從事IT工作也有些年頭了,起初來到單位的時候,作的是一些最基礎(chǔ)的工作,有時候同事的電腦系統(tǒng)不好用了,軟件出問題了,又或者表格里的功能不會用了之類的,就會打電話或者在RTX上找我,這就是我們這個科室的主要工作,單位里的電腦說多也不算多,400臺左右。主要都是XP系統(tǒng)。安裝的也都是網(wǎng)絡(luò)版的殺毒軟件。我當(dāng)時主要的工作就是上文說的,屬于桌面端的IT維護(hù)。就這樣工作了幾年的時間,對windows系統(tǒng)大小故障,問題類型,各種藍(lán)屏代碼看一眼,基本就知道什么問題了。隨著時間的推移,慢慢開始感覺到工作的乏味。有一段時間對Windows server系統(tǒng)很跟興趣,從2003,到2008各種版本都試過,感覺只是對硬件的要求高了,性能自然也好了。但是操作的方法大同小異。都是鼠標(biāo)點(diǎn)這點(diǎn)那。只要腦子里有操作步驟,都不是問題。
真正讓我對Linux系統(tǒng) 感興趣的是這么幾件事:單位的二層交換機(jī)是神州數(shù)碼的,命令基本和思科的一樣,由于我剛來不久,還不能用命令操作交換機(jī),真正當(dāng)用戶有需求的時候,比如說有個用戶要換部門,每個部門VLAN不同,他的電腦IP就要變動到這個部門的VLAN下,我就打電話給主任,主任就敲一下命令。好了就打電話告訴我。我在終端確認(rèn)一下,重新獲取一下IP就好了。又一次,我問主任我說,主任咱的交換機(jī)里面是不是也有操作系統(tǒng)啊?主任說是的,本質(zhì)上也是Linux系統(tǒng),我說那它對系統(tǒng)的要求很低呀?接著主任給我看了交換機(jī)的配置。只有64MB,CPU沒有具體型號,但是頻率是800MZH。我當(dāng)時就挺好奇的,這么低的硬件配置,就可以運(yùn)行Linux,而且非常穩(wěn)定,因?yàn)榻粨Q機(jī)有時候一年也不用重啟一次。不像用戶電腦的windows,動不動就要重啟。于是便經(jīng)常關(guān)注Linux方面的問題。當(dāng)時單位服務(wù)器很少,只有三臺,全是windows server。由于沒有Linux用武之地,所以一直也沒有深入了解,隨著時間的推移,虛擬化開始成熟,在主任的帶領(lǐng)下,我們由實(shí)體服務(wù)器轉(zhuǎn)到了虛擬服務(wù)器上,這是劃時代的變化,操作系統(tǒng)不再像以前一樣裝完就不敢動了,你可以任意的克隆,遷移,不再擔(dān)心系統(tǒng)硬件壞了,操作系統(tǒng)關(guān)機(jī),當(dāng)時覺得這個虛擬化真的好強(qiáng)大啊。后來深入了解,才知道其實(shí)ESXI也是Linux的操作系統(tǒng),控制中心Vcenter用的也是Linux操作系統(tǒng),都是非常之穩(wěn)定。只要硬件不壞,都不用重啟啊。我記得我們其中一臺物理機(jī)已經(jīng)無故障運(yùn)行了1400多天,這些深深的讓我對Linux操作系統(tǒng)有了興趣。后來單位上了自己的電子郵箱系統(tǒng),這個系統(tǒng)的后臺是centos的。又讓我對Linux的興趣加深了不少。
隨著工作時間的越來越長,我覺得Windows就像是轎車。 越做越舒適,越做越寬敞,自動化,傻瓜化。 Linux更像是坦克,功能復(fù)雜,強(qiáng)悍,有更多的自我調(diào)節(jié)按鈕。你說我一個人無所謂。于是還是開轎車上下班吧。反正我開轎車的技術(shù)水平高。路上也不總是有車禍。我小心點(diǎn)開。開好點(diǎn)。總也不會報廢的。就算報廢了我再買輛。那你可以去開轎車。可是有一天你要帶著很多重要的人物(服務(wù))上路。那你就要特別考慮安全了。這些人可是不能死的人。所以你還是選擇坦克吧。不過坦克可能比較難操作。而且你也不是每天都有開坦克出門的必要。所以經(jīng)驗(yàn)可能相對較少。可能有些難度。但是不能因?yàn)檫@樣就放棄坦克。多開開就好了。
