标签 安全 下的文章

安全专家告知数据被泄露后,却接到了对方的律师函

报道,安全专家 Rob Dyke 在 2 月底发现了一个公开的 GitHub 仓库,其中包含一个网站的源代码,以及包含用户名、散列密码、电子邮件地址和 API 密钥的数据库。然而在他 3 月 1 日书面告知数据泄露的 Apperta 基金会后却收到了律师函。

Apperta 的第一反应对他表示了感谢。然而 Dyke 告诉 Apperta,他将加密保留他发现的文件的副本三个月,然后销毁它们。Dyke 说他保留这些信息是为了防止再次需要这些信息,“以防出现我所不知道的更广泛的网络事件”。Apperta 将此解释为非法复制其数据。一周后,该公司的律师写信给他,要求他销毁文件的副本。在律师交锋几周后,Apperta 明确表示要向高等法院申请针对这位安全专家的禁令。

Dyke 最终在上法庭前删除了这些数据,并提交了证明。Apperta 表示他们没有提出诉讼,Dyke 已经承诺删除数据,但同时认为 Dyke “超越了善意研究的界限,而且他这样做是不道德的”。

此事引起了网络安全界的同情,人们为 Dyke 捐赠了 15000 英镑以解决法庭诉讼。然而,我们需要思考的是,白帽子的法律边界在哪里?什么是可以做的,什么是不可以做的?

研究人员制造出仅在显微镜下可见的无线、可注射的芯片

哥伦比亚大学研究人员报告说,他们已经建立了据说是世界上最小的单芯片系统,总体积小于 0.1 立方毫米,像一只尘螨一样小,只有在显微镜下才能看到。这是一个“芯片即系统”的新想法:一个单独的芯片就是一个完整的功能电子系统。该芯片是一个整体可植入/可注射的微粒,没有额外的封装。它是在台积电制造的,并进行了纳米级的工艺修改。该团队的目标是开发可以用于皮下注射的芯片,然后用超声波将其传回体外,提供它们在本地测量的信息。目前该芯片的功能是测量体温,但该团队正在研究的可能性还有很多。

这就是几十年前科幻小说里面的场景啊,这种芯片可以在医疗方面发挥很大的作用。

Rust 编程语言庆祝六岁生日

周六,Rust 编程语言的开发者庆祝了自 1.0 版本推出以来的六周年。作为 C 语言的替代品获得了很多关注,这要归功于默认开启的代码安全功能,它带来的是更少的可被利用的内存相关错误。这种内存安全特性让不少程序员注意到了它,由此它的采用率开始了编程语言当中不可思议的火箭式上升,Stack Overflow 甚至发现它是 2020 年调查中最受欢迎的编程语言

目前采用 Rust 的最引人注目的项目之一是 Firefox 浏览器,到 2020 年 7 月,macOS 上的Firefox Nightly 有 12.31% 的代码是用 Rust 代码编写的。

虽然 Rust 语言学习起来有些难,但是在某些原本是 C/C++ 独占领域里,Rust 已经显示出了明显的优势。

Python 之父要在 Python 3.11 中将速度翻倍

在本周的美国 PyCon 语言峰会上,Python 之父 Guido 发布的一份文件,详细介绍了他要使 Python 成为一种更快的语言的野心,他承诺在 Python 3.11 中使其速度翻倍。

不过,Guido 也不敢保证一定能达成目标,只是乐观地感觉有希望。如果真的能实现,主要受益者将是那些运行 CPU 密集型纯 Python 代码的人。而对于已经用 C 语言编写的代码,如 NumPy 和TensorFlow,I/O 绑定的代码、多线程代码,以及算法效率低下的代码,不会有太大的好处。

我们真的需要更快的 Python 吗?需要更快处理的数据科学和人工智能项目,都依赖于 GPU,所以 CPU 上跑起来快不快真的没那么重要。

祝融号成功着陆火星

5 月 15 日,天问一号着陆巡视器成功着陆于火星乌托邦平原南部预选着陆区,我国首次火星探测任务着陆火星取得圆满成功。着陆巡视器与环绕器分离后,环绕器升轨返回停泊轨道,为着陆巡视器提供中继通信。着陆巡视器包括“祝融号”火星车及进入舱。后续,“祝融号”火星车将依次开展对着陆点全局成像、自检、驶离着陆平台并开展巡视探测。

