随着物联网设备的普及，网络犯罪分子通过利用密码的缺陷而提供拒绝服务攻击。

随着物联网设备飞速发展，分布式拒绝服务（DDoS）攻击正在成为一种危险的趋势。就如 DNS 服务商 Dyn 上年秋季之遭遇 一样，黑客似乎瞄上了每个人，使用未保护的物联网设备来轰炸网络的做法正在抬头。

可雇佣的 DDoS 攻击的出现意味着即使是最不精通技术的人都能精准报复某些网站。就像在柜台前面买个东西一样方便，然后就可以彻底搞定一个公司。

根据 Neustar 的报告，四分之三的国际品牌、机构和公司都是 DDoS 攻击的受害者。每天至少会发生 3700 起 DDoS 攻击。

睿科网络公司（A10 Networks）网络运营总监 Chase Cunningham 说：“想要找个可用的物联网设备，你只需要在地下网站四处打听一下 Mirai 扫描器代码，一旦你找到了，你将能够利用在线的每一台设备来进行攻击”。

“或者你可以去一些类似 Shodan 的网站，然后简单的搜一下设备特定的请求。当你得到这些信息之后，你就可以将你所雇佣的 DDoS 工具配置正确的流量模拟器类型、指向正确的目标并发动攻击。”

“几乎所有东西都是可买卖的。”他补充道，“你可以购买一个 ‘stresser’，这就是个随便哪个会点按钮的人都会使用的 DDoS 僵尸网络。”

网络安全提供商 Imperva 说，用户只需要出几十美金，就可以快速发动攻击。有些公司在它们的网站上说它们的工具包含肉鸡负载和 CnC（命令与控制）文件。使用这些工具，那些有点想法的肉鸡大师（或者被称为 herders）就可以开始传播恶意软件，通过垃圾邮件、漏洞扫描程序、暴力攻击等来感染设备。

大部分 stresser 和 booter 都会有一个常见的、基于订阅服务的 SaaS（软件即服务）业务模式。来自 Incapsula 公司的 Q2 2015 DDoS 报告 显示，在 DDoS 上的月均每小时花费是 38 美元（规模较低的是 19.99 美元）。

“stresser 和 booter 只是新世界的一个副产品，这些可以扳倒企业和机构的服务只能运作在灰色领域”，Imperva 写道。

虽然成本不同，但是企业受到的各种攻击，每次损失在 1.4 万美元到 235 万美元之间。而且企业受到一次攻击后，有 82% 的可能性会再次受到攻击。

物联网洪水攻击 （ DDoS of Things ） （DoT）使用物联网设备建立的僵尸网络可造成非常大规模的 DDoS 攻击。物联网洪水攻击会利用成百上千的物联网设备攻击，无论是大型服务提供商还是企业，均无幸免。

“大部分讲究声誉的 DDoS 卖家都会将他们的工具配置为可修改的，这样你就可以轻松地设置攻击的类型。虽然我还没怎么看到有哪些可以‘付费的’物联网流量模拟器的选项，但我敢肯定就要有了。如果是我来搞这个服务，我是绝对会加入这个选项的。”Cunningham 如是说。

由 IDG 新闻服务的消息可知，要建造一个 DDoS 服务也是很简单的。通常黑客会租用 6 到 12 个左右的服务器，然后使用它们随意的攻击任何目标。去年十月下旬，HackForums.net 关闭了他们的“服务器压力测试”版块，这个做法就是考虑到黑客可能通过使用他们每月十美元的服务建造可雇佣的 DDoS 服务。

同样地在十二月时，美国和欧洲的执法机构 逮捕 34个参与可雇佣的 DDoS 服务的嫌犯。

但是如果这很简单，怎么还没有经常发生攻击？

Cunningham 说这其实每时每刻都在发生，实际上每天每秒都在发生。他说：”你不知道它们的原因是因为大部分都是扰乱攻击，而不是大规模的、想要搞倒公司的攻击。“

他说，大部分的攻击平台只出售那些会让系统宕机一个小时或稍长一点的攻击。通常宕机一小时的攻击大概需要花费 15 到 50 美元。当然这得看平台，有些可能一小时就要花上百美元。

减少这些攻击的解决方案是让用户把所有联网设备的出厂预置的密码改掉，然后还要禁用那些你不需要的功能。

（题图：Victor）

via: http://www.csoonline.com/article/3180246/data-protection/hire-a-ddos-service-to-take-down-your-enemies.html

作者：Ryan Francis 译者：kenxx 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在我们之前的 NMAP 安装一文中，列出了 10 种不同的 ZeNMAP 扫描模式，大多数的模式使用了不同的参数。各种不同参数代表执行不同的扫描模式。之前我们介绍过两种扫描类型 PING 扫描 和 UDP 扫描，这篇文章将介绍最后剩下的两种常用扫描类型。

