起作用的越狱漏洞。

数据库泄漏了厄瓜多尔大多数公民的数据：Elasticsearch 服务器泄漏了有关厄瓜多尔公民其家谱和孩子的个人数据，还泄漏了一些用户的财务记录和汽车登记信息。该公司高管随后被捕。

Limin PDF 泄露事件：九月中旬，超过 2430 万 Lumin PDF 的用户详细信息在黑客论坛上被分享。该公司在第二天承认这次泄露。

Heyyo 约会应用程序泄漏事件：他们泄漏了除私人消息以外的几乎所有内容。

vBulletin 零日漏洞和随后的黑客攻击：一位匿名安全研究人员发布了 vBulletin 论坛软件中的零日漏洞。该漏洞立即被黑客用于入侵一系列论坛。

大量的帐户劫持事件袭击了 YouTube 创作者：汽车社区的 YouTube 创作者遭受了鱼叉式网络钓鱼攻击，这些攻击可以绕过 2FA，从而使黑客可以接管其 Google 和 YouTube 帐户。

Lilocked（Lilu）勒索软件：成千上万的 Linux 服务器感染了新的 Lilocked（Lilu）勒索软件。

超过 47,000 台超微服务器正在互联网上暴露了其 BMC 端口：研究人员在超微服务器上发现了一个新的远程攻击方式，发现它在互联网上暴露了其 BMC 端口。

勒索软件事件给公司造成了高达 9500 万美元的损失：丹麦制造助听器 Demant 的勒索软件事件造成了近 9500 万美元的损失，这是迄今为止最昂贵的事件之一。

Exim 漏洞（CVE-2019-15846）：数百万的 Exim 服务器容易受到一个安全漏洞的攻击，利用该漏洞可以使攻击者能够以 root 特权运行恶意代码。

十月

Avast 黑客事件：这家捷克的杀毒软件制造商在 2017 年遭受攻击之后，披露了其受到了第二次攻击，旨在破坏 CCleaner 版本。该公司表示，黑客通过受损的 VPN 配置文件破坏了该公司。

被广泛利用的 Android 零日漏洞：Google Project Zero 研究人员发现了被广泛利用的 Android 零日漏洞，影响了 Pixel、三星、华为、小米设备。

Alexa 和 Google Home 设备再次被利用来网络钓鱼和窃听用户：亚马逊、Google 在首次报告后一年多未能解决 Alexa 和 Home 设备中的安全漏洞。

捷克当局拆除了据称是俄罗斯的网络间谍网络：捷克官员说，俄罗斯特工利用当地公司对外国目标发起网络攻击。官员们表示，运营得到了俄罗斯国家情报局 FSB 的支持以及当地大使馆的财政帮助。

约翰内斯堡被黑客团伙勒索赎金：一个名为“Shadow Kill Hackers”的组织正在向当地官员索要 4 枚比特币，否则他们将在线发布该城市数据。这是在七月遭到勒索软件攻击之后对约翰内斯堡的第二次重大袭击，当时导致一些当地居民断电。

CPDoS 攻击事件：CloudFront、Cloudflare、Fastly、Akamai 等受到新的 CPDoS Web 缓存中毒攻击的影响。

被广泛利用的 PHP7 RCE：新的 PHP7 错误 CVE-2019-11043 甚至可以使非技术攻击者接管运行 PHP-FPM 模块的 Nginx 服务器。

遭受 DDoS 攻击的 macOS 系统：多达 4 万个 macOS 系统在线暴露了一个特定的端口，该端口可能被滥用于相当大的 DDoS 攻击。

通过七个简单的步骤来加固你的 Linux 服务器。

这篇入门文章将向你介绍基本的 Linux 服务器安全知识。虽然主要针对 Debian/Ubuntu，但是你可以将此处介绍的所有内容应用于其他 Linux 发行版。我也鼓励你研究这份材料，并在适用的情况下进行扩展。

1、更新你的服务器

保护服务器安全的第一件事是更新本地存储库，并通过应用最新的修补程序来升级操作系统和已安装的应用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL：

