Zabezpečení vašeho Linux serveru(y), je obtížné a časově náročný úkol pro Správce Systému, ale je nezbytné, aby ztvrdla zabezpečení serveru, aby ji udrželi v bezpečí před Útočníky a Black Hat Hackerů. Server můžete zabezpečit správnou konfigurací systému a instalací co nejmenšího softwaru. Existuje několik tipů, které vám mohou pomoci zabezpečit váš server před útoky eskalace sítí a oprávnění.
- upgradujte své jádro
- Zakázání Root Cron
- Přísná Pravidla brány Firewall
- Zakázat zbytečné Služby,
- Zkontrolujte, zda pro další trojské koně a Rootkity
- zkontrolujte poslechové porty
- použijte IDS (Intrusion Testing System)
- zakázat protokolování jako Root
- Odebrat žádné soubory vlastníka
- Použít SSH a sFTP
- Protokoly Sledování
- Uninstall unused software
- Závěr
upgradujte své jádro
zastaralé jádro je vždy náchylné k několika útokům eskalace sítí a oprávnění. Takže můžete aktualizovat své jádro pomocí apt v Debianu nebo yum ve Fedoře.
$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get dist-upgrade
Zakázání Root Cron
Cron běží root nebo vysoké privilegium, účet může být použit jako způsob, jak získat vysoké výsady útočníky. Můžete vidět běžící cron pracovních míst tím, že
$ ls /etc/cron*
Přísná Pravidla brány Firewall
měli Byste zablokovat všechny nepotřebné příchozí nebo odchozí připojení na neobvyklé porty. Pravidla firewallů můžete aktualizovat pomocí iptables. Iptables je velmi flexibilní a snadno použitelný nástroj slouží k blokování nebo povolit příchozí nebo odchozí provoz. Chcete-li nainstalovat, napsat
$ sudo apt-get install iptables
Tady je příklad blokování příchozích na FTP port pomocí iptables
$ iptables-A INPUT-p tcp –dport ftp -j DROP
Zakázat zbytečné Služby,
Zastavit jakýkoliv nechtěných služeb a daemony běžící na vašem systému. Spuštěné služby můžete vypsat pomocí následujících příkazů.
:~$ service –status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-support
bluetooth
cgroupfs-mount
…snip…
nebo pomocí následujícího příkazu
$ chkconfig –list / grep ‚ 3:na‘
zastavit služby, typ
$ sudo service stop
NEBO
$ sudo systemctl stop
Zkontrolujte, zda pro další trojské koně a Rootkity
Nástroje jako rkhunter a chkrootkit mohou být použity k detekci známých a neznámých trojské koně a rootkity. Ověřují nainstalované balíčky a konfigurace, aby ověřili bezpečnost systému. Pro instalaci napište,
:~$ sudo apt-get install rkhunter -y
K prohlédnutí vašeho systému, typ
:~$ sudo rkhunter-zkontrolovat
Kontrola systémových příkazů…
Provedení „struny“ příkaz kontroly
Kontrola „struny“ příkaz
Provedení sdílených knihoven kontroly
Kontrola předpětí proměnné
Kontrola předinstalovaný knihovny
Kontrola proměnné LD_LIBRARY_PATH
Provedení vlastnosti souboru kontrol
Kontrola předpokladů
/usr/sbin/adduser
/usr/sbin/chroot
…výstřižek…
zkontrolujte poslechové porty
měli byste zkontrolovat nepoužívané poslechové porty a deaktivovat je. Chcete-li zkontrolovat otevřené porty, napište.
:~$ sudo netstat -ulpnt
Aktivní Internetová spojení (pouze servery)
Proto Recv-Q Send-Q Místní Adresa Cizí Adresa Stav PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* POSLOUCHEJTE 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* Poslouchejte 31259 / master
…výstřižek…
Aktivní Internetová spojení (pouze servery)
Proto Recv-Q Send-Q Místní Adresa Cizí Adresa Stav PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* POSLOUCHEJTE 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* Poslouchejte 31259 / master
…výstřižek…
použijte IDS (Intrusion Testing System)
použijte ID ke kontrole síťových protokolů a zabránění jakýmkoli škodlivým činnostem. Pro Linux je k dispozici open source IDS Snort. Můžete jej nainstalovat pomocí,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.dehet.gz
$ cd daq-2.0.6
$./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.dehet.gz
$ cd snort-2.9.12
$./configure –enable-sourcefire && && sudo make install
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.dehet.gz
$ cd daq-2.0.6
$./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.dehet.gz
$ cd snort-2.9.12
$./configure –enable-sourcefire && && sudo make install
sledovat síťový provoz, typ
:~$ sudo snort
Běží v packet dump mode
–== Inicializace Snort ==–
Inicializace Výstupních Pluginů!
pcap DAQ nakonfigurován na pasivní.
získávání síťového provozu z „tun0“.
dekódování Raw IP4
— = = inicializace kompletní == —
…výstřižek…
Běží v packet dump mode
–== Inicializace Snort ==–
Inicializace Výstupních Pluginů!
pcap DAQ nakonfigurován na pasivní.
získávání síťového provozu z „tun0“.
dekódování Raw IP4
— = = inicializace kompletní == —
…výstřižek…
zakázat protokolování jako Root
Root působí jako uživatel s plnými oprávněními, má moc dělat cokoli se systémem. Místo toho byste měli vynutit použití sudo ke spuštění administrativních příkazů.
Odebrat žádné soubory vlastníka
soubory vlastněné žádným uživatelem nebo skupinou mohou být bezpečnostní hrozbou. Tyto soubory byste měli vyhledat a odstranit je nebo jim přiřadit správnou skupinu uživatelů. Hledat pro tyto soubory, typ
$ najít /dir -xdev \( -nouser -o-nogroup \) -print
Použít SSH a sFTP
Pro přenos souborů a vzdálené správy, použijte SSH a sFTP místo telnet a jiné nezabezpečené, otevřít a nešifrované protokoly. Instalace, typ
$ sudo apt-get install vsftpd -y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
Protokoly Sledování
Install a setup log analyzer nástroj pro kontrolu systémových logů a událostí data pravidelně, aby se zabránilo jakékoliv podezřelé aktivity. Typ
$ sudo apt-get install-y loganalyzer
Uninstall unused software
Install software co nejméně pro udržení malého povrchu útoku. Čím více softwaru máte, tím větší šance na útoky máte. Takže odstraňte nepotřebný software z vašeho systému. Vidět nainstalované balíčky, napište
$ dpkg –list
$ dpkg –info
$ apt-get seznam
$ dpkg –info
$ apt-get seznam
odstranit balíček
$ sudo apt-get remove -y
$ sudo apt-get clean
$ sudo apt-get clean
Závěr
Linux server security vytvrzení je velmi důležité pro podniky a firmy. Je to obtížný a únavný úkol pro správce systému. Některé procesy mohou být automatizovány některými automatizovanými nástroji, jako je SELinux a další podobné programy. Udržování softwaru minimus a zakázání nepoužívaných služeb a portů také snižuje povrch útoku.
