LOADING

Follow me

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)【zoues.com】
一月 21, 2017|DockerPaaS

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)【zoues.com】

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)【zoues.com】

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)

今天小观继续为大家更新防止系统被黑客入侵的

25种方法

26-30

26. 连接到网络上的服务时始终使用HTTPS。Chrome 和 Firefox 现在有强制执行此操作的模式。 如果一个网站还不支持安全通信,那么它可能不值得你访问。

27. 在容器中使用 seccomp 。这限制了内核的表层攻击,是单点故障。限制进程可以讨论的内容。

28. 使用 YubiKey 存储私钥。

29. 加密您系统上的数据。至少笔记本电脑要保证你的 homedir 和其他数据目录是加密的。几年前,我在伦敦乘坐地铁,我的笔记本电脑被盗了,火车车门关闭后我才发现的时候,笔记本电脑已经出了车站。幸运的是,磁盘加密了。

30. 让您的所有网站用上 Let’s Encrypt 。没有理由不再运行HTTPS了。

31-35

31. 不要在不同的 Web 服务器上使用相同的密码。这很容易入坑,不过像 Let’s Encrypt 这样的帮助工具很多,如果使用 SSH 密钥登录系统就更好了。

32. 使用双因子验证(2FA)。你几乎可以不用密码了。使用 YubiKeys 等能让 2FA 变得容易。所有人都有手机,让一个秘密藏在脑袋里,一个生成在手机上,可比密码好多了。

33. 没有什么比网站总是要求我创建一个帐户更让人恶心了,我们怎么改变?始终为你的网站密码使用密码生成工具。我是守旧派:我使 Password Safe,剪切并粘贴到网络浏览器。我听说有人幸运地用上了  LastPass 和其他工具集成手机和 Web 服务。

34. 设置类似  FreeIPA 的这样的服务以用于身份认证。使用诸如 Kerberos 之类的工具进行身份验证和授权,使访问系统变得更加容易(并且有很酷的加密服务)。也可以使用 Active Directory ,但我对它有点偏见。

35. 当你需要一串经常使用的密码时,不要用某个单词,使用一串简单易记的语句吧。我的建议是使用一些几个单词组成,简单易写的短语。

36-40

36. 使用 USBGuard 来保护你的系统免遭恶意 USB 设备的入侵。

37. 在过去的几年,我已经开始研究容器了。现在,让我们来看看容器相关的安全保护。首先,在强制模式运行 SELinux 下启动容器。如果你的系统不支持 SELinux,将系统换成一个支持的发布版本。SELinux 是保护你的容器不被利用文件系统的方法破坏的最佳工具了。

38. 尽可能的在容器中启动你的服务。我相信这是使用OCI图片格式与Linux容器技术的未来应用。运行容器可以使用Docker, runC,OCID,RKT,Systemd-nspawn 等。虽然我经常说“containers do not contain”(纸包不住火),但是服务在容器中运行确实可以更好的包住火。

39. 在虚拟机中启动你的容器。 虚拟机相比于容器是一个隔离风险的更佳办法。而在虚拟机中运行容器则将风险万无一失的隔离开来。

40. 在不同的虚拟机上运行不同安全需求的容器化应用。在虚拟机DMZ上启动你的网络服务容器,同时在不同于DMZ的其他虚拟机上启动数据库容器。


41-45

41. 另请切记,在另外的硬件设备上运行安全要求最高的虚拟机,并且在不同的虚拟机上运行而不是容器。

42. 只读模式启动你的容器。开发阶段容器需要被写在/usr 上,不过发布产品时,容器需要被设置成只能写在 tmps,并且将各个文件册挂载在容器上。

43. 从容器上降低权限。我们通常给了我们的进程太多本不需要的权限。你可以通过降低进程权限来提高安全性能。

44.不要以root权限启动你的进程。绝大多数进程永远不需要root特权,或者他们仅仅需要绑定一个< 1024 的端口,然后退出root。我强烈建议保持应用以非root权限运行。

45. 保持你的容器更新了最新的CVE。使用一个类似 OpenShift 创建并维护你的容器镜像是一个不错的点子,因为每当安全布丁出现时,它可以自动重建容器镜像。


46-50

46. 我的一个小伙伴说过,“Docker 的一切就是从网络上以root 身份在你的host上运行随机的代码”。 请从可靠的源头获取软件。不要随便抓一个你在docker.io上找到的测试应用就安装。还记得操作系统的那些麻烦吗?

47. 以受限的容器化优化压缩host来在启动你正式环境容器,例如 Atomic Host,把所有安全防护都打开,优化后启动容器,可以使攻击被限制并保证Atomic 更新。

48. 利用类似 OpenScap 来扫描系统以发现潜在风险。不幸的是,风险层出不穷,正因为此,保持你的扫描器跟上潮流。(也一并看看为容器设计的atomic 扫描

49. OpenScap 还有扫描安全设置的功能,例如STIGs(安全技术实现指引)。

50. 为你孩子收到的圣诞礼物设备们配置一个访客网络。我爱这些Amazon Echo,智能灯和电源开关。(Alexa,关掉圣诞灯)。不过,这些东西都基于Linxu系统并且在安全方面堪忧。

——本文转自Linux伊甸园  译者:OSC-两味真火

沈阳尚观Java/嵌入式技术交流与资源分享群: 188209461

沈阳尚观Linux/Oracle技术交流与资源分享群:526210419

联系QQ:2923605081。

 可申请到校免费试听呦!

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)
50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)
50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)

50 招教你防止黑客入侵,适用于入门小白到专业人员。(下)

no comments
Share

发表评论