securizarea server-ul Linux(E) este o sarcină dificilă și consumatoare de timp pentru administratorii de sistem, dar este necesar să se întărească securitatea serverului să-l păstrați în condiții de siguranță de la atacatori și hackeri pălărie neagră. Puteți asigura serverul prin configurarea sistemului în mod corespunzător și instalarea ca software-uri minime posibil. Există câteva sfaturi care vă pot ajuta să vă asigurați serverul de atacurile de escaladare a rețelei și privilegiilor.
- actualizați nucleul
- dezactivarea joburilor Cron Root
- reguli stricte de Firewall
- dezactivați serviciile inutile
- verificați pentru Backdoors și rootkit-uri
- verificați porturile de ascultare
- utilizați un IDS (sistem de testare a intruziunilor)
- dezactivați logarea ca Root
- eliminați niciun fișier proprietar
- utilizați SSH și sFTP
- monitorizați jurnalele
- dezinstalați software-urile neutilizate
- Conlusion
actualizați nucleul
nucleul învechit este întotdeauna predispus la mai multe atacuri de escaladare a rețelei și privilegiilor. Deci, vă puteți actualiza nucleul folosind apt în Debian sau yum în Fedora.
$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get dist-upgrade
dezactivarea joburilor Cron Root
joburile Cron care rulează prin cont root sau high privilege pot fi folosite ca o modalitate de a obține privilegii ridicate de către atacatori. Puteți vedea rularea de locuri de muncă cron de
$ ls / etc / cron*
reguli stricte de Firewall
ar trebui să blocați orice conexiune inutilă de intrare sau ieșire pe porturi neobișnuite. Puteți actualiza regulile firewall-urilor utilizând iptables. Iptables este un utilitar foarte flexibil și ușor de utilizat folosit pentru a bloca sau permite traficul de intrare sau de ieșire. Pentru a instala, scrieți
$ sudo apt-get install iptables
Iată un exemplu pentru a bloca intrarea pe portul FTP folosind iptables
$ iptables-a input-p tcp — dport ftp-J DROP
dezactivați serviciile inutile
opriți orice servicii nedorite și demoni care rulează pe sistemul dvs. Puteți lista serviciile care rulează utilizând următoarele comenzi.
:~ $ serviciu-Stare-Toate
acpid
Alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
Avahi-daemon
binfmt-suport
bluetooth
cgroupfs-mount
…SNiP…
acpid
Alsa-utils
anacron
apache-htcacheclean
apache2
apparmor
apport
Avahi-daemon
binfmt-suport
bluetooth
cgroupfs-mount
…SNiP…
sau folosind următoarea comandă
$ chkconfig –list / grep ‘ 3:pe’
pentru a opri un serviciu, tastați
$ sudo service stop
sau
$ sudo systemctl stop
verificați pentru Backdoors și rootkit-uri
utilități, cum ar fi Rkhunter și chkrootkit poate fi folosit pentru a detecta backdoors și rootkit-uri cunoscute și necunoscute. Ei verifică pachetele și configurațiile instalate pentru a verifica securitatea sistemului. Pentru a instala scrie,
:~$ sudo apt-get install rkhunter-y
pentru a scana sistemul, tastați
:~$ sudo rkhunter — verificați
verificarea comenzilor de sistem…
efectuarea verificărilor de comandă ‘strings’
verificarea ‘strings’ comanda
efectuarea verificărilor ‘shared libraries’
verificarea variabilelor preîncărcate
verificarea bibliotecilor preîncărcate
verificarea variabilei ld_library_path
efectuarea verificărilor proprietăților fișierului
verificarea cerințelor preliminare
/usr/sbin/adduser
/usr/sbin/chroot
…snip…
verificați porturile de ascultare
ar trebui să verificați porturile de ascultare care nu sunt utilizate și să le dezactivați. Pentru a verifica porturile deschise, scrieți.