$ sudo dnf upgrade

2、创建一个新的特权用户

接下来，创建一个新的用户帐户。永远不要以 root 身份登录服务器，而是创建你自己的帐户（用户），赋予它 sudo 权限，然后使用它登录你的服务器。

首先创建一个新用户：

$ adduser <username>

通过将 sudo 组（-G）附加（-a）到用户的组成员身份里，从而授予新用户帐户 sudo 权限：

$ usermod -a -G sudo <username>

3、上传你的 SSH 密钥

你应该使用 SSH 密钥登录到新服务器。你可以使用 ssh-copy-id 命令将预生成的 SSH 密钥上传到你的新服务器：

$ ssh-copy-id <username>@ip_address

现在，你无需输入密码即可登录到新服务器。

4、安全强化 SSH

接下来，进行以下三个更改：

• 禁用 SSH 密码认证
• 限制 root 远程登录
• 限制对 IPv4 或 IPv6 的访问

使用你选择的文本编辑器打开 /etc/ssh/sshd_config 并确保以下行：

PasswordAuthentication yes
PermitRootLogin yes

改成这样：

PasswordAuthentication no
PermitRootLogin no

接下来，通过修改 AddressFamily 选项将 SSH 服务限制为 IPv4 或 IPv6。要将其更改为仅使用 IPv4（对大多数人来说应该没问题），请进行以下更改：

AddressFamily inet

重新启动 SSH 服务以启用你的更改。请注意，在重新启动 SSH 服务之前，与服务器建立两个活动连接是一个好主意。有了这些额外的连接，你可以在重新启动 SSH 服务出错的情况下修复所有问题。

在 Ubuntu 上：

$ sudo service sshd restart

在 Fedora 或 CentOS 或任何使用 Systemd 的系统上：

$ sudo systemctl restart sshd

5、启用防火墙

现在，你需要安装防火墙、启用防火墙并对其进行配置，以仅允许你指定的网络流量通过。（Ubuntu 上的）简单的防火墙（UFW）是一个易用的 iptables 界面，可大大简化防火墙的配置过程。

你可以通过以下方式安装 UFW：

$ sudo apt install ufw

默认情况下，UFW 拒绝所有传入连接，并允许所有传出连接。这意味着服务器上的任何应用程序都可以访问互联网，但是任何尝试访问服务器的内容都无法连接。

首先，确保你可以通过启用对 SSH、HTTP 和 HTTPS 的访问来登录：

$ sudo ufw allow ssh
$ sudo ufw allow http
$ sudo ufw allow https

然后启用 UFW：

$ sudo ufw enable

你可以通过以下方式查看允许和拒绝了哪些服务：

$ sudo ufw status

如果你想禁用 UFW，可以通过键入以下命令来禁用：

$ sudo ufw disable

你还可以（在 RHEL/CentOS 上）使用 firewall-cmd，它已经安装并集成到某些发行版中。

6、安装 Fail2ban

Fail2ban 是一种用于检查服务器日志以查找重复或自动攻击的应用程序。如果找到任何攻击，它会更改防火墙以永久地或在指定的时间内阻止攻击者的 IP 地址。

你可以通过键入以下命令来安装 Fail2ban：

$ sudo apt install fail2ban -y

然后复制随附的配置文件：

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

重启 Fail2ban：

$ sudo service fail2ban restart

这样就行了。该软件将不断检查日志文件以查找攻击。一段时间后，该应用程序将建立相当多的封禁的 IP 地址列表。你可以通过以下方法查询 SSH 服务的当前状态来查看此列表：

$ sudo fail2ban-client status ssh

7、移除无用的网络服务

几乎所有 Linux 服务器操作系统都启用了一些面向网络的服务。你可能希望保留其中大多数，然而，有一些你或许希望删除。你可以使用 ss 命令查看所有正在运行的网络服务：（LCTT 译注：应该是只保留少部分，而所有确认无关的、无用的服务都应该停用或删除。）

$ sudo ss -atpu

ss 的输出取决于你的操作系统。下面是一个示例，它显示 SSH（sshd）和 Ngnix（nginx）服务正在侦听网络并准备连接：

tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))
tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))

