GNU/Linux >> Znalost Linux >  >> Linux

Jak bych měl bezpečněji ukládat soubory získané zrcadlením webu?

Typy souborů, které jste uvedli, a vámi prezentované cíle vedou k obrovské útočné ploše. Za předpokladu sofistikovaného protivníka to dává mnohem větší možnost zneužití. Obzvláště problematické jsou soubory PDF a PPT/PPTX. Pokud se nemůžete omezit na mnohem méně typů souborů, budete muset izolovat své aktivity, buď pomocí oddělení oprávnění, nebo vzdálené virtualizace.

Oddělení oprávnění

Toto je řešení v případě, že tuto činnost potřebujete provádět na lokálním počítači. I když by bylo obtížné samostatně sandboxovat každou jednotlivou aplikaci, kterou budete používat, můžete na svém počítači vytvořit nového uživatele s několika právy:

  • Zakažte přístup k su a sudo od nového uživatele a nepoužívejte je jako tento uživatel.
  • Ne su vašemu podřízenému uživateli od roota, abyste se vyhnuli útokům TTY pushback.
  • Použijte iptables k zakázání přístupu k síti pro daného uživatele.
  • Nastavte limity zdrojů, abyste snížili množství škod, které může zneužitá aplikace způsobit.
  • Pokud je to možné, použijte místo Xorg Wayland nebo Xorg s systemd-logind spustit jako uživatel bez root.
  • Po dokončení a přepnutí na novou relaci povolte a použijte Secure Attention Key.
  • Vyhledejte a odstraňte všechny nepotřebné soubory setuid nebo setgid a také soubory setcap.
  • Používejte rámec auditu, jako je auditd, ke sledování potenciálně škodlivých aktivit.
  • Použijte obecné zpevnění systému, jako jsou sysctl tweak nebo hardening záplaty.

V závislosti na úrovni sofistikovanosti protivníka to nemusí stačit a dokonce i pro protivníka s mírnými schopnostmi je to spíše neúplné, ale je to výchozí bod. Protože musíte předpokládat (s největší pravděpodobností správně), že aplikace, které používáte pro přístup k těmto souborům, jsou zranitelné vůči spuštění libovolného kódu, otázka se změní na Jak mohu bezpečně spustit nedůvěryhodný kód? , která je samozřejmě extrémně široká.

Virtuální privátní servery

Jednodušším řešením by bylo použití VPS. Aplikace můžete spouštět vzdáleně na VPS spíše než na svém vlastním počítači a pracovat s ním tímto způsobem. I když je VPS zcela kompromitován, plocha útoku je zmenšena na plochu vašeho SSH klienta a vašeho terminálu, což je poměrně malé. Protože nebudete moci přímo prohlížet obrázky přes SSH (alespoň ne bezpečně), možná je budete chtít převést do velmi jednoduchého (a obtížně zneužitelného) formátu obrázku, než jej přenesete do místního počítače a zobrazíte jej. Příkladem takového formátu může být formát mapy pixelů PPM. Funguje to také pro prohlížení souborů PDF, protože je lze snadno převést na soubory obrázků pomocí různých nástrojů.

Hostitel VPS je schopen přistupovat a upravovat cokoli na VPS. Pokud je to pro vás problém (například pokud jsou soubory extrémně citlivé nebo je integrita nanejvýš důležitá), možná nebudete chtít používat VPS. Je nepravděpodobné, že se jedná o problém, a protože webová stránka, ze které jste stáhli, je již (pravděpodobně) veřejná, neměl by nastat žádný problém s důvěrností. Důvěrnost a integritu dat můžete zvýšit použitím vyhrazeného serveru, i když by to bylo dražší.

Měli byste si ponechat místní zálohu těchto souborů pro případ, že by bylo VPS vypnuto, abyste jej mohli později obnovit na jiný VPS. Lokální soubory by měly být uloženy v "inertní" formě, která nebude náchylná ke zneužití jakýchkoli indexerů nebo generátorů náhledů, které můžete mít ve svém systému. To lze provést například vložením souborů do archivu, jako je tar .

Protože budete muset používat nástroje příkazového řádku spíše než grafické, budete muset najít způsoby, jak k těmto souborům přistupovat přes SSH. Některé příklady, které můžete provést vzdáleně na VPS:

  • Můžete převést PNG, TIFF, JPEG a (neanimovaný) GIF na PPM a bezpečně je zobrazit lokálně.
  • XLS/XLSX lze převést na CSV, což je v příkazovém řádku v pořádku. Existuje dobrý vim plugin.
  • RTF, DOC, DOCX a ODF lze převést na obrázky, které lze bezpečně prohlížet lokálně.
  • Nevím o žádném způsobu zobrazení PPT/PPTX v příkazovém řádku, i když je můžete analyzovat.
  • HTML, CSS a JS lze zobrazit v textovém editoru nebo spustit ve vzdáleném textovém prohlížeči.
  • PHP lze zobrazit v textovém editoru nebo spustit pomocí interpretu PHP příkazového řádku.

Linux
  1. Jak bezpečně kopírovat soubory mezi hostiteli Linuxu pomocí SCP a SFTP

  2. Jak nahrát soubory webových stránek na váš hosting

  3. Jak nainstalovat Website Baker na CentOS 7 VPS

  1. Jak bezpečně přenášet soubory pomocí SCP

  2. Jak bezpečně přenášet soubory pomocí příkazu SCP v systému Linux

  3. Jak bezpečně přenášet soubory pomocí sftp (včetně příkladů)

  1. Jak najít soubory v Linuxu

  2. Jak používat dos2unix?

  3. Jaká oprávnění by měly mít soubory/složky mých webových stránek na webovém serveru Linux?