25 Għajnuniet dwar is-Sigurtà għat-twebbis għal Servers Linux

Kulħadd jgħid li Linux huwa sigur b'mod awtomatiku u qabel sa ċertu punt (Huwa suġġetti dibattibbli). Madankollu, Linux għandu mudell ta 'sigurtà inkorporat fis-seħħ awtomatikament. Ħtieġa li tixgħelha u tippersonalizza skond il-ħtieġa tiegħek li tista 'tgħin biex tagħmel sistema aktar sigura. Linux huwa aktar diffiċli biex jimmaniġġja iżda joffri aktar flessibilità u għażliet ta 'konfigurazzjoni.

L-iżgurar ta 'sistema fi produzzjoni minn idejn il-hackers u l-crackers huwa kompitu ta' sfida għal Amministratur tas-Sistema. Dan huwa l-ewwel artiklu tagħna relatat ma 'Kif Niżguraw il-kaxxa Linux jew Twebbis ta' Kaxxa Linux. F'din il-kariga Aħna ser nispjegaw 25 pariri u tricks utli biex niżguraw is-sistema Linux tiegħek. Hope, hawn taħt tips & tricks tgħinek xi testendi biex tiżgura s-sistema tiegħek.

1. Sigurtà tas-Sistema Fiżika

Ikkonfigura l-BIOS biex tiddiżattiva l-ibbutjar minn CD/DVD, Apparat Estern, Floppy Drive fil-BIOS. Sussegwentement, ippermetti l-password tal-BIOS u tipproteġi wkoll lil GRUB bil-password biex tirrestrinġi l-aċċess fiżiku tas-sistema tiegħek.

  1. Issettja l-Password GRUB biex Tħares is-Servers Linux

2. Diviżorji tad-Disk

Huwa importanti li jkollok diviżorji differenti biex tikseb sigurtà ogħla tad-dejta f'każ li jiġri xi diżastru. Billi jinħolqu diviżorji differenti, id-dejta tista 'tiġi separata u miġbura. Meta jseħħ inċident mhux mistenni, id-dejta biss ta 'dik il-partizzjoni se ssirilhom il-ħsara, filwaqt li d-dejta fuq diviżorji oħra baqgħu ħajjin. Kun żgur li jrid ikollok diviżorji separati li ġejjin u kun żgur li applikazzjonijiet ta 'partijiet terzi għandhom jiġu installati fuq sistemi ta' fajls separati taħt /opt.

/
/boot
/usr
/var
/home
/tmp
/opt

3. Imminimizza l-Pakketti biex Tnaqqas il-Vulnerabilità

Verament trid kull tip ta' servizzi installati?. Huwa rakkomandat li tevita li tinstalla pakketti inutli biex tevita vulnerabbiltajiet fil-pakketti. Dan jista' jimminimizza r-riskju li l-kompromess ta' servizz wieħed jista' jwassal għal kompromess ta' servizzi oħra. Sib u neħħi jew iddiżattiva servizzi mhux mixtieqa mis-server biex timminimizza l-vulnerabilità. Uża l-kmand 'chkconfig' biex issir taf servizzi li qed jaħdmu fuq runlevel 3.

# /sbin/chkconfig --list |grep '3:on'

Ladarba tkun taf li qed jaħdem xi servizz mhux mixtieq, iddiżattivahom billi tuża l-kmand li ġej.

# chkconfig serviceName off

Uża l-maniġer tal-pakketti RPM bħal għodod yum jew apt-get biex telenka l-pakketti installati kollha fuq sistema u neħħihom billi tuża l-kmand li ġej.

# yum -y remove package-name
# sudo apt-get remove package-name

  1. 5 Eżempji ta' Kmand chkconfig
  2. 20 Eżempji Prattiċi ta' Kmandi RPM
  3. 20 Kmand Linux YUM għall-Ġestjoni tal-Pakketti tal-Linux
  4. 25 Kmandi APT-GET u APT-CACHE biex Immaniġġja l-Ġestjoni tal-Pakketti

4. Iċċekkja l-Portijiet tan-Netwerk tas-Smigħ

Bl-għajnuna tal-kmand tan-netwerking 'netstat' tista' tara l-portijiet miftuħa kollha u l-programmi assoċjati. Kif għedt hawn fuq uża l-kmand 'chkconfig' biex tiddiżattiva s-servizzi kollha tan-netwerk mhux mixtieqa mis-sistema.

