Linux系统中的访问控制:hosts.deny & hosts.allow

hosts.deny和hosts.allow是Linux系统中用于访问控制的重要工具,起源于TCP Wrapper软件,旨在提供对网络服务的访问控制。这两个文件在系统安全性方面扮演关键角色,hosts.deny文件作为黑名单,用于拒绝特定主机或网络的访问,而hosts.allow文件作为白名单,用于允许特定主机或网络的访问。通过配置这两个文件,系统管理员可以限制或允许特定主机对服务器上的服务的访问,提高系统的安全性。

系统处理机制与配置
Linux系统处理hosts.deny和hosts.allow的机制是基于TCP Wrapper的规则。当有一个连接请求到达时,系统首先检查hosts.allow文件,确定是否允许该请求的主机进行连接。如果主机在hosts.allow中找到匹配项,则连接会被接受。如果主机不在hosts.allow中找到匹配项,系统会继续检查hosts.deny文件。如果主机在hosts.deny中匹配,则连接将被拒绝。如果主机既不在hosts.allow也不在hosts.deny中匹配,则系统使用默认策略(通常是拒绝连接)。
配置这两个文件的过程相对简单。管理员可以编辑hosts.allow和hosts.deny文件,添加规则。规则可以按照具体IP地址、子网、服务类型等进行定义。每个文件的每一行代表一个地址或地址段。可以使用IP地址、主机名或子网来指定,也可以使用通配符来表示一组地址。在配置时,需要注意以下事项:

1. 注意文件顺序:Linux系统对于hosts.deny和hosts.allow的规则处理是按照文件中的顺序进行的。因此,在配置文件时,应将较宽松的规则放在前面,较严格的规则放在后面。
2. 慎用通配符:通配符的使用使得配置更灵活,但要谨慎使用。不正确或过于宽泛的通配符配置可能意外地允许或禁止了一些不应该访问或被拒绝访问的主机。
3. 添加注释:为增加可读性和可维护性,添加注释是个好习惯。可以在文件中使用井号(#)来添加注释,以便自己和其他管理员理解和维护配置规则的意图。
4. 定期审查:由于网络环境的动态性,建议定期审查和更新hosts.deny和hosts.allow文件。随着时间的变化,可能需要添加新的规则或删除不再适用的规则。

常见场景与配置案例
hosts.deny和hosts.allow在实际应用中最常见的2个场景就是远程登录控制和特定服务访问限制。以下是两个配置案例:

1. 远程访问控制:仅允许特定IP访问SSH服务,其余IP默认拒绝。先在hosts.allow文件中添加允许访问的IP(如11.11.11.11),再在hosts.deny文件中添加默认拒绝规则。
在hosts.allow中添加规则:sshd: 11.11.11.11
在hosts.deny中添加默认拒绝规则:sshd: ALL

2. 限制特定服务访问:有时需要限制某些服务只能被特定的主机或网络访问。通过在hosts.allow中指定允许访问的规则,可以实现细粒度的访问权限控制。例如,仅允许11.11.11.0/24网段的主机访问vsftpd服务器。
在hosts.allow中添加规则:vsftpd: 11.11.11.0/24
在hosts.deny中添加默认拒绝规则:vsftpd: ALL

总之,hosts.deny和hosts.allow在Linux系统中起到了重要的访问控制作用。
通过配置这两个文件,管理员可以根据实际需求保护系统资源的安全性,并限制未经授权的访问。

网络安全运营关键绩效指标

01检测到的入侵企图
入侵企图指的是未形成安全事件或后果的攻击探测行为,所有成功的入侵事件都可能由其发展而来。因此,企业应该将攻击者尝试获得非法访问的次数作为安全工作的衡量指标之一,这需要通过防火墙和SOC系统的日志来收集相关情报。入侵企图表明了企业面临的威胁总数量。企业安全运营普遍存在的一个问题是,当威胁预防机制奏效、很少发生事件时,管理者往往会错误认为本企业不再是攻击者的主要目标,但事实并非如此。

02已经发生的安全事件数量
企业组织已发生的安全事件指的是攻击者已经成功实现的攻击行为,对组织的资产或数据造成了实际的损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设不足的重要指标。安全运营工作的一个关键方面是密切关注改变工具和流程是否会带来改进。通过汇集企业安全事件数量和发生率方面的数据,可以帮助企业确保落实到位的防御措施对保护企业的数字资产带来了积极影响。

03网络安全事件严重程度
了解组织的网络入侵或数据盗窃的严重程度将有助于合理设定安全运营工作的优先级,以确保导致企业业务中断等严重网络安全事件不会继续发生。这个绩效指标还可以用来评估新的安全措施或流程是否切实有效。

04平均威胁响应时间(MTTC)
威胁响应是指在安全事件检测与有效处置之间的事件应对情况。解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力,响应时间越短,解决问题的成本就会越低。如果企业需要很长时间才能启动有效的响应机制和流程,这就反映出整体安全能力建设的不均衡。

05平均威胁处置时间(MTTR)
迅速响应网络安全事件只是安全事件处置的一方面,平均威胁处置时间(MTTR)则可以反映安全事件发生后安全运营团队的处置效率有多高。如果跟踪这个指标,就可以评估调整安全运营策略将可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力,比如DDoS攻击、勒索软件攻击和数据泄漏等。

06误报和漏报程度
网络安全运营需要依赖各种安全工具来识别和检测恶意软件或可疑行为,并在发现可疑情况时提醒安全运营团队。然而这类工具需要微调和定期维护,以免发生误报和漏报。跟踪误报和漏报的数量情况可以帮助团队确定各项安全工具的配置是否恰当。

