1. bash漏洞,为什么Linux系统比Windows系统更好?
工作中的技术选型会优先考虑linux,因为确实有很多优势,选择GUN/Linux的理由优点,1安全 - 几乎不存在诸如病毒、间谍软件、流氓软件之类的问题,易维护 - 请忘掉扫描病毒、磁盘碎片整理、清理注册表以及频繁的被要求重启等等诸如此类的问题,稳定 - GNU/Linux 是非常稳定的。 虽然个别应用程序可能会崩溃,但操作系统本身的崩溃是非常罕见的。(事实上一些非官方打包程序是较为不稳定的)。
软件自由/开源 - 您可以随意的使用软件。如果您愿意的话,甚至可以自由地学习程序源代码,修改程序以及任意的分享程序,而不用受制于所谓的用户许可协议。(当然要在GPL或者其他开源许可协议的条件之下,开放标准 - GNU/Linux 和运行在其上的应用程序,大多数都符合开放标准,这使得与其他平台的无缝兼容成为可能,并帮助您避免受制于一些厂商的限制,社区 - GNU/Linux已经被形容为 "world wide team sport",由全世界的优秀程序员提供支持,低成本 - 大多数 GNU/Linux 发行版是可以免费下载的,并且拥有大量的免费程序支持。此外,大多数 GUN/Linux 对硬件的要求较低,这意味着您并不需要频繁的对硬件进行升级。
合法 - 人们可以合法并且免费的获取一些高质量的软件,这意味着我们并不必要去盗版或者使用盗版(当然这是非法的),也不会受制于一些利用垄断地位而滥用市场支配手段的企业。(是不是该特指下微软...,透明公开 - 绝大多数 GNU/Linux 是开放开发的,使用公共邮件列表、公共IRC频道、公共bug追踪、公共新特性追踪等等,多样选择 - 在 Linux 的世界中,有很多不同的发行版本,有些由商业公司支持,有些则由非商业组织维护。这些不同的发行版本可以运行在不同类型的计算机上,比如手机、个人计算机甚至超级电脑。我们甚至可以根据自己的爱好和需要选择不同的桌面环境,以更好的完成我们的工作,尝新 - 或许仅仅是为了不断的尝试一些新的或者不同的东西,成为很多人最原始的动机。
改用GUN/Linux的一些挑战,从头学起 - 您将会学习一个全新的不同的操作系统、很多新的程序,以及很多全新的名词术语。 ——并且您需要 忘却 在其他操作系统(如MS Windows)上学习的旧知识,缺失的应用软件和游戏 - 您会失去一些熟知的应用程序,典型的如Microsoft Office、 Adobe Photoshop 和其他流行的大型主流游戏。双系统启动、WINE或虚拟机会提供这问题的部分解决办法。当然有很多可选的高质量 GNU/Linux 原生软件值得用,后面将介绍各种 GNU/Linux 下的应用软件,缺少硬件支持 - 绝大多数硬件是支持的,但不是全部——在购买新硬件组件前建议您研究一下兼容性 ——越新的和分布越少的组件,出问题的风险越大,寻求帮助更难 - 通常朋友、家人、同事不能帮您解决 GNU/Linux 相关问题,所以您需要在线获取帮助,这通常并不如您的朋友“现场”帮您解决那样高效,对于程序员来说,源代码开放的产品是毫无保留,连“内裤”都为你展现的产品……在此基础上更进一步的是,Linux操作系统不仅源代码开放,而且可以自由地执行、复制、再发行、修改、强化。通俗点来说,就是人家不但家底给你看,免费给你用,还允许你自由地“揉捏”——就这条件,就算你拿一个团的美女去诱惑程序员,他也舍不得丢掉 Linux 呀!
2. 既然Windows在用户量和生态体系上都能碾压Linux?
