Mike Guthrie 最近在 Linux 基金会的网络研讨会上回答了一些安全相关的问题。

这个系列的第一篇和第二篇文章覆盖了 5 个让你的 Linux 远离黑客的最简单方法，并且知道他们是否已经进入。这一次，我将回答一些我最近在 Linux 基金会网络研讨会上收到的很好的安全性问题。

如果系统自动使用私钥认证，如何存储密钥密码？

这个很难。这是我们一直在斗争的事情，特别是我们在做 “Red Team” 的时候，因为我们有些需要自动调用的东西。我使用 Expect，但我倾向于在这上面使用老方法。你需要编写脚本，是的，将密码存储在系统上不是那么简单的一件事，当你这么做时你需要加密它。

我的 Expect 脚本加密了存储的密码，然后解密，发送密码，并在完成后重新加密。我知道到这有一些缺陷，但它比使用无密码的密钥更好。

如果你有一个无密码的密钥，并且你确实需要使用它。我建议你尽量限制需要用它的用户。例如，如果你正在进行一些自动日志传输或自动化软件安装，则只给那些需要执行这些功能的程序权限。

你可以通过 SSH 运行命令，所以不要给它们一个 shell，使它只能运行那个命令就行，这样就能防止某人窃取了这个密钥并做其他事情。

你对密码管理器如 KeePass2 怎么看？

对我而言，密码管理器是一个非常好的目标。随着 GPU 破解的出现和 EC2 的一些破解能力，这些东西很容易就变成过去时。我一直在窃取这些密码库。

现在，我们在破解这些库的成功率是另外一件事。我们差不多有 10% 左右的破解成功率。如果人们不能为他们的密码库用一个安全的密码，那么我们就会进入并会获得丰硕成果。比不用要强，但是你仍需要保护好这些资产。如你保护其他密码一样保护好密码库。

你认为从安全的角度来看，除了创建具有更高密钥长度的主机密钥之外，创建一个新的 “Diffie-Hellman” 模数并限制 2048 位或更高值得么？

值得的。以前在 SSH 产品中存在弱点，你可以做到解密数据包流。有了它，你可以传递各种数据。作为一种加密机制，人们不假思索使用这种方式来传输文件和密码。使用健壮的加密并且改变你的密钥是很重要的。 我会轮换我的 SSH 密钥 - 这不像我的密码那么频繁，但是我每年会轮换一次。是的，这是一个麻烦，但它让我安心。我建议尽可能地使你的加密技术健壮。

使用完全随机的英语单词（大概 10 万个）作为密码合适么？

当然。我的密码实际上是一个完整的短语。它是带标点符号和大小写一句话。除此以外，我不再使用其他任何东西。

我是一个“你可以记住而不用写下来或者放在密码库的密码”的大大的支持者。一个你可以记住不必写下来的密码比你需要写下来的密码更安全。

使用短语或使用你可以记住的四个随机单词比那些需要经过几次转换的一串数字和字符的字符串更安全。我目前的密码长度大约是 200 个字符。这是我可以快速打出来并且记住的。

在物联网情景下对保护基于 Linux 的嵌入式系统有什么建议么？

物联网是一个新的领域，它是系统和安全的前沿，日新月异。现在，我尽量都保持离线。我不喜欢人们把我的灯光和冰箱搞乱。我故意不去购买支持联网的冰箱，因为我有朋友是黑客，我可不想我每天早上醒来都会看到那些不雅图片。封住它，锁住它，隔离它。

目前物联网设备的恶意软件取决于默认密码和后门，所以只需要对你所使用的设备进行一些研究，并确保没有其他人可以默认访问。然后确保这些设备的管理接口受到防火墙或其他此类设备的良好保护。

你可以提一个可以在 SMB 和大型环境中使用的防火墙/UTM（OS 或应用程序）么？

我使用 pfSense，它是 BSD 的衍生产品。我很喜欢它。它有很多模块，实际上现在它有商业支持，这对于小企业来说这是非常棒的。对于更大的设备、更大的环境，这取决于你有哪些管理员。

我一直都是 CheckPoint 管理员，但是 Palo Alto 也越来越受欢迎了。这些设备与小型企业或家庭使用很不同。我在各种小型网络中都使用 pfSense。

