a Linux server(ek) biztosítása nehéz és időigényes feladat a rendszergazdák számára, de szükséges a szerver biztonságának megszilárdítása, hogy biztonságban legyen a támadóktól és a fekete kalapos hackerektől. A szerver biztonságát a rendszer megfelelő konfigurálásával és a lehető legkevesebb szoftver telepítésével biztosíthatja. Van néhány tipp, amely segíthet megvédeni a kiszolgálót a hálózati és privilégium-eszkalációs támadásoktól.
- frissítse a kernelt
- a Root Cron feladatok letiltása
- szigorú tűzfalszabályok
- tiltsa le a felesleges szolgáltatásokat
- ellenőrizze a hátsó ajtókat és a rootkiteket
- ellenőrizze a hallgatási portokat
- IDS (Behatolásvizsgáló rendszer) használata
- tiltsa le a naplózást rootként
- nincs tulajdonosfájl eltávolítása
- SSH és SFTP használata
- naplók figyelése
- távolítsa el a fel nem használt szoftvereket
- Conlusion
frissítse a kernelt
az elavult kernel mindig hajlamos több hálózati és privilégium-eszkalációs támadásra. Tehát frissítheti a kernelt az apt használatával a Debianban vagy a Yum segítségével a Fedorában.
$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get dist-upgrade
a Root Cron feladatok letiltása
a root vagy high privilege fiók által futtatott Cron jobok felhasználhatók a támadók magas jogosultságainak megszerzésére. Láthatjuk futó cron munkahelyek által
$ ls / etc / cron*
szigorú tűzfalszabályok
tiltsa le a felesleges bejövő vagy kimenő kapcsolatokat a nem gyakori portokon. A tűzfalak szabályait az iptables használatával frissítheti. Az Iptables egy nagyon rugalmas és könnyen használható segédprogram, amely blokkolja vagy engedélyezi a bejövő vagy kimenő forgalmat. A telepítéshez írjon
$ sudo apt-get install iptables
Íme egy példa, hogy blokkolja a bejövő FTP port segítségével iptables
$ iptables-a INPUT-p tcp — dport ftp-j DROP
tiltsa le a felesleges szolgáltatásokat
állítsa le a rendszeren futó nem kívánt szolgáltatásokat és démonokat. A futó szolgáltatásokat a következő parancsok segítségével sorolhatja fel.
:~$ service –status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-támogatás
bluetooth
cgroupfs-mount
…nyissz…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-támogatás
bluetooth
cgroupfs-mount
…nyissz…
vagy a következő paranccsal
$ chkconfig — lista / grep ‘ 3:be’
egy szolgáltatás leállításához írja be a következőt:
$ sudo szerviz megálló
vagy
$ sudo systemctl stop
ellenőrizze a hátsó ajtókat és a rootkiteket
az olyan segédprogramok, mint az rkhunter és a chkrootkit használhatók az ismert és ismeretlen hátsó ajtók és rootkitek észlelésére. Ellenőrzik a telepített csomagokat és konfigurációkat, hogy ellenőrizzék a rendszer biztonságát. Az írás telepítéséhez,
:~$ sudo apt-get install rkhunter-y
a rendszer átvizsgálásához írja be
:~$ sudo rkhunter — check
rendszerparancsok ellenőrzése…
‘strings’ parancs ellenőrzések végrehajtása
‘strings’ parancs
‘shared libraries’ ellenőrzések végrehajtása
előtelepített könyvtárak ellenőrzése
előtelepített könyvtárak ellenőrzése
Ld_library_path változó ellenőrzése
fájltulajdonságok ellenőrzése
Előfeltételek ellenőrzése
/usr/sbin/adduser
/usr/sbin/chroot
…nyissz…
ellenőrizze a hallgatási portokat
ellenőrizze a nem használt hallgatási portokat, és tiltsa le őket. A nyitott portok ellenőrzéséhez írjon.