但是如果讓你天天上班開坦克。的確安全,但是似乎有些別扭。不過如果你的操作水平夠高。那他跑的可能比轎車還要快。但這需要一個積累的過程。而且有時轎車畢竟讓人感覺乘坐會更舒適和人性化。所以沒事開轎車上下班也不是什么壞事。
但是開坦克的人歸根到底是比開轎車的厲害很多的。我決心開始要系統(tǒng)的學(xué)習(xí)Linux了,最直接的方法當(dāng)然是百度搜索了,最開始自己尋思Linux肯定要先背命令,就搜索找了一本命令手冊開始背了起來,但是只知其然不是其所以然啊,背來背去沒有什么進(jìn)步啊,因?yàn)椴欢@個命令具體是干嘛的,又不能一個一個的去搜,因?yàn)樾侍土恕>驮谖也恢涝撛趺礃娱_始學(xué)習(xí)的時候,我在百度上敲了這么一句話:"Linux應(yīng)該怎么學(xué)?"仿佛百度知道我要找什么似的,給了我一個結(jié)果:《Linux就該這么學(xué)》我當(dāng)時真的有點(diǎn)小激動,哈哈看著書名仿佛一問一答。書還是免費(fèi)提供免費(fèi)提供下載,心里十分高興。趕緊下載了大體看了一下,這不就是我要找的書嗎?循序漸進(jìn),由淺入深,淺顯易懂的文字讓我這個Linux菜鳥真的仿佛找到了一個和藹可親,又功夫高強(qiáng)的師父。以上就是我這個企業(yè)里的小菜鳥從windows到Linux的轉(zhuǎn)變過程。也希望大家也早日開上"坦克"。
被稱為Badlock的新漏洞引發(fā)專家漏洞披露的爭論。對Windows和Samba中這個關(guān)鍵安全漏洞的修復(fù)今日才發(fā)布,而有關(guān)該漏洞的新聞三周前就被公布了,由德國安全咨詢公司SerNet公布。
該漏洞由SerNet公司Samba長期開發(fā)人員Stefan Metzmacher發(fā)現(xiàn),根據(jù)SerNet的公告,Badlock是影響幾乎所有版本windows和Samba的嚴(yán)重漏洞。
對Windows和Samba 4.4、4.3和4.2版本的修復(fù)程序今日發(fā)布;而同樣受到該漏洞影響的Samba 4.1已在3月23日停止支持。
“這次公告的主要目標(biāo)是讓你準(zhǔn)備好盡快修復(fù)所有系統(tǒng),讓系統(tǒng)管理員有時間及時進(jìn)行修復(fù)。”
炒作還是有效的漏洞披露?
SerNet的公告引發(fā)了針對軟件漏洞披露做法的又一次爭論。
“在引起大家對嚴(yán)重漏洞的關(guān)注與過度炒作之間只有一線之隔,”該網(wǎng)站指出,“這個過程已經(jīng)開始一段時間,所有人都要開始修復(fù)。”
對于這個公告是SerNet試圖利用Metzmacher的發(fā)現(xiàn)還是對漏洞的負(fù)責(zé)任的披露(讓管理員有足夠時間來準(zhǔn)備好安裝補(bǔ)丁程序),專家持有不同意見。
“在漏洞報告領(lǐng)域,新的發(fā)展是找一個朗朗上口的名字和標(biāo)志,用于營銷目的,”Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek表示,“在這個情況中,所涉及的人們似乎是Samba核心團(tuán)隊(duì)的一部分,所以他們是‘自己人’,他們的動機(jī)似乎是引起關(guān)注,發(fā)布補(bǔ)丁。”
雖然這可能是為了營銷,但有些評論家認(rèn)為這個公告具有威脅性,因?yàn)檫@可能給惡意研究者足夠的時間來尋找漏洞,并在補(bǔ)丁發(fā)布前利用漏洞。
是否是負(fù)責(zé)任的披露?