去试试deepin os,我用了三年,再没碰过windows。
===========================================
优缺点什么的,我想到哪写到哪。
过去的国外发行版,以及现在的部分国外发行版,对用户的个人能力有一点的要求,因此在使用linux时,windows上的经验知识完全用不上。这是对新手的第一个难点。
linux上的驱动并不完善,即使到今天也就是将将能用,并不能完全发挥硬件的能力。
对于游戏爱好者来说,linux上的游戏并不全面,但也不少。Steam等平台上,有不少好游戏。
我在使用deepin os的三年中,一起随着这个系统进步,以至到现在完全不想再用回windows。linux的运行效率真的高,从来不会卡顿。
windows下的专业软件几乎都有相对的linux版,有开源的也有闭源的。功能差不多,只是前期需要适应。比如auto cad类的,linux下有法国达索的draftsign,非常好用,免费、中文界面。
wps for linux,一直在更新,虽然一些高端功能还不能完全替代ms office,但deepin os 内置了免费的Crossover,装个ms office一点也不麻烦。
Photoshop类,有著名的GMIP,Krita等。
Deepin OS的团队搞定了deepin-wine系统应用,迅雷、QQ、微信都可以一键安装。
如果你已经厌倦了windows对硬件的压榨,希望让你的电脑焕然一新,那么,加入linux队伍吧。你不会失望的。
3. 成为一个黑客需要多久?
其实做黑客根本没有想象中门槛儿那么高,但门槛儿也没那么低就是了。
首先,你要定下一个目标,成为黑客以后要做什么?赚黑心钱?收保护费?炫耀自己的技术实力?我来提醒你一下,不管哪个目标,都会损害正常人的合法利益,所以就算技术实力达到一定水平,也要三思而慎行。而平常大家为黑客洗白所谓“发现安全漏洞,帮助企业和个人提高IT安全水平”的说法,也不是黑客所为。再一个电影里黑客随便找一台电脑噼里啪啦打一通键盘就显示XXX已被攻破的镜头非常夸张,想要攻破某些东西或者做一些非法的事情,提前准备好自己写的代码是必要的步骤,而且过程也不怎么酷炫,所以抛弃某些中二的想法最为实在。
然后,会一门编程语言是肯定的,而且要多少了解它的高级特性。比如你从C和C++起步就非常好。但C是相当大以及相当复杂的一门语言,标准多、编译器版本也多,学习成本也非常高,幸好目前世界上最通用的服务器类Unix操作系统都是用C语言写出来的,所以你可以先关注操作系统底层,多看内核文档,看底层代码,看懂以后再看看通过了解它的特性后,我能做些什么非常规操作,这就是一般黑客的作案手段了。
最后,你要定一个目标,比如我想劫持某网站的首页,那么有两条路可选,一条是从网站外部能否进行代码注入,让你自己的代码进驻到他们的内存变量当中。另一条是攻破服务器密码,并且将容器中的网站文件替换掉,这就需要你有对操作系统网络知识和Web编程有一定了解了。
总之,做黑客是一个投入回报比很低的一种行为,并且被影视剧严重扭曲的事情。个人并不推荐。
4. 为啥国内程序员写的代码也用英文注释?
很高兴回答这个问题可能有如下几个方面:
1.方便,如果用汉字注释的话需要切换输入法,操作起来比较麻烦;
2.有的编译器对编码格式比较敏感,其他的注释可能会出现乱码,导致编译器报错;
3.团队项目的要求,需要的是英文注释,
4.国际化或者开源的需求,需要做英文注释;
5.也有可能是程序员有炫耀的成分,觉得英语注释是高大上的,高规格得的;
6.看着别人的代码都是这样进行英文注释的,久而久之自己也习惯了这种注释方式。
快捷方便、编码格式,团队项目的需求都决定英文注释是一种好的注释方式。
5. 一台Linux系统初始化环境后需要做一些什么安全工作?
