ובכן, הכנתי את הפוסט הזה לקראת הבלוג שלי במשך זמן מה הם הציעו לי את זה ב DesdeLinux, ובשל חוסר זמן, הוא לא היה מסוגל או רוצה. אם אני קצת עצלן ????. אבל עכשיו הם שובתים, כמו שאנחנו אומרים בקובה ...
0- עדכן את המערכות שלנו עם עדכוני האבטחה האחרונים.
0.1- רשימות תפוצה של עדכונים קריטיים [יועץ אבטחה של Slackware, יועץ אבטחה של דביאן, במקרה שלי]
1- אפס גישה פיזית לשרתים על ידי אנשים לא מורשים.
1.1- החל סיסמה על BIOS מהשרתים שלנו
1.2- אין אתחול על ידי CD / DVD
1.3- סיסמה ב- GRUB / Lilo
2- מדיניות סיסמאות טובה, תווים אלפאנומריים ואחרים.
2.1- הזדקנות סיסמאות [הזדקנות סיסמא] באמצעות הפקודה "chage", כמו גם מספר הימים שבין שינוי הסיסמה לתאריך השינוי האחרון.
2.2- הימנע משימוש בסיסמאות קודמות:
ב /etc/pam.d/common- סיסמה
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
כך אתה משנה את הסיסמה וזה מזכיר לך את 10 הסיסמאות האחרונות שהיו למשתמש.
3- מדיניות ניהול / פילוח טובה של הרשת שלנו [נתבים, מתגים, vlans] וחומת האש, כמו גם כללי סינון INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- אפשר שימוש בקונכיות [/ etc / shells]. משתמשים שאינם חייבים להיכנס למערכת get / bin / false או / bin / nologin.
5- חסום משתמשים כאשר כניסה נכשלת [faillog], וכן שלוט בחשבון המשתמש במערכת.
passwd -l pepe -> חסום משתמש pepe passwd -v pepe -> בטל חסימה של משתמש pepe
6- אפשר את השימוש ב"סודו ", לעולם אל התחבר כשורש על ידי ssh," לעולם לא ". למעשה עליך לערוך את תצורת ssh כדי להשיג מטרה זו. השתמש במפתחות ציבוריים / פרטיים בשרתים שלך באמצעות sudo.
7- החל במערכות שלנו את "עיקרון הזכות הפחותה
8- בדוק את השירותים שלנו מעת לעת [netstat -lptun], עבור כל אחד מהשרתים שלנו. הוסף כלי ניטור שיכולים לעזור לנו במשימה זו [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- התקן IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap הוא חבר שלך, השתמש בו כדי לבדוק את רשת המשנה / רשתות המשנה שלך.
11- נוהלי אבטחה טובים ב- OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [אלה שהכי משתמשים בהם] ושירות אחר שאתה צריך ברשת שלך.
12- הצפן את כל התקשורת במידת האפשר במערכות שלנו, SSL, gnuTLS, StarTTLS, digest, וכו '... ואם אתה מטפל במידע רגיש, הצפן את הכונן הקשיח שלך !!!
13- עדכן את שרתי הדואר שלנו בכללי האבטחה, הרשימה השחורה והאנטי-ספאם האחרונים.
14- רישום פעילויות במערכות שלנו באמצעות שעון יומן ובדיקת יומן.
15- ידע ושימוש בכלים כמו top, sar, vmstat, free, בין היתר.
sar -> דוח פעילות מערכת vmstat -> תהליכים, זיכרון, מערכת, i / o, מעבד פעילות וכו 'iostat -> מעבד i / o מצב mpstat -> מצב מעבד מרובה ושימוש pmap -> שימוש בזיכרון על ידי תהליכים חופשיים -> זיכרון iptraf -> תעבורה בזמן אמת של ethstatus הרשת שלנו -> סטטיסטיקה מבוססת אתרנט מבוססת קונסולה לפקח על etherape -> צג רשת גרפי ss -> מצב שקע [שקע tcp מידע, udp, שקעים גולמיים, שקעי DCCP] tcpdump -> ניתוח מפורט של התעבורה -> צג תעבורת רשת של ממשקים נבחרים mtr -> כלי אבחון וניתוח עומס יתר ברשת הכלים -> סטטיסטיקה לגבי כרטיסי רשת
בינתיים הכל. אני יודע שיש אלף ואחת הצעות אבטחה נוספות בסביבה מסוג זה, אך אלה שהכי היכו אותי, או שבשלב מסוים נאלצתי ליישם / להתאמן בסביבה שניהלתי .