云服务有什么内在问题么？

并没有云，那只不过是其他人的电脑而已。云服务存在内在的问题。只知道谁访问了你的数据，你在上面放了什么。要知道当你向 Amazon 或 Google 或 Microsoft 上传某些东西时，你将不再完全控制它，并且该数据的隐私是有问题的。

要获得 OSCP 你建议需要准备些什么？

我现在准备通过这个认证。我的整个团队是这样。阅读他们的材料。记住， OSCP 将成为令人反感的安全基准。你一切都要使用 Kali。如果不这样做 - 如果你决定不使用 Kali，请确保仿照 Kali 实例安装所有的工具。

这将是一个基于工具的重要认证。这是一个很好的方式。看看一些名为“渗透测试框架”的内容，因为这将为你提供一个很好的测试流程，他们的实验室似乎是很棒的。这与我家里的实验室非常相似。

随时免费观看完整的网络研讨会。查看这个系列的第一篇和第二篇文章获得 5 个简单的贴士来让你的 Linux 机器安全。

Mike Guthrie 为能源部工作，负责 “Red Team” 的工作和渗透测试。

via: https://www.linux.com/news/webinar/2017/how-keep-hackers-out-your-linux-machine-part-3-your-questions-answered

作者：MIKE GUTHRIE 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这第二篇 Kali Linux 文章中, 将讨论称为 ‘nmap‘ 的网络工具。虽然 nmap 不是 Kali 下唯一的一个工具，但它是最有用的网络映射工具之一。

• 第一部分-为初学者准备的 Kali Linux 安装指南

Nmap， 是 Network Mapper 的缩写，由 Gordon Lyon 维护(更多关于 Mr. Lyon 的信息在这里: http://insecure.org/fyodor/) ，并被世界各地许多的安全专业人员使用。

这个工具在 Linux 和 Windows 下都能使用，并且是用命令行驱动的。相对于那些令人害怕的命令行，对于 nmap，在这里有一个美妙的图形化前端叫做 zenmap。

强烈建议个人去学习 nmap 的命令行版本，因为与图形化版本 zenmap 相比，它提供了更多的灵活性。

对服务器进行 nmap 扫描的目的是什么？很好的问题。Nmap 允许管理员快速彻底地了解网络上的系统，因此，它的名字叫 Network MAPper 或者 nmap。

Nmap 能够快速找到活动的主机和与该主机相关联的服务。Nmap 的功能还可以通过结合 Nmap 脚本引擎（通常缩写为 NSE）进一步被扩展。

这个脚本引擎允许管理员快速创建可用于确定其网络上是否存在新发现的漏洞的脚本。已经有许多脚本被开发出来并且包含在大多数的 nmap 安装中。

提醒一句 - 使用 nmap 的人既可能是善意的，也可能是恶意的。应该非常小心，确保你不要使用 nmap 对没有明确得到书面许可的系统进行扫描。请在使用 nmap 工具的时候注意！

系统要求

1. Kali Linux (nmap 可以用于其他操作系统，并且功能也和这个指南里面讲的类似)。

2. 另一台计算机，并且装有 nmap 的计算机有权限扫描它 - 这通常很容易通过软件来实现，例如通过 VirtualBox 创建虚拟机。

   1. 想要有一个好的机器来练习一下，可以了解一下 Metasploitable 2。
   2. 下载 MS2 ：Metasploitable2。
3. 一个可以工作的网络连接，或者是使用虚拟机就可以为这两台计算机建立有效的内部网络连接。

Kali Linux – 使用 Nmap

使用 nmap 的第一步是登录 Kali Linux，如果需要，就启动一个图形会话（本系列的第一篇文章安装了 Kali Linux 的 Enlightenment 桌面环境）。

在安装过程中，安装程序将提示用户输入用来登录的“root”用户和密码。 一旦登录到 Kali Linux 机器，使用命令startx就可以启动 Enlightenment 桌面环境 - 值得注意的是 nmap 不需要运行桌面环境。

# startx

在 Kali Linux 中启动桌面环境

一旦登录到 Enlightenment，将需要打开终端窗口。通过点击桌面背景，将会出现一个菜单。导航到终端可以进行如下操作：应用程序 -> 系统 -> 'Xterm' 或 'UXterm' 或 '根终端'。

作者是名为 'Terminator' 的 shell 程序的粉丝，但是这可能不会显示在 Kali Linux 的默认安装中。这里列出的所有 shell 程序都可用于使用 nmap 。