:~$ sudo netstat-ulpnt
aktív internetkapcsolatok (csak szerverek)
Proto Recv-Q Send-Q helyi cím külföldi cím állam PID/Program neve
tcp 0 0 127.0.0.1:6379 0.0.0.0:* figyelj 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* figyelj 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* figyelj 2989/TEAMVIEWERD
TCP 0 0 127.0.0.53:53 0.0.0.0:* figyelj 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* figyelj 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* 20042/cupsd hallgatása
TCP 0 0 127.0.0.1:5432 0.0.0.0:* 1887/postgres hallgatása
TCP 0 0 0.0.0.0:25 0.0.0.0:* Figyelj 31259 / mester
…nyissz…
aktív internetkapcsolatok (csak szerverek)
Proto Recv-Q Send-Q helyi cím külföldi cím állam PID/Program neve
tcp 0 0 127.0.0.1:6379 0.0.0.0:* figyelj 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* figyelj 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* figyelj 2989/TEAMVIEWERD
TCP 0 0 127.0.0.53:53 0.0.0.0:* figyelj 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* figyelj 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* 20042/cupsd hallgatása
TCP 0 0 127.0.0.1:5432 0.0.0.0:* 1887/postgres hallgatása
TCP 0 0 0.0.0.0:25 0.0.0.0:* Figyelj 31259 / mester
…nyissz…
IDS (Behatolásvizsgáló rendszer) használata
IDS használata a hálózati naplók ellenőrzéséhez és a rosszindulatú tevékenységek megelőzéséhez. Van egy nyílt forráskódú IDS Snort elérhető Linux. Telepítheti azt,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.tar.gz
$ cd daq-2.0.6
$./ configure &&make && sudo make install
$ tar xvzf horkolás-2.9.12.tar.gz
$ cd horkolás-2.9.12
$./ configure –enable-sourcefire && make && sudo make install
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.tar.gz
$ cd daq-2.0.6
$./ configure &&make && sudo make install
$ tar xvzf horkolás-2.9.12.tar.gz
$ cd horkolás-2.9.12
$./ configure –enable-sourcefire && make && sudo make install
a hálózati forgalom figyeléséhez írja be
:~$ sudo snort
fut packet dump módban
— = = inicializálása Snort = = —
inicializálása kimeneti Plugins!
a pcap DAQ passzívra van konfigurálva.
hálózati forgalom megszerzése a “tun0” – ból.
nyers IP4 dekódolása
–== az inicializálás befejeződött ==–
…nyissz…
fut packet dump módban
— = = inicializálása Snort = = —
inicializálása kimeneti Plugins!
a pcap DAQ passzívra van konfigurálva.
hálózati forgalom megszerzése a “tun0” – ból.
nyers IP4 dekódolása
–== az inicializálás befejeződött ==–
…nyissz…
tiltsa le a naplózást rootként
a Root teljes jogosultsággal rendelkező felhasználóként működik, hatalma van arra, hogy bármit megtegyen a rendszerrel. Ehelyett a sudo használatával kell végrehajtania az adminisztratív parancsok futtatását.
nincs tulajdonosfájl eltávolítása
egyetlen felhasználó vagy csoport tulajdonában lévő fájlok sem jelenthetnek biztonsági fenyegetést. Keresse meg ezeket a fájlokat, távolítsa el őket, vagy rendeljen hozzájuk egy megfelelő felhasználói csoportot. A fájlok kereséséhez írja be a következőt:
$ find / dir-xdev \( -nouser-o-nogroup \) -print
SSH és SFTP használata
fájlátvitelhez és távoli adminisztrációhoz SSH és sFTP használata telnet és más nem biztonságos, nyitott és titkosítatlan protokollok helyett. A telepítéshez írja be
$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
naplók figyelése
telepítsen és állítson be egy naplóelemző segédprogramot a rendszernaplók és eseményadatok rendszeres ellenőrzéséhez a gyanús tevékenységek megelőzése érdekében. Típus
$ sudo apt-get install-y loganalyzer
távolítsa el a fel nem használt szoftvereket
telepítse a szoftvereket a lehető legkisebbre a kis támadási felület fenntartása érdekében. Minél több szoftver van, annál nagyobb az esélye a támadásoknak. Tehát távolítsa el a felesleges szoftvert a rendszerből. A telepített csomagok megtekintéséhez írja be
$ dpkg — list
$ dpkg –info
$ apt-get list
$ dpkg –info
$ apt-get list
csomag eltávolítása
$ sudo apt-get remove-y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
Linux szerver biztonsági edzés nagyon fontos a vállalkozások és a vállalkozások számára. Ez egy nehéz és fárasztó feladat a rendszergazdák számára. Egyes folyamatok automatizálhatók néhány automatizált segédprogrammal, mint például a SELinux és más hasonló szoftverek. Emellett a minimus szoftverek megtartása és a nem használt szolgáltatások és portok letiltása csökkenti a támadási felületet.