對于Badlock是否是負(fù)責(zé)任的披露,專家也持不同意見。
Bambenek表示:“總的來看,這似乎是一個負(fù)責(zé)任的披露。”盡管攻擊者可能會尋找漏洞以及利用漏洞的方法,但他表示這個風(fēng)險應(yīng)該被考慮到,還應(yīng)考慮到需要作出修復(fù)決策的防御者的利益。他們需要在補(bǔ)丁發(fā)布到Windows Update之前獲取有關(guān)這個漏洞的信息。
他認(rèn)為攻擊者在補(bǔ)丁發(fā)布前發(fā)現(xiàn)該漏洞的風(fēng)險很低,但如果真的發(fā)生,微軟和Samba至少提前知道這個漏洞是什么,他們可以利用備用的緩解措施。
Tripwire公司安全研究人員Lane Thames表示:“早期Badlock公告處于負(fù)責(zé)任的漏洞披露的邊緣。對于非常了解這個軟件系列以及底層協(xié)議的攻擊者來說,已經(jīng)有足夠的信息讓他們可以找到漏洞代碼。”
然而,并不是所有人都認(rèn)為Badlock是負(fù)責(zé)任的披露。
“我個人不認(rèn)為這是一個好辦法,安全意識很重要,但你不應(yīng)該只是讓人們意識到這個問題,還應(yīng)該提供解決方案,”應(yīng)用安全公司ERPScan首席技術(shù)官Alexander Polyakov表示,“發(fā)現(xiàn)Heartbleed漏洞的研究人員采取了幾乎相同的做法,但是按正確的順序,首先,他們幫助人們解決問題,然后告知人們這一點(diǎn)。”
假設(shè)Badlock漏洞發(fā)現(xiàn)者不是真的想幫助管理員,Polyakov稱:“事實(shí)上,管理員會浪費(fèi)幾個星期來進(jìn)行無用的討論和擔(dān)憂。當(dāng)修復(fù)程序發(fā)布時,他們將會很疲憊,并失去動力,而目前還沒有解決方案或修復(fù)程序。”
信息安全咨詢公司Rendition InfoSec創(chuàng)始人Jacob Williams表示:“在修復(fù)程序發(fā)布前三個星期公告漏洞信息不太可能是負(fù)責(zé)任的披露,這給攻擊者奠定了一個很好的基礎(chǔ)。他們會查看該漏洞的影響,這也就表明漏洞的代碼所在。”Williams非常直接地批評了Badlock披露的時間。
Badlock可能是什么,應(yīng)該怎么做
該漏洞的名稱Badlock被認(rèn)為指向該漏洞的性質(zhì),例如安全研究人員David Litchfield在Tweet發(fā)帖稱:
從其名字來看,我猜應(yīng)該是在文件處理無效后無法控制的內(nèi)存寫入。
更多猜測則是基于該漏洞被描述為“嚴(yán)重漏洞”,并且,SerNet公司的公告稱“攻擊向量和漏洞利用在披露后將很快會出現(xiàn)”。有些專家總結(jié)稱,這個漏洞可能允許遠(yuǎn)程代碼執(zhí)行;鑒于需要同時修復(fù)Windows和Samba,專家認(rèn)為這個漏洞可能存在于服務(wù)器消息塊(SMB)協(xié)議中。
“關(guān)注這個漏洞的大多數(shù)人擔(dān)心的情況是攻擊者可能發(fā)現(xiàn)該漏洞,然后在修復(fù)程序發(fā)布前利用該漏洞,”Thames稱,“如果這個漏洞被證明是遠(yuǎn)程服務(wù)器端漏洞,可制成蠕蟲攻擊,這意味著可通過內(nèi)置復(fù)制機(jī)制來利用該漏洞,考慮到大量使用SMB的系統(tǒng),修復(fù)程序發(fā)布前出現(xiàn)漏洞利用可能導(dǎo)致嚴(yán)重的破壞。”
Polyakov稱:“如果他們的描述是正確的,這意味著漏洞可被用來創(chuàng)建蠕蟲病毒,例如Conficker。”
對于應(yīng)該怎么做的問題,專家一致認(rèn)為,關(guān)鍵是限制Windows和Samba風(fēng)險。為了防止Samba零日漏洞被利用,首先應(yīng)該確保相應(yīng)的Samba/windows服務(wù)沒有暴露在互聯(lián)網(wǎng)上。
Williams稱,不要允許SMB或NetBIOS在不必要的地方使用,3層網(wǎng)絡(luò)訪問控制列表和客戶端防火墻也許會有所幫助。如果該漏洞變成蠕蟲病毒,安全專家應(yīng)該防止SMB流量離開網(wǎng)絡(luò),通過在邊界防火墻阻止TCP端口135、139和445。
“IT部門應(yīng)確保運(yùn)行SMB服務(wù)的系統(tǒng)通過企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng),除非有令人信服的業(yè)務(wù)理由,”Thames稱,“如果企業(yè)有面向互聯(lián)網(wǎng)的SMB服務(wù),那么這些服務(wù)必須被視為最優(yōu)先保護(hù)的服務(wù)。如果這確實(shí)是影響SMB服務(wù)器端的漏洞,那么,在修復(fù)程序發(fā)布后的很短時間內(nèi)攻擊者很可能會開發(fā)全功能的漏洞利用。”
Polyakov還建議使用網(wǎng)絡(luò)分段來降低基于Badlock的潛在蠕蟲病毒的風(fēng)險,同時他指向?qū)S肰LAN。他稱:“我們經(jīng)常向客戶推薦專用VLAN,雖然它們可能在某些環(huán)境帶來初始配置變化,我們發(fā)現(xiàn)這些環(huán)境通常架構(gòu)不好,工作站更加適合服務(wù)器。”
補(bǔ)丁管理也很重要,特別是在修復(fù)程序發(fā)布的數(shù)天前。Williams建議IT專業(yè)人員安排足夠的時間來測試和安裝修復(fù)程序,重視測試。糟糕的修復(fù)程序可能導(dǎo)致藍(lán)屏,同時,不要忘記你可能需要不止一次的修復(fù)。