# netstat -tulpn

  1. 20 Kmanda Netstat għall-Ġestjoni tan-Netwerk fil-Linux

5. Uża Secure Shell(SSH)

Il-protokolli Telnet u rlogin juża test sempliċi, mhux format encrypted li huwa l-ksur tas-sigurtà. SSH huwa protokoll sikur li juża t-teknoloġija tal-kriptaġġ waqt il-komunikazzjoni mas-server.

Qatt illoggja direttament bħala root sakemm ma jkunx meħtieġ. Uża sudo biex tesegwixxi kmandi. sudo huma speċifikati fil-fajl /etc/sudoers jistgħu wkoll jiġu editjati bl-utilità visudo li tiftaħ fl-editur VI.

Huwa rakkomandat ukoll li jinbidel in-numru tal-port default SSH 22 b'xi numru ieħor tal-port ta 'livell ogħla. Iftaħ il-fajl ewlieni tal-konfigurazzjoni SSH u agħmel xi parametri li ġejjin biex tirrestrinġi lill-utenti għall-aċċess.

# vi /etc/ssh/sshd_config
PermitRootLogin no
AllowUsers username
Protocol 2

  1. 5 L-Aħjar Prattiki biex JikSeguru u Jipproteġu SSH Server

6. Żomm is-Sistema aġġornata

Dejjem żomm is-sistema aġġornata bl-aħħar ħarġiet irqajja, soluzzjonijiet tas-sigurtà u kernel meta tkun disponibbli.

# yum updates
# yum check-update

7. Lockdown Cronjobs

Cron għandu l-karatteristika tiegħu stess, fejn jippermetti li jiġi speċifikat min jista ', u min jista' ma jridx imexxi l-impjiegi. Dan huwa kkontrollat bl-użu ta 'fajls imsejħa /etc/cron.allow u /etc/cron.deny. Biex tissakkar utent bl-użu ta 'cron, sempliċement żid l-ismijiet tal-utenti f'cron.deny u biex tippermetti utent imexxi cron add fil-fajl cron.allow. Jekk tixtieq tiddiżattiva lill-utenti kollha milli jużaw cron, żid il-linja 'ALL' mal-fajl cron.deny.

# echo ALL >>/etc/cron.deny

  1. 11 Eżempji ta' Skedar Cron fil-Linux

8. Iddiżattiva USB stick biex Tiskopri

Ħafna drabi jiġri li rridu nirrestrinġu lill-utenti milli jużaw USB stick f'sistemi biex jipproteġu u niżguraw id-data milli serqet. Oħloq fajl '/etc/modprobe.d/no-usb' u żżid il-linja taħt il-linja ma tiskoprix ħażna USB.

install usb-storage /bin/true

9. Ixgħel SELinux

Linux Mtejba tas-Sigurtà (SELinux) huwa mekkaniżmu ta' sigurtà ta' kontroll ta' aċċess obbligatorju pprovdut fil-kernel. Id-diżattivazzjoni ta' SELinux tfisser it-tneħħija tal-mekkaniżmu tas-sigurtà mis-sistema. Aħseb darbtejn bir-reqqa qabel ma tneħħi, jekk is-sistema tiegħek hija mwaħħla mal-internet u aċċessata mill-pubbliku, imbagħad aħseb ftit aktar fuqha.

SELinux jipprovdi tliet modi bażiċi ta 'operazzjoni u huma.

  1. Infurzar: Dan huwa mod default li jippermetti u jinfurza l-politika tas-sigurtà SELinux fuq il-magna.
  2. Permissiv: F'din il-modalità, SELinux mhux se jinforza l-politika tas-sigurtà fuq is-sistema, biss iwissi u jirreġistra l-azzjonijiet. Din il-modalità hija utli ħafna f'termini ta' soluzzjoni ta' problemi relatati ma' SELinux.
  3. Diżattivat: SELinux huwa mitfi.

Tista 'tara l-istatus attwali tal-mod SELinux mil-linja tal-kmand billi tuża 'system-config-selinux', 'getenforce' jew 'sestatus' kmandi.