四种通用扫描类型

下面列出了最常用的四种扫描类型：

1. PING 扫描（-sP）
2. TCP SYN 扫描（-sS）
3. TCP Connect() 扫描（-sT）
4. UDP 扫描（-sU）

当我们利用 NMAP 来执行扫描的时候，这四种扫描类型是我们需要熟练掌握的。更重要的是需要知道这些命令做了什么，并且需要知道这些命令是怎么做的。在这篇文章中将介绍两种 TCP 扫描 — TCP SYN 扫描和 TCP Connect() 扫描。

TCP SYN 扫描 （-sS）

TCP SYN 扫描是默认的 NMAP 扫描方式。为了运行 TCP SYN 扫描，你需要有 Root 权限。

TCP SYN 扫描的目的是找到被扫描系统上的已开启端口。使用 NMAP 扫描可以扫描在防火墙另一侧的系统。当扫描通过防火墙时，扫描时间会延长，因为数据包会变慢。

TCP SYN 扫描的工作方式是启动一个“三次握手”。正如在另一篇文章中所述，“三次握手”发生在两个系统之间。首先，源系统发送一个包到目标系统，这是一个同步（SYN）请求。然后，目标系统将通过同步/应答（SYN/ACK）响应。接下来，源系统将通过应答（ACK）来响应，从而建立起一个通信连接，然后，可以在两个系统之间传输数据。

TCP SYN 扫描通过执行下面的步骤来进行工作：

1. 源系统向目标系统发送一个同步请求，该请求中包含一个端口号。
2. 如果添加在上一步中的所请求的端口号是开启的，那么目标系统将通过同步/应答（SYN/ACK）来响应源系统。
3. 源系统通过重置（RST）来响应目标系统，从而断开连接。
4. 目标系统可以通过重置/应答（RST/ACK）来响应源系统。

这种连接已经开始建立，所以这被认为是半开放连接。因为连接状态是由 NMAP 来管理的，所以你需要有 Root 权限。

如果被扫描的端口是关闭的，那么将执行下面的步骤：

1. 源系统发送一个同步（SYN）请求到目标系统，该请求中包含一个端口号。
2. 目标系统通过重置（RST）响应源系统，因为该端口是关闭的。

如果目标系统处于防火墙之后，那么 ICMP 传输或响应会被防火墙禁止，此时，会执行下面的步骤：

1. 源系统发送一个同步（SYN）请求到目标系统，该请求中包含一个端口号。
2. 没有任何响应，因为请求被防火墙过滤了。

在这种情况下，端口可能是被过滤、或者可能打开、或者可能没打开。防火墙可以设置禁止指定端口所有包的传出。防火墙可以禁止所有传入某个指定端口的包，因此目标系统不会接收到请求。

注：无响应可能发生在一个启用了防火墙的系统上。即使在本地网络，你也可能会发现被过滤的端口。

我将向 图片１那样执行对单一系统（10.0.0.2）的 TCP SYN 扫描。使用命令 sudo nmap -sS <IP 地址> 来执行扫描。<IP 地址>可以改为一个单一 IP 地址，像图片１那样，也可以使用一组 IP 地址。

图片１

你可以看到它表明 997 个被过滤端口没有显示在下面。NMAP 找到两个开启的端口：139 和 445 。

注：请记住，NMAP 只会扫描绝大多数熟知的 1000 多个端口。以后，我们会介绍可以扫描所有端口或者指定端口的其它扫描。

该扫描会被 WireShark 俘获，正如图片２所展示的那样。在这儿，你可以看到对目标系统的初始地址解析协议（ARP）请求。在 ARP 请求下面的是一长列到达目标系统端口的 TCP 请求。第 4 行是到达 http-alt 端口（8080）。源系统的端口号为 47128 。正如图片３ 展示的，许多 SYN 请求只有在做出响应以后才会发送。

图片２

图片３

在图片３的第 50 行和第 51 行，你可以看到，重置（RST）包被发送给了目标系统。第 53 行和第 55 行显示目标系统的 RST/ACK（重置/应答）。第 50 行是针对 ‘microsoft-ds’ 端口（445），第 51 行是针对 ‘netbios-ssn’ 端口（135），我们可以看到，这两个端口都是打开的。（LCTT 译注：在 50 行和 51 行之前，目标系统发回了 SYN/ACK 响应，表示端口打开。）除了这些端口，没有其他 ACK（应答）是来自目标系统的。每一个请求均可发送超过 1000 次。

正如图片４所展示的，目标系统是 Windows 系统，我关闭了系统防火墙，然后再次执行扫描。现在，我们看到了 997 个已关闭端口不是 997 个被过滤端口。目标系统上的 135 端口之前被防火墙禁止了，现在也是开启的。

图片４

TCP Connect() 扫描 （-sT）

尽管 TCP SYN 扫描需要 Root 权限，但 TCP Connect() 扫描并不需要。在这种扫描中会执行一个完整的“三次握手”。因为不需要 Root 权限，所以在无法获取 Root 权限的网络上，这种扫描非常有用。

