Bevezetés a Linux Server Security Hardeningbe

a Linux server(ek) biztosítása nehéz és időigényes feladat a rendszergazdák számára, de szükséges a szerver biztonságának megszilárdítása, hogy biztonságban legyen a támadóktól és a fekete kalapos hackerektől. A szerver biztonságát a rendszer megfelelő konfigurálásával és a lehető legkevesebb szoftver telepítésével biztosíthatja. Van néhány tipp, amely segíthet megvédeni a kiszolgálót a hálózati és privilégium-eszkalációs támadásoktól.

frissítse a kernelt

az elavult kernel mindig hajlamos több hálózati és privilégium-eszkalációs támadásra. Tehát frissítheti a kernelt az apt használatával a Debianban vagy a Yum segítségével a Fedorában.

$ sudo apt-get update
$ sudo apt-get dist-upgrade

a Root Cron feladatok letiltása

a root vagy high privilege fiók által futtatott Cron jobok felhasználhatók a támadók magas jogosultságainak megszerzésére. Láthatjuk futó cron munkahelyek által

$ ls / etc / cron*

szigorú tűzfalszabályok

tiltsa le a felesleges bejövő vagy kimenő kapcsolatokat a nem gyakori portokon. A tűzfalak szabályait az iptables használatával frissítheti. Az Iptables egy nagyon rugalmas és könnyen használható segédprogram, amely blokkolja vagy engedélyezi a bejövő vagy kimenő forgalmat. A telepítéshez írjon

$ sudo apt-get install iptables

Íme egy példa, hogy blokkolja a bejövő FTP port segítségével iptables

$ iptables-a INPUT-p tcp — dport ftp-j DROP

tiltsa le a felesleges szolgáltatásokat

állítsa le a rendszeren futó nem kívánt szolgáltatásokat és démonokat. A futó szolgáltatásokat a következő parancsok segítségével sorolhatja fel.

:~$ service –status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-támogatás
bluetooth
cgroupfs-mount
…nyissz…

vagy a következő paranccsal

$ chkconfig — lista / grep ‘ 3:be’

egy szolgáltatás leállításához írja be a következőt:

$ sudo szerviz megálló

vagy

$ sudo systemctl stop

ellenőrizze a hátsó ajtókat és a rootkiteket

az olyan segédprogramok, mint az rkhunter és a chkrootkit használhatók az ismert és ismeretlen hátsó ajtók és rootkitek észlelésére. Ellenőrzik a telepített csomagokat és konfigurációkat, hogy ellenőrizzék a rendszer biztonságát. Az írás telepítéséhez,

:~$ sudo apt-get install rkhunter-y

a rendszer átvizsgálásához írja be

:~$ sudo rkhunter — check

rendszerparancsok ellenőrzése…
‘strings’ parancs ellenőrzések végrehajtása
‘strings’ parancs
‘shared libraries’ ellenőrzések végrehajtása
előtelepített könyvtárak ellenőrzése
előtelepített könyvtárak ellenőrzése
Ld_library_path változó ellenőrzése
fájltulajdonságok ellenőrzése
Előfeltételek ellenőrzése
/usr/sbin/adduser
/usr/sbin/chroot
…nyissz…

ellenőrizze a hallgatási portokat

ellenőrizze a nem használt hallgatási portokat, és tiltsa le őket. A nyitott portok ellenőrzéséhez írjon.

:~$ sudo netstat-ulpnt
aktív internetkapcsolatok (csak szerverek)
Proto Recv-Q Send-Q helyi cím külföldi cím állam PID/Program neve
tcp 0 0 127.0.0.1:6379 0.0.0.0:* figyelj 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* figyelj 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* figyelj 2989/TEAMVIEWERD
TCP 0 0 127.0.0.53:53 0.0.0.0:* figyelj 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* figyelj 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* 20042/cupsd hallgatása
TCP 0 0 127.0.0.1:5432 0.0.0.0:* 1887/postgres hallgatása
TCP 0 0 0.0.0.0:25 0.0.0.0:* Figyelj 31259 / mester
…nyissz…

IDS (Behatolásvizsgáló rendszer) használata

IDS használata a hálózati naplók ellenőrzéséhez és a rosszindulatú tevékenységek megelőzéséhez. Van egy nyílt forráskódú IDS Snort elérhető Linux. Telepítheti azt,

$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.tar.gz
$ cd daq-2.0.6
$./ configure &&make && sudo make install
$ tar xvzf horkolás-2.9.12.tar.gz
$ cd horkolás-2.9.12
$./ configure –enable-sourcefire && make && sudo make install

a hálózati forgalom figyeléséhez írja be

:~$ sudo snort
fut packet dump módban
— = = inicializálása Snort = = —
inicializálása kimeneti Plugins!
a pcap DAQ passzívra van konfigurálva.
hálózati forgalom megszerzése a “tun0” – ból.
nyers IP4 dekódolása
–== az inicializálás befejeződött ==–
…nyissz…

tiltsa le a naplózást rootként

a Root teljes jogosultsággal rendelkező felhasználóként működik, hatalma van arra, hogy bármit megtegyen a rendszerrel. Ehelyett a sudo használatával kell végrehajtania az adminisztratív parancsok futtatását.

nincs tulajdonosfájl eltávolítása

egyetlen felhasználó vagy csoport tulajdonában lévő fájlok sem jelenthetnek biztonsági fenyegetést. Keresse meg ezeket a fájlokat, távolítsa el őket, vagy rendeljen hozzájuk egy megfelelő felhasználói csoportot. A fájlok kereséséhez írja be a következőt:

$ find / dir-xdev \( -nouser-o-nogroup \) -print

SSH és SFTP használata

fájlátvitelhez és távoli adminisztrációhoz SSH és sFTP használata telnet és más nem biztonságos, nyitott és titkosítatlan protokollok helyett. A telepítéshez írja be

$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y

naplók figyelése

telepítsen és állítson be egy naplóelemző segédprogramot a rendszernaplók és eseményadatok rendszeres ellenőrzéséhez a gyanús tevékenységek megelőzése érdekében. Típus

$ sudo apt-get install-y loganalyzer

távolítsa el a fel nem használt szoftvereket

telepítse a szoftvereket a lehető legkisebbre a kis támadási felület fenntartása érdekében. Minél több szoftver van, annál nagyobb az esélye a támadásoknak. Tehát távolítsa el a felesleges szoftvert a rendszerből. A telepített csomagok megtekintéséhez írja be

$ dpkg — list
$ dpkg –info
$ apt-get list

csomag eltávolítása

$ sudo apt-get remove-y
$ sudo apt-get clean

Conlusion

Linux szerver biztonsági edzés nagyon fontos a vállalkozások és a vállalkozások számára. Ez egy nehéz és fárasztó feladat a rendszergazdák számára. Egyes folyamatok automatizálhatók néhány automatizált segédprogrammal, mint például a SELinux és más hasonló szoftverek. Emellett a minimus szoftverek megtartása és a nem használt szolgáltatások és portok letiltása csökkenti a támadási felületet.



+