# sestatus

Jekk tkun diżattivata, ippermetti SELinux billi tuża l-kmand li ġej.

# setenforce enforcing

Jista 'jiġi ġestit ukoll mill-fajl '/etc/selinux/config', fejn tista' tattivah jew tiddiżattivah.

10. Neħħi KDE/GNOME Desktops

M'hemmx bżonn li tħaddem desktops X Window bħal KDE jew GNOME fuq is-server dedikat tiegħek LAMP. Tista 'tneħħihom jew tiddiżattivahom biex iżżid is-sigurtà tas-server u l-prestazzjoni. Biex tiddiżattiva sempliċi tiftaħ il-fajl '/etc/inittab' u ssettja l-livell ta 'ġirja għal 3. Jekk tixtieq tneħħih kompletament mis-sistema uża l-kmand ta' hawn taħt.

# yum groupremove "X Window System"

11. Itfi IPv6

Jekk m'intix qed tuża protokoll IPv6, allura għandek tiddiżattivah minħabba li ħafna mill-applikazzjonijiet jew il-politiki mhumiex meħtieġa protokoll IPv6 u bħalissa mhux meħtieġ fuq is-server. Mur fil-fajl tal-konfigurazzjoni tan-netwerk u żid il-linji li ġejjin biex tiddiżattivah.

# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

12. Irrestrinġi l-Utenti biex Jużaw Passwords Qadim

Dan huwa utli ħafna jekk trid ma tħallix lill-utenti jużaw l-istess passwords qodma. Il-fajl tal-password l-antik jinsab f'/etc/security/opasswd. Dan jista 'jinkiseb bl-użu tal-modulu PAM.

Iftaħ il-fajl '/etc/pam.d/system-auth' taħt RHEL/CentOS/Fedora.

# vi /etc/pam.d/system-auth

Iftaħ il-fajl '/etc/pam.d/common-password' taħt Ubuntu/Debian/Linux Mint.

# vi /etc/pam.d/common-password

Żid il-linja li ġejja mat-taqsima 'awth'.

auth        sufficient    pam_unix.so likeauth nullok

Żid il-linja li ġejja mat-taqsima 'password' biex ma tħallix utent milli jerġa' juża l-aħħar 5 password tiegħu jew tagħha.

password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

L-aħħar 5 passwords biss huma ftakar mis-server. Jekk ippruvajt tuża xi waħda mill-aħħar 5 passwords qodma, ikollok żball bħal.

Password has been already used. Choose another.

13. Kif Tiċċekkja l-Iskadenza tal-Password tal-Utent

Fil-Linux, il-passwords tal-utent huma maħżuna fil-fajl '/etc/shadow' f'format kriptat. Biex tiċċekkja l-iskadenza tal-password tal-utent, trid tuża l-kmand tal-‘chage’. Hija turi informazzjoni dwar id-dettalji tal-iskadenza tal-password flimkien mad-data tal-aħħar bidla tal-password. Dawn id-dettalji jintużaw mis-sistema biex tiddeċiedi meta utent irid ibiddel il-password tiegħu/tagħha.

Biex tara l-informazzjoni dwar ix-xjuħija ta’ kwalunkwe utent eżistenti bħad-data u l-ħin ta’ skadenza, uża l-kmand li ġej.

#chage -l username

Biex tbiddel il-password ta 'kull utent, uża l-kmand li ġej.

#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

  1. -M Issettja n-numru massimu ta' jiem
  2. -m Issettja numru minimu ta' jiem
  3. -W Issettja n-numru ta' jiem ta' twissija

14. Lock u Nisfruttaw Kont Manwalment

Il-karatteristiċi tal-illokkjar u tal-ftuħ huma utli ħafna, minflok ma tneħħi kont mis-sistema, tista' tissakkarha għal ġimgħa jew xahar. Biex tissakkar utent speċifiku, tista 'tuża l-kmand ta' segwitu.

# passwd -l accountName

Nota : L-utent imsakkar għadu disponibbli għall-utent root biss. L-illokkjar isir billi tissostitwixxi l-password encrypted b'sekwenza (!). Jekk xi ħadd jipprova jaċċessa s-sistema billi juża dan il-kont, ikollu żball simili għal hawn taħt.