在 Kali Linux 下启动终端

一旦终端启动，nmap 的乐趣就开始了。 对于这个特定的教程，将会创建一个 Kali 机器和 Metasploitable机器之间的私有网络。

这会使事情变得更容易和更安全，因为私有的网络范围将确保扫描保持在安全的机器上，防止易受攻击的 Metasploitable 机器被其他人攻击。

怎样在我的网络上找到活动主机

在此示例中，这两台计算机都位于专用的 192.168.56.0/24 网络上。 Kali 机器的 IP 地址为 192.168.56.101，要扫描的 Metasploitable 机器的 IP 地址为 192.168.56.102。

假如我们不知道 IP 地址信息，但是可以通过快速 nmap 扫描来帮助确定在特定网络上哪些是活动主机。这种扫描称为 “简单列表” 扫描，将 -sL参数传递给 nmap 命令。

# nmap -sL 192.168.56.0/24

Nmap – 扫描网络上的活动主机

悲伤的是，这个初始扫描没有返回任何活动主机。 有时，这是某些操作系统处理端口扫描网络流量的一个方法。

在我的网络中找到并 ping 所有活动主机

不用担心，在这里有一些技巧可以使 nmap 尝试找到这些机器。 下一个技巧会告诉 nmap 尝试去 ping 192.168.56.0/24 网络中的所有地址。

# nmap -sn 192.168.56.0/24

Nmap – Ping 所有已连接的活动网络主机

这次 nmap 会返回一些潜在的主机来进行扫描！ 在此命令中，-sn 禁用 nmap 的尝试对主机端口扫描的默认行为，只是让 nmap 尝试 ping 主机。

找到主机上的开放端口

让我们尝试让 nmap 端口扫描这些特定的主机，看看会出现什么。

# nmap 192.168.56.1,100-102

Nmap – 在主机上扫描网络端口

哇! 这一次 nmap 挖到了一个金矿。 这个特定的主机有相当多的开放网络端口。

这些端口全都代表着在此特定机器上的某种监听服务。 我们前面说过，192.168.56.102 的 IP 地址会分配给一台易受攻击的机器，这就是为什么在这个主机上会有这么多开放端口。

在大多数机器上打开这么多端口是非常不正常的，所以赶快调查这台机器是个明智的想法。管理员可以检查下网络上的物理机器，并在本地查看这些机器，但这不会很有趣，特别是当 nmap 可以为我们更快地做到时！

找到主机上监听端口的服务

下一个扫描是服务扫描，通常用于尝试确定机器上什么服务监听在特定的端口。

Nmap 将探测所有打开的端口，并尝试从每个端口上运行的服务中获取信息。

# nmap -sV 192.168.56.102

Nmap – 扫描网络服务监听端口

请注意这次 nmap 提供了一些关于 nmap 在特定端口运行的建议（在白框中突出显示），而且 nmap 也试图确认运行在这台机器上的这个操作系统的信息和它的主机名（也非常成功！）。

查看这个输出，应该引起网络管理员相当多的关注。 第一行声称 VSftpd 版本 2.3.4 正在这台机器上运行！ 这是一个真正的旧版本的 VSftpd。

通过查找 ExploitDB，对于这个版本早在 2001 年就发现了一个非常严重的漏洞（ExploitDB ID – 17491）。

发现主机上上匿名 ftp 登录

让我们使用 nmap 更加清楚的查看这个端口，并且看看可以确认什么。

# nmap -sC 192.168.56.102 -p 21

Nmap – 扫描机器上的特定端口

使用此命令，让 nmap 在主机上的 FTP 端口（-p 21）上运行其默认脚本（-sC）。 虽然它可能是、也可能不是一个问题，但是 nmap 确实发现在这个特定的服务器是允许匿名 FTP 登录的。

检查主机上的漏洞

这与我们早先知道 VSftd 有旧漏洞的知识相匹配，应该引起一些关注。 让我们看看 nmap有没有脚本来尝试检查 VSftpd 漏洞。

# locate .nse | grep ftp

Nmap – 扫描 VSftpd 漏洞

注意 nmap 已有一个 NSE 脚本已经用来处理 VSftpd 后门问题！让我们尝试对这个主机运行这个脚本，看看会发生什么，但首先知道如何使用脚本可能是很重要的。

