25 Għajnuniet dwar is-Sigurtà għat-twebbis għal Servers Linux
Kulħadd jgħid li Linux huwa sigur b'mod awtomatiku u qabel sa ċertu punt (Huwa suġġetti dibattibbli). Madankollu, Linux għandu mudell ta 'sigurtà inkorporat fis-seħħ awtomatikament. Ħtieġa li tixgħelha u tippersonalizza skond il-ħtieġa tiegħek li tista 'tgħin biex tagħmel sistema aktar sigura. Linux huwa aktar diffiċli biex jimmaniġġja iżda joffri aktar flessibilità u għażliet ta 'konfigurazzjoni.
L-iżgurar ta 'sistema fi produzzjoni minn idejn il-hackers u l-crackers huwa kompitu ta' sfida għal Amministratur tas-Sistema. Dan huwa l-ewwel artiklu tagħna relatat ma 'Kif Niżguraw il-kaxxa Linux jew Twebbis ta' Kaxxa Linux. F'din il-kariga Aħna ser nispjegaw 25 pariri u tricks utli biex niżguraw is-sistema Linux tiegħek. Hope, hawn taħt tips & tricks tgħinek xi testendi biex tiżgura s-sistema tiegħek.
1. Sigurtà tas-Sistema Fiżika
Ikkonfigura l-BIOS biex tiddiżattiva l-ibbutjar minn CD/DVD, Apparat Estern, Floppy Drive fil-BIOS. Sussegwentement, ippermetti l-password tal-BIOS u tipproteġi wkoll lil GRUB bil-password biex tirrestrinġi l-aċċess fiżiku tas-sistema tiegħek.
- Issettja l-Password GRUB biex Tħares is-Servers Linux
2. Diviżorji tad-Disk
Huwa importanti li jkollok diviżorji differenti biex tikseb sigurtà ogħla tad-dejta f'każ li jiġri xi diżastru. Billi jinħolqu diviżorji differenti, id-dejta tista 'tiġi separata u miġbura. Meta jseħħ inċident mhux mistenni, id-dejta biss ta 'dik il-partizzjoni se ssirilhom il-ħsara, filwaqt li d-dejta fuq diviżorji oħra baqgħu ħajjin. Kun żgur li jrid ikollok diviżorji separati li ġejjin u kun żgur li applikazzjonijiet ta 'partijiet terzi għandhom jiġu installati fuq sistemi ta' fajls separati taħt /opt.
/ /boot /usr /var /home /tmp /opt
3. Imminimizza l-Pakketti biex Tnaqqas il-Vulnerabilità
Verament trid kull tip ta' servizzi installati?. Huwa rakkomandat li tevita li tinstalla pakketti inutli biex tevita vulnerabbiltajiet fil-pakketti. Dan jista' jimminimizza r-riskju li l-kompromess ta' servizz wieħed jista' jwassal għal kompromess ta' servizzi oħra. Sib u neħħi jew iddiżattiva servizzi mhux mixtieqa mis-server biex timminimizza l-vulnerabilità. Uża l-kmand 'chkconfig' biex issir taf servizzi li qed jaħdmu fuq runlevel 3.
# /sbin/chkconfig --list |grep '3:on'
Ladarba tkun taf li qed jaħdem xi servizz mhux mixtieq, iddiżattivahom billi tuża l-kmand li ġej.
# chkconfig serviceName off
Uża l-maniġer tal-pakketti RPM bħal għodod yum jew apt-get biex telenka l-pakketti installati kollha fuq sistema u neħħihom billi tuża l-kmand li ġej.
# yum -y remove package-name
# sudo apt-get remove package-name
- 5 Eżempji ta' Kmand chkconfig
- 20 Eżempji Prattiċi ta' Kmandi RPM
- 20 Kmand Linux YUM għall-Ġestjoni tal-Pakketti tal-Linux
- 25 Kmandi APT-GET u APT-CACHE biex Immaniġġja l-Ġestjoni tal-Pakketti
4. Iċċekkja l-Portijiet tan-Netwerk tas-Smigħ
Bl-għajnuna tal-kmand tan-netwerking 'netstat' tista' tara l-portijiet miftuħa kollha u l-programmi assoċjati. Kif għedt hawn fuq uża l-kmand 'chkconfig' biex tiddiżattiva s-servizzi kollha tan-netwerk mhux mixtieqa mis-sistema.