חיבוק ואני מקווה שזה ישרת אותך 😀
אני מזמין אתכם בתגובות לספר לנו על כמה כללים אחרים שיושמו מלבד אלה שהוזכרו, כדי להגדיל את הידע של קוראינו 😀
ובכן הייתי מוסיף:
1.- החל כללי sysctl למניעת dmesg, / proc, גישה SysRQ, הקצאת PID1 לליבה, הפעלת הגנות עבור קישורי סימול קשיחים ורכים, הגנות על ערימות TCP / IP הן עבור IPv4 והן עבור IPv6, הפעל VDSO מלא עבור מצביעי אקראיות מקסימליים ו הקצאות שטח זיכרון ולשפר את הכוח מפני הצפת מאגר.
2.- צור קירות אש מסוג SPI (Stateful Package Inspect) בכדי למנוע מחיבורים שלא נוצרו או שאפשרו להם בעבר גישה למערכת.
3.- אם אין לך שירותים הדורשים חיבורים עם הרשאות מוגבהות ממיקום מרוחק, פשוט בטל את הגישה אליהם באמצעות access.conf, או, אם לא, אפשר גישה למשתמש או קבוצה ספציפיים בלבד.
4.- השתמש במגבלות קשות כדי למנוע גישה מקבוצות או משתמשים מסוימים לערער את יציבות המערכת שלך. שימושי מאוד בסביבות בהן פעיל רב משתמשים אמיתי פעיל בכל עת.
5.- TCPWrappers הוא חבר שלך, אם אתה נמצא במערכת עם תמיכה בה, השימוש בה לא יזיק, כך שתוכל למנוע גישה מכל מארח אלא אם כן הוגדר בעבר במערכת.
6.- צור מפתחות SSH RSA של לפחות 2048 סיביות או יותר מ- 4096 סיביות עם מקשים אלפאנומריים של יותר מ- 16 תווים.
7.- עד כמה אתה כותב עולם? בדיקת ההרשאות לקריאה-כתיבה של ספריותיך איננה רעה כלל וכלל והיא הדרך הטובה ביותר למנוע גישה בלתי מורשית בסביבות מרובות משתמשים, שלא לדבר על כך שהיא מקשה על גישה מסוימת בלתי מורשית לקבל גישה למידע שאתה. לא רוצה שהם יעשו זאת אף אחד אחר לא יראה.
8. - הרכיבו כל מחיצה חיצונית שאינה ראויה לכך, עם האפשרויות noexec, nosuid, nodev.
9.- השתמש בכלים כגון rkhunter ו- chkrootkit כדי לבדוק מעת לעת שאין במערכת התקנת rootkit או תוכנה זדונית. אמצעי זהיר אם אתה מאלה שמתקינים דברים ממאגרים לא מאובטחים, ממכשירי PPA או פשוט חי קומפילציה חי מאתרים לא מהימנים.
אהממ, טעים ... תגובה טובה, הוסף חבר'ה ...…
להחיל בקרת גישה חובה עם SElinux?
מאמר טוב מאוד
תודה חבר 😀
שלום ואם אני משתמש רגיל, האם עלי להשתמש בסו או בסודו?
אני משתמש בסו כי אני לא אוהב סודו, כי כל מי שיש לו את סיסמת המשתמש שלי יכול לשנות את מה שהוא רוצה במערכת, במקום זאת עם סו לא.
