为学生学习提供宽松的 Linux 安全

Question 1

我在大学期间运行过一个大致类似的项目（我们有多个服务器，除了计算机服务外，实际上不对任何人负责，但我们是学生用的 Linux 机器）。在安全方面，主要是要保持补丁绝对最新。必要时，如果存在本地根漏洞且尚未发布补丁，请关闭登录。您还需要设置 ulimits。这些限制的严重程度可能取决于您的机器有多强大，或者，我们最不强大的机器使用了这些限制：

-

t: cpu time (seconds)         18000
-f: file size (blocks)         307200
-d: data seg size (kbytes)     51200
-s: stack size (kbytes)        8192
-c: core file size (blocks)    0
-m: resident set size (kbytes) 51200
-u: processes                  75
-n: file descriptors           300
-l: locked-in-memory size (kb) 175000
-v: address space (kb)         400000
-x: file locks                 unlimited
-i: pending signals            61440
-q: bytes in POSIX msg queues  819200
-e: max nice                   0
-r: max rt priority            0

除此之外，您还需要设置配额，可能针对教师和学生帐户。配额的大小取决于您的磁盘，但我们目前默认设置 1GB 配额。我相信，负责管理机器的继任者通常很乐意提高配额，但前提是这些人有正当理由。

除此之外，如果可能的话，我会乞求/借用/偷取第二台机器来备份您的配置/用户数据。理想情况下，您应该备份所有 /etc/、已安装软件包的列表以及所有用户数据（如果您有自己组装的任何软件包，则应该备份完整的 .debs）。如果您有空间，我也会备份 /var（/var/tmp 除外）。

/root 的权限默认为 755。你需要更改这些权限，因为你将要在某些时候意外地将敏感文件留在那里。此外，wall 和 su（至少）应该更改其权限，以便只有 root/root 组可以使用它们（可以随意将 root 组更改为只有您所在的其他组）。

最后，我会将所有内容系统记录到远程服务器，无需用户登录（即使这不是您控制的机器）。我会在您的机器上设置 snoopy，这样当有人闯入时，您就会有某种审计日志。

我们的大多数系统文档都是这里。如果您只运行一台机器，其中大部分可能不适用于您，但无论如何，它们可能值得您仔细研究一下。

Answer

我在大学期间运行过一个大致类似的项目（我们有多个服务器，除了计算机服务外，实际上不对任何人负责，但我们是学生用的 Linux 机器）。在安全方面，主要是要保持补丁绝对最新。必要时，如果存在本地根漏洞且尚未发布补丁，请关闭登录。您还需要设置 ulimits。这些限制的严重程度可能取决于您的机器有多强大，或者，我们最不强大的机器使用了这些限制：

-

t: cpu time (seconds)         18000
-f: file size (blocks)         307200
-d: data seg size (kbytes)     51200
-s: stack size (kbytes)        8192
-c: core file size (blocks)    0
-m: resident set size (kbytes) 51200
-u: processes                  75
-n: file descriptors           300
-l: locked-in-memory size (kb) 175000
-v: address space (kb)         400000
-x: file locks                 unlimited
-i: pending signals            61440
-q: bytes in POSIX msg queues  819200
-e: max nice                   0
-r: max rt priority            0

除此之外，您还需要设置配额，可能针对教师和学生帐户。配额的大小取决于您的磁盘，但我们目前默认设置 1GB 配额。我相信，负责管理机器的继任者通常很乐意提高配额，但前提是这些人有正当理由。

除此之外，如果可能的话，我会乞求/借用/偷取第二台机器来备份您的配置/用户数据。理想情况下，您应该备份所有 /etc/、已安装软件包的列表以及所有用户数据（如果您有自己组装的任何软件包，则应该备份完整的 .debs）。如果您有空间，我也会备份 /var（/var/tmp 除外）。

/root 的权限默认为 755。你需要更改这些权限，因为你将要在某些时候意外地将敏感文件留在那里。此外，wall 和 su（至少）应该更改其权限，以便只有 root/root 组可以使用它们（可以随意将 root 组更改为只有您所在的其他组）。

最后，我会将所有内容系统记录到远程服务器，无需用户登录（即使这不是您控制的机器）。我会在您的机器上设置 snoopy，这样当有人闯入时，您就会有某种审计日志。

我们的大多数系统文档都是这里。如果您只运行一台机器，其中大部分可能不适用于您，但无论如何，它们可能值得您仔细研究一下。

Question 2

基本上有两种方法可以解决这个问题：

你要确保他们无法破坏它。
你要确保你能比他们破坏它更快地修复它。

对于第一个，您可以考虑一个带有非常严格的 SELinux 规则的最新 Linux 发行版。考虑到这些学生必须学习的事实，我预计他们会遇到问题（例如：您不能监听网络端口），这些问题使他们无法完成作业或只是超出他们目前的技能水平。

第二种选择实际上更容易实现。

安装类似皮匠自动重新安装他们工作的系统。
教导学生定期将他们的代码提交到 subversion/git 存储库（有用的编程技能！！）。让老师访问学生存储库。学生可以简单地要求老师查看他们个人 subversion 中的特定标签。
将所有登录信息放入 LDAP 并配置服务器以在学生登录时自动创建学生的主目录。
每晚重新安装服务器。这很容易，因为你已经自动化了整个过程。

副作用：

没有任何恶意软件的存活时间超过 24 小时。
如果学生人数增加，您只需添加第二/第三个系统并以 100% 相同的方式安装即可。
任何配置问题都只需修复一次，并在重新安装后保持不变。
学生们偶尔会忘记提交并丢失作业。

Answer

基本上有两种方法可以解决这个问题：

你要确保他们无法破坏它。
你要确保你能比他们破坏它更快地修复它。

对于第一个，您可以考虑一个带有非常严格的 SELinux 规则的最新 Linux 发行版。考虑到这些学生必须学习的事实，我预计他们会遇到问题（例如：您不能监听网络端口），这些问题使他们无法完成作业或只是超出他们目前的技能水平。

第二种选择实际上更容易实现。

安装类似皮匠自动重新安装他们工作的系统。
教导学生定期将他们的代码提交到 subversion/git 存储库（有用的编程技能！！）。让老师访问学生存储库。学生可以简单地要求老师查看他们个人 subversion 中的特定标签。
将所有登录信息放入 LDAP 并配置服务器以在学生登录时自动创建学生的主目录。
每晚重新安装服务器。这很容易，因为你已经自动化了整个过程。

副作用：

没有任何恶意软件的存活时间超过 24 小时。
如果学生人数增加，您只需添加第二/第三个系统并以 100% 相同的方式安装即可。
任何配置问题都只需修复一次，并在重新安装后保持不变。
学生们偶尔会忘记提交并丢失作业。

Question 3

首先，确保设置备份并了解如何恢复系统。

也就是说，只要您立即应用安全更新（您也可以查看无人值守升级），就应该没问题。（但是，如果您可以限制外部登录，例如仅允许基于密钥的身份验证，则可以进一步降低风险）。

您将需要建议的配额和 ulimit 以及监控（这更有可能让您突然耗尽磁盘空间，而人们会因此而感到不安，而不是任何有足够知识获得 root 访问权限的人会将其丢弃）。

你不想要开始处理权限问题（但不知道自己到底在做什么）。

Answer