Linux作为一个开放式系统,互联网上有大量的Linux版本的开源软件产品和工具。这既方便于满足用户使用需求,也给黑客提供了更多的途径来攻击服务器,甚至盗取服务器上的机密信息。因此,详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
1. 系统帐号和密码管理
账户和密码可以说是操作系统安全的第一道防线。其中账户用来确认系统访问者的身份,密码可以验证系统访问者是否有权使用此账户。密码泄露就像是房门钥匙被人窃取一样危险。系统一旦被入侵,不只对使用者账户本身有影响,系统内的所有资料和文档都有被窃取和损坏的风险,从而造成巨大的损失。所以,管理员应该采取必要的技术手段强制用户使用强密码并定期更改,定期验证系统中账号合法性,及时删除不必要的账户、防止超级用户被篡改等,保证系统用户账号和密码的安全。
1.1. 及时删除或禁用无用账户
Linux系统中所有的账户都存放在/etc/passwd文件中。系统管理员可以定期监控/etc/passwd文件,验证系统中活动账户的合法性,及时删除或禁用系统中不必要或不再使用的账户。此类账户主要分为以下两种情况:
a.某些服务安装时默认创建的执行账户,比如ftp、news、postfix、apache、squid等。
b.无人使用或者无业务需求的账户。此类账户最好做删除处理。
1.2. 设置密码复杂度策略
现在的计算机的计算能力越来越强,弱密码很容易被破解。Linux有自定义密码复杂度策略的机制,可以从以下几个方面加强管理。
a. 最短密码长度为8。 包含一个字符或非字符(数字、标点或特殊字符)。
b. 密码中不允许包含账户。
c. 每隔90天修改一次密码。
d. 密码最短生命周期设置为1,防止恶意更改密码。
e. 8次修改密码不可以重复并且加密保存。
f. 连续5次输入错误密码,锁定账户。
g. 初次登录强制修改密码。
1.3. 保护shadow密码文件
Linux中账户密码叫做影子文件,存放在/etc/shadow里面。如果在/etc/pam.d/system-auth中设置了加密存储,那在/etc/shadow中看到的将是加密后的密码信息。虽然经过了加密处理,但这些加密信息仍然可以借助一些密码破解程序进行强制破解。
1.4. 防止root账户被篡改
在Linux系统中root账户是超级管理员账户。它可以执行所有的系统的命令,也具有系统中最高的权限。而且Linux系统中只有一个root超级账户。但是在Linux系统中,用户是由UID来区分,而不是账户名。如果把一个普通账户的UID修改为0,即root账户的UID,则这个普通账户也将获得root相同的超级管理员权限。如果这种账户,没有经过正常的审批流程,或者不是系统管理员设置,这种账户很有可能是非法入侵者更改的。所谓管理员,应及时发现这种非法账户,并作相应的处理。
1.5.设置登录超时
2. Linux网络安全
相比于其它的操作系统,Linux操作系统更加安全和稳定,所以经常被用作网络应用服务器。但是由于程序代码的缺陷的难以避免,这些安装在Linux系统上的网络应用程序往往会存在着各种漏洞,而入侵者则是利用这些漏洞进行网络攻击,进入系统窃取数据、破坏系统或者使系统无法提供正常服务等等。针对入侵者进行网络攻击的常用手段,及早发现系统中的网络安全漏洞并执行相应的防范措施非常重要。
2.1. ping入侵
ping是入侵者确认服务器是否开机的最快、最常用的方法。ping命令会发出一个ICMP echo请求,服务器接收到请求后会返回一个ICMP应答。Linux服务器管理员可限制服务器禁止其它用户Ping。同时又保证Linux服务器又可以Ping其它服务器。
2.2. 端口安全
TCP/IP的各种Linux应用服务基本上都是采用服务器/客户端的工作模式,这些服务在服务器端会监听一些固定的服务端口,接受来自客户端的请求。而入侵者往往会利用各种端口扫描工具对目标主机的端口进行探测和扫描。获得目标主机上的服务和端口列表以后,入侵者就可以针对不同服务的漏洞进行相应的攻击。为了阻止入侵者对主机端口的扫描。管理员可以采取以下措施:
a.关闭不必要的应用服务;