# nmap --script-help=ftp-vsftd-backdoor.nse

了解 Nmap NSE 脚本使用

通过这个描述，很明显，这个脚本可以用来试图查看这个特定的机器是否容易受到先前识别的 ExploitDB 问题的影响。

让我们运行这个脚本，看看会发生什么。

# nmap --script=ftp-vsftpd-backdoor.nse 192.168.56.102 -p 21

Nmap – 扫描易受攻击的主机

耶！Nmap 的脚本返回了一些危险的消息。 这台机器可能面临风险，之后可以进行更加详细的调查。虽然这并不意味着机器缺乏对风险的抵抗力和可以被用于做一些可怕/糟糕的事情，但它应该给网络/安全团队带来一些关注。

Nmap 具有极高的选择性，非常平稳。 到目前为止已经做的大多数扫描， nmap 的网络流量都保持适度平稳，然而以这种方式扫描对个人拥有的网络可能是非常耗时的。

Nmap 有能力做一个更积极的扫描，往往一个命令就会产生之前几个命令一样的信息。 让我们来看看积极的扫描的输出（注意 - 积极的扫描会触发入侵检测/预防系统!）。

# nmap -A 192.168.56.102

Nmap – 在主机上完成网络扫描

注意这一次，使用一个命令，nmap 返回了很多关于在这台特定机器上运行的开放端口、服务和配置的信息。 这些信息中的大部分可用于帮助确定如何保护本机以及评估网络上可能运行的软件。

这只是 nmap 可用于在主机或网段上找到的许多有用信息的很短的一个列表。强烈敦促个人在个人拥有的网络上继续以nmap 进行实验。（不要通过扫描其他主机来练习！）。

有一个关于 Nmap 网络扫描的官方指南，作者 Gordon Lyon，可从亚马逊上获得。

方便的话可以留下你的评论和问题（或者使用 nmap 扫描器的技巧）。

via: http://www.tecmint.com/nmap-network-security-scanner-in-kali-linux/

作者：Rob Turner 译者：DockerChen 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

从各方面来看，互联网向 IPv6 的过渡是件很缓慢的事情。不过在最近几年，可能是由于 IPv4 地址资源的枯竭，IPv6 的使用处于上升态势。相应的，开发者也有兴趣确保软件能在 IPv4 和 IPv6 下工作。但是，正如近期 OpenBSD 邮件列表中的讨论所关注的，一个使得向 IPv6 转换更加轻松的机制设计同时也可能导致网络更不安全——并且 Linux 发行版们的默认配置可能并不安全。

地址映射

IPv6 在很多方面看起来可能很像 IPv4，但它是一个不同地址空间的不同的协议。服务器程序想要接受使用二者之中任意一个协议的连接，必须给两个不同的地址族分别打开一个套接字——IPv4 的 AF_INET 和 IPv6 的 AF_INET6。特别是一个程序希望在主机上的使用两种地址协议的任意接口都接受连接的话，需要创建一个绑定到全零通配符地址（0.0.0.0）的 AF_INET 套接字和一个绑定到 IPv6 等效地址（写作 ::）的 AF_INET6 套接字。它必须在两个套接字上都监听连接——或者有人会这么认为。

多年前，在 RFC 3493，IETF 指定了一个机制，程序可以使用一个单独的 IPv6 套接字工作在两个协议之上。有了一个启用这个行为的套接字，程序只需要绑定到 :: 地址从而在所有接口上接受使用这两个协议的连接。当创建了一个 IPv4 连接到该绑定端口，源地址会像 RFC 2373 中描述的那样映射到 IPv6。所以，举个例子，一个使用了这个模式的程序会将一个 192.168.1.1 的传入连接看作来自 ::ffff:192.168.1.1（这个混合的写法就是这种地址的通常写法）。程序也能通过相同的映射方法打开一个到 IPv4 地址的连接。

RFC 要求默认实现这个行为，所以大多数系统这么做了。不过也有些例外，OpenBSD 就是其中之一；在那里，希望在两种协议下工作的程序能做的只能是创建两个独立的套接字。但一个在 Linux 中打开两个套接字的程序会遇到麻烦：IPv4 和 IPv6 套接字都会尝试绑定到 IPv4 地址，所以不论是哪个，后者都会失败。换句话说，一个绑定到 :: 指定端口的套接字的程序会同时绑定到那个端口上的 IPv6 的 :: 和 IPv4 的 0.0.0.0 地址。如果程序之后尝试绑定一个 IPv4 套接字到 0.0.0.0 的相同端口上时，这个操作会失败，因为这个端口已经被绑定了。