删除未使用的服务的方式因你的操作系统及其使用的程序包管理器而异。

要在 Debian / Ubuntu 上删除未使用的服务：

$ sudo apt purge <service_name>

要在 Red Hat/CentOS 上删除未使用的服务：

$ sudo yum remove <service_name>

再次运行 ss -atup 以确认这些未使用的服务没有安装和运行。

总结

本教程介绍了加固 Linux 服务器所需的最起码的措施。你应该根据服务器的使用方式启用其他安全层。这些安全层可以包括诸如各个应用程序配置、入侵检测软件（IDS）以及启用访问控制（例如，双因素身份验证）之类的东西。

via: https://opensource.com/article/19/10/linux-server-security

作者：Patrick H. Mullins 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

ExtraHop 发现一些企业安全和分析软件正在“私下回拨”，悄悄地将信息上传到客户网络外的服务器上。

当这个博客专注于微软的一切事情时，我常常抱怨、反对 Windows 10 的间谍活动方面。嗯，显然，这些跟企业安全、分析和硬件管理工具所做的相比，都不算什么。

一家叫做 ExtraHop 的分析公司检查了其客户的网络，并发现客户的安全和分析软件悄悄地将信息上传到客户网络外的服务器上。这家公司上周发布了一份报告来进行警示。

ExtraHop 特意选择不对这四个例子中的企业安全工具进行点名，这些工具在没有警告用户或使用者的情况发送了数据。这家公司的一位发言人通过电子邮件告诉我，“ExtraHop 希望关注报告的这个趋势，我们已经多次观察到了这种令人担心的情况。这个严重的问题需要企业的更多关注，而只是关注几个特定的软件会削弱这个严重的问题需要得到更多关注的观点。”

产品在安全提交传输方面玩忽职守，并且偷偷地传输数据到异地

ExtraHop 的报告中称发现了一系列的产品在偷偷地传输数据回自己的服务器上，包括终端安全软件、医院设备管理软件、监控摄像头、金融机构使用的安全分析软件等。报告中同样指出，这些应用涉嫌违反了欧洲的通用数据隐私法规（GDPR）。

在每个案例里，ExtraHop 都提供了这些软件传输数据到异地的证据，在其中一个案例中，一家公司注意到，大约每隔 30 分钟，一台连接了网络的设备就会发送 UDP 数据包给一个已知的恶意 IP 地址。有问题的是一台某国制造的安全摄像头，这个摄像头正在偷偷联系一个和某国有联系的已知的恶意 IP 地址。

该摄像头很可能由其办公室的一名员工出于其个人安全的用途独自设置的，这显示出影子 IT 的缺陷。

而对于医院设备的管理工具和金融公司的分析工具，这些工具违反了数据安全法，公司面临着法律风险——即使公司不知道这个事。

该医院的医疗设备管理产品应该只使用医院的 WiFi 网络，以此来确保患者的数据隐私和 HIPAA 合规。ExtraHop 注意到管理初始设备部署的工作站正在打开加密的 ssl:443 来连接到供应商自己的云存储服务器，这是一个重要的 HIPAA 违规。

ExtraHop 指出，尽管这些例子中可能没有任何恶意活动。但它仍然违反了法律规定，管理员需要密切关注他们的网络，以此来监视异常活动的流量。

“要明确的是，我们不知道供应商为什么要把数据偷偷传回自己的服务器。这些公司都是受人尊敬的安全和 IT 供应商，并且很有可能，这些数据是由他们的程序框架设计用于合法目的的，或者是错误配置的结果”，报告中说。

如何减轻数据外传的安全风险

为了解决这种安全方面玩忽职守的问题，ExtraHop 建议公司做下面这五件事：

• 监视供应商的活动：在你的网络上密切注意供应商的非正常活动，无论他们是活跃供应商、以前的供应商，还是评估后的供应商。
• 监控出口流量：了解出口流量，尤其是来自域控制器等敏感资产的出口流量。当检测到出口流量时，始终将其与核准的应用程序和服务进行匹配。
• 跟踪部署：在评估过程中，跟踪软件代理的部署。
• 理解监管方面的考量因素：了解数据跨越政治、地理边界的监管和合规考量因素。
• 理解合同协议：跟踪数据的使用是否符合供应商合同上的协议。

via: https://www.networkworld.com/article/3429559/is-your-enterprise-software-committing-security-malpractice.html

作者：Andy Patrizio 选题：lujun9972 译者：hopefully2333 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