b.修改应用服务的默认端口。例如更改FTP服务的端口为31,那么即使入侵者获得该端口号,也无法确定该端口号对应的是什么服务;
c.开启防火墙,限制用户访问相应的服务端口。这样,即使应用服务的端口泄漏,非法访问也会被挡在防火墙之外。
2.3. 拒绝攻击
拒绝攻击是一种消耗服务器可用资源的攻击方式,这些资源包括进程数、磁盘占用、CPU时间或者网络带宽等,被攻击的服务器将会出现资源被不断消耗的情况,最终丧失应用服务的能力。在Linux系统中提供了一种限制用户资源使用的技术手段,管理员可以通过设置/etc/security/limits.conf的配置参数,限制用户对内存空间、CPU时间以及进程数等资源的使用。防止负荷过载造成服务器宕机。用户可以执行命令ulimit -a查看自己的的资源限制情况。
2.4. 加强Xinetd的安全
Xinetd是Linux系统一个传统的网络服务守护进程,它可以同时监听多个制定的端口,在接收到用户请求时,根据用户请求端口的不同,启动相应的网络服务进程来处理这些用户请求。因此,Xinetd也常被称为“超级服务器”。像Telnet、rlogin、rcp、rsh等不安全网络服务就是通过Xinetd进行启动的。为了减少系统潜在漏洞,应该关闭Xinetd中无需使用的网络服务。要禁止Xinetd启动运行,可执行:
3. 文件系统的安全
Linux文件系统中的文件是数据的集合,文件系统不仅包含着文件中的数据而且还有文件系统的结构,所有Linux 用户和程序看到的文件、目录、软连接及文件保护信息等都存储在其中。Linux文件系统的权限必须进行严格的控制,一个配置文件上的配置错误,比如不正确的文件权限,就可能会导致整个系统受到危害。
3.1. 全局可读/写文件
所谓全局可读写文件,是指所有用户都有权限查看和修改的文件。如果这些文件中保存有重要的机密信息,如用户口令,那么将可能会为系统带来严重的后果。因为入侵者在获得本地用户权限之后,往往会去搜索系统中包含有某些关键信息的全局可读文件以扩大他们的访问权限。管理员应定期使用find命令检查系统中的全局可读/写文件。对于一些保存有重要信息的文件是不应该设置全局可读/写的。
3.2. 无宿主的文件管理
正常情况下,系统中的每一个文件都会有自己的文件所有者和属组。如果系统中出现没有所有者或属组的文件,那么很可能是卸载程序后遗留或是由入侵者留下的。这些文件对于系统来说,是一个潜在的风险,所以应该及时把这些文件找出来,删除或者更改访问权限。
Linux的设备以文件的形式存放在/dev/目录下,所以这些文件的权限控制同样非常重要。例如,IDE硬盘在Linux中对应的设备文件为/dev/hdx,如果这些文件的权限被设置为全球可读,那么所有用户都可以通过一些命令读取硬盘中所有的内容。用户可以通过mount命令,查找出所有与目前挂载的文件系统相关的设备文件。此外,对于像/dev/console、/dev/dsp以及/dev/tty*等的设备文件也同样需要重点关注,并定期检查其权限设置。
3.4. 硬盘分区
恶意占用磁盘空间是造成拒绝攻击的一种形式。由于Linux应用系统在运行过程中都会产生新的数据或文件。如果磁盘空间不足,会造成这些新的数据或文件无法保存。最后导致服务挂起,达到拒绝服务的目的。磁盘分区的合理规划,可以有效的防止这种恶意攻击。
利用Linux的磁盘配额管理,限制每个用户的磁盘空间大小。 重要的文件系统挂载到单独的磁盘分区上。例如:/; /boot/; /var/; /hone/; /tmp/。 划分单独的系统分区保存应用数据。
3.5. 设置grub密码
如果能接触到服务器主机,就算不知道root密码,攻击者可以重启机器通过单用户模式重置root密码。那么服务器中的数据就会完全暴露给攻击者。为了防止这种情况,可以考虑在grub上设置密码。Linux每次重启引导或更改grub配置时都要求输入正确的密码。
3.6. 限制su切换
通过su命令,普通用户可以切换到其他用户的环境包括超级管理员root账户的环境。可以通过限制su命令执行权限的方式降低普通用户获得管理员权限的风险。需要su权限的用户,可以单独放到一个group里,例如wheel。
