Wprowadzenie do hartowania bezpieczeństwa serwera Linux
Ulepsz swoje jądro
Przestarzałe jądro jest zawsze podatne na kilka ataków eskalacji sieci i uprzywilejowania. Więc możesz zaktualizować jądro za pomocą trafny w Debian lub mniam w Fedorze.
Aktualizacja $ sudo apt-get
$ sudo apt-get dist-upgrade
Wyłączanie zadań Cron Cron
Zadania CRON działające przez konto root lub wysokie uprawnienia mogą być wykorzystane jako sposób na zdobycie wysokich uprawnień przez atakujących. Możesz zobaczyć, jak uruchamia CRON PRACY
$ ls /etc /cron*
Ścisłe zasady zapory ogniowej
Powinieneś zablokować dowolne niepotrzebne połączenie przychodzące lub wychodzące na rzadkich portach. Możesz zaktualizować reguły zapory, używając iptables. IPTABLES to bardzo elastyczne i łatwe w użyciu narzędzie używane do blokowania lub umożliwiania ruchu przychodzącego lub wychodzącego. Aby zainstalować, napisz
$ sudo apt-get instaluj iptables
Oto przykład blokowania przychodzącego na porcie FTP za pomocą iPtables
$ iptables -a wejście -p tcp - -dport ftp -j upuść
Wyłącz niepotrzebne usługi
Zatrzymaj niechciane usługi i demony działające w twoim systemie. Możesz wymienić uruchomione usługi za pomocą następujących poleceń.
Ubuntu@ubuntu: ~ $ service --status-all
[ +] Acpid
[ -] ALSA -UTILS
[ -] Anacron
[ +] Apache-Htcacheclean
[ +] Apache2
[ +] Apparmor
[ +] Moda
[ +] avahi-daemon
[ +] binfmt-support
[ +] Bluetooth
[ -] cgroupfs -mount
… Snip…
Lub za pomocą następującego polecenia
$ chkconfig - -list | Grep „3: On”
Aby zatrzymać usługę, wpisz
$ sudo service [service_name] przestań
LUB
$ sudo systemctl stop [Service_name]
Sprawdź backdoors i rootkits
Narzędzia takie jak Rkhunter i Chkrootkit mogą być używane do wykrywania znanych i nieznanych backdoorów i korzeniowych. Weryfikują zainstalowane pakiety i konfiguracje w celu weryfikacji bezpieczeństwa systemu. Aby zainstalować zapis,
Ubuntu@ubuntu: ~ $ sudo apt -get instaluj rkhunter -y
Aby zeskanować system, wpisz
Ubuntu@ubuntu: ~ $ sudo rkhunter -sprawdź
[Rootkit Hunter wersja 1.4.6]
Sprawdzanie poleceń systemowych…
Wykonanie kontroli poleceń „Strings”
Sprawdzanie polecenia „Strings” [OK]
Wykonywanie czeków „udostępnianych bibliotek”
Sprawdzanie zmiennych wstępnego ładowania [Brak znalezienia]
Sprawdzanie bibliotek wstępnie załadowanych [Brak znaleziony]
Sprawdzanie zmiennej LD_LiBRARY_PATH [nie znaleziono]
Wykonanie kontroli właściwości plików
Sprawdzanie warunków wstępnych [OK]
/usr/sbin/adduser [OK]
/usr/sbin/chroot [OK]
… Snip…
Sprawdź porty słuchowe
Powinieneś sprawdzić, czy porty słuchania, które ich nie są używane i wyłączają. Aby sprawdzić otwarte porty, napisz.
