Next
Previous
Contents
我試著在此處說明一下,這個特別的設定和 VPNs 一般有那些易受攻擊的弱點。熱誠地歡迎
各位發表任何意見。
- sudo 程式:我承認,我過度地使用了 sudo。我深信目前它仍然比使用 setuid bits
還安全。Linux 上仍然沒有好的存取控制機制,是個不爭的事實。只有等到相容 POSIX.6
標準的核心正式發行了< http://www.xarius.demon.co.uk/software/posix6/>。更
糟糕的是,我居然透過 sudo 來呼叫執行 shell 的命令稿程式。實在糟糕透了。你有任何
建議麼?
- pppd 程式:它也會使用 suid root (譯註) 的執行方式。你可以透過使用者的 .ppprc
來設定它。留心,它可能會有“緩衝區超限運轉(buffer overrun)”的狀況發生。底限是
:盡可能地保護你的 slave 帳戶的安全性。
- ssh 程式:當心,ssh 在 1.2.20 以前的版本有安全的漏洞。更糟糕的是,我們的
設定是,當我們對 master 帳戶的安全性做出了讓步,相對地,也棄守了 slave 帳戶的安
全底限,而且,我們使用了兩個透過 sudo 啟動的程式,也大開了攻擊之門。那是因為,為
了能夠自動設定 VPN,我們選擇讓 master 使用沒有密碼的“私人鑰匙(secret key)”。
- firewall 程式: bastion 主機上的防火牆,若規則設定的不恰當,就等於是大開公
司內部網路的方便之門。我建議大家使用 IP“偽裝(Masquerading)”的技術(此時,就算是
路由設定不正確,所造成的影響也是微不足道的),以及,在 VPN 的界面上做嚴格的控制
。
譯註:
suid root 是指任何執行該程式的人,在執行的當時會取得 root 的權限。其中,suid(
設定使用者識別代碼)是指設定檔案屬性的第 11 個位元,讓執行該檔案的人,成為檔案的
擁有者。
Next
Previous
Contents