4. 系统日志的保存
日志对于安全来说非常重要。日志里面记录了系统每天发生的各种各样的事情。可以通过日志来检查系统发生错误的原因,或者系统遭受攻击时留下的痕迹。日志的功能主要有:审计和监测。日志也可以实时的监测系统状态,监测和追踪入侵者。
4.1. 账户登录记录
使用who命令可以查看当前已经登录操作系统的用户信息,这些信息包括用户名、登陆时间、客户端的IP地址等。管理员可以随时查看登录系统的用户是否合法、客户端的IP地址是否合法。
Linux系统的用户登录历史信息被分别保存在/var/log/wtmp和/var/log/btmp文件中,其中/var/log/wtmp保存了用户成功登录的历史信息,而/var/log/btmp则保存了用户登录失败的历史信息。这两个文件不是ASCII文件,所以必须分别要通过last和lastb命令来查看。
4.2. secure日志中的安全信息
该日志文件记录与安全相关的信息。用户验证、su切换以及与用户管理相关的日志信息都会写到/var/log/secure文件中。打开/etc/syslog.conf配置文件可以看到此日志文件的设置,如“authpriv.* /var/log/secure”。如果系统有非法用户登录,可以通过查看此日志文件跟踪非法用户的信息。
4.3. message日志中的安全信息
messages 日志是核心系统日志文件。它包含了系统启动时的引导消息,以及系统运行时的其他状态消息。IO 错误、网络错误和其他系统错误都会记录到这个文件中。其他信息,比如某个人的身份切换为 root,也在这里列出。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。通常,/var/log/messages 是您在做故障诊断时首先要查看的文件。
4.4. cron日志中的安全信息
该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。
4.5. history日志中的安全信息
默认情况下,在每个用户的主目录下都会生成一个.bash_history的日志文件,在该文件中保存了用户输入的所有命令,管理员可以通过该文件查看某个用户登陆系统后进行了什么操作。
4.6. 日志文件的保存
日志文件是追踪黑客行为和取证的重要线索,一个有经验的黑客在入侵完系统后一般都会清除日志文件的内容,抹去自己的入侵痕迹。所以为了提供日志的安全性,可以定期对系统中重要的日志文件进行备份,并通过FTP或其他网络手段把备份文件上传到其他的备份服务器上保存,以作为日后跟踪和分析黑客行为的依据。
5. 内核更新及安全补丁安装
系统补丁,就是通过安装相应的补丁软件,补充系统中的漏洞,把“漏水”的地方补上,杜绝同类型病毒的入侵。作为系统管理员,及时发现并安装新的补丁对保证系统安全非常重要。对于redhat,用户可以在RHN上进行注册,注册后可以获得Red Hat最新的软件包和补丁。如果有公司内部的补丁源服务器,可以在目录/etc/yum.repos.d/添加相应的补丁源配置文件。用户可以执行yum update 命令升级安装补丁包。
6. 为什么很多强大的软件都不依赖图形界面?
有很多强大的软件都不依赖图形界面,主要原因如下:
1. 命令行界面更为高效:命令行界面通常比图形界面更为高效,因为不需要使用鼠标,用户可以直接通过键盘输入命令,更快速地完成一系列操作。
2. 更易于自动化:命令行界面比图形界面更容易实现自动化,因为可以通过脚本编程实现批处理和自动化操作。
3. 更适合运行在服务器等远程环境:很多强大的软件被设计为运行在服务器等远程环境,命令行界面可以通过SSH等协议进行远程访问和操作,更为方便。
4. 更适合专业用户:很多强大的软件被设计为面向专业用户,这些用户通常更喜欢使用命令行界面,因为它更为精细、高效、可定制。
因此,命令行界面虽然看起来比较陈旧和复古,但在很多专业领域仍然是不可替代的。对于普通用户来讲,图形界面通常更加友好和易用,但对于许多专业用户来讲,命令行界面才是最好的选择。
7. 如何检查服务器是否被入侵?