TCP Connect() 扫描的工作方式也是执行“三次握手”。正如上面描述过的，“三次握手”发生在两个系统之间。源系统发送一个同步（SYN）请求到目标系统。然后，目标系统将通过同步／应答（SYN/ACK）来响应。最后，源系统通过应答（ACK）来响应，从而建立起连接，然后便可在两个系统之间传输数据。

TCP Connect 扫描通过执行下面的步骤来工作：

1. 源系统发送一个同步（SYN）请求到目标系统，该请求中包含一个端口号。
2. 如果上一步所请求的端口是开启的，那么目标系统将通过同步/应答（SYN/ACK）来响应源系统。
3. 源系统通过应答（ACK）来响应目标系统从而完成会话创建。
4. 然后，源系统向目标系统发送一个重置（RST）包来关闭会话。
5. 目标系统可以通过同步/应答（SYN/ACK）来响应源系统。

若步骤 2 执行了，那么源系统就知道在步骤 1 中的指定端口是开启的。

如果端口是关闭的，那么会发生和 TCP SYN 扫描相同的事。在步骤 2 中，目标系统将会通过一个重置（RST）包来响应源系统。

可以使用命令 nmap -sT <IP 地址> 来执行扫描。<IP 地址>可以改为一个单一 IP 地址，像图片５那样，或者使用一组 IP 地址。

TCP Connect() 扫描的结果可以在图片５中看到。在这儿，你可以看到，有两个已开启端口：139 和 445，这和 TCP SYN 扫描的发现一样。端口 80 是关闭的。剩下没有显示的端口是被过滤了的。

图片５

让我们关闭防火墙以后再重新扫描一次，扫描结果展示在图片６中。

图片６

关闭防火墙以后，我们可以看到，更多的端口被发现了。就和 TCP SYN 扫描一样，关闭防火墙以后，发现 139 端口和 445 端口是开启的。我们还发现，端口 2869 也是开启的。也发现有 996 个端口是关闭的。现在，端口 80 是 996 个已关闭端口的一部分 — 不再被防火墙过滤。

在一些情况下， TCP Connect() 扫描可以在一个更短的时间内完成。和 TCP SYN 扫描相比，TCP Connect() 扫描也可以找到更多的已开启端口

via: https://www.linuxforum.com/threads/nmap-common-scans-part-two.3879/

作者：Jarret 译者：ucasFL 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

介绍

隐私和安全正在逐渐成为一个重要的话题。虽然不可能做到 100% 安全，但是，还是能采取一些措施，特别是在 Linux 上，在你浏览网页的时候保护你的在线隐私安全。

基于这些目的选择浏览器的时候，火狐或许是你的最佳选择。谷歌 Chrome 不能信任。它是属于谷歌的，一个众所周知的数据收集公司，而且它是闭源的。 Chromium 或许还可以，但并不能保证。只有火狐保持了一定程度的用户权利承诺。

火狐设置

火狐里有几个你能设定的设置，能更好地保护你的隐私。这些设置唾手可得，能帮你控制那些在你浏览的时候分享的数据。

健康报告

你首先可以设置的是对火狐健康报告发送的限制，以限制数据发送量。当然，这些数据只是被发送到 Mozilla，但这也是传输数据。

打开火狐的菜单，点击 “选项” Preferences 。来到侧边栏里的 “高级” Advanced 选项卡，点击 “数据选项” Data Choices 。这里你能禁用任意数据的报告。

搜索

新版的火狐浏览器默认使用雅虎搜索引擎。一些发行版会更改设置，替代使用的是谷歌。两个方法都不理想。火狐可以使用 DuckDuckGo 作为默认选项。

为了启用 DuckDuckGo，你得打开火狐菜单点击 “选项” Preferences 。直接来到侧边栏的 “搜索” Search 选项卡。然后，在 “默认搜索引擎” Default Search Engine 的下拉菜单中选择 DuckDuckGo 。

请勿跟踪 Do Not Track

这个功能并不完美，但它确实向站点发送了一个信号，告诉它们不要使用分析工具来记录你的活动。这些网页或许会遵从，会许不会。但是，最好启用请勿跟踪，也许它们会遵从呢。

再次打开火狐的菜单，点击 “选项” Preferences ，然后是 “隐私” Privacy 。页面的最上面有一个 “跟踪” Tracking 部分。点击那一行写着 “您还可以管理您的‘请勿跟踪’设置” You can also manage your Do Not Track settings 的链接。会出现一个有复选框的弹出窗口，那里允许你启用“请勿跟踪”设置。

禁用 Pocket

没有任何证据显示 Pocket 正在做一些不好的事情，但是禁用它或许更好，因为它确实连接了一个专有的应用。

禁用 Pocket 不是太难，但是你得注意只改变 Pocket 相关设置。要访问你所需的配置页面，在火狐的地址栏里输入about:config。

页面会加载一个设置表格，在表格的最上面是搜索栏，在那儿搜索 Pocket 。

你将会看到一个包含结果的新表格。找一下名为 extensions.pocket.enabled 的设置。当你找到它的时候，双击使其转变为“否”。你也能在这儿编辑 Pocket 的其他相关设置。不过没什么必要。注意不要编辑那些跟 Pocket 扩展不直接相关的任何东西。