# su - accountName
This account is currently not available.

Biex tiftaħ jew tippermetti aċċess għal kont imsakkar, uża l-kmand bħala. Dan se jneħħi (!) string b'password encrypted.

# passwd -u accountName

15. Infurzar Passwords Aktar B'saħħithom

Għadd ta' utenti jużaw passwords artab jew dgħajfa u l-password tagħhom tista' tiġi hackjata b'attakki bbażati fuq dizzjunarju jew b'forza bruta. Il-modulu 'pam_cracklib' huwa disponibbli f'munzell ta' moduli PAM (Pluggable Authentication Modules) li se jġiegħel lill-utent jistabbilixxi passwords b'saħħithom. Iftaħ il-fajl li ġej b'editur.

Aqra wkoll:

# vi /etc/pam.d/system-auth

U żid il-linja billi tuża parametri tal-kreditu bħala (lcredit, ucredit, dcredit u/jew ocredit rispettivament b'ittri żgħar, kbar, ċifri u oħrajn)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. Ippermetti Iptables (Firewall)

Huwa rakkomandat ħafna li tippermetti firewall Linux biex jiżgura aċċess mhux awtorizzat tas-servers tiegħek. Applika regoli f'iptables għall-filtri ta' pakketti deħlin, ħerġin u li jibagħtu. Nistgħu nispeċifikaw l-indirizz tas-sors u tad-destinazzjoni biex nippermettu u niċħdu f'numru tal-port speċifiku udp/tcp.

  1. Gwida u Suġġerimenti għall-IPTables Bażiċi

17. Iddiżattiva Ctrl + Alt + Ħassar f'Inittab

Fil-biċċa l-kbira tad-distribuzzjonijiet tal-Linux, meta tagħfas 'CTRL-ALT-DELETE' tieħu s-sistema tiegħek biex terġa' tibda l-proċess. Għalhekk, mhix idea tajba li din l-għażla tkun attivata għall-inqas fuq servers ta 'produzzjoni, jekk xi ħadd bi żball jagħmel dan.

Dan huwa definit fil-fajl '/etc/inittab', jekk tħares mill-qrib f'dak il-fajl se tara linja simili għal hawn taħt. B'mod awtomatiku, il-linja mhix ikkummentata. Irridu nikkummentawha. Dan is-sinjalar partikolari tas-sekwenza taċ-ċavetta se jagħlaq sistema.

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. Kontijiet Iċċekkjar għal Passwords Vojta

Kwalunkwe kont li jkollu password vojta jfisser li jinfetaħ għal aċċess mhux awtorizzat għal xi ħadd fuq il-web u huwa parti mis-sigurtà fi ħdan server Linux. Għalhekk, trid tiżgura li l-kontijiet kollha jkollhom passwords b'saħħithom u ħadd ma jkollu aċċess awtorizzat. Il-kontijiet tal-password vojta huma riskji għas-sigurtà u li jistgħu jkunu faċilment hackable. Biex tivverifika jekk kienx hemm xi kontijiet b'password vojta, uża l-kmand li ġej.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

19. Uri SSH Banner Qabel Il-Logg

Dejjem tkun idea aħjar li jkollok banner legali jew banners tas-sigurtà b'xi twissijiet tas-sigurtà qabel l-awtentikazzjoni SSH. Biex tissettja banners bħal dawn aqra l-artiklu li ġej.

  1. Uri Messaġġ ta' Twissija SSH lill-Utenti

20. Tissorvelja l-Attivitajiet tal-Utenti

Jekk qed tittratta ma 'lottijiet ta' utenti, allura huwa importanti li tiġbor l-informazzjoni ta 'kull utent attivitajiet u proċessi kkunsmati minnhom u tanalizzahom aktar tard jew fil-każ jekk xi tip ta' prestazzjoni, kwistjonijiet ta 'sigurtà. Imma kif nistgħu nissorveljaw u niġbru informazzjoni dwar l-attivitajiet tal-utent.