azad@ubuntu: ~ $ sudo netstat -ulpnt
Aktywne połączenia internetowe (tylko serwery)
Proto recv-q send-q adres lokalny adres zagraniczny stan PID/Nazwa programu
TCP 0 0 127.0.0.1: 6379 0.0.0.0:* Posłuchaj 2136/Redis-Server 1
TCP 0 0 0.0.0.0: 111 0.0.0.0:* Posłuchaj 1273/rpcbind
TCP 0 0 127.0.0.1: 5939 0.0.0.0:* Posłuchaj 2989/TeamViewerd
TCP 0 0 127.0.0.53:53 0.0.0.0:* Posłuchaj 1287/SystemD-Resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* Posłuchaj 1939/sshd
TCP 0 0 127.0.0.1: 631 0.0.0.0:* Posłuchaj 20042/cupsd
TCP 0 0 127.0.0.1: 5432 0.0.0.0:* Posłuchaj 1887/Postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Posłuchaj 31259/Master
… Snip…
Użyj IDS (system testowania wtargnięcia)
Użyj identyfikatorów do sprawdzania dzienników sieciowych i zapobiegania złośliwym działaniom. Dla Linux dostępna jest parnańca open source. Możesz go zainstalować według,
$ wget https: // www.parsknięcie.org/pobieranie/snort/daq-2.0.6.smoła.GZ
$ wget https: // www.parsknięcie.org/pobieranie/snort/snort-2.9.12.smoła.GZ
$ tar xvzf DAQ-2.0.6.smoła.GZ
$ CD DAQ-2.0.6
$ ./konfiguruj && make && sudo tworzy instalację
$ tar xvzf snort-2.9.12.smoła.GZ
$ CD Snort-2.9.12
$ ./konfiguruj --enable-sourcefire && make && sudo tworzy instalację
Aby monitorować ruch sieciowy, wpisz
Ubuntu@ubuntu: ~ $ sudo prycie
Uruchamianie w trybie zrzutu pakietu
--== Inicjowanie prycie ==--
Inicjowanie wtyczek wyjściowych!
PCAP DAQ skonfigurowany do pasywnego.
Pozyskiwanie ruchu sieciowego z „TUN0”.
Dekodowanie surowego IP4
--== inicjalizacja kompletna ==--
… Snip…
Wyłącz rejestrowanie jako root
Root działa jako użytkownik z pełnymi uprawnieniami, ma moc do robienia wszystkiego z systemem. Zamiast tego powinieneś egzekwować za pomocą Sudo do uruchamiania poleceń administracyjnych.
Usuń żadne pliki właściciela
Pliki należące do żadnego użytkownika ani grupy mogą być zagrożeniem bezpieczeństwa. Powinieneś wyszukać te pliki i usunąć je lub przypisać im odpowiedni użytkownik grupa. Aby wyszukać te pliki, wpisz
$ find /dir -xDev \ (-Nouser -o -nogroup \) -print
Użyj SSH i SFTP
Do przesyłania plików i zdalnej administracji użyj SSH i SFTP zamiast Telnet i innych protokołów niepewnych, otwartych i niezachapowanych. Aby zainstalować, wpisz
$ sudo apt -get instaluj vsftpd -y
$ sudo apt-get install openSsh-server -y
Monitoruj dzienniki
Zainstaluj i skonfiguruj narzędzie analizatora dziennika, aby regularnie sprawdzać dzienniki systemowe i dane dotyczące zdarzeń, aby zapobiec podejrzanej aktywności. Typ
$ sudo apt -get instaluj --y loganalyzer
Odinstaluj nieużywane oprogramowanie
Zainstaluj oprogramowanie tak minimalne, jak to możliwe, aby utrzymać małą powierzchnię ataku. Im więcej masz oprogramowania, tym większe szanse na ataki. Usuń więc wszelkie niepotrzebne oprogramowanie z systemu. Aby zobaczyć zainstalowane pakiety, napisz
$ dpkg -lista
$ dpkg - -info
$ apt-get List [Package_name]
Aby usunąć pakiet
$ sudo apt -get usuń [packal_name] -y
$ sudo apt-get Clean
Połączenie
Hartowanie bezpieczeństwa serwera Linux jest bardzo ważne dla przedsiębiorstw i firm. To trudne i męczące zadanie dla administratorów systemu. Niektóre procesy mogą być zautomatyzowane przez niektóre zautomatyzowane narzędzia, takie jak Selinux i inne podobne oprogramowanie. Ponadto utrzymanie oprogramowania minimus i wyłączenie nieużywanych usług i portów zmniejsza powierzchnię ataku.