检查服务器是否被入侵,如果有资金投入,可以上专业的入侵检测设备IDS。但题主既然拿到这里问,应该是不想投入资金来解决。事实上,不花钱也可以有两种办法来检查。
1、用人工+纯技术(不推荐)这种方法说白了还是靠技术工程师。技术工程师对安全理解有多深就能检查到多深。如果技术工程师,只是照搬照抄网络上几个命令去检查,基本没有什么用。因为现在的入侵已经不是10年前的入侵了。轻易留下痕迹的入侵是失败的入侵。
大量的服务器入侵都是隐藏在正常的访问当中,或者病毒、木马、甚至黑客攻击当中。它们隐藏的更深,它们入侵的目的很多都不是为了破坏机器,而是为了获取重要数据。所以,人工是很难发现它的。就算你是高手,等你发现时,入侵基本已经完成。数据已经被盗走。你说还有什么意义吗?所以,强烈不推荐这种方法。
2、免费开源IDS自动检测如今的入侵行为要想被第一时间发现,必须在服务器的入口,也就是网络上部署一套IDS自动化进行入侵检测,它会自动分析所有通过网络的数据包,自动进行协议分析。一旦,发现可疑的数据行为。立即报警。哪些人工无法快速完成的繁杂的分析,对它来说瞬间即可完成。这才对现在有效入侵的检测方式。
如今,不用花钱的开源IDS系统。互联网上非常多。比如:Snort、Prelude IDS、Firestorm等等。这里我就以“snort”来简单介绍一下如何来部署一套开源IDS。
①、Snort入侵检测原理
从技术上原理上讲,Snort是一个基于特征检测的网络入侵检测系统。检测原理如下:
首先,要定义不符合安全策略的事件的特征。这些定义特征值的合集就成为一个安全特征库。sonrt自带有广大安全开发者定义的规则库,专业人士,也可以自己定义规则库。
其次,网络收集所有进入网络的数据包,然后对数据包进行分析,并和安全特征库进行比对。如果出现相应的特征值,则该数据包被认为是可疑入侵。
随后,然后对可疑入侵行为进行集中报警,同时记录下日志。我们就可以第一时间发现入侵行为。接下来,我们就可以去阻断入侵。
Snort 入侵检测的功能非常强大,而且是一个轻量级的检测引擎。
②、Snort安装步骤
第一步:环境准备(以windows为例)
我们得准备一台服务器。安装上windows操作系统。
到互联网下载Snort的最新windows 安装包。
第二步:开始安装程序
按照setup程序向导,一步一步往下安装即可。安装位置我们可以自由选择,默认安装在c:\snort\下。安装到末尾,要求我们安装抓包工具winpcap。这个必须安装上去。
第三步:安装规则库
首先,我们先去snort官方网站下载规则库。这里必须先注册成为会员才能下载规则库。
下载完成后,将下载的最新规则库,进行解压。并将解压后都文件替换掉安装文件夹内的旧规则库。这样规则库就安装成功了
③、配置snort
配置snort主要通过编辑配置文件
snort.conf
。改文件在安装目录下的etc\snort.conf
。编辑工具尽量用notepad++,比较方便。在文件中修改配置如下:var rule_path---c:\snort\rulesvar so_rule_path---c:\snort\so_rulesvar preproc_rule_path---c:\snort\preproc_rules。dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll
dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_dns.dll dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll
dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_smtp.dll dynamicpreprocessor file c:\snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dlloutput alert_syslog: host=127.0.0.1:514, LOG_AUTH LOG_ALERT配置完这些,系统就可以运行了。
④、运行snort
系统运行需要在windows的命令行来启动。我们通过cmd命令打开cmd命令窗口。通过CD命令切换到c:\snort\bin\目录下。在该目录下执行
snort -v -i1总结在安全发展飞快的今天,我们需要通过自动化安全工具来帮助检测服务器是否被入侵。
以上推荐的snort就是一款非常好用的开源网络入侵检测工具。如果对你有所帮助,希望实际使用参考文档,可以登录snort官网去仔细查看。以上是我的粗浅认识,希望能够帮到你。
我是数智风,用经验回答问题,欢迎关注评论
