我很喜欢“诱杀装置”这类安全设备。信息安全是一场众所周知的不对称斗争,因此将它们纳入安全架构有助于稍微平衡竞争环境。诱杀装置的行为难以预测,可以拖垮攻击者,并充当预警系统。
当然,孤立地来看,它们并没有什么用。还有一种观点认为,如果有人突破了你的许可防御系统,并开始设置陷阱,你就已经输了。但正如《信息安全史莱克》提醒我们的那样,安全在于层层防护和纵深防御。而且,有些陷阱也可能有点好玩。
那么这与 BSD 有什么关系?
我在这里写了数千字,讲述 FreeBSD 和 NetBSD 操作系统(我的最爱)如何不仅能成为优秀的服务器,而且 Linux 管理员拥有比他们意识到的更多可迁移技能。我曾与一位客户交谈,她开玩笑说,对她来说,从 Debian 迁移到 FreeBSD 比从 RHEL 和 SLES 迁移到 Ubuntu 还要容易。请仔细阅读,你会明白的。
但是那些工作方式不一样的命令怎么办呢?或者根本不存在?或者名称不一样?如果你通过 SSH 连接到 BSD 系统,并尝试用一堆 Linux 特有的命令或语法来运行你的脚本小子漏洞,它们可能会失败。哦不!我想这就是 BSD 的“通过隐蔽性实现安全”的不劳而获的优势,但为什么不利用这一点呢?
我有一个名为silly小 Go 工具。它别名为apt 、 bash 、 btrfs 、 lspci 、 modprobe 、 nano和wget等 Linux 命令,这些命令在原生 BSD 安装中并不存在。你可以把它想象成 Busybox,只不过它是一个脚本,允许 Linux 系统默默地成功失败,同时将连接信息和发出的命令记录到仅追加日志中。
我已经在几个蜜罐虚拟机上安装了这个,看到人们发出的命令真是……挺有意思的。我能看到他们尝试安装软件包并运行脚本。你可能会认为这些工具会先运行uname命令来确认它运行的是什么操作系统,但显然不是!我猜,假设你听到的是企鹅叫声比确认你使用的是 BSD、illumos 还是其他什么系统更容易。
作者: Ruben Schade ,悉尼,2025 年 9 月 18 日。
原文: https://rubenerd.com/silly-booby-traps-in-freebsd-and-netbsd/