במחשב האישי שלך זה לא טורח להשתמש ב- su, אתה יכול להשתמש בו בלי בעיות, בשרתים, מומלץ מאוד להשבית את השימוש ב- su ולהשתמש ב- sudo, רבים אומרים שזה נובע מהעובדה של ביקורת מי ביצע את מה פיקוד וסודו מבצע את המשימה הזאת ... בפרט, במחשב שלי אני משתמש בשלו, בדיוק כמוך ...
בטח, אני לא ממש יודע איך זה עובד על השרתים. אם כי, נראה לי שלסודו היה יתרון שאתה יכול לתת הרשאות למשתמש במחשב אחר, אם אני לא טועה.
מאמר מעניין, אני מצפין כמה קבצים עם gnu-gpg, כגון הרשאה מינימלית, למקרה שתרצו לבצע, למשל, בינארי ממקור לא ידוע שאבד בים המידע העצום שעל הדיסק, איך אוכל להסיר גישה למסוים פונקציות?
אני חייב לך את החלק הזה, אם כי אני חושב שאתה צריך לרוץ רק כ- sudo / root, תוכניות אמינות, כלומר הן מגיעות מה- repo שלך ...
אני זוכר שקראתי שיש דרך לאפשר יכולות שורש במדריך על GNU / Linux ו- UNIX, אם אמצא את זה אשים את זה 😀
@andrew הנה המאמר שהזכרתי ועוד קצת עזרה
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
וכלובי השמלה להפעלת בינאריות לא ידועות?
השימוש בסודו בכל עת עדיף בהרבה.
לחלופין, תוכלו להשתמש ב- sudo, אך להגביל את זמן הזכירה של הסיסמה.
כלים דומים בהם אני משתמש לפקח על מחשב, "iotop" כתחליף ל"יוסטט "," htop "מצוין" מנהל משימות "," iftop "ניטור רוחב הפס.
רבים יאמינו שזה מוגזם, אך כבר ראיתי התקפות לכלול שרת ל- botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: קבצנים סינים וניסיונותיהם לפרוץ את השרת שלי.
דבר שנוח גם הוא להשתמש בכלובי שמלות לשירותים, כך שאם משום מה הם מותקפים הם לא היו מתפשרים על המערכת.
השימוש בפקודה ps מצוין גם לניטור ויכול להיות חלק מהפעולות לבדיקת פגמי אבטחה. הפעלת ps -ef מפרטת את כל התהליכים, היא דומה לחלק העליון אך היא מראה כמה הבדלים. התקנת iptraf הוא כלי נוסף שעשוי לעבוד.
תרומה טובה.
הייתי מוסיף: SELinux או Apparmor, תלוי בהפצה, תמיד מופעלים.
מנסיוני הבנתי שזה נוהג רע להשבית את אותם רכיבים. כמעט תמיד אנו עושים זאת כאשר אנו מתכוונים להתקין או להגדיר שירות, בתירוץ שהוא פועל ללא בעיות, כאשר באמת מה שעלינו לעשות הוא ללמוד לטפל בהם כדי לאפשר שירות זה.
ברכה.
1. כיצד להצפין את כל מערכת הקבצים? שווה את זה??
2. האם צריך לפענח את זה בכל פעם שהמערכת תתעדכן?
3. האם הצפנת כל מערכת הקבצים של המכונה זהה להצפנת כל קובץ אחר?
איך אתה מראה שאתה יודע על מה אתה מדבר?
כמו כן, אתה יכול לכלוב תוכניות ואפילו מספר משתמשים. אומנם פעולה זו היא יותר עבודה, אבל אם משהו קרה והיה לך עותק קודם של התיקיה הזו, זה פשוט להכות ולשיר.
מדיניות הביטחון הטובה והנוחה ביותר היא לא להיות פרנואידית.
נסה את זה, זה לא ניתן לטעות.
אני משתמש ב- csf וכאשר פותח לקוח שהציב שגוי של סיסמתו בגישה כלשהי, הדבר מתעכב בתהליך, אך זה קורה. זה נורמלי?
אני מחפש את הפקודה לבטל חסימה מ- ssh ... כל הצעה