Proteggere i server Linux è un compito difficile e dispendioso in termini di tempo per gli amministratori di sistema, ma è necessario per indurire la sicurezza del server per tenerlo al sicuro da aggressori e hacker Black Hat. È possibile proteggere il server configurando correttamente il sistema e installando il minor numero possibile di software. Ci sono alcuni suggerimenti che possono aiutare a proteggere il server da attacchi di rete e privilege escalation.
- Aggiorna il tuo Kernel
- Disabilitare i lavori Cron root
- Regole firewall rigorose
- Disabilitare i Servizi inutili
- Controlla backdoor e rootkit
- Controlla le porte di ascolto
- Utilizzare un IDS (Intrusion Testing System)
- Disabilita la registrazione come Root
- Rimuovere nessun file proprietario
- Usa SSH e sFTP
- Monitora i log
- Disinstalla i software inutilizzati
- Conlusion
Aggiorna il tuo Kernel
Il kernel obsoleto è sempre soggetto a diversi attacchi di escalation di rete e privilegi. Quindi puoi aggiornare il tuo kernel usando apt in Debian o yum in Fedora.
$ sudo apt-get update
Disabling sudo apt-get dist-upgrade
Disabling sudo apt-get dist-upgrade
Disabilitare i lavori Cron root
I lavori Cron in esecuzione per account root o con privilegi elevati possono essere utilizzati come un modo per ottenere privilegi elevati dagli aggressori. Puoi vedere l’esecuzione dei lavori cron di
$ ls / etc / cron*
Regole firewall rigorose
È necessario bloccare qualsiasi connessione in entrata o in uscita non necessaria su porte non comuni. È possibile aggiornare le regole dei firewall utilizzando iptables. Iptables è un’utilità molto flessibile e facile da usare utilizzata per bloccare o consentire il traffico in entrata o in uscita. Per installare, scrivere
$ sudo apt-get install iptables
Ecco un esempio di blocco in entrata sulla porta FTP usando iptables
$ iptables -A INPUT -p tcp –dport ftp -j DROP
Disabilitare i Servizi inutili
Interrompere qualsiasi indesiderati servizi e demoni in esecuzione sul vostro sistema. È possibile elencare i servizi in esecuzione utilizzando i seguenti comandi.
:~$ servizio –status-tutti
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
module ” binfmt-supporto
bluetooth
cgroupfs-mount
…snip…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
module ” binfmt-supporto
bluetooth
cgroupfs-mount
…snip…
O utilizzando il seguente comando
$ chkconfig list list / grep ‘3:su’
Per interrompere un servizio, digitare
$ sudo servizio di arresto
O
$ sudo systemctl stop
Controlla backdoor e rootkit
Utility come rkhunter e chkrootkit possono essere utilizzate per rilevare backdoor e rootkit noti e sconosciuti. Verificano i pacchetti e le configurazioni installati per verificare la sicurezza del sistema. Per installare scrivere,
:~$ sudo apt-get install rkhunter-y
Per eseguire la scansione del sistema, digitare
:~$ sudo rkhunter check controlla
Controllo dei comandi di sistema…
Esecuzione dei controlli dei comandi ‘strings’
Controllo dei comandi ‘strings’
Esecuzione dei controlli delle ‘shared libraries’
Controllo delle variabili di precarico
Controllo delle librerie precaricate
Controllo della variabile LD_LIBRARY_PATH
Esecuzione dei controlli delle proprietà dei file
Controllo dei prerequisiti
/usr/sbin/adduser
/usr/sbin/chroot
…taglia…
Controlla le porte di ascolto
Dovresti controllare le porte di ascolto che non sono usate e disabilitarle. Per verificare la presenza di porte aperte, scrivere.
:~$ sudo netstat -ulpnt
connessioni Internet Attive (solo server)
Proto Recv-Q Send-Q indirizzo Locale Indirizzo esterno Stato PID/nome del Programma
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* ASCOLTARE 1287/systemd-risol
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ASCOLTA 31259 / maestro
…taglia…
connessioni Internet Attive (solo server)
Proto Recv-Q Send-Q indirizzo Locale Indirizzo esterno Stato PID/nome del Programma
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* ASCOLTARE 1287/systemd-risol
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* ASCOLTA 31259 / maestro
…taglia…
Utilizzare un IDS (Intrusion Testing System)
Utilizzare un IDS per controllare i log di rete e prevenire eventuali attività dannose. C’è un open source IDS Snort disponibile per Linux. È possibile installarlo da,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
w wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
tar tar xvzf daq-2.0.6.impeciare.gz
cd cd daq-2.0.6
$./ configure && make&& sudo make install
tar tar xvzf snort-2.9.12.impeciare.gz
cd cd snort-2.9.12
$ ./ configure enable enable-sourcefire & & make & & sudo make install
w wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
tar tar xvzf daq-2.0.6.impeciare.gz
cd cd daq-2.0.6
$./ configure && make&& sudo make install
tar tar xvzf snort-2.9.12.impeciare.gz
cd cd snort-2.9.12
$ ./ configure enable enable-sourcefire & & make & & sudo make install
Per monitorare il traffico di rete, digitare
:~$ sudo snort
In esecuzione in modalità packet dump
— ==Inizializzazione Snort = = Inizializzazione dei plugin di output!
pcap DAQ configurato per passivo.
Acquisizione del traffico di rete da “tun0”.
Decodifica Raw IP4
— = = Inizializzazione completa = = —
…taglia…
In esecuzione in modalità packet dump
— ==Inizializzazione Snort = = Inizializzazione dei plugin di output!
pcap DAQ configurato per passivo.
Acquisizione del traffico di rete da “tun0”.
Decodifica Raw IP4
— = = Inizializzazione completa = = —
…taglia…
Disabilita la registrazione come Root
Root agisce come un utente con privilegi completi, ha il potere di fare qualsiasi cosa con il sistema. Invece, è necessario applicare utilizzando sudo per eseguire comandi amministrativi.
Rimuovere nessun file proprietario
I file di proprietà di nessun utente o gruppo possono essere una minaccia per la sicurezza. Si dovrebbe cercare questi file e rimuoverli o assegnare loro un utente corretto un gruppo. Per cercare questi file, digitare
$ find / dir – xdev \ (- nouser-o-nogroup\) – print
Usa SSH e sFTP
Per il trasferimento di file e l’amministrazione remota, usa SSH e sFTP invece di telnet e altri protocolli insicuri, aperti e non crittografati. Per installare, digitare
$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
Monitora i log
Installa e imposta un’utilità log analyzer per controllare regolarmente i log di sistema e i dati degli eventi per prevenire qualsiasi attività sospetta. Tipo
$ sudo apt-get install-y loganalyzer
Disinstalla i software inutilizzati
Installa i software il più possibile per mantenere una superficie di attacco ridotta. Più software hai, più possibilità di attacchi hai. Quindi rimuovi qualsiasi software non necessario dal tuo sistema. Per vedere i pacchetti installati, scrivere
$ dpkg –list
$ dpkg –info
$ apt-get list
$ dpkg –info
$ apt-get list
> Per rimuovere un pacchetto
$ sudo apt-get remove -y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
Linux server con protezione avanzata è molto importante per le imprese e le imprese. È un compito difficile e faticoso per gli amministratori di sistema. Alcuni processi possono essere automatizzati da alcune utilità automatizzate come SELinux e altri software simili. Inoltre, mantenere i software minimus e disabilitare i servizi e le porte inutilizzati riduce la superficie di attacco.