附加组件 Add-ons

火狐最有效地保护你隐私和安全的方式来自附加组件。火狐有大量的附加组件库，其中很多是免费、开源的。在这篇指导中着重提到的附加组件，在使浏览器更安全方面是名列前茅的。

HTTPS Everywhere

针对大量没有使用 SSL 证书的网页、许多不使用 https 协议的链接、指引用户前往不安全版本的网页等现状， 电子前线基金会 Electronic Frontier Foundation 开发了 HTTPS Everywhere。HTTPS Everywhere 确保了如果该链接存在有一个加密的版本，用户将会使用它。

给火狐设计的 HTTPS Everywhere 已经可以使用，在火狐的附加组件搜索网页上。（LCTT 译注：对应的中文页面。）

Privacy Badger

电子前线基金会同样开发了 Privacy Badger。 Privacy Badger 旨在通过阻止不想要的网页跟踪，弥补“请勿跟踪”功能的不足之处。它同样能通过火狐附加组件仓库安装。。（LCTT 译注：对应的中文页面。）

uBlock Origin

现在有一类更通用的的隐私附加组件，屏蔽广告。这里的选择是 uBlock Origin，uBlock Origin 是个更轻量级的广告屏蔽插件，几乎不遗漏所有它会屏蔽的广告。 uBlock Origin 将主要屏蔽各种广告，特别是侵入性的广告。你能在这儿找到它。。（LCTT 译注：对应的中文页面。）

NoScript

阻止 JavaScript 是有点争议， JavaScript 虽说支撑了那么多的网站，但还是臭名昭著，因为 JavaScript 成为侵略隐私和攻击的媒介。NoScript 是应对 JavaScript 的绝佳方案。

NoScript 是一个 JavaScript 的白名单，它会屏蔽所有 JavaScript，除非该站点被添加进白名单中。可以通过插件的“选项”菜单，事先将一个站点加入白名单，或者通过在页面上点击 NoScript 图标的方式添加。

通过火狐附加组件仓库可以安装 NoScript 如果网页提示不支持你使用的火狐版本，点 “无论如何下载” Download Anyway 。这已经在 Firefox 51 上测试有效。

Disconnect

Disconnect 做的事情很多跟 Privacy Badger 一样，它只是提供了另一个保护的方法。你能在附加组件仓库中找到它 （LCTT 译注：对应的中文页面）。如果网页提示不支持你使用的火狐版本，点 “无论如何下载” Download Anyway 。这已经在 Firefox 51 上测试有效。

Random Agent Spoofer

Random Agent Spoofer 能改变火狐浏览器的签名，让浏览器看起来像是在其他任意平台上的其他任意浏览器。虽然有许多其他的用途，但是它也能用于预防浏览器指纹侦查。

浏览器指纹侦查 Browser Fingerprinting 是网站基于所使用的浏览器和操作系统来跟踪用户的另一个方式。相比于 Windows 用户，浏览器指纹侦查更多影响到 Linux 和其他替代性操作系统用户，因为他们的浏览器特征更独特。

你能通过火狐附加插件仓库添加 Random Agent Spoofer。（LCTT 译注：对应的中文页面）。像其他附加组件那样，页面或许会提示它不兼容最新版的火狐。再说一次，那并不是真的。

你可以通过点击火狐菜单栏上的图标来使用 Random Agent Spoofer。点开后将会出现一个下拉菜单，有不同模拟的浏览器选项。最好的选项之一是选择"Random Desktop" 和任意的切换时间。这样，就绝对没有办法来跟踪你了，也保证了你只能获得网页的桌面版本。

系统设置

私人 DNS

请避免使用公共或者 ISP 的 DNS 服务器！即使你配置你的浏览器满足绝对的隐私标准，你向公共 DNS 服务器发出的 DNS 请求却暴露了所有你访问过的网页。诸如谷歌公共 DNS（IP：8.8.8.8 、8.8.4.4）这类的服务将会记录你的 IP 地址、你的 ISP 和地理位置信息。这些信息或许会被任何合法程序或者强制性的政府请求所分享。

当我在使用谷歌公共 DNS 服务时，谷歌会记录什么信息？

谷歌公共 DNS 隐私页面有一个完整的收集信息列表。谷歌公共 DNS 遵循谷歌的主隐私政策，在 “隐私中心” Privacy Center 可以看到。 用户的客户端 IP 地址是唯一会被临时记录的（一到两天后删除），但是为了让我们的服务更快、更好、更安全，关于 ISP 和城市/都市级别的信息将会被保存更长的时间。 参考资料： https://developers.google.com/speed/public-dns/faq#privacy

由于以上原因，如果可能的话，配置并使用你私人的非转发 DNS 服务器。现在，这项任务或许跟在本地部署一些预先配置好的 DNS 服务器的 Docker 容器一样简单。例如，假设 Docker 服务已经在你的系统安装完成，下列命令将会部署你的私人本地 DNS 服务器：