恭喜我国航天航空事业取得新成就!上午有朋友问我,祝融号是否采用了开源技术?从目前公开的信息看,我们尚不知道“祝融号”所采用的技术是什么,是否涉及开源技术也不得而知。

美国政府发布行政命令,要求加强开源软件安全

5 月 12 日,美国拜登政府发布行政命令,以加强美联邦政府的网络防御,要求“在初步准则公布后的 90 天内……应发布指南,确定加强软件供应链安全的做法。”并特别提到开源软件,要求美国政府必须确保“在可行的范围内,确保产品任何部分所使用的开源软件的完整性和出处”。即提供一个软件材料清单,包含了用于构建软件的各种组件的细节和供应链关系。

Linux 基金会已经发起了诸多项目和基金会,着力于改善日益严重的开源软件安全问题。

Slackware 还活着,准备发布 15.0

Slackware 是至今仍在维护的历史最悠久的 Linux 发行版。它的上一个稳定版本 Slackware 14.2 还是在 2016 年发布的。最近,它刚刚发布了 15.0 Beta。主要变化包括:KDE Plasma 5.21、Xfce 4.16 和 GNOME 3.36/3.38,内核版本为 Linux Kernel 5.10.x。

天哪,居然又复活了,这是我用过的第一个 Linux 发行版,第一次安装时我遇到了 LILO 错误:满屏幕的 01010101…… 而不知所措。

谷歌 Project Zero 团队调整漏洞披露时限

之前,谷歌 Project Zero 的研究人员会给软件厂商 90 天的时间来修复安全漏洞。当 bug 被修复后,或者在 90 天时间窗口结束时,谷歌研究人员会在网上公布漏洞的细节。新的时限为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件。此外,对于已经被主动利用的零日漏洞,也在原有的 7 天的基础上增加了 3 天。

其实,有时候你就是给厂商再多时间,它也不着急,不到 DeadLine 不着急。

世界首位官方认证半机械人出现

一位出生时便患有严重的色盲症的男子,看到的世界都是黑白的,成为了世界上第一位头骨植入天线的人,也是政府合法认可与批准的改造人。通过在头骨中植入了天线扩充色彩感知的传感系统,使得他可以通过天线振动频率来感觉不同的色彩,甚至是普通人看不到的红外线紫外线等元素。他在手术之后,大约用了 5 周时间将每种颜色与每种声音相匹配,又用了 5 个月时间破译每种频率,现在他已经可以通过声音“听出”特定的颜色,弥补了他人生之中的最大遗憾。

科幻小说和现实的距离越来越近了……

使用开源工具来保护你的 Linux 环境不被入侵。

 title=

如今我们的许多个人和专业数据都可以在网上获得,因此无论是专业人士还是普通互联网用户,学习安全和隐私的基本知识是非常重要的。作为一名学生,我通过学校的 CyberPatriot 活动获得了这方面的经验,在那里我有机会与行业专家交流,了解网络漏洞和建立系统安全的基本步骤。

本文基于我作为初学者迄今所学的知识,详细介绍了六个简单的步骤,以提高个人使用的 Linux 环境的安全性。在我的整个旅程中,我利用开源工具来加速我的学习过程,并熟悉了与提升 Linux 服务器安全有关的更高层次的概念。

我使用我最熟悉的 Ubuntu 18.04 版本测试了这些步骤,但这些步骤也适用于其他 Linux 发行版。

1、运行更新

开发者们不断地寻找方法,通过修补已知的漏洞,使服务器更加稳定、快速、安全。定期运行更新是一个好习惯,可以最大限度地提高安全性。运行它们:

sudo apt-get update && apt-get upgrade

2、启用防火墙保护

启用防火墙 可以更容易地控制服务器上的进站和出站流量。在 Linux 上有许多防火墙应用程序可以使用,包括 firewall-cmd 简单防火墙 Uncomplicated Firewall UFW)。我使用 UFW,所以我的例子是专门针对它的,但这些原则适用于你选择的任何防火墙。

