近日,一位程序员父亲亲眼目睹了熊孩子破解linux系统密码的全过程。整个过程看似黑客却不是黑客,熊孩子只是在键盘和屏幕上一通乱按,linux系统的屏幕锁定程序居然崩溃了,直接给孩子们让道了,不用输入密码就进解锁了系统。这位父亲看完简直不敢相信自己的眼睛,为了证实情况。他让孩子们再来一次,结果发现孩子们再次乱按一通,又一次解锁了。这次他相信了,将该漏洞提交到了Github上,最终这个低级漏洞被正式修复了。
低级漏洞被广泛吐槽
漏洞虽然被修复了,但却引起了网络的热议。linux号称开源,代码不知道被多少人看过。然而这么低级的漏洞直到现在才被发现,而且是被两个熊孩子发现的。这让网络上的linux程序员们情何以堪啊。不过著名程序员大神jwz就吐槽说,我早在17年前就警告过Cinnamon和GNOME官方。当时他发表过帖子说”如果没有在linux上运行XScreenSaver,那么你的屏幕就相当于没有锁定”。而且,之后每隔几年,它都会把这个话再说一遍,然而多年以来都没有真正解决。
Linux曾经发生的低级漏洞
很多熟悉Linux的朋友肯定知道,linux存在那么多年,发生过的低级漏洞可不少。例如:
2014年曝光的Bash bug代码注入漏洞:黑客可以利用该Bash漏洞完全控制目标系统并发起攻击。而且方法非常简单,只要直接剪切和粘贴一行软件代码,就能攻击目标计算机。2015年曝光的GRUB 2 整数下溢漏洞:黑客利用该漏洞可进入GRUB的Rescue
Shell,进而提升权限、复制磁盘信息、安装RootKit、或是摧毁包括GRUB在内的任何资料,即使磁盘加密也可能遭到覆写,导致系统无法工作。攻击方法也是很简单:只需在GRUB要求输入用户名时,连续按28次倒退键,就可进入Rescue Shell。而且从2009年12月发行的1.98版到2015年12月的2.02版都存在这个漏洞。2016年曝光的DirtyCow漏洞:该漏洞是 Linux
内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞, 导致可以破坏私有只读内存映射。黑客可以在获取低权限的的本地用户后,利用此漏洞获取 其他只读内存映射的写权限,进一步获取 root 权限。而且,这个漏洞一直存在了9年才被人发现。
linux并没有比windows安全
很多会点linux的人经常会说,linux比windows更安全。事实上这个观点并没有什么科学的依据。事实上,windows之所以被人认为不安全,是因为使用它的人很多。于是,研究它的人也就很多。最后,导致攻击它的人也就很多。我们经常听到windows被曝漏洞、被病毒、木马攻击,也正是因为这个原因。而不是因为windows比linux更不安全。
相反,linux在个人电脑上使用非常少。而用于服务器领域时,又通常会有很多安全设备保驾护航。所以,给人的感觉是,linux更安全。而事实上,linux因为用得少,更多低级漏洞都没长时间没被发现,未必比windows更安全。就像前面提到的这些低级漏洞,都存在了好多年才被无意发现。
如何更安全地使用开源系统
开源系统因为代码公开,大家都可以查看到源代码。这样开发者至少不敢在代码中放置人为的后门,这一点确实比闭源的会放心一点。但是,开源系统要做到更安全,还是需要注意以下几点:
闭源软件都需要保持更新,开源软件同样尽量使用最新版本。确保过去发现的漏洞都被修复了。千万不要安装了以后,再也不去更新,不去关注安全补丁。如果单位有代码审计的能力,尽量还是进行代码审计一下。定期要对软件进行渗透测试、漏洞扫描。对发现的漏洞要及时修补。root账户密码要保持一定的复杂度,并定期更换。其他账户要设置合理权限。
如今信息化已经非常普及,网络安全也变得越来越重要。无论是开源软件,还是闭源软件,我们都应该重视网络安全。
如若转载,请注明出处:https://www.ozabc.com/keji/332250.html