het beveiligen van uw Linux server(s) is een moeilijke en tijdrovende taak voor systeembeheerders, maar het is noodzakelijk om de beveiliging van de server te verharden om het te beschermen tegen aanvallers en Black Hat Hackers. U kunt uw server beveiligen door het systeem correct te configureren en zo min mogelijk software te installeren. Er zijn enkele tips die u kunnen helpen uw server te beveiligen tegen netwerk en privilege escalatie aanvallen.
- Upgrade uw Kernel
- Root-cron-taken
- strikte firewallregels
- onnodige Services uitschakelen
- Controleer op Backdoors en Rootkits
- Luisterpoorten controleren
- gebruik een IDS (Intrusion Testing System)
- loggen uitschakelen als Root
- verwijder geen eigenaarbestanden
- gebruik SSH en sFTP
- Monitor Logs
- ongebruikte software verwijderen
- Conlusion
Upgrade uw Kernel
verouderde kernel is altijd vatbaar voor meerdere netwerk-en privilege-escalatieaanvallen. Dus je kunt je kernel updaten met apt in Debian of yum in Fedora.
$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get dist-upgrade
Root-cron-taken
cron-taken uitgevoerd door root-of high privilege-account kunnen worden gebruikt als een manier om hoge privileges te verkrijgen door aanvallers. U kunt cron-taken uitvoeren zien door
$ ls / etc / cron*
strikte firewallregels
u moet elke onnodige inkomende of uitgaande verbinding op ongewone poorten blokkeren. U kunt uw firewalls regels bijwerken met behulp van iptables. Iptables is een zeer flexibel en makkelijk te gebruiken hulpprogramma dat wordt gebruikt om inkomend of uitgaand verkeer te blokkeren of toe te staan. Om te installeren, schrijven
$ sudo apt-get install iptables
hier is een voorbeeld om inkomende FTP-poort te blokkeren met iptables
$ iptables – A INPUT-p tcp — dport ftp-j DROP
onnodige Services uitschakelen
ongewenste services en daemons op uw systeem stoppen. U kunt actieve services weergeven met de volgende opdrachten.
:~$ service — status-all
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-ondersteuning
bluetooth
cgroupfs-mount
… snip…
acpid
alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
avahi-daemon
binfmt-ondersteuning
bluetooth
cgroupfs-mount
… snip…
of met het volgende commando
$ chkconfig — list / grep ‘ 3:aan’
om een dienst te stoppen, typt u
$ sudo service stop
of
$ sudo systemctl stop
Controleer op Backdoors en Rootkits
hulpprogramma ‘ s zoals rkhunter en chkrootkit kunnen worden gebruikt om bekende en onbekende backdoors en rootkits te detecteren. Ze controleren geïnstalleerde pakketten en configuraties om de beveiliging van het systeem te verifiëren. Schrijven installeren,
:~$ sudo apt-get install rkhunter-y
om uw systeem te scannen, typt u
:~$ sudo rkhunter — check
systeemcommando ‘ s controleren…
controle van ‘strings’ Commando
controle van ‘strings’ Commando
controle van ‘shared libraries’
controle van vooraf geladen variabelen
controle van vooraf geladen bibliotheken
controle van LD_LIBRARY_PATH variabele
controle van bestandseigenschappen
controle van vereisten
/usr/sbin/adduser
/usr/sbin/chroot
…knip…
Luisterpoorten controleren
controleer of luisterpoorten niet worden gebruikt en schakel ze uit. Om te controleren op open poorten, schrijf.
:~$ sudo netstat -ulpnt
Actieve Internet verbindingen (alleen de servers)
Proto Recv-Q Stuur-Q Lokaal Adres Buitenlands Adres Staat PID/naam van het Programma
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/hulpprogramma ‘ s rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LUISTEREN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 31259/master
…knip…
Actieve Internet verbindingen (alleen de servers)
Proto Recv-Q Stuur-Q Lokaal Adres Buitenlands Adres Staat PID/naam van het Programma
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1273/hulpprogramma ‘ s rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LISTEN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LUISTEREN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 31259/master
…knip…
gebruik een IDS (Intrusion Testing System)
gebruik een IDS om netwerklogboeken te controleren en schadelijke activiteiten te voorkomen. Er is een open source IDs Snort beschikbaar voor Linux. U kunt het installeren door,
$ wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.teer.gz
$ cd daq-2.0.6
$./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.teer.gz
$ cd snort-2.9.12
$./ configure — enable-sourcefire && make && sudo make install
$ wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.teer.gz
$ cd daq-2.0.6
$./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.teer.gz
$ cd snort-2.9.12
$./ configure — enable-sourcefire && make && sudo make install
:~$ sudo snort
draait in packet dump mode
–= = Initializing Snort = = —
Initializing Output Plugins!
PCAP DAQ geconfigureerd voor passief.
netwerkverkeer verkrijgen van “tun0”.
decodering van Raw IP4
–= = initialisatie voltooid = = —
…knip…
draait in packet dump mode
–= = Initializing Snort = = —
Initializing Output Plugins!
PCAP DAQ geconfigureerd voor passief.
netwerkverkeer verkrijgen van “tun0”.
decodering van Raw IP4
–= = initialisatie voltooid = = —
…knip…
loggen uitschakelen als Root
Root fungeert als een gebruiker met volledige rechten, het heeft de macht om alles met het systeem te doen. In plaats daarvan, je moet afdwingen met behulp van sudo om administratieve commando ‘ s uit te voeren.
verwijder geen eigenaarbestanden
bestanden die eigendom zijn van geen enkele gebruiker of groep kunnen een bedreiging vormen voor de veiligheid. U moet zoeken naar deze bestanden en verwijder ze of wijs ze een juiste gebruiker een groep. Om naar deze bestanden te zoeken, typt u
$ find / dir-XDEV \( -nouser-o-nogroup \) -print
gebruik SSH en sFTP
voor bestandsoverdracht en beheer op afstand, gebruik SSH en sFTP in plaats van telnet en andere onveilige, open en niet-versleutelde protocollen. Om te installeren, typ
$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
Monitor Logs
Install and setup a log analyzer tool to check system logs and event data regularly to prevent any verdachte activity. Type
$ sudo apt-get install-y loganalyzer
ongebruikte software verwijderen
software zo minimaal mogelijk installeren om een klein aanvalsoppervlak te behouden. Hoe meer software Je hebt, hoe meer kans op aanvallen je hebt. Dus verwijder alle onnodige software van uw systeem. Om geïnstalleerde pakketten te zien, schrijf
$ dpkg –list
$ dpkg — info
$ apt-get list
$ dpkg — info
$ apt-get list
om een pakket te verwijderen
$ sudo apt-get remove-y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
Linux server security harden is erg belangrijk voor bedrijven en bedrijven. Het is een moeilijke en vermoeiende taak voor systeembeheerders. Sommige processen kunnen worden geautomatiseerd door sommige geautomatiseerde hulpprogramma ‘ s zoals SELinux en andere soortgelijke software. Ook, het houden van minimus software en het uitschakelen van ongebruikte diensten en poorten vermindert de aanval oppervlak.
