[112555]-Фона[12238]Основная причина, по которой даются эти советы при работе с безопасностью, заключается в том, что один из ключевых столпов в создании чего-то более безопасного - это уменьшение "поверхности атаки". То есть, если вы удаляете пути в вашу систему, вы снижаете общий потенциал вашей системы.[12239]Аналогия[12240]Когда я пытаюсь объяснить, почему это так важно с точки зрения безопасности, мне нравится использовать аналогию с домом. Если бы мы подумали о том, как сделать дом более безопасным, мы бы начали с очевидных вещей. Скажем, двери и окна. Если у нас нет необходимости строить дом с 10 дверями, только с 2, то с точки зрения безопасности имеет смысл, что дом с 2 дверями потенциально более безопасен, чем дом с 10.[12241]Следующее, о чем мы подумаем, это типы дверей и то, как они защищены. Это двери из руды, изготовленные из стали. То, как они заперты, а также различные другие особенности, будут входить в размышления о том, как сделать их, как и весь дом, "более" защищенными.[12242]Применяя подход к безопасности[12243]То же самое происходит и с безопасностью системы. Таким образом, удаление ненужных учетных записей - это всего лишь еще один шаг к повышению общего потенциала системы в плане подверженности риску взлома. Если эти учетные записи настроены таким образом, что они не разрешают прямой вход в систему, или если у них есть 20 символьных паролей, то их потенциал был снижен.[12244]Далее, если эти учетные записи настроены таким образом, что их можно входить в систему только с локального IP адреса в LAN, или путем применения других методов блокировки, таких как использование только по SSH, то их риск подвергнуться атаке был снижен таким образом, что они больше не считаются слишком уязвимыми.[12245]Ключевые концепции безопасности[12246]Держите эти мысли подальше от ваших мыслей: [12247]Безопасность заключается в балансировании компромиссов при настройке системы так, чтобы вы могли использовать ее как можно более безопасным способом, не подвергая систему риску быть использованной в манерах, которые вы этого не желаете. [12248]Безопасность подобна луковичным слоям. Мы пытаемся добавить как можно больше, чтобы предотвратить атаку со стороны злоумышленника, чтобы он споткнулся и сдался в попытке скомпрометировать нашу систему.[12249]Ваши другие вопросы[12250]Q1.[113354] Включают ли эти учетные записи процессов и демонов?[12251]Да, когда даются советы по защите/отключению/удалению учетных записей, они говорят об учетных записях как пользователей, так и системы, например, тех, что используются демонами. [12252]Вы не хотите оставлять учетные записи пользователей в системе для пользователей, которым больше не нужен физический доступ к системе, а также оставлять учетные записи демонов, которые были отключены или удалены.[12253]Q2.[113356] Какие проблемы безопасности существуют с ненужными учетными записями пользователей?[12254]Как я описывал выше. Эти учетные записи являются потенциальным риском безопасности, который злоумышленник "может" использовать для получения доступа. Однако их присутствие, если они правильно защищены, значительно снижается.[12255]Q3.[113358] Могут ли злоумышленники повредить системы с помощью скомпрометированных ненужных учетных записей?[12256]Только в том случае, если они смогут получить доступ к этим учетным записям. Если эти учетные записи настроены таким образом, что прямой вход в систему запрещен, и под этими учетными записями не работают демоны/службы, то с точки зрения безопасности они практически не представляют никакого риска.[112592].
27.01.2020, 21:16
Ссылка
