你好,我想知道在没有进一步保护(iptable 或其他)的情况下连接到互联网的全新安装的 Debian 是否安全或相当于蜜罐。我们是否有人证明,在互联网上裸露运行数小时或数天的全新 Linux 安装不会因未来使用而受到自身损害?
答案1
当然,任何东西的全新安装并不“等同于”蜜罐。蜜罐是专门安装来跟踪或减缓入侵者的系统,但新安装的系统没有理由不成为此类项目的一部分。
如果你想知道新安装的系统在安装后是否容易受到远程利用,那么我想这取决于自该版本以来,新安装的系统上运行的软件中是否发现了任何可远程利用的漏洞已安装的软件。因此,如果不知道您安装了什么以及何时安装,并且无法预测未来,我们真的无法说......
答案2
开放BSD以安全性为荣,并拥有口号“在很长一段时间内,默认安装中只有两个远程漏洞!”。最长的时间是 19 年,并且还在不断增加,所以大约每 10 年就有一个远程洞。
OpenBSD 注重安全性,并且具有相当简约的默认安装,因此可以预见 Debian 的记录不会那么好。 (但是,OpenBSD 默认情况下会激活 SSH 服务器,而许多发行版不会这样做。)我不知道在 Debian 或其他 Linux 发行版上进行过任何研究。尽管如此,根据“全新安装裸机运行的 Linux”的定义,即用户除了下载可用安全更新所需的操作之外,不会做任何事情,因此机器容易受到攻击的情况不会有很多时间。
当然,如果你想让一台机器连接互联网并正常使用而不做安全升级,那就另当别论了。 Web 浏览器是许多人试图攻击的复杂野兽。如果您没有对浏览器应用安全更新,那么这就是迄今为止的第一大漏洞。
答案3
这并不是真正的蜜罐。但你可以把它当作一个。
但如果您想做这个实验,可能有一种方法可以用来tripwire
查找入侵者可能为“拥有”系统而进行的更改。
设置它,使其保持打开状态并闲置。然后在月经结束后回去寻找证据。 (采取措施确保tripwire
自身没有瘫痪。从主机上备份其初始数据库。使用其可执行文件的新副本进行审核)
如果您自动安装安全更新,则必须排除该过程所做的更改。
但也有一些入侵者只是访问而不进行任何更改。您可以在日志文件中查找登录信息。您甚至可以设置iptables
记录与测试机器之间的连接,并检查是否有奇怪的活动