Úvod do Linux Server Security Hardening

Zabezpečení vašeho Linux serveru(y), je obtížné a časově náročný úkol pro Správce Systému, ale je nezbytné, aby ztvrdla zabezpečení serveru, aby ji udrželi v bezpečí před Útočníky a Black Hat Hackerů. Server můžete zabezpečit správnou konfigurací systému a instalací co nejmenšího softwaru. Existuje několik tipů, které vám mohou pomoci zabezpečit váš server před útoky eskalace sítí a oprávnění.

upgradujte své jádro

zastaralé jádro je vždy náchylné k několika útokům eskalace sítí a oprávnění. Takže můžete aktualizovat své jádro pomocí apt v Debianu nebo yum ve Fedoře.

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Zakázání Root Cron

Cron běží root nebo vysoké privilegium, účet může být použit jako způsob, jak získat vysoké výsady útočníky. Můžete vidět běžící cron pracovních míst tím, že

$ ls /etc/cron*

Přísná Pravidla brány Firewall

měli Byste zablokovat všechny nepotřebné příchozí nebo odchozí připojení na neobvyklé porty. Pravidla firewallů můžete aktualizovat pomocí iptables. Iptables je velmi flexibilní a snadno použitelný nástroj slouží k blokování nebo povolit příchozí nebo odchozí provoz. Chcete-li nainstalovat, napsat

$ sudo apt-get install iptables

Tady je příklad blokování příchozích na FTP port pomocí iptables

$ iptables-A INPUT-p tcp –dport ftp -j DROP

Zakázat zbytečné Služby,

Zastavit jakýkoliv nechtěných služeb a daemony běžící na vašem systému. Spuštěné služby můžete vypsat pomocí následujících příkazů.

:~$ service –status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…

nebo pomocí následujícího příkazu

$ chkconfig –list / grep ‚ 3:na‘

zastavit služby, typ

$ sudo service stop

NEBO

$ sudo systemctl stop

Zkontrolujte, zda pro další trojské koně a Rootkity

Nástroje jako rkhunter a chkrootkit mohou být použity k detekci známých a neznámých trojské koně a rootkity. Ověřují nainstalované balíčky a konfigurace, aby ověřili bezpečnost systému. Pro instalaci napište,

:~$ sudo apt-get install rkhunter -y

K prohlédnutí vašeho systému, typ

:~$ sudo rkhunter-zkontrolovat

Kontrola systémových příkazů…
Provedení „struny“ příkaz kontroly
Kontrola „struny“ příkaz
Provedení sdílených knihoven kontroly
Kontrola předpětí proměnné
Kontrola předinstalovaný knihovny
Kontrola proměnné LD_LIBRARY_PATH
Provedení vlastnosti souboru kontrol
Kontrola předpokladů
/usr/sbin/adduser
/usr/sbin/chroot
…výstřižek…

zkontrolujte poslechové porty

měli byste zkontrolovat nepoužívané poslechové porty a deaktivovat je. Chcete-li zkontrolovat otevřené porty, napište.

:~$ sudo netstat -ulpnt
Aktivní Internetová spojení (pouze servery)
Proto Recv-Q Send-Q Místní Adresa Cizí Adresa Stav PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* POSLOUCHEJTE 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* Poslouchejte 31259 / master
…výstřižek…

použijte IDS (Intrusion Testing System)

použijte ID ke kontrole síťových protokolů a zabránění jakýmkoli škodlivým činnostem. Pro Linux je k dispozici open source IDS Snort. Můžete jej nainstalovat pomocí,

$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.dehet.gz
$ cd daq-2.0.6
$./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.dehet.gz
$ cd snort-2.9.12
$./configure –enable-sourcefire && && sudo make install

sledovat síťový provoz, typ

:~$ sudo snort
Běží v packet dump mode
–== Inicializace Snort ==–
Inicializace Výstupních Pluginů!
pcap DAQ nakonfigurován na pasivní.
získávání síťového provozu z „tun0“.
dekódování Raw IP4
— = = inicializace kompletní == —
…výstřižek…

zakázat protokolování jako Root

Root působí jako uživatel s plnými oprávněními, má moc dělat cokoli se systémem. Místo toho byste měli vynutit použití sudo ke spuštění administrativních příkazů.

Odebrat žádné soubory vlastníka

soubory vlastněné žádným uživatelem nebo skupinou mohou být bezpečnostní hrozbou. Tyto soubory byste měli vyhledat a odstranit je nebo jim přiřadit správnou skupinu uživatelů. Hledat pro tyto soubory, typ

$ najít /dir -xdev \( -nouser -o-nogroup \) -print

Použít SSH a sFTP

Pro přenos souborů a vzdálené správy, použijte SSH a sFTP místo telnet a jiné nezabezpečené, otevřít a nešifrované protokoly. Instalace, typ

$ sudo apt-get install vsftpd -y
$ sudo apt-get install openssh-server-y

Protokoly Sledování

Install a setup log analyzer nástroj pro kontrolu systémových logů a událostí data pravidelně, aby se zabránilo jakékoliv podezřelé aktivity. Typ

$ sudo apt-get install-y loganalyzer

Uninstall unused software

Install software co nejméně pro udržení malého povrchu útoku. Čím více softwaru máte, tím větší šance na útoky máte. Takže odstraňte nepotřebný software z vašeho systému. Vidět nainstalované balíčky, napište

$ dpkg –list
$ dpkg –info
$ apt-get seznam

odstranit balíček

$ sudo apt-get remove -y
$ sudo apt-get clean

Závěr

Linux server security vytvrzení je velmi důležité pro podniky a firmy. Je to obtížný a únavný úkol pro správce systému. Některé procesy mohou být automatizovány některými automatizovanými nástroji, jako je SELinux a další podobné programy. Udržování softwaru minimus a zakázání nepoužívaných služeb a portů také snižuje povrch útoku.



+