# docker run -d --name bind9 -p 53:53/udp -p 53:53 fike/bind9

DNS 服务器现在已经启动并正在运行：

# dig @localhost google.com
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> @localhost google.com
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51110
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             242     IN      A       216.58.199.46

现在，在 /etc/resolv.conf 里设置你的域名服务器：

nameserver 127.0.0.1

结束语

没有完美的安全隐私解决方案。虽然本篇指导里的步骤可以明显改进它们。如果你真的很在乎隐私，Tor 浏览器 是最佳选择。Tor 对于日常使用有点过犹不及，但是它的确使用了这篇指导里列出的一些措施。

via: https://linuxconfig.org/protecting-your-privacy-with-firefox-on-linux

作者：Nick Congleton 译者：ypingcn 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这个系列中， 我们会讨论一些阻止黑客入侵你的系统的重要信息。观看这个免费的网络点播研讨会获取更多的信息。

在这个系列的第一部分中，我分享过两种简单的方法来阻止黑客黑掉你的 Linux 主机。这里是另外三条来自于我最近在 Linux 基金会的网络研讨会上的建议，在这次研讨会中，我分享了更多的黑客用来入侵你的主机的策略、工具和方法。完整的网络点播研讨会视频可以在网上免费观看。

简单的 Linux 安全提示 #3

Sudo。

Sudo 非常、非常的重要。我认为这只是很基本的东西，但就是这些基本的东西会让我的黑客生涯会变得更困难一些。如果你没有配置 sudo，还请配置好它。

还有，你主机上所有的用户必须使用他们自己的密码。不要都免密码使用 sudo 执行所有命令。当我有一个可以无需密码而可以 sudo 任何命令的用户，只会让我的黑客活动变得更容易。如果我可以无需验证就可以 sudo ，同时当我获得你的没有密码的 SSH 密钥后，我就能十分容易的开始任何黑客活动。这样，我就拥有了你机器的 root 权限。

保持较低的超时时间。我们喜欢劫持用户的会话，如果你的某个用户能够使用 sudo，并且设置的超时时间是 3 小时，当我劫持了你的会话，那么你就再次给了我一个自由的通道，哪怕你需要一个密码。

我推荐的超时时间大约为 10 分钟，甚至是 5 分钟。用户们将需要反复地输入他们的密码，但是，如果你设置了较低的超时时间，你将减少你的受攻击面。

还要限制可以访问的命令，并禁止通过 sudo 来访问 shell。大多数 Linux 发行版目前默认允许你使用 sudo bash 来获取一个 root 身份的 shell，当你需要做大量的系统管理的任务时，这种机制是非常好的。然而，应该对大多数用户实际需要运行的命令有一个限制。你对他们限制越多，你主机的受攻击面就越小。如果你允许我 shell 访问，我将能够做任何类型的事情。

简单的 Linux 安全提示 #4

限制正在运行的服务。

防火墙很好，你的边界防火墙非常的强大。当流量流经你的外部网络时，有几家防火墙产品可以帮你很好的保护好自己。但是防火墙内的人呢？

你正在使用基于主机的防火墙或者基于主机的入侵检测系统吗？如果是，请正确配置好它。怎样可以知道你的正在受到保护的东西是否出了问题呢？

答案是限制当前正在运行的服务。不要在不需要提供 MySQL 服务的机器上运行它。如果你有一个默认会安装完整的 LAMP 套件的 Linux 发行版，而你不会在它上面运行任何东西，那么卸载它。禁止那些服务，不要开启它们。

同时确保用户不要使用默认的身份凭证，确保那些内容已被安全地配置。如何你正在运行 Tomcat，你不应该可以上传你自己的小程序（applets）。确保它们不会以 root 的身份运行。如果我能够运行一个小程序，我不会想着以管理员的身份来运行它，我能访问就行。你对人们能够做的事情限制越多，你的机器就将越安全。

简单的 Linux 安全提示 #5

小心你的日志记录。

看看它们，认真地，小心你的日志记录。六个月前，我们遇到一个问题。我们的一个顾客从来不去看日志记录，尽管他们已经拥有了很久、很久的日志记录。假如他们曾经看过日志记录，他们就会发现他们的机器早就已经被入侵了，并且他们的整个网络都是对外开放的。我在家里处理的这个问题。每天早上起来，我都有一个习惯，我会检查我的 email，我会浏览我的日志记录。这仅会花费我 15 分钟，但是它却能告诉我很多关于什么正在发生的信息。

就在这个早上，机房里的三台电脑死机了，我不得不去重启它们。我不知道为什么会出现这样的情况，但是我可以从日志记录里面查出什么出了问题。它们是实验室的机器，我并不在意它们，但是有人会在意。

通过 Syslog、Splunk 或者任何其他日志整合工具将你的日志进行集中是极佳的选择。这比将日志保存在本地要好。我最喜欢做是事情就是修改你的日志记录让你不知道我曾经入侵过你的电脑。如果我能这么做，你将不会有任何线索。对我来说，修改集中的日志记录比修改本地的日志更难。