安装 UFW:

sudo apt-get install ufw

如果你想进一步保护你的服务器,你可以拒绝传入和传出的连接。请注意,这将切断你的服务器与世界的联系,所以一旦你封锁了所有的流量,你必须指定哪些出站连接是允许从你的系统中发出的:

sudo ufw default deny incoming
sudo ufw default allow outgoing

你也可以编写规则来允许你个人使用所需要的传入连接:

ufw allow <service>

例如,允许 SSH 连接:

ufw allow ssh

最后,启用你的防火墙:

sudo ufw enable

3、加强密码保护

实施强有力的密码政策是保持服务器安全、防止网络攻击和数据泄露的一个重要方面。密码策略的一些最佳实践包括强制要求最小长度和指定密码年龄。我使用 libpam-cracklib 软件包来完成这些任务。

安装 libpam-cracklib 软件包:

sudo apt-get install libpam-cracklib

强制要求密码的长度:

  • 打开 /etc/pam.d/common-password 文件。
  • minlen=12 行改为你需要的任意字符数,从而改变所有密码的最小字符长度要求。

为防止密码重复使用:

  • 在同一个文件(/etc/pam.d/common-password)中,添加 remember=x 行。
  • 例如,如果你想防止用户重复使用他们最后 5 个密码中的一个,使用 remember=5

要强制要求密码年龄:

  • /etc/login.defs 文件中找到以下几行,并用你喜欢的时间(天数)替换。例如:
PASS_MIN_AGE: 3
PASS_MAX_AGE: 90
PASS_WARN_AGE: 14 

强制要求字符规格:

  • 在密码中强制要求字符规格的四个参数是 lcredit(小写)、ucredit(大写)、dcredit(数字)和 ocredit(其他字符)。
  • 在同一个文件(/etc/pam.d/common-password)中,找到包含 pam_cracklib.so 的行。

    • 在该行末尾添加以下内容:lcredit=-a ucredit=-b dcredit=-c ocredit=-d
    • 例如,下面这行要求密码必须至少包含一个每种字符。你可以根据你喜欢的密码安全级别来改变数字。lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1

4、停用容易被利用的非必要服务。

停用不必要的服务是一种最好的做法。这样可以减少开放的端口,以便被利用。

安装 systemd 软件包:

sudo apt-get install systemd

查看哪些服务正在运行:

systemctl list-units

识别 哪些服务可能会导致你的系统出现潜在的漏洞。对于每个服务可以:

  • 停止当前正在运行的服务:systemctl stop <service>
  • 禁止服务在系统启动时启动:systemctl disable <service>
  • 运行这些命令后,检查服务的状态:systemctl status <service>

5、检查监听端口

开放的端口可能会带来安全风险,所以检查服务器上的监听端口很重要。我使用 netstat 命令来显示所有的网络连接:

netstat -tulpn

查看 “address” 列,确定 端口号。一旦你找到了开放的端口,检查它们是否都是必要的。如果不是,调整你正在运行的服务,或者调整你的防火墙设置。

6、扫描恶意软件

杀毒扫描软件可以有用的防止病毒进入你的系统。使用它们是一种简单的方法,可以让你的服务器免受恶意软件的侵害。我首选的工具是开源软件 ClamAV

安装 ClamAV:

sudo apt-get install clamav

更新病毒签名:

sudo freshclam

扫描所有文件,并打印出被感染的文件,发现一个就会响铃:

sudo clamscan -r --bell -i /

你可以而且应该设置为自动扫描,这样你就不必记住或花时间手动进行扫描。对于这样简单的自动化,你可以使用 systemd 定时器 或者你的 喜欢的 cron 来做到。

保证你的服务器安全

我们不能把保护服务器安全的责任只交给一个人或一个组织。随着威胁环境的不断迅速扩大,我们每个人都应该意识到服务器安全的重要性,并采用一些简单、有效的安全最佳实践。

这些只是你提升 Linux 服务器的安全可以采取的众多步骤中的一部分。当然,预防只是解决方案的一部分。这些策略应该与严格监控拒绝服务攻击、用 Lynis 做系统分析以及创建频繁的备份相结合。

你使用哪些开源工具来保证服务器的安全?在评论中告诉我们它们的情况。


via: https://opensource.com/article/21/4/securing-linux-servers

作者:Sahana Sreeram 选题:lujun9972 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

