LFCA – Suġġerimenti Utli għall-Iżgurar tad-Data u l-Linux – Parti 18

Mill-ħruġ tiegħu fil-bidu tad-disgħinijiet, Linux rebaħ l-ammirazzjoni tal-komunità tat-teknoloġija grazzi għall-istabbiltà, il-versatilità, l-adattabbiltà, u l-komunità kbira ta 'żviluppaturi open-source li jaħdmu 24-il-ħin kollu biex jipprovdu bug fixes u titjib lill- sistema operattiva. B'mod ġenerali, Linux hija s-sistema operattiva magħżula għal sħab pubbliċi, servers, u superkompjuters, u qrib 75% tas-servers tal-produzzjoni li jiffaċċjaw l-internet jaħdmu fuq Linux.

Minbarra li tħaddem l-internet, Linux sab it-triq tiegħu lejn id-dinja diġitali u ma naqset minn dakinhar. Hija tħaddem firxa vasta ta’ aġġeġġi intelliġenti inklużi smartphones Android, tablets, smartwatches, smart displays u ħafna aktar.

Huwa Linux li Sikur?

Linux hija magħrufa għas-sigurtà tal-ogħla livell tagħha u hija waħda mir-raġunijiet għaliex tagħmel għażla favorita f'ambjenti ta 'intrapriża. Imma hawn fatt, l-ebda sistema operattiva mhi 100% sigura. Ħafna utenti jemmnu li l-Linux hija sistema operattiva foolproof, li hija suppożizzjoni falza. Fil-fatt, kwalunkwe sistema operattiva b'konnessjoni tal-internet hija suxxettibbli għal ksur potenzjali u attakki malware.

Matul is-snin bikrin tiegħu, Linux kellu demografija ħafna iżgħar iċċentrata fuq it-teknoloġija u r-riskju li jsofri minn attakki malware kien remot. Illum il-ġurnata Linux iħaddem parti kbira mill-internet, u dan wassal għat-tkabbir tal-pajsaġġ tat-theddid. It-theddida ta' attakki malware hija reali aktar minn qatt qabel.

Eżempju perfett ta’ attakk ta’ malware fuq sistemi Linux huwa l-Erebus ransomware, malware li jikkodifika l-fajls li affettwa qrib 153 server Linux ta’ NAYANA, kumpanija ta’ web hosting tal-Korea t’Isfel.

Għal din ir-raġuni, huwa prudenti li tkompli tibbies is-sistema operattiva biex tagħtiha s-sigurtà tant mixtieqa biex tissalvagwardja d-dejta tiegħek.

Għajnuniet dwar it-twebbis tas-server Linux

L-iżgurar tas-server Linux tiegħek mhuwiex ikkumplikat daqs kemm tista 'taħseb. Aħna kkumpilajna lista tal-aħjar politiki tas-sigurtà li għandek bżonn timplimenta biex issaħħaħ is-sigurtà tas-sistema tiegħek u żżomm l-integrità tad-dejta.

Fl-istadji inizjali tal-ksur ta 'Equifax, il-hackers użaw vulnerabbiltà magħrufa ħafna - Apache Struts - fuq il-portal tal-web tal-ilmenti tal-klijenti ta' Equifax.

Apache Struts huwa qafas ta' sors miftuħ għall-ħolqien ta' applikazzjonijiet tal-web Java moderni u eleganti żviluppati mill-Fondazzjoni Apache. Il-Fondazzjoni ħarġet garża biex tirranġa l-vulnerabbiltà fis-7 ta’ Marzu 2017, u ħarġet stqarrija f’dan is-sens.

Equifax ġew notifikati dwar il-vulnerabbiltà u avżati biex jimpenjaw l-applikazzjoni tagħhom, iżda sfortunatament, il-vulnerabbiltà baqgħet mingħajr irranġa sa Lulju tal-istess sena f'liema punt kien tard wisq. L-attakkanti setgħu jiksbu aċċess għan-netwerk tal-kumpanija u jesfiltraw miljuni ta 'rekords kunfidenzjali tal-klijenti mid-databases. Sakemm Equifax ħadet riħ ta’ dak li kien qed jiġri, kienu diġà għaddew xahrejn.

Allura, x’nistgħu nitgħallmu minn dan?

Utenti malizzjużi jew hackers dejjem se jfittxu s-server tiegħek għal vulnerabbiltajiet possibbli tas-softwer li mbagħad jistgħu jisfruttaw biex jiksru s-sistema tiegħek. Biex tkun fuq in-naħa sigura, dejjem aġġorna s-softwer tiegħek għall-verżjonijiet attwali tiegħu biex tapplika l-irqajja għal kwalunkwe vulnerabbiltajiet eżistenti.

Jekk qed tħaddem sistemi bbażati fuq Ubuntu jew Debian, l-ewwel pass normalment ikun li taġġorna l-listi jew ir-repożitorji tal-pakketti tiegħek kif muri.

$ sudo apt update

Biex tiċċekkja l-pakketti kollha bl-aġġornamenti disponibbli, ħaddem il-kmand:

$ sudo apt list --upgradable

L-aġġornament tal-applikazzjonijiet tas-softwer tiegħek għall-verżjonijiet attwali tagħhom kif muri:

$ sudo apt upgrade

Tista' tikkonkatena dawn it-tnejn f'kmand wieħed kif muri.