它们就像你的很重要的人，送给它们鲜花——磁盘空间。确保你有足够的磁盘空间用来记录日志。由于磁盘满而变成只读的文件系统并不是一件愉快的事情。

还需要知道什么是不正常的。这是一件非常困难的事情，但是从长远来看，这将使你日后受益匪浅。你应该知道什么正在进行和什么时候出现了一些异常。确保你知道那。

在第三篇也是最后的一篇文章里，我将就这次研讨会中问到的一些比较好的安全问题进行回答。现在开始看这个完整的免费的网络点播研讨会吧。

Mike Guthrie 就职于能源部，主要做红队交战和渗透测试。

via: https://www.linux.com/news/webinar/2017/how-keep-hackers-out-your-linux-machine-part-2-three-more-easy-security-tips

作者：MIKE GUTHRIE 译者：zhousiyu325 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

今年是我们一起庆祝 SELinux 纪念日的第十个年头了（LCTT 译者注：本文发表于 2013 年）。真是太难以置信了！SELinux 最初在 Fedora Core 3 中被引入，随后加入了红帽企业版 Linux 4。从来没有使用过 SELinux 的家伙，你可要好好儿找个理由了……

SElinux 是一个标签型系统。每一个进程都有一个标签。操作系统中的每一个文件/目录 客体 （ object ） 也都有一个标签。甚至连网络端口、设备，乃至潜在的主机名都被分配了标签。我们把控制访问进程的标签的规则写入一个类似文件的客体标签中，这些规则我们称之为 策略 （ policy ） 。内核强制实施了这些规则。有时候这种“强制”被称为 强制访问控制体系 （ Mandatory Access Control ） （MAC）。

一个客体的拥有者对客体的安全属性并没有自主权。标准 Linux 访问控制体系，拥有者/分组 + 权限标志如 rwx，常常被称作 自主访问控制 （ Discretionary Access Control ） （DAC）。SELinux 没有文件 UID 或拥有权的概念。一切都被标签控制，这意味着在没有至高无上的 root 权限进程时，也可以设置 SELinux 系统。

注意： SELinux 不允许你摒弃 DAC 控制。SELinux 是一个并行的强制模型。一个应用必须同时支持 SELinux 和 DAC 来完成特定的行为。这可能会导致管理员迷惑为什么进程被拒绝访问。管理员被拒绝访问是因为在 DAC 中有些问题，而不是在 SELinux 标签。

类型强制

让我们更深入的研究下标签。SELinux 最主要的“模型”或“强制”叫做 类型强制 （ type enforcement ） 。基本上这意味着我们根据进程的类型来定义其标签，以及根据文件系统客体的类型来定义其标签。

打个比方

想象一下在一个系统里定义客体的类型为猫和狗。猫（CAT）和狗（DOG）都是 进程类型 （ process type ） 。

我们有一类希望能与之交互的客体，我们称之为食物。而我希望能够为食物增加类型：cat_food （猫的食物）和 dog_food（狗的食物）。

作为一个策略制定者，我可以说一只狗有权限去吃狗粮（dog_chow），而一只猫有权限去吃猫粮（cat_chow）。在 SELinux 中我可以将这条规则写入策略中。

allow cat cat_chow:food eat;

允许 猫 猫粮：食物 吃；

allow dog dog_chow:food eat;

允许 狗 狗粮：食物 吃；

有了这些规则，内核会允许猫进程去吃打上猫粮标签 cat_chow 的食物，允许狗去吃打上狗粮标签 dog_chow 的食物。

此外，在 SELinux 系统中，由于禁止是默认规则，这意味着，如果狗进程想要去吃猫粮 cat_chow，内核会阻止它。

同理，猫也不允许去接触狗粮。

现实例子

我们将 Apache 进程标为 httpd_t，将 Apache 上下文标为 httpd_sys_content_t 和 httpdsys_content_rw_t。假设我们把信用卡数据存储在 MySQL 数据库中，其标签为 msyqld_data_t。如果一个 Apache 进程被劫持，黑客可以获得 httpd_t 进程的控制权，从而能够去读取 httpd_sys_content_t 文件并向 httpd_sys_content_rw_t 文件执行写操作。但是黑客却不允许去读信用卡数据（mysqld_data_t），即使 Apache 进程是在 root 下运行。在这种情况下 SELinux 减轻了这次闯入的后果。

多类别安全强制

打个比方

上面我们定义了狗进程和猫进程，但是如果你有多个狗进程：Fido 和 Spot，而你想要阻止 Fido 去吃 Spot 的狗粮 dog_chow 怎么办呢?

