assegurar o(s) Seu (s) servidor (s) Linux é uma tarefa difícil e demorada para os administradores do sistema, mas é necessário para endurecer a segurança do servidor para mantê-lo seguro de atacantes e Hackers Black Hat. Você pode proteger o seu servidor configurando o sistema corretamente e instalando o mínimo de softwares possível. Existem algumas dicas que podem ajudá-lo a proteger seu servidor de ataques de escalada de rede e privilégios.
- actualize o seu Kernel
- desactivar Tarefas Cron Root
- regras estritas de Firewall
- Desativar Serviços desnecessários
- Verificar Backdoors e Rootkits
- verifique as portas de escuta
- utilize um IDS (sistema de testes de intrusão)
- Disable Logging as Root
- remova ficheiros sem dono
- Usar o SSH e sFTP
- Monitor Logs
- Desinstalar não utilizados Softwares
- Conlusion
actualize o seu Kernel
o kernel desactualizado é sempre propenso a vários ataques de escalada de rede e privilégios. Então você pode atualizar seu kernel usando apt no Debian ou yum em Fedora.
$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get dist-upgrade
desactivar Tarefas Cron Root
cron jobs executando por conta root ou high privilege pode ser usado como uma forma de ganhar altos privilégios por atacantes. Você pode ver executar trabalhos de cron por
$ ls / etc/cron*
regras estritas de Firewall
deve bloquear qualquer ligação desnecessária de entrada ou saída em portos pouco comuns. Você pode atualizar suas regras firewalls usando iptables. Iptables é um utilitário muito flexível e fácil de usar usado para bloquear ou permitir o tráfego de entrada ou saída. Para instalar, escreva
$ sudo apt-get install iptables
Aqui está um exemplo para bloquear a entrada na porta FTP usando o iptables
$ iptables -A INPUT -p tcp –dport ftp -j DROP
Desativar Serviços desnecessários
Parar a qualquer indesejado serviços e daemons sendo executados no seu sistema. Você pode listar os Serviços em execução usando os seguintes comandos.
:~$ service –status-todos os
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon,
binfmt-support
bluetooth
cgroupfs-mount
…recorte…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon,
binfmt-support
bluetooth
cgroupfs-mount
…recorte…
ou usando o seguinte comando
$ chkconfig –list | grep ‘ 3:no’
Para parar um serviço, o tipo de
$ sudo service stop
OU
$ sudo systemctl stop
Verificar Backdoors e Rootkits
Utilitários como o rkhunter e o chkrootkit pode ser usado para detectar conhecidas e desconhecidas, backdoors e rootkits. Eles verificam pacotes e configurações instalados para verificar a segurança do sistema. Para instalar a escrita,
:~$ sudo apt-get install rkhunter-y
para digitalizar o seu sistema, tipo
:~$ sudo rkhunter — check
Checking system commands…
Executar ‘cadeias’ comando verifica
Verificação ‘cadeias’ comando
Executar ‘bibliotecas compartilhadas’ verifica
Verificação de pré-carregamento de variáveis
Verificação de pré-bibliotecas
Verificar variável LD_LIBRARY_PATH
Executar arquivo de propriedades verifica
Verificação de pré-requisitos
/usr/sbin/adduser
/usr/sbin/chroot
…recorte…
verifique as portas de escuta
deve verificar as portas de escuta que não são usadas e desactivá-las. Para verificar portas abertas, escreva.
:~$ sudo comando netstat-ulpnt
Active Internet connections (somente para servidores)
Proto Recv-Q Send-Q endereço Local Endereço Externo Estado PID nome do Programa/
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-servidor 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* OUVIR 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 31259 / master
…recorte…
Active Internet connections (somente para servidores)
Proto Recv-Q Send-Q endereço Local Endereço Externo Estado PID nome do Programa/
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-servidor 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* OUVIR 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 31259 / master
…recorte…
utilize um IDS (sistema de testes de intrusão)
utilize um IDS para verificar os registos da rede e evitar quaisquer actividades maliciosas. Há um Snort de código aberto disponível para Linux. Você pode instalá-lo por,
$ wgethttps://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wgethttps://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf DAQ-2.0.6.alcatrao.GZ
$ cd DAQ-2.0.6
$ ./configure & & make & & sudo make install
$ tar xvzf snort-2.9.12.alcatrao.GZ
$ cd snort-2.9.12
$ ./configure –enable-sourcefire && fazer && sudo make install
$ wgethttps://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf DAQ-2.0.6.alcatrao.GZ
$ cd DAQ-2.0.6
$ ./configure & & make & & sudo make install
$ tar xvzf snort-2.9.12.alcatrao.GZ
$ cd snort-2.9.12
$ ./configure –enable-sourcefire && fazer && sudo make install
Para monitorar o tráfego de rede, tipo de
:~$ sudo snort
Executando no modo de descarte de pacotes
–== Inicialização do Snort ==–
Inicializar Saída de Plugins!
pcap DAQ configurado como passivo.
aquisição de tráfego de rede a partir de “tun0”.
decodificação IP4 em bruto
— = = inicialização completa = = —
…recorte…
Executando no modo de descarte de pacotes
–== Inicialização do Snort ==–
Inicializar Saída de Plugins!
pcap DAQ configurado como passivo.
aquisição de tráfego de rede a partir de “tun0”.
decodificação IP4 em bruto
— = = inicialização completa = = —
…recorte…
Disable Logging as Root
Root acts as a user with full privileges, it has power to do anything with the system. Em vez disso, você deve forçar o uso do sudo para executar comandos administrativos.
remova ficheiros sem dono
ficheiros de propriedade de nenhum utilizador ou grupo podem constituir uma ameaça à segurança. Você deve procurar por esses arquivos e removê-los ou atribuir-lhes um usuário adequado um grupo. Para procurar esses arquivos, digite
$ encontrar /dir -xdev \( -nouser -o-nogroup \) -impressão
Usar o SSH e sFTP
Para transferência de arquivos e administração remota, use SSH e sFTP ao invés do telnet e outros inseguros, abrir e protocolos sem criptografia. Para instalar, escreva
$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
Monitor Logs
instalar e configurar um utilitário de análise de log para verificar logs e dados de Eventos regularmente para evitar qualquer atividade suspeita. Tipo
$ sudo apt-get install -y loganalyzer
Desinstalar não utilizados Softwares
Instalar softwares como o mínimo possível para manter uma pequena superfície de ataque. Quanto mais softwares você tem, mais chances de ataques você tem. Então remova qualquer software desnecessário do seu sistema. Para ver os pacotes instalados, escrever
$ dpkg –list
$ dpkg –info
$ apt-get list
$ dpkg –info
$ apt-get list
Para remover um pacote
$ sudo apt-get remove -y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
servidor Linux de proteção de segurança é muito importante para empresas e negócios. É uma tarefa difícil e cansativa para os administradores de Sistema. Alguns processos podem ser automatizados por alguns utilitários automatizados como SELinux e outros softwares similares. Além disso, manter minimus softwares e desativar serviços e portos não utilizados reduz a superfície de ataque.
