您是否有過這樣的經歷:多年以來日復一日地恪守著某條規則,到頭來卻發現自己從未懷疑過的規則居然不對?小時候,為了把我從游泳池裡騙出來,媽媽嚇唬我說,午飯後半小時之內進水會引發嚴重的抽筋、甚至會喪命。幾年前,一篇讀者文摘戳穿了這個謊言。 其實成年以後,我常常游泳,並且還有一個私家游泳池。我的孩子、鄰居和其他喜歡游泳的人飯後在我的池子裡游泳時,我從沒見過有人抽筋。所以讀者文摘上的那篇文章應該不至於讓我太感震驚,因為從身邊的經歷,我早知道這個道理的。但實際上,我卻一直對擺在面前的事實證據視而不見。 無名安全(Security by Obscurity)的情況和這個很像。雖然有證據表明無名安全是非常有用的,但幾乎所有的計算機安全“專家”都認為無名安全沒什麼大不了。我覺得無名安全應該成為任一台計算機安全計劃的一部分,實際上,無名安全完全可以勝任這個角色。 先忍住怒氣,不去抨擊那些安全專家,深入地解釋一下這個問題。首先,我並沒有說無名安全真正安全,我只是說它應該成為許多計算機安全策略的一個重要組成部分。 可以通過好幾種方式實現無名安全,但最基本的一點是,不要再什麼都采用默認設置一路“NEXT”下去,需要多做幾步: 1 重命名權限高的管理員賬戶,給予不太惹眼的名字 2 服務器的名稱對於其支持角色不要太明顯 3 盡可能在非默認端口上運行服務 4 在非默認目錄安裝危險性高的軟件,比如面向網絡的Web服務器 5 盡可能把配置文件重命名,不要使用默認的名字 總之,如果不是必須以眾所周知的默認名稱安裝到默認位置,就不要這樣做。為什麼要給惡意攻擊者和自動惡意軟件進入自己系統的機會呢? 舉例來講,Windows管理員應該重命名自己的管理員賬號,改成不太明顯的名字,比如,PeterC。Exchange管理員賬號不應該叫做ExchangeAdmin,磁帶備份服務賬號不應該叫做Tapebackup。 安全專家會說,在Windows裡,通過眾人皆知的管理員的SID(Security Identifier,安全標識符),500,可以輕而易舉地識別出管理員賬號。確實是這樣,不過,大多數攻擊都是自動的,不做SID列舉運算。黑客可以做SID列舉運算,但是大多數黑客都不做。 看看無名安全怎樣幫助避開SQL Slammer蠕蟲的吧。如果被SQL Slammer擊中了,說明你做錯了三件事。首先,沒有打SQL補丁,雖然補丁發布已經半年多了。其次,沒有通過起保護作用的VPN就把SQL連到了危險的網絡世界。第三,SQL服務器在默認的1434端口運行。 解決以上所有的問題,並不那麼容易。在一個大企業裡,持續不斷的補丁更新是一項艱巨的任務,尤其想要測試某關鍵應用程序時更是如此。在多點之間設置VPN也是非常非常難做的事情。 三個中,最容易的解決方法就是改變SQL端口,比如,43143,或者別的TCP/IP端口。在安裝時就可以改變默認端口,對於現有的客戶端和服務器,,也只需要更新注冊表入口就可以完成。 這樣,就看到無名安全的作用了。這只是其中一個小例子,我還做了好多其它的試驗。我在1434和1435端口上分別安裝了SQL服務器,前者一天中要受到上百次攻擊嘗試,而後者在一年多的時間裡卻沒有受到哪怕一次騷擾,無論是自動的惡意軟件還是黑客都沒有注意到這個無名小卒。黑客可以發現除默認端口外的這個SQL服務器,因為SQL口令是空白的,但即便如此,僅僅改變一個端口,把位置變成無名,就可以起到這麼大的作用。 相比於Windows管理員,Unix/Linux管理員更不樂意改變默認端口。建議更改默認的RPC程序號,因為很多惡意腳本依賴於這個號。建議重命名root賬號,不要使用容易被盯上的名字。並且重命名對系統不會帶來任何危害,不信的話可以試試看。 所以,不要再口口聲聲說無名安全技術沒有用了,為自己考慮考慮吧。我,嘿嘿,要到游泳池裡吃午飯去了。