一个解决方式是创建大量的新类型，如 Fido_dog 和 Fido_dog_chow。但是这很快会变得难以驾驭因为所有的狗都有差不多相同的权限。

为了解决这个问题我们发明了一种新的强制形式，叫做 多类别安全 （ Multi Category Security ） （MCS）。在 MCS 中，我们在狗进程和狗粮的标签上增加了另外一部分标签。现在我们将狗进程标记为 dog:random1(Fido) 和 dog:random2(Spot)。

我们将狗粮标记为 dog_chow:random1(Fido) 和 dog_chow:random2(Spot)。

MCS 规则声明如果类型强制规则被遵守而且该 MCS 随机标签正确匹配，则访问是允许的，否则就会被拒绝。

Fido (dog:random1) 尝试去吃 cat_chow:food 被类型强制拒绝了。

Fido (dog:random1) 允许去吃 dog_chow:random1。

Fido (dog:random1) 去吃 spot(dog_chow:random2)的食物被拒绝。

现实例子

在计算机系统中我们经常有很多具有同样访问权限的进程，但是我们又希望它们各自独立。有时我们称之为 多租户环境 （ multi-tenant environment ） 。最好的例子就是虚拟机。如果我有一个运行很多虚拟机的服务器，而其中一个被劫持，我希望能够阻止它去攻击其它虚拟机和虚拟机镜像。但是在一个类型强制系统中 KVM 虚拟机被标记为 svirt_t 而镜像被标记为 svirt_image_t。 我们允许 svirt_t 可以读/写/删除标记为 svirt_image_t 的上下文。通过使用 libvirt 我们不仅实现了类型强制隔离，而且实现了 MCS 隔离。当 libvirt 将要启动一个虚拟机时，它会挑选出一个 MCS 随机标签如 s0:c1,c2，接着它会将 svirt_image_t:s0:c1,c2 标签分发给虚拟机需要去操作的所有上下文。最终，虚拟机以 svirt_t:s0:c1,c2 为标签启动。因此，SELinux 内核控制 svirt_t:s0:c1,c2 不允许写向 svirt_image_t:s0:c3,c4，即使虚拟机被一个黑客劫持并接管，即使它是运行在 root 下。

我们在 OpenShift 中使用类似的隔离策略。每一个 gear（user/app process）都有相同的 SELinux 类型（openshift_t）（LCTT 译注：gear 为 OpenShift 的计量单位）。策略定义的规则控制着 gear 类型的访问权限，而一个独一无二的 MCS 标签确保了一个 gear 不能影响其他 gear。

请观看下面的视频来看 OpenShift gear 切换到 root 会发生什么。

多级别安全强制

另外一种不经常使用的 SELinux 强制形式叫做 多级别安全 （ Multi Level Security ） （MLS）；它开发于上世纪 60 年代，并且主要使用在受信操作系统上如 Trusted Solaris。

其核心观点就是通过进程使用的数据等级来控制进程。一个 secret 进程不能读取 top secret 数据。

MLS 很像 MCS，除了它在强制策略中增加了支配的概念。MCS 标签必须完全匹配，但一个 MLS 标签可以支配另一个 MLS 标签并且获得访问。

打个比方

不讨论不同名字的狗，我们现在来看不同种类。我们现在有一只格雷伊猎犬和一只吉娃娃。

我们可能想要允许格雷伊猎犬去吃任何狗粮，但是吉娃娃如果尝试去吃格雷伊猎犬的狗粮可能会被呛到。

我们把格雷伊猎犬标记为 dog:Greyhound，把它的狗粮标记为 dog_chow:Greyhound，把吉娃娃标记为 dog:Chihuahua，把它的狗粮标记为 dog_chow:Chihuahua。

使用 MLS 策略，我们可以使 MLS 格雷伊猎犬标签支配吉娃娃标签。这意味着 dog:Greyhound 允许去吃 dog_chow:Greyhound 和 dog_chow:Chihuahua。

但是 dog:Chihuahua 不允许去吃 dog_chow:Greyhound。

当然，由于类型强制， dog:Greyhound 和 dog:Chihuahua 仍然不允许去吃 cat_chow:Siamese，即使 MLS 类型 GreyHound 支配 Siamese。

现实例子

有两个 Apache 服务器：一个以 httpd_t:TopSecret 运行，一个以 httpd_t:Secret 运行。如果 Apache 进程 httpd_t:Secret 被劫持，黑客可以读取 httpd_sys_content_t:Secret 但会被禁止读取 httpd_sys_content_t:TopSecret。

但是如果运行 httpd_t:TopSecret 的 Apache 进程被劫持，它可以读取 httpd_sys_content_t:Secret 数据和 httpd_sys_content_t:TopSecret 数据。

我们在军事系统上使用 MLS，一个用户可能被允许读取 secret 数据，但是另一个用户在同一个系统上可以读取 top secret 数据。

结论

SELinux 是一个功能强大的标签系统，控制着内核授予每个进程的访问权限。最主要的特性是类型强制，策略规则定义的进程访问权限基于进程被标记的类型和客体被标记的类型。也引入了另外两个控制手段，分离有着同样类型进程的叫做 MCS，而 MLS，则允许进程间存在支配等级。

