securizarea server-ul Linux(E) este o sarcină dificilă și consumatoare de timp pentru administratorii de sistem, dar este necesar să se întărească securitatea serverului să-l păstrați în condiții de siguranță de la atacatori și hackeri pălărie neagră. Puteți asigura serverul prin configurarea sistemului în mod corespunzător și instalarea ca software-uri minime posibil. Există câteva sfaturi care vă pot ajuta să vă asigurați serverul de atacurile de escaladare a rețelei și privilegiilor.
- actualizați nucleul
- dezactivarea joburilor Cron Root
- reguli stricte de Firewall
- dezactivați serviciile inutile
- verificați pentru Backdoors și rootkit-uri
- verificați porturile de ascultare
- utilizați un IDS (sistem de testare a intruziunilor)
- dezactivați logarea ca Root
- eliminați niciun fișier proprietar
- utilizați SSH și sFTP
- monitorizați jurnalele
- dezinstalați software-urile neutilizate
- Conlusion
actualizați nucleul
nucleul învechit este întotdeauna predispus la mai multe atacuri de escaladare a rețelei și privilegiilor. Deci, vă puteți actualiza nucleul folosind apt în Debian sau yum în Fedora.
$ sudo apt-get dist-upgrade
dezactivarea joburilor Cron Root
joburile Cron care rulează prin cont root sau high privilege pot fi folosite ca o modalitate de a obține privilegii ridicate de către atacatori. Puteți vedea rularea de locuri de muncă cron de
reguli stricte de Firewall
ar trebui să blocați orice conexiune inutilă de intrare sau ieșire pe porturi neobișnuite. Puteți actualiza regulile firewall-urilor utilizând iptables. Iptables este un utilitar foarte flexibil și ușor de utilizat folosit pentru a bloca sau permite traficul de intrare sau de ieșire. Pentru a instala, scrieți
Iată un exemplu pentru a bloca intrarea pe portul FTP folosind iptables
dezactivați serviciile inutile
opriți orice servicii nedorite și demoni care rulează pe sistemul dvs. Puteți lista serviciile care rulează utilizând următoarele comenzi.
acpid
Alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
Avahi-daemon
binfmt-suport
bluetooth
cgroupfs-mount
…SNiP…
sau folosind următoarea comandă
pentru a opri un serviciu, tastați
sau
verificați pentru Backdoors și rootkit-uri
utilități, cum ar fi Rkhunter și chkrootkit poate fi folosit pentru a detecta backdoors și rootkit-uri cunoscute și necunoscute. Ei verifică pachetele și configurațiile instalate pentru a verifica securitatea sistemului. Pentru a instala scrie,
pentru a scana sistemul, tastați
verificarea comenzilor de sistem…
efectuarea verificărilor de comandă ‘strings’
verificarea ‘strings’ comanda
efectuarea verificărilor ‘shared libraries’
verificarea variabilelor preîncărcate
verificarea bibliotecilor preîncărcate
verificarea variabilei ld_library_path
efectuarea verificărilor proprietăților fișierului
verificarea cerințelor preliminare
/usr/sbin/adduser
/usr/sbin/chroot
…snip…
verificați porturile de ascultare
ar trebui să verificați porturile de ascultare care nu sunt utilizate și să le dezactivați. Pentru a verifica porturile deschise, scrieți.
conexiuni Active la Internet (numai servere)
Proto Recv-Q trimite-Q adresa locală adresa străină de stat PID/numele programului
tcp 0 0 127.0.0.1:6379 0.0.0.0:* asculta 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* asculta 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* listen 2989/TEAMVIEWERD
tcp 0 0 127.0.0.53:53 0.0.0.0:* listen 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* listen 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* asculta 20042/cupsd
TCP 0 0 127.0.0.1:5432 0.0.0.0:* asculta 1887/postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Asculta 31259 / maestru
…snip…
utilizați un IDS (sistem de testare a intruziunilor)
utilizați un IDS pentru a verifica jurnalele de rețea și pentru a preveni orice activități rău intenționate. Există un IDS open source Snort disponibil pentru Linux. Îl puteți instala prin,
$ wgethttps://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.gudron.gz
$ cd daq-2.0.6
$ ./ configurare && face && sudo face instala
$ tar xvzf snort-2.9.12.gudron.gz
$ cd snort-2.9.12
$ ./ configure — enable-sourcefire && make & & sudo make install
pentru a monitoriza traficul de rețea, tastați
rulează în modul de descărcare de pachete
— = = inițializarea Snort = = —
inițializarea plugin-uri de ieșire!
pcap DAQ configurat pentru pasiv.
achiziționarea traficului de rețea de la „tun0”.
decodare ip4 brut
–==inițializare completă = = —
…snip…
dezactivați logarea ca Root
Root acționează ca un utilizator cu privilegii complete, are puterea de a face orice cu sistemul. În schimb, ar trebui să aplicați folosind sudo pentru a rula comenzi administrative.
eliminați niciun fișier proprietar
fișierele deținute de niciun utilizator sau grup nu pot reprezenta o amenințare la adresa securității. Ar trebui să căutați aceste fișiere și să le eliminați sau să le atribuiți unui utilizator adecvat un grup. Pentru a căuta aceste fișiere, tastați
utilizați SSH și sFTP
pentru transferul de fișiere și administrarea de la distanță, utilizați SSH și sFTP în loc de telnet și alte protocoale nesigure, deschise și necriptate. Pentru a instala, tastați
$ sudo apt-get install openssh-server-y
monitorizați jurnalele
instalați și configurați un utilitar de analiză a jurnalelor pentru a verifica periodic jurnalele de sistem și datele evenimentelor pentru a preveni orice activitate suspectă. Tip
dezinstalați software-urile neutilizate
instalați software-urile cât mai puțin posibil pentru a menține o suprafață mică de atac. Cu cât aveți mai multe software-uri, cu atât aveți mai multe șanse de atacuri. Deci, elimina orice software care nu sunt necesare din sistemul dumneavoastră. Pentru a vedea pachetele instalate, scrieți
$ dpkg — info
$ apt-get list
pentru a elimina un pachet
$ sudo apt-get clean
Conlusion
întărirea securității serverului Linux este foarte importantă pentru întreprinderi și întreprinderi. Este o sarcină dificilă și obositoare pentru administratorii de sistem. Unele procese pot fi automatizate de unele utilitare automate, cum ar fi SELinux și alte software-uri similare. De asemenea, păstrarea software-urilor minimus și dezactivarea serviciilor și porturilor neutilizate reduce suprafața de atac.