微软表示，默认密码、未打补丁的设备，物联网设备库存不足是导致俄罗斯的 STRONTIUM 黑客组织发起针对公司的攻击的原因。

在微软安全响应中心周一发布的博客文章中，该公司称，STRONTIUM 黑客组织对未披露名字的微软客户进行了基于 IoT 的攻击，安全研究人员相信 STRONTIUM 黑客组织和俄罗斯 GRU 军事情报机构有密切的关系。

微软在博客中说，它在 4 月份发现的攻击针对三种特定的物联网设备：一部 VoIP 电话、一部视频解码器和一台打印机（该公司拒绝说明品牌），并将它们用于获得对不特定的公司网络的访问权限。其中两个设备遭到入侵是因为没有更改过制造商的默认密码，而另一个设备则是因为没有应用最新的安全补丁。

以这种方式受到攻击的设备成为了安全的网络的后门，允许攻击者自由扫描这些网络以获得进一步的漏洞，并访问其他系统获取更多的信息。攻击者也被发现其在调查受攻击网络上的管理组，试图获得更多访问权限，以及分析本地子网流量以获取其他数据。

STRONTIUM，也被称为 Fancy Bear、Pawn Storm、Sofacy 和 APT28，被认为是代表俄罗斯政府进行的一系列恶意网络活动的幕后黑手，其中包括 2016 年对民主党全国委员会的攻击，对世界反兴奋剂机构的攻击，针对记者调查马来西亚航空公司 17 号航班在乌克兰上空被击落的情况，向美国军人的妻子发送捏造的死亡威胁等等。

根据 2018 年 7 月特别顾问罗伯特·穆勒办公室发布的起诉书，STRONTIUM 袭击的指挥者是一群俄罗斯军官，所有这些人都被 FBI 通缉与这些罪行有关。

微软通知客户发现其遭到了民族国家的攻击，并在过去 12 个月内发送了大约 1,400 条与 STRONTIUM 相关的通知。微软表示，其中大多数（五分之四）是对政府、军队、国防、IT、医药、教育和工程领域的组织的攻击，其余的则是非政府组织、智囊团和其他“政治附属组织”。

根据微软团队的说法，漏洞的核心是机构缺乏对其网络上运行的所有设备的充分认识。另外，他们建议对在企业环境中运行的所有 IoT 设备进行编目，为每个设备实施自定义安全策略，在可行的情况下在各自独立的网络上屏蔽物联网设备，并对物联网组件执行定期补丁和配置审核。

via: https://www.networkworld.com/article/3430356/microsoft-finds-russia-backed-attacks-that-exploit-iot-devices.html

作者：Jon Gold 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

当你更新系统时，根据你所在公司的安全策略，有时候可能只需要打上与安全相关的补丁。大多数情况下，这应该是出于程序兼容性方面的考量。那该怎样实践呢？有没有办法让 yum 只安装安全补丁呢？