*所有的漫画都来自 Máirín Duffy

作者简介：

Daniel J Walsh - Daniel Walsh 已经在计算机安全领域工作了将近 30 年。Daniel 于 2001 年 8 月加入红帽。

via: https://opensource.com/business/13/11/selinux-policy-guide

作者：Daniel J Walsh 译者：xiaow6 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

由于安全问题越来越严重，Linux 发行版需要在安装程序中突出显示基本安全选项，而不是让用户稍后手动添加这些选项。

十二年前，Linux 发行版努力使安装变得简单。在 Ubuntu 和 Fedora 的引领下，它们很早就实现了这一目标。现在，随着对安全性越来越关注，它们需要稍微转变下方向，并在安装程序中突出显示基本安全选项，而不是让用户稍后手动添加这些选项。

当然，即便是在最好的情况下，说服用户来设置安全功能都是困难的。太多用户甚至不愿意添加如非特权用户帐户或密码这样简单的功能，他们显然更喜欢用重装或者以每小时 80 美元的价格咨询专家来减少风险。

然而，即便一般用户不会专门注意安全，但他也可能会在安装过程中注意。他们可能永远不会再想到它，但也许在安装过程中，当他们的注意力集中时，特别是如果有可见的在线帮助来解释其好处时，他们可能被说服选择一个复选框。

这种转变也并不伟大。许多安装程序已经提供了自动登录的选择 - 这对于不包含个人数据的安装来说或许是可以接受的功能，但更可能会被那些觉得登录不方便的用户使用。同样感谢 Ubuntu，它选择加密文件系统 - 至少在主目录中是这样 - 它已经成为许多安装程序的标准。我真正建议的也是这样的。

此外，外部安装程序如 Firefox 已经无缝合并了隐私浏览，而 Signal Private Messenger 则是一个可替代标准 的 Android 手机和联系人的应用程序。

这些建议远不算激进。它只需要意志和想象力来实现它。

Linux 安全第一步

应该将什么类型的安全功能添加到安装程序呢？

首先是防火墙。有许多图形界面程序可以设置防火墙。尽管十七年的经验，但是就像拜伦对柯尔律治的形而上的思想的讨论一样，我有时还是希望有人能来解释一下。

尽管出于好意，大多数防火墙工具对 iptables 的处理看起来都很直接。有一个现在已经停止维护的加固系统 Bastille Linux 可以用于安装一个基本的防火墙，我看不出为什么其他发行版做不到同样的事情。

一些工具可以用于安装后处理，并且对于安装器而言可以毫无困难地添加使用。例如，对于 Grub 2，这个大多数发行版使用的引导管理器包含了基本密码保护。诚然，密码可以通过 Live CD 绕过，但它仍然在包括远程登录在内的日常情况下提供一定程度的保护。

类似地，一个类似于 pwgen 的密码生成器也可以添加到安装程序设置帐户的环节。这些工具强制可接受密码的长度、以及它们的大小写字母、数字和特殊字符的组合。它们许多都可以为你生成密码，有些甚至可以使生成的密码可拼读，以便你记住密码。

还有些工具也可以添加到安装过程的这个部分。例如，安装程序可以请求定期备份的计划，并添加一个计划任务和一个类似 kbackup 的简单的备份工具。

那么加密电子邮件怎么办？如今最流行的邮件阅读器包括了加密邮件的能力，但是设置和使用加密需要用户采取额外的设置，这使常见的任务复杂化，以至于用户会忽略它。然而，看看 Signal 在手机上的加密有多么简单，很显然，在笔记本电脑和工作站上加密会更容易。大多数发行版可能都喜欢对等加密，而不喜欢 Signal 那样的集中式服务器，但像 Ring 这样的程序可以提供这种功能。

无论在安装程序中添加了什么功能，也许这些预防措施也可以扩展到生产力软件，如 LibreOffice。大多数安全工作都集中在电子邮件、网络浏览和聊天中，但文字处理程序和电子表格及其宏语言，是一个明显的恶意软件感染的来源和隐私关注点。除了像 Qubes OS 或 Subgraph 这样的几个例外之外，很少有人努力将生产力软件纳入其安全预防措施 - 这可能会留下一个安全漏洞空缺。

适应现代

当然，在意安全的用户也许会采取一些安全的方法，这样的用户可以为自己负责。

我关心的是那些不太了解安全或不太愿意自己做修补的用户。我们越来越需要易于使用的安全性，并且亟待解决。

这些例子只是开始。所需要的工具大多数已经存在，只是需要以这样的方式来实现它们，使得用户不能忽略它们，并且能够不用懂什么就可以使用它们。可能实现所有这些只需要一个人月而已，包括原型、UI 设计和测试等等。

然而，在添加这些功能前，大多数主流的 Linux 发行版几乎不能说是关注到了安全性。毕竟，如果用户从不使用它们，那怎么会是好工具？

via: http://www.datamation.com/security/why-linux-installers-need-to-add-security-features.html

作者：Bruce Byfield 译者：geekpi 校对：Bestony, wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出