当然有个办法可以解决这个问题；程序可以调用 setsockopt() 来打开 IPV6_V6ONLY 选项。一个打开两个套接字并且设置了 IPV6_V6ONLY 的程序应该可以在所有的系统间移植。

读者们可能对不是每个程序都能正确处理这一问题没那么震惊。事实证明，这些程序的其中之一是 网络时间协议 （ Network Time Protocol ） 的 OpenNTPD 实现。Brent Cook 最近给上游 OpenNTPD 源码提交了一个小补丁，添加了必要的 setsockopt() 调用，它也被提交到了 OpenBSD 中了。不过那个补丁看起来不大可能被接受，最可能的原因是因为 OpenBSD 式的理由（LCTT 译注：如前文提到的，OpenBSD 并不受这个问题的影响）。

安全担忧

正如上文所提到，OpenBSD 根本不支持 IPv4 映射的 IPv6 套接字。即使一个程序试着通过将 IPV6_V6ONLY 选项设置为 0 来显式地启用地址映射，它的作者也会感到沮丧，因为这个设置在 OpenBSD 系统中无效。这个决定背后的原因是这个映射带来了一些安全隐忧。攻击打开的接口的攻击类型有很多种，但它们最后都会回到规定的两个途径到达相同的端口，每个端口都有它自己的控制规则。

任何给定的服务器系统可能都设置了防火墙规则，描述端口的允许访问权限。也许还会有适当的机制，比如 TCP wrappers 或一个基于 BPF 的过滤器，或一个网络上的路由器可以做连接状态协议过滤。结果可能是导致防火墙保护和潜在的所有类型的混乱连接之间的缺口造成同一 IPv4 地址可以通过两个不同的协议到达。如果地址映射是在网络边界完成的，情况甚至会变得更加复杂；参看这个 2003 年的 RFC 草案，它描述了如果映射地址在主机之间传播，一些随之而来的其它攻击场景。

改变系统和软件正确地处理 IPv4 映射的 IPv6 地址当然可以实现。但那增加了系统的整体复杂度，并且可以确定这个改动没有实际地完整实现到它应该实现的范围内。如同 Theo de Raadt 说的：

有时候人们将一个糟糕的想法放进了 RFC。之后他们发现这个想法是不可能的就将它丢回垃圾箱了。结果就是概念变得如此复杂，每个人都得在管理和编码方面是个全职专家。

我们也根本不清楚这些全职专家有多少在实际配置使用 IPv4 映射的 IPv6 地址的系统和网络。

有人可能会说，尽管 IPv4 映射的 IPv6 地址造成了安全危险，更改一下程序让它在实现了地址映射的系统上关闭地址映射应该没什么危害。但 Theo 认为不应该这么做，有两个理由。第一个是有许多破旧的程序，它们永远不会被修复。而实际的原因是给发行版们施加了压力去默认关闭地址映射。正如他说的：“最终有人会理解这个危害是系统性的，并更改系统默认行为使之‘secure by default’。”

Linux 上的地址映射

在 Linux 系统，地址映射由一个叫做 net.ipv6.bindv6only 的 sysctl 开关控制；它默认设置为 0（启用地址映射）。管理员（或发行版们）可以通过将它设置为 1 来关闭地址映射，但在部署这样一个系统到生产环境之前最好确认软件都能正常工作。一个快速调查显示没有哪个主要发行版改变这个默认值；Debian 在 2009 年的 “squeeze” 中改变了这个默认值，但这个改动破坏了很多的软件包（比如任何包含 Java 的程序），在经过了几次的 Debian 式的讨论之后，它恢复到了原来的设置。看上去不少程序依赖于默认启用地址映射。

OpenBSD 有以“secure by default”的名义打破其核心系统之外的东西的传统；而 Linux 发行版们则更倾向于难以作出这样的改变。所以那些一般不愿意收到他们用户的不满的发行版们，不太可能很快对 bindv6only 的默认设置作出改变。好消息是这个功能作为默认已经很多年了，但很难找到被利用的例子。但是，正如我们都知道的，谁都无法保证这样的利用不可能发生。

via: https://lwn.net/Articles/688462/

作者：Jonathan Corbet 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出