答案是肯定的，可以用 yum 包管理器轻松实现。

在这篇文章中，我们不但会提供所需的信息。而且，我们会介绍一些额外的命令，可以帮你获取指定安全更新的详实信息。

希望这样可以启发你去了解并修复你列表上的那些漏洞。一旦有安全漏洞被公布，就必须更新受影响的软件，这样可以降低系统中的安全风险。

对于 RHEL 或 CentOS 6 系统，运行下面的 Yum 命令 来安装 yum 安全插件。

# yum -y install yum-plugin-security

在 RHEL 7&8 或是 CentOS 7&8 上面，这个插件已经是 yum 的一部分了，不用单独安装。

要列出全部可用的补丁（包括安全、Bug 修复以及产品改进），但不安装它们：

# yum updateinfo list available
Loaded plugins: changelog, package_upload, product-id, search-disabled-repos,
              : subscription-manager, verify, versionlock
RHSA-2014:1031 Important/Sec. 389-ds-base-1.3.1.6-26.el7_0.x86_64
RHSA-2015:0416 Important/Sec. 389-ds-base-1.3.3.1-13.el7.x86_64
RHBA-2015:0626 bugfix         389-ds-base-1.3.3.1-15.el7_1.x86_64
RHSA-2015:0895 Important/Sec. 389-ds-base-1.3.3.1-16.el7_1.x86_64
RHBA-2015:1554 bugfix         389-ds-base-1.3.3.1-20.el7_1.x86_64
RHBA-2015:1960 bugfix         389-ds-base-1.3.3.1-23.el7_1.x86_64
RHBA-2015:2351 bugfix         389-ds-base-1.3.4.0-19.el7.x86_64
RHBA-2015:2572 bugfix         389-ds-base-1.3.4.0-21.el7_2.x86_64
RHSA-2016:0204 Important/Sec. 389-ds-base-1.3.4.0-26.el7_2.x86_64
RHBA-2016:0550 bugfix         389-ds-base-1.3.4.0-29.el7_2.x86_64
RHBA-2016:1048 bugfix         389-ds-base-1.3.4.0-30.el7_2.x86_64
RHBA-2016:1298 bugfix         389-ds-base-1.3.4.0-32.el7_2.x86_64

要统计补丁的大约数量，运行下面的命令：

# yum updateinfo list available | wc -l
11269

想列出全部可用的安全补丁但不安装，以下命令用来展示你系统里已安装和待安装的推荐补丁：

# yum updateinfo list security all
Loaded plugins: changelog, package_upload, product-id, search-disabled-repos,
              : subscription-manager, verify, versionlock
  RHSA-2014:1031 Important/Sec. 389-ds-base-1.3.1.6-26.el7_0.x86_64
  RHSA-2015:0416 Important/Sec. 389-ds-base-1.3.3.1-13.el7.x86_64
  RHSA-2015:0895 Important/Sec. 389-ds-base-1.3.3.1-16.el7_1.x86_64
  RHSA-2016:0204 Important/Sec. 389-ds-base-1.3.4.0-26.el7_2.x86_64
  RHSA-2016:2594 Moderate/Sec.  389-ds-base-1.3.5.10-11.el7.x86_64
  RHSA-2017:0920 Important/Sec. 389-ds-base-1.3.5.10-20.el7_3.x86_64
  RHSA-2017:2569 Moderate/Sec.  389-ds-base-1.3.6.1-19.el7_4.x86_64
  RHSA-2018:0163 Important/Sec. 389-ds-base-1.3.6.1-26.el7_4.x86_64
  RHSA-2018:0414 Important/Sec. 389-ds-base-1.3.6.1-28.el7_4.x86_64
  RHSA-2018:1380 Important/Sec. 389-ds-base-1.3.7.5-21.el7_5.x86_64
  RHSA-2018:2757 Moderate/Sec.  389-ds-base-1.3.7.5-28.el7_5.x86_64
  RHSA-2018:3127 Moderate/Sec.  389-ds-base-1.3.8.4-15.el7.x86_64
  RHSA-2014:1031 Important/Sec. 389-ds-base-libs-1.3.1.6-26.el7_0.x86_64

要显示所有待安装的安全补丁：

# yum updateinfo list security all | grep -v "i"

  RHSA-2014:1031 Important/Sec. 389-ds-base-1.3.1.6-26.el7_0.x86_64
  RHSA-2015:0416 Important/Sec. 389-ds-base-1.3.3.1-13.el7.x86_64
  RHSA-2015:0895 Important/Sec. 389-ds-base-1.3.3.1-16.el7_1.x86_64
  RHSA-2016:0204 Important/Sec. 389-ds-base-1.3.4.0-26.el7_2.x86_64
  RHSA-2016:2594 Moderate/Sec.  389-ds-base-1.3.5.10-11.el7.x86_64
  RHSA-2017:0920 Important/Sec. 389-ds-base-1.3.5.10-20.el7_3.x86_64
  RHSA-2017:2569 Moderate/Sec.  389-ds-base-1.3.6.1-19.el7_4.x86_64
  RHSA-2018:0163 Important/Sec. 389-ds-base-1.3.6.1-26.el7_4.x86_64
  RHSA-2018:0414 Important/Sec. 389-ds-base-1.3.6.1-28.el7_4.x86_64
  RHSA-2018:1380 Important/Sec. 389-ds-base-1.3.7.5-21.el7_5.x86_64
  RHSA-2018:2757 Moderate/Sec.  389-ds-base-1.3.7.5-28.el7_5.x86_64