安全研究人员根据修复补丁,直接在网上公开了 Chrome 漏洞

一名印度安全研究人员公布了一个最近发现的漏洞的概念验证利用代码,该漏洞存在于 V8 JavaScript 引擎中,影响了谷歌 Chrome、微软 Edge 以及 Opera 和 Brave 等其他基于 Chromium 的浏览器。

该漏洞在上周举行的 Pwn2Own 黑客大赛中被使用,参赛选手因此赢得了 10 万美元的奖金。根据比赛规则,关于这个漏洞的细节被交给了 Chrome 安全团队,谷歌将修复补丁提交到了 V8 引擎,但尚未及时发布到 Chromium 浏览器中(本文发布时已更新修复)。结果,另外一位安全研究人员根据该补丁重现了该漏洞,并将其发布到了 GitHub 上,并通过 Twitter 公之于众。

研究人员所发布的并非完全武器化的漏洞,利用也需要一定的条件。但这件事凸显了“开源补丁间隙”问题,在安全补丁传递到下游之前的空隙期间,可能带来更大的安全风险。

FreeBSD 13.0 发布

新版本包含了大量的软件更新;64 位 ARM 架构现在与 x86\_64 并列成为一级架构;ZFS 采用 OpenZFS 实现;LLVM Clang 11 成为默认的编译器工具链;移除了各种过时的老版本工具,如旧版的 GDB、GCC 和 Binutils;以及因为质量原因,这次对 WireGuard 的支持未能加入。其它亮点可参见基金会文章

这是一个值得关注的大版本,可惜的是 WireGuard 没能进入。

Apache 软件基金会撤下了大量的 Hadoop 相关项目

从 4 月 1 日开始,Apache 软件基金会(ASF)宣布至少有 19 个开源项目退居“ 阁楼 Attic ”,其中 13 个与大数据相关,10 个是 Hadoop 生态系统的一部分。ASF 表示这是常规的项目退役高峰,经过了项目管理委员会到董事会的投票,这些项目被放到了“阁楼”。

这或许是 ASF 内部进行清仓,但是似乎也能表明,Hadoop 已经在优胜劣汰中处于劣势,让位于 Spark 了。

近三分之一的英国人使用宠物或家庭成员的名字作为密码

英国国家网络安全中心对一千多名英国成年人的调查显示,15% 的人使用宠物的名字,而 14% 的人使用家庭成员的名字作为密码。而 “123456” 和 “password” 仍然各占英国人使用的登录短语的 6%。英国国家网络安全中心说,“我们可能是一个动物爱好者的国家,但使用你的宠物的名字作为密码,可能会使你很容易成为冷酷的网络罪犯的目标。”他们建议使用由三个随机词组成的密码。

当然,我觉得最好的实践还是使用密码管理器。

DuckDuckGo 发布扩展程序阻止谷歌 FLoC 跟踪

隐私搜索引擎 DuckDuckGo 刚刚更新了面向 Chrome 浏览器用户的 Privacy Essentials 扩展,以阻止谷歌新推出的基于 FLoC 的跟踪方法。FLoC 的全称为“ 联合队列学习 Federated Learning of Cohorts ”,但这套旨在取代第三方 Cookie 的追踪系统还是引发了极大的争议。DuckDuckGo 称,“这种不经过任何人同意就强加上去的追踪机制根本不利于隐私,因为 FLoC 会在默认情况下开展行为跟踪。”不过,该扩展目前仍在等待谷歌扩展商店的审批才能被用户下载。

本质上,谷歌就是一个广告商,所以,这个会“伤害”谷歌的 FLoC 的扩展能不能得到通过,还尚未可知。

Linux 5.13 考虑为每次系统调用引入随机化的内核堆栈偏移量

该功能可以增强内核安全性、以阻止依赖内核堆栈确定性的漏洞利用。该功能已经经历了十轮的代码审查,预计会在 Linux 5.13 中发布。若这项功能顺利完成交付,那未来针对 Linux 内核堆栈的攻击将变得更加困难。不过在默认情况下,这项特性仍处于关闭的状态。因为即便在 x86\_64 平台上,该选项仍会造成约 1% 的系统资源开销。

相对于在安全方面更激进的 FreeBSD 内核,以及一些专门针对 Linux 内核安全强化的项目,Linux 内核在安全方面的举措更加保守。