Hemm żewġ għodod utli msejħa 'psacct' u 'acct' huma użati għall-monitoraġġ tal-attivitajiet u l-proċessi tal-utent fuq sistema. Dawn l-għodod jaħdmu fi sfond tas-sistema u kontinwament isegwu kull attività tal-utent fuq sistema u riżorsi kkunsmati minn servizzi bħal Apache, MySQL, SSH, FTP, eċċ. Għal aktar informazzjoni dwar l-installazzjoni, il-konfigurazzjoni u l-użu, żur l-url hawn taħt.

  1. Immonitorja l-Attività tal-Utent bi Kmandi psacct jew acct

21. Irrevedi zkuk regolarment

Ċaqlaq zkuk f'server ta 'logs iddedikat, dan jista' jipprevjeni lill-intrużi biex jimmodifikaw faċilment zkuk lokali. Hawn taħt hemm l-isem tal-fajls log default tal-Linux Komuni u l-użu tagħhom:

  1. /var/log/message – Fejn huma disponibbli r-reġistri tas-sistema kollha jew ir-reġistri tal-attività kurrenti.
  2. /var/log/auth.log – Reġistri ta' awtentikazzjoni.
  3. /var/log/kern.log – Żkuk tal-kernel.
  4. /var/log/cron.log – Crond logs (cron job).
  5. /var/log/maillog – Logs tas-server tal-posta.
  6. /var/log/boot.log – Is-sistema tal-boot log.
  7. /var/log/mysqld.log – Fajl ta’ log tas-server tad-database MySQL.
  8. /var/log/secure – Ġurnal tal-awtentikazzjoni.
  9. /var/log/utmp jew /var/log/wtmp : Fajl tar-rekords tal-login.
  10. /var/log/yum.log: fajls ta' log Yum.

22. Fajl importanti Backup

F'sistema ta 'produzzjoni, huwa meħtieġ li tieħu backup ta' fajls importanti u żżommhom fil-kaxxa-forti tas-sigurtà, f'sit remot jew barra mis-sit għall-irkupru tad-Diżastri.

23. NIC Bonding

Hemm żewġ tipi ta 'modalità fit-twaħħil NIC, jeħtieġ li tissemma fl-interface tat-twaħħil.

  1. mode=0 – Round Robin
  2. mode=1 – Attiv u Backup

NIC Bonding jgħinna nevitaw punt wieħed ta 'falliment. Fit-twaħħil NIC, aħna ngħaqqdu żewġ Network Ethernet Cards jew aktar flimkien u nagħmlu Interface virtwali waħda waħda fejn nistgħu nassenjaw indirizz IP biex nitkellmu ma 'servers oħra. In-netwerk tagħna jkun disponibbli f'każ li NIC Card waħda ma tkunx disponibbli jew ma tkunx disponibbli minħabba xi raġuni.

24. Żomm /boot bħala qari biss

Il-kernel tal-Linux u l-fajls relatati tiegħu jinsabu fid-direttorju /boot li huwa awtomatikament bħala read-write. Li tinbidel għal qari biss inaqqas ir-riskju ta 'modifika mhux awtorizzata ta' fajls kritiċi boot. Biex tagħmel dan, iftaħ il-fajl /etc/fstab.

# vi /etc/fstab

Żid il-linja li ġejja fil-qiegħ, issalva u agħlaqha.

LABEL=/boot     /boot     ext2     defaults,ro     1 2

Jekk jogħġbok innota li għandek bżonn tirrisettja l-bidla għal read-write jekk ikollok bżonn taġġorna l-kernel fil-futur.

25. Injora ICMP jew Talba tax-Xandir

Żid il-linja li ġejja fil-fajl “/etc/sysctl.conf” biex tinjora t-talba tal-ping jew tax-xandir.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

Tagħbija settings jew bidliet ġodda, billi tħaddem il-kmand li ġej

#sysctl -p

Jekk tlift xi ponta importanti tas-sigurtà jew tat-twebbis fil-lista ta 'hawn fuq, jew għandek xi ponta oħra li trid tiġi inkluża fil-lista. Jekk jogħġbok poġġi l-kummenti tiegħek fil-kaxxa tal-kummenti tagħna. TecMint huwa dejjem interessat li jirċievi kummenti, suġġerimenti kif ukoll diskussjoni għal titjib.