要统计全部安全补丁的大致数量，运行下面的命令：

# yum updateinfo list security all | wc -l
3522

下面根据已装软件列出可更新的安全补丁。这包括 bugzilla（bug 修复）、CVE（知名漏洞数据库）、安全更新等：

# yum updateinfo list security

或者

# yum updateinfo list sec

Loaded plugins: changelog, package_upload, product-id, search-disabled-repos,
              : subscription-manager, verify, versionlock

RHSA-2018:3665 Important/Sec. NetworkManager-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-adsl-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-bluetooth-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-config-server-1:1.12.0-8.el7_6.noarch
RHSA-2018:3665 Important/Sec. NetworkManager-glib-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-libnm-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-ppp-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-team-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-tui-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-wifi-1:1.12.0-8.el7_6.x86_64
RHSA-2018:3665 Important/Sec. NetworkManager-wwan-1:1.12.0-8.el7_6.x86_64

显示所有与安全相关的更新，并且返回一个结果来告诉你是否有可用的补丁：

# yum --security check-update
Loaded plugins: changelog, package_upload, product-id, search-disabled-repos, subscription-manager, verify, versionlock
rhel-7-server-rpms                                                                                                                            | 2.0 kB  00:00:00
--> policycoreutils-devel-2.2.5-20.el7.x86_64 from rhel-7-server-rpms excluded (updateinfo)
--> smc-raghumalayalam-fonts-6.0-7.el7.noarch from rhel-7-server-rpms excluded (updateinfo)
--> amanda-server-3.3.3-17.el7.x86_64 from rhel-7-server-rpms excluded (updateinfo)
--> 389-ds-base-libs-1.3.4.0-26.el7_2.x86_64 from rhel-7-server-rpms excluded (updateinfo)
--> 1:cups-devel-1.6.3-26.el7.i686 from rhel-7-server-rpms excluded (updateinfo)
--> openwsman-client-2.6.3-3.git4391e5c.el7.i686 from rhel-7-server-rpms excluded (updateinfo)
--> 1:emacs-24.3-18.el7.x86_64 from rhel-7-server-rpms excluded (updateinfo)
--> augeas-libs-1.4.0-2.el7_4.2.i686 from rhel-7-server-rpms excluded (updateinfo)
--> samba-winbind-modules-4.2.3-10.el7.i686 from rhel-7-server-rpms excluded (updateinfo)
--> tftp-5.2-11.el7.x86_64 from rhel-7-server-rpms excluded (updateinfo)
.
.
35 package(s) needed for security, out of 115 available
NetworkManager.x86_64                        1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-adsl.x86_64                   1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-bluetooth.x86_64              1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-config-server.noarch          1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-glib.x86_64                   1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-libnm.x86_64                  1:1.12.0-10.el7_6            rhel-7-server-rpms
NetworkManager-ppp.x86_64                    1:1.12.0-10.el7_6            rhel-7-server-rpms

列出所有可用的安全补丁，并且显示其详细信息：

# yum info-sec
.
.
===============================================================================
  tzdata bug fix and enhancement update
===============================================================================
  Update ID : RHBA-2019:0689
    Release : 0
       Type : bugfix
     Status : final
     Issued : 2019-03-28 19:27:44 UTC
Description : The tzdata packages contain data files with rules for various
            : time zones.
            :
            : The tzdata packages have been updated to version
            : 2019a, which addresses recent time zone changes.
            : Notably:
            :
            : * The Asia/Hebron and Asia/Gaza zones will start
            :   DST on 2019-03-30, rather than 2019-03-23 as
            :   previously predicted.
            : * Metlakatla rejoined Alaska time on 2019-01-20,
            :   ending its observances of Pacific standard time.
            :
            : (BZ#1692616, BZ#1692615, BZ#1692816)
            :
            : Users of tzdata are advised to upgrade to these
            : updated packages.
   Severity : None

