376      阿裏雲  技術社區[雲棲]

讓你的 Linux 遠離黑客（三）：FAQ

如果係統自動使用私鑰認證，如何存儲密鑰密碼？

這個很難。這是我們一直在鬥爭的事情，特別是我們在做 “Red Team” 的時候，因為我們有些需要自動調用的東西。我使用 Expect，但我傾向於在這上麵使用老方法。你需要編寫腳本，是的，將密碼存儲在係統上不是那麼簡單的一件事，當你這麼做時你需要加密它。

我的 Expect 腳本加密了存儲的密碼，然後解密，發送密碼，並在完成後重新加密。我知道到這有一些缺陷，但它比使用無密碼的密鑰更好。

如果你有一個無密碼的密鑰，並且你確實需要使用它。我建議你盡量限製需要用它的用戶。例如，如果你正在進行一些自動日誌傳輸或自動化軟件安裝，則隻給那些需要執行這些功能的程序權限。

你可以通過 SSH 運行命令，所以不要給它們一個 shell，使它隻能運行那個命令就行，這樣就能防止某人竊取了這個密鑰並做其他事情。

你對密碼管理器如 KeePass2 怎麼看？

對我而言，密碼管理器是一個非常好的目標。隨著 GPU 破解的出現和 EC2 的一些破解能力，這些東西很容易就變成過去時。我一直在竊取這些密碼庫。

現在，我們在破解這些庫的成功率是另外一件事。我們差不多有 10% 左右的破解成功率。如果人們不能為他們的密碼庫用一個安全的密碼，那麼我們就會進入並會獲得豐碩成果。比不用要強，但是你仍需要保護好這些資產。如你保護其他密碼一樣保護好密碼庫。

你認為從安全的角度來看，除了創建具有更高密鑰長度的主機密鑰之外，創建一個新的 “Diffie-Hellman” 模數並限製 2048 位或更高值得麼？

值得的。以前在 SSH 產品中存在弱點，你可以做到解密數據包流。有了它，你可以傳遞各種數據。作為一種加密機製，人們不假思索使用這種方式來傳輸文件和密碼。使用健壯的加密並且改變你的密鑰是很重要的。 我會輪換我的 SSH 密鑰 - 這不像我的密碼那麼頻繁，但是我每年會輪換一次。是的，這是一個麻煩，但它讓我安心。我建議盡可能地使你的加密技術健壯。

使用完全隨機的英語單詞（大概 10 萬個）作為密碼合適麼？

當然。我的密碼實際上是一個完整的短語。它是帶標點符號和大小寫一句話。除此以外，我不再使用其他任何東西。

我是一個“你可以記住而不用寫下來或者放在密碼庫的密碼”的大大的支持者。一個你可以記住不必寫下來的密碼比你需要寫下來的密碼更安全。

使用短語或使用你可以記住的四個隨機單詞比那些需要經過幾次轉換的一串數字和字符的字符串更安全。我目前的密碼長度大約是 200 個字符。這是我可以快速打出來並且記住的。

在物聯網情景下對保護基於 Linux 的嵌入式係統有什麼建議麼？

物聯網是一個新的領域，它是係統和安全的前沿，日新月異。現在，我盡量都保持離線。我不喜歡人們把我的燈光和冰箱搞亂。我故意不去購買支持聯網的冰箱，因為我有朋友是黑客，我可不想我每天早上醒來都會看到那些不雅圖片。封住它，鎖住它，隔離它。

目前物聯網設備的惡意軟件取決於默認密碼和後門，所以隻需要對你所使用的設備進行一些研究，並確保沒有其他人可以默認訪問。然後確保這些設備的管理接口受到防火牆或其他此類設備的良好保護。

你可以提一個可以在 SMB 和大型環境中使用的防火牆/UTM（OS 或應用程序）麼？

我使用 pfSense，它是 BSD 的衍生產品。我很喜歡它。它有很多模塊，實際上現在它有商業支持，這對於小企業來說這是非常棒的。對於更大的設備、更大的環境，這取決於你有哪些管理員。

我一直都是 CheckPoint 管理員，但是 Palo Alto 也越來越受歡迎了。這些設備與小型企業或家庭使用很不同。我在各種小型網絡中都使用 pfSense。

雲服務有什麼內在問題麼？

並沒有雲，那隻不過是其他人的電腦而已。雲服務存在內在的問題。隻知道誰訪問了你的數據，你在上麵放了什麼。要知道當你向 Amazon 或 Google 或 Microsoft 上傳某些東西時，你將不再完全控製它，並且該數據的隱私是有問題的。

最後更新：2017-05-22 14:32:26

  上一篇：  Spring4.2新特性(一)

  下一篇：  在 RHEL、CentOS 及 Fedora 上安裝 Drupal 8