$ sudo apt update && sudo apt upgrade

Għal RHEL & CentOS aġġorna l-applikazzjonijiet tiegħek billi tħaddem il-kmand:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Għażla vijabbli oħra hija li twaqqaf aġġornamenti awtomatiċi għal CentOS/RHEL.

Minkejja l-appoġġ tiegħu għal numru kbir ta 'protokolli remoti, servizzi legacy bħal rlogin, telnet, TFTP u FTP jistgħu joħolqu kwistjonijiet ta' sigurtà enormi għas-sistema tiegħek. Dawn huma protokolli qodma, skaduti u mhux sikuri fejn id-dejta tintbagħat f'test sempliċi. Jekk dawn jeżistu, ikkunsidra li tneħħihom kif muri.

Għal sistemi bbażati fuq Ubuntu/Debian, eżegwixxi:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Għal sistemi bbażati fuq RHEL/CentOS, eżegwixxi:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Ladarba tkun neħħejt is-servizzi kollha mhux sikuri, huwa importanti li tiskennja s-server tiegħek għal portijiet miftuħa u tagħlaq kwalunkwe port mhux użat li potenzjalment jista 'jintuża bħala punt ta' dħul mill-hackers.

Ejja ngħidu li trid timblokka l-port 7070 fuq il-firewall UFW. Il-kmand għal dan se jkun:

$ sudo ufw deny 7070/tcp

Imbagħad reload l-firewall biex il-bidliet jidħlu fis-seħħ.

$ sudo ufw reload

Għal Firewalld, mexxi l-kmand:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

U ftakar li terġa 'tagħbija l-firewall.

$ sudo firewall-cmd --reload

Imbagħad iċċekkja r-regoli tal-firewall kif muri:

$ sudo firewall-cmd --list-all

Il-protokoll SSH huwa protokoll remot li jippermettilek tikkonnettja b'mod sigur ma 'apparati fuq netwerk. Filwaqt li huwa meqjus sigur, is-settings default mhumiex biżżejjed u xi tweaks żejda huma meħtieġa biex jiskoraġġixxu aktar lill-utenti malizzjużi milli jiksru s-sistema tiegħek.

Għandna gwida komprensiva dwar kif nibbies il-protokoll SSH. Hawn huma l-punti ewlenin ewlenin.

  • Kkonfigura l-login SSH mingħajr password u ppermetti l-awtentikazzjoni taċ-ċavetta privata/pubblika.
  • Iżżom il-login remot tal-għeruq SSH.
  • Iżżomm logins SSH minn utenti b'passwords vojta.
  • Iżżomm l-awtentikazzjoni tal-password għal kollox u żżomm mal-awtentikazzjoni taċ-ċavetta privata/pubblika SSH.
  • Llimita l-aċċess għal utenti speċifiċi ta' SSH.
  • Kkonfigura limitu għal tentattivi ta' password.

Fail2ban hija sistema ta' prevenzjoni ta' intrużjoni open-source li tissalvagwardja s-server tiegħek minn attakki ta' forza bruta. Jipproteġi s-sistema Linux tiegħek billi jipprojbixxi l-IPs li jindikaw attività malizzjuża bħal wisq tentattivi ta' login. Barra mill-kaxxa, tintbagħat b'filtri għal servizzi popolari bħal Apache webserver, vsftpd u SSH.

Għandna gwida dwar kif tikkonfigura Fail2ban biex issaħħaħ aktar il-protokoll SSH.

L-użu mill-ġdid ta' passwords jew l-użu ta' passwords dgħajfa u sempliċi jimmina bil-kbir is-sigurtà tas-sistema tiegħek. Inti tinforza politika tal-password, uża l-pam_cracklib biex tissettja jew tikkonfigura r-rekwiżiti tas-saħħa tal-password.

Bl-użu tal-modulu PAM, tista 'tiddefinixxi s-saħħa tal-password billi teditja l-fajl /etc/pam.d/system-auth. Pereżempju, tista' tissettja l-kumplessità tal-password u tevita l-użu mill-ġdid tal-passwords.

Jekk qed tmexxi websajt, dejjem kun żgur li tassigura d-dominju tiegħek billi tuża ċertifikat SSL/TLS biex tikkodifika d-dejta skambjata bejn il-browser tal-utenti u l-webserver.

Ladarba tikkodifika s-sit tiegħek, ikkunsidra wkoll li tiddiżattiva protokolli ta' kriptaġġ dgħajfa. Fil-ħin tal-kitba ta 'din il-gwida, l-aħħar protokoll huwa TLS 1.3, li huwa l-aktar protokoll komuni u użat ħafna. Verżjonijiet preċedenti bħal TLS 1.0, TLS 1.2, u SSLv1 għal SSLv3 ġew assoċjati ma 'vulnerabbiltajiet magħrufa.

[ Tista 'tħobb ukoll: Kif Tippermetti TLS 1.3 f'Apache u Nginx ]

Dak kien sommarju ta' wħud mill-passi li tista' tieħu biex tiżgura s-sigurtà u l-privatezza tad-dejta għas-sistema Linux tiegħek.