:~$ sudo netstat-ulpnt
conexiuni Active la Internet (numai servere)
Proto Recv-Q trimite-Q adresa locală adresa străină de stat PID/numele programului
tcp 0 0 127.0.0.1:6379 0.0.0.0:* asculta 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* asculta 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* listen 2989/TEAMVIEWERD
tcp 0 0 127.0.0.53:53 0.0.0.0:* listen 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* listen 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* asculta 20042/cupsd
TCP 0 0 127.0.0.1:5432 0.0.0.0:* asculta 1887/postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Asculta 31259 / maestru
…snip…
conexiuni Active la Internet (numai servere)
Proto Recv-Q trimite-Q adresa locală adresa străină de stat PID/numele programului
tcp 0 0 127.0.0.1:6379 0.0.0.0:* asculta 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* asculta 1273/rpcbind
TCP 0 0 127.0.0.1:5939 0.0.0.0:* listen 2989/TEAMVIEWERD
tcp 0 0 127.0.0.53:53 0.0.0.0:* listen 1287/systemd-resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* listen 1939/sshd
TCP 0 0 127.0.0.1:631 0.0.0.0:* asculta 20042/cupsd
TCP 0 0 127.0.0.1:5432 0.0.0.0:* asculta 1887/postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Asculta 31259 / maestru
…snip…
utilizați un IDS (sistem de testare a intruziunilor)
utilizați un IDS pentru a verifica jurnalele de rețea și pentru a preveni orice activități rău intenționate. Există un IDS open source Snort disponibil pentru Linux. Îl puteți instala prin,
$ wgethttps://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
$ wgethttps://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.gudron.gz
$ cd daq-2.0.6
$ ./ configurare && face && sudo face instala
$ tar xvzf snort-2.9.12.gudron.gz
$ cd snort-2.9.12
$ ./ configure — enable-sourcefire && make & & sudo make install
$ wgethttps://www.snort.org/downloads/snort/snort-2.9.12.tar.gz
$ tar xvzf daq-2.0.6.gudron.gz
$ cd daq-2.0.6
$ ./ configurare && face && sudo face instala
$ tar xvzf snort-2.9.12.gudron.gz
$ cd snort-2.9.12
$ ./ configure — enable-sourcefire && make & & sudo make install
pentru a monitoriza traficul de rețea, tastați
:~$ sudo snort
rulează în modul de descărcare de pachete
— = = inițializarea Snort = = —
inițializarea plugin-uri de ieșire!
pcap DAQ configurat pentru pasiv.
achiziționarea traficului de rețea de la „tun0”.
decodare ip4 brut
–==inițializare completă = = —
…snip…
rulează în modul de descărcare de pachete
— = = inițializarea Snort = = —
inițializarea plugin-uri de ieșire!
pcap DAQ configurat pentru pasiv.
achiziționarea traficului de rețea de la „tun0”.
decodare ip4 brut
–==inițializare completă = = —
…snip…
dezactivați logarea ca Root
Root acționează ca un utilizator cu privilegii complete, are puterea de a face orice cu sistemul. În schimb, ar trebui să aplicați folosind sudo pentru a rula comenzi administrative.
eliminați niciun fișier proprietar
fișierele deținute de niciun utilizator sau grup nu pot reprezenta o amenințare la adresa securității. Ar trebui să căutați aceste fișiere și să le eliminați sau să le atribuiți unui utilizator adecvat un grup. Pentru a căuta aceste fișiere, tastați
$ find / dir-xdev \( -nouser-o-nogroup \) -print
utilizați SSH și sFTP
pentru transferul de fișiere și administrarea de la distanță, utilizați SSH și sFTP în loc de telnet și alte protocoale nesigure, deschise și necriptate. Pentru a instala, tastați
$ sudo apt-get install vsftpd-y
$ sudo apt-get install openssh-server-y
$ sudo apt-get install openssh-server-y
monitorizați jurnalele
instalați și configurați un utilitar de analiză a jurnalelor pentru a verifica periodic jurnalele de sistem și datele evenimentelor pentru a preveni orice activitate suspectă. Tip
$ sudo apt-get install-y loganalyzer
dezinstalați software-urile neutilizate
instalați software-urile cât mai puțin posibil pentru a menține o suprafață mică de atac. Cu cât aveți mai multe software-uri, cu atât aveți mai multe șanse de atacuri. Deci, elimina orice software care nu sunt necesare din sistemul dumneavoastră. Pentru a vedea pachetele instalate, scrieți
$ dpkg — list
$ dpkg — info
$ apt-get list
$ dpkg — info
$ apt-get list
pentru a elimina un pachet
$ sudo apt-get remove-y
$ sudo apt-get clean
$ sudo apt-get clean
Conlusion
întărirea securității serverului Linux este foarte importantă pentru întreprinderi și întreprinderi. Este o sarcină dificilă și obositoare pentru administratorii de sistem. Unele procese pot fi automatizate de unele utilitare automate, cum ar fi SELinux și alte software-uri similare. De asemenea, păstrarea software-urilor minimus și dezactivarea serviciilor și porturilor neutilizate reduce suprafața de atac.
