本地提權攻擊怎么防御

針對本地提權攻擊，最有效的安全防范方法依然是及時更新系統的補丁程序，以便在第一時間修補存在的安全漏洞。除此之外可以結合針對提權攻擊的防御方法和從系統管理角度進行防御。

針對SUID特權程序，管理員首先要清楚Linux系統在默認安裝時，哪些系統程序使用了SUID特權位設置，程序如果不需要就盡可能將其禁用。對于在Linux系統上運行的應用程序，管理員必須知道是否會啟用SUID特權位設置，并評估可能存在的安全風險。對于安全風險大的SUID特權程序，應盡可能去除SUID特權位的設置，如果確實要使用，必須實時關注其安全狀況。即使是安全風險小的SUID特權程序，管理員也要做到“清單式”管理，即對使用的SUID特權程序建立應用清單，及時安裝安全補丁程序。

針對利用代碼漏洞進行本地提權的問題，最根本的解決辦法還是及時升級操作系統并安裝補丁程序，同時輔助以必要的安全配置。例如，禁止root用戶進行遠程登錄、對特權用戶設置強口令、使用SSH對服務器進行遠程管理等。

另外，針對Linux在訪問控制機制中存在的本地提權漏洞，可使用SELinux安全增強模塊來提高Linux抵御本地攻擊的能力。早期的Linux采用自主訪問控制（Discretionary Access Control，DAC）來保證系統的安全性，根據用戶標識和擁有者權限來確定是否允許訪問。這種機制的缺陷是忽略了用戶的角色、數據的敏感性和完整性、程序的功能和可信性等安全信息，因此不能提供足夠的安全性保證。而Linux在2.6內核之后集成了SELinux組件，在該組件中引入了強制訪問控制（Mandatory Access Control，MAC）機制，可以有效地解決早期Linux系統中存在的一些問題。MAC根據用戶操作對象（如普通文件、目錄、設備、端口、被調用的進程等）所含信息的敏感性，以及用戶操作（如讀、寫、執行等）在訪問這些信息時的安全授權來限制對用戶操作對象的訪問。SELinux是一種通用的、靈活的、細粒度的MAC機制，為用戶操作和用戶操作對象定義了多種安全策略，能夠最大限度地限制進程的權限，保護進程和數據的安全性、完整性和機密性，從而解決了DAC的脆弱性和傳統MAC的不靈活性等問題。

回答所涉及的環境：聯想天逸510S、Windows 10。