07漏洞补丁更新时间
网络犯罪分子正在大量使用威胁情报工具,以利用补丁发布和实际修补之间的时间差。因此,企业应准确了解实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间。典型的事例就是勒索软件“WannaCry”的广泛破坏,虽然其所利用的“永恒之蓝(EternalBlue)”漏洞很快就被修补,但由于很多企业的补丁更新工作不够及时,结果还是沦为了受害者。

08漏洞评估结果
漏洞扫描工具会针对IT系统和用户设备运行测试,查看它们是否针对已知漏洞进行了修复,并识别其他潜在的安全问题。漏洞评估结果会列出各种新的和仍然存在的漏洞、风险评级、漏洞得逞/失败率及其他数据。如果将该信息与漏洞修复时间这一指标结合使用,企业就可以确定是否应该分配更多的资源来保障漏洞管理工作。

09内部用户的访问安全性指标
企业负责人可能会认为网络安全威胁主要来自企业外部。然而在很多数字化企业中,针对内部用户的网络安全指标显示,内部威胁是更为严重的问题。收集和分析员工的访问权限以及应用程序和数据访问方面的信息,可以表明内部安全问题以及需要对用户访问控制所做的更改。

10网络整体流量数据
虽然企业网络中的整体流量数据量不是严格意义上的安全度量指标,但对于识别潜在威胁、确定安全工具和流程的可扩展性大有裨益。网络流量的变化(无论是逐渐的变化还是突发的变化)都可能表明恶意软件入侵或其他类型的网络攻击。该度量指标还有助于证明需要新的或升级的安全措施。它有助于传达这个观念:随着网络使用量增加,用于保护网络和IT系统的资金应该随之增加。

11安全审计和渗透测试次数
网络安全运营工作应该包括一系列的安全性审计、风险评估、渗透测试及其他检查,这样才可以确保安全流程和工具发挥正常功效。但是组织的安全运营团队往往日常任务负担过重,导致这些重要的工作被延迟或遗忘。在此背景下,组织应该通过跟踪安全审计和渗透测试等任务的次数,了解网络安全运营工作中是否有存在疏忽的环节。

12与同行横向比较的安全基准
安全团队向董事会级别进行工作报告时,一种重要的主题就是,企业目前的网络安全状况如能力,与所在行业的同行企业相比如何。这些汇报信息和评价指标更容易被管理层所理解,且在视觉上更加具有吸引力,容易受到非专业型领导的关注。从某种意义上说,与同行横向比较的安全基准是一个“比较指标的指标”。这样的基准测试有助于确定IT安全团队与同行相比是处于正常水平还是需要重新调整。

网络安全工具解析

1. 蓝矢量(Blue Vector)
功能: Blue Vector利用深度学习技术来检测和响应网络威胁。它能够实时监控网络流量,识别异常行为,并自动阻断潜在的威胁。
优势: 该工具随着时间的推移不断学习和适应,提高了对新兴威胁的防御能力。它能够理解每个部署网络的独特性,并相应调整其算法。
使用场景: 特别适用于寻求动态和自适应网络安全解决方案的企业。

2. Bricata
功能: Bricata结合了入侵预防和检测系统(IPS/IDS)的功能,并进一步增加了基于异常或事件的威胁狩猎能力。
优势: 它不仅捕捉大多数网络问题和安全漏洞,还能够识别并应对专门设计来绕过IDS的攻击。
使用场景: 适合那些需要超越传统IPS/IDS防御的中大型企业。

3. 云卫士(Cloud Defender)
功能: 云卫士专为云环境设计,提供检查和保护网络应用、数据和服务的功能。
优势: 它为移动到云的企业提供了易于使用的工具,帮助它们发现潜在威胁和弱点。
使用场景: 对于那些正在转向云计算并寻求专门保护的组织来说,这是一个理想的选择。

4. 钓鱼防御工具(Cofense Triage)
功能: Cofense Triage帮助组织管理和响应用户报告的可疑钓鱼电子邮件。
优势: 它提高了用户识别钓鱼邮件的能力,并为组织创建了一种机制来利用这种新培养的技能。
使用场景: 适用于任何规模的组织,特别是那些希望提高员工安全意识和防御能力的组织。

5. 对比安全(Contrast Security)
功能: 对比安全是一套工具,能够在应用程序的整个生命周期内提供保护,从开发到部署和运营。
优势: 通过将代理嵌入应用程序中,它能够几乎消除误报,同时提供持续的安全监控和防御。
使用场景: 特别适合开发和维护大量自定义应用程序的企业。

6. 数字守卫(Digital Guardian)
功能: Digital Guardian提供了一个平台,通过预先加载的数千条最佳实践规则,即刻开始保护端点。
优势: 它提供即刻的保护,无需长时间的学习和规则设置,使其成为迅速部署的理想选择。
使用场景: 适用于需要快速有效端点保护解决方案的企业。

7. 符合性和安全(Intellitica)
功能: 该工具提供了一个持续监控的合规仪表板,帮助企业保持安全和符合性。
优势: 它将合规性和安全性结合起来,确保企业在遵守规则的同时保持充分的安全防护。
使用场景: 特别适合需要同时管理安全性和合规性的企业。

8. MANTIX4
功能: MANTIX4旨在发现并消除可能绕过传统保护的高级威胁。
优势: 它为关键基础设施提供专门的保护,帮助防御高级和针对性的攻击。
使用场景: 适合那些在关键领域运营并寻求高级安全解决方案的组织。

9. SECBI
功能: SECBI提供网络流量分析,帮助提高企业网络的效率和安全性。
优势: 它将传统的网络效率工具转变为安全工具,帮助识别和阻止潜在威胁。
使用场景: 适用于任何需要改善网络性能和安全性的企业。