如果你想要知道某个更新的具体内容，可以运行下面这个命令：

# yum updateinfo RHSA-2019:0163

Loaded plugins: changelog, package_upload, product-id, search-disabled-repos, subscription-manager, verify, versionlock
rhel-7-server-rpms                                                                                                                            | 2.0 kB  00:00:00
===============================================================================
  Important: kernel security, bug fix, and enhancement update
===============================================================================
  Update ID : RHSA-2019:0163
    Release : 0
       Type : security
     Status : final
     Issued : 2019-01-29 15:21:23 UTC
    Updated : 2019-01-29 15:23:47 UTC       Bugs : 1641548 - CVE-2018-18397 kernel: userfaultfd bypasses tmpfs file permissions
            : 1641878 - CVE-2018-18559 kernel: Use-after-free due to race condition in AF_PACKET implementation
       CVEs : CVE-2018-18397
            : CVE-2018-18559
Description : The kernel packages contain the Linux kernel, the core of any
            : Linux operating system.
            :
            : Security Fix(es):
            :
            : * kernel: Use-after-free due to race condition in
            :   AF_PACKET implementation (CVE-2018-18559)
            :
            : * kernel: userfaultfd bypasses tmpfs file
            :   permissions (CVE-2018-18397)
            :
            : For more details about the security issue(s),
            : including the impact, a CVSS score, and other
            : related information, refer to the CVE page(s)
            : listed in the References section.
            :
            : Bug Fix(es):
            :
            : These updated kernel packages include also
            : numerous bug fixes and enhancements. Space
            : precludes documenting all of the bug fixes in this
            : advisory. See the descriptions in the related
            : Knowledge Article:
            : https://access.redhat.com/articles/3827321
   Severity : Important
updateinfo info done

跟之前类似，你可以只查询那些通过 CVE 释出的系统漏洞：

# yum updateinfo list cves

Loaded plugins: changelog, package_upload, product-id, search-disabled-repos,
              : subscription-manager, verify, versionlock
CVE-2018-15688 Important/Sec. NetworkManager-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-adsl-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-bluetooth-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-config-server-1:1.12.0-8.el7_6.noarch
CVE-2018-15688 Important/Sec. NetworkManager-glib-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-libnm-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-ppp-1:1.12.0-8.el7_6.x86_64
CVE-2018-15688 Important/Sec. NetworkManager-team-1:1.12.0-8.el7_6.x86_64

你也可以查看那些跟 bug 修复相关的更新，运行下面的命令：

# yum updateinfo list bugfix | less

Loaded plugins: changelog, package_upload, product-id, search-disabled-repos,
              : subscription-manager, verify, versionlock
RHBA-2018:3349 bugfix NetworkManager-1:1.12.0-7.el7_6.x86_64
RHBA-2019:0519 bugfix NetworkManager-1:1.12.0-10.el7_6.x86_64
RHBA-2018:3349 bugfix NetworkManager-adsl-1:1.12.0-7.el7_6.x86_64
RHBA-2019:0519 bugfix NetworkManager-adsl-1:1.12.0-10.el7_6.x86_64
RHBA-2018:3349 bugfix NetworkManager-bluetooth-1:1.12.0-7.el7_6.x86_64
RHBA-2019:0519 bugfix NetworkManager-bluetooth-1:1.12.0-10.el7_6.x86_64
RHBA-2018:3349 bugfix NetworkManager-config-server-1:1.12.0-7.el7_6.noarch
RHBA-2019:0519 bugfix NetworkManager-config-server-1:1.12.0-10.el7_6.noarch

要想得到待安装更新的摘要信息，运行这个：

# yum updateinfo summary
Loaded plugins: changelog, package_upload, product-id, search-disabled-repos, subscription-manager, verify, versionlock
rhel-7-server-rpms                                                                                                                            | 2.0 kB  00:00:00
Updates Information Summary: updates
    13 Security notice(s)
         9 Important Security notice(s)
         3 Moderate Security notice(s)
         1 Low Security notice(s)
    35 Bugfix notice(s)
     1 Enhancement notice(s)
updateinfo summary done

如果只想打印出低级别的安全更新，运行下面这个命令。类似的，你也可以只查询重要级别和中等级别的安全更新。

# yum updateinfo list sec | grep -i "Low"

RHSA-2019:0201 Low/Sec.       libgudev1-219-62.el7_6.3.x86_64
RHSA-2019:0201 Low/Sec.       systemd-219-62.el7_6.3.x86_64
RHSA-2019:0201 Low/Sec.       systemd-libs-219-62.el7_6.3.x86_64
RHSA-2019:0201 Low/Sec.       systemd-sysv-219-62.el7_6.3.x86_64

via: https://www.2daygeek.com/check-list-view-find-available-security-updates-on-redhat-rhel-centos-system/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：jdh8383 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出