# netstat -tulpn
- 20 Kmanda Netstat għall-Ġestjoni tan-Netwerk fil-Linux
5. Uża Secure Shell(SSH)
Il-protokolli Telnet u rlogin juża test sempliċi, mhux format encrypted li huwa l-ksur tas-sigurtà. SSH huwa protokoll sikur li juża t-teknoloġija tal-kriptaġġ waqt il-komunikazzjoni mas-server.
Qatt illoggja direttament bħala root sakemm ma jkunx meħtieġ. Uża sudo biex tesegwixxi kmandi. sudo huma speċifikati fil-fajl /etc/sudoers jistgħu wkoll jiġu editjati bl-utilità visudo li tiftaħ fl-editur VI.
Huwa rakkomandat ukoll li jinbidel in-numru tal-port default SSH 22 b'xi numru ieħor tal-port ta 'livell ogħla. Iftaħ il-fajl ewlieni tal-konfigurazzjoni SSH u agħmel xi parametri li ġejjin biex tirrestrinġi lill-utenti għall-aċċess.
# vi /etc/ssh/sshd_config
PermitRootLogin no
AllowUsers username
Protocol 2
- 5 L-Aħjar Prattiki biex JikSeguru u Jipproteġu SSH Server
6. Żomm is-Sistema aġġornata
Dejjem żomm is-sistema aġġornata bl-aħħar ħarġiet irqajja, soluzzjonijiet tas-sigurtà u kernel meta tkun disponibbli.
# yum updates # yum check-update
7. Lockdown Cronjobs
Cron għandu l-karatteristika tiegħu stess, fejn jippermetti li jiġi speċifikat min jista ', u min jista' ma jridx imexxi l-impjiegi. Dan huwa kkontrollat bl-użu ta 'fajls imsejħa /etc/cron.allow u /etc/cron.deny. Biex tissakkar utent bl-użu ta 'cron, sempliċement żid l-ismijiet tal-utenti f'cron.deny u biex tippermetti utent imexxi cron add fil-fajl cron.allow. Jekk tixtieq tiddiżattiva lill-utenti kollha milli jużaw cron, żid il-linja 'ALL' mal-fajl cron.deny.
# echo ALL >>/etc/cron.deny
- 11 Eżempji ta' Skedar Cron fil-Linux
8. Iddiżattiva USB stick biex Tiskopri
Ħafna drabi jiġri li rridu nirrestrinġu lill-utenti milli jużaw USB stick f'sistemi biex jipproteġu u niżguraw id-data milli serqet. Oħloq fajl '/etc/modprobe.d/no-usb' u żżid il-linja taħt il-linja ma tiskoprix ħażna USB.
install usb-storage /bin/true
9. Ixgħel SELinux
Linux Mtejba tas-Sigurtà (SELinux) huwa mekkaniżmu ta' sigurtà ta' kontroll ta' aċċess obbligatorju pprovdut fil-kernel. Id-diżattivazzjoni ta' SELinux tfisser it-tneħħija tal-mekkaniżmu tas-sigurtà mis-sistema. Aħseb darbtejn bir-reqqa qabel ma tneħħi, jekk is-sistema tiegħek hija mwaħħla mal-internet u aċċessata mill-pubbliku, imbagħad aħseb ftit aktar fuqha.
SELinux jipprovdi tliet modi bażiċi ta 'operazzjoni u huma.
- Infurzar: Dan huwa mod default li jippermetti u jinfurza l-politika tas-sigurtà SELinux fuq il-magna.
- Permissiv: F'din il-modalità, SELinux mhux se jinforza l-politika tas-sigurtà fuq is-sistema, biss iwissi u jirreġistra l-azzjonijiet. Din il-modalità hija utli ħafna f'termini ta' soluzzjoni ta' problemi relatati ma' SELinux.
- Diżattivat: SELinux huwa mitfi.
Tista 'tara l-istatus attwali tal-mod SELinux mil-linja tal-kmand billi tuża 'system-config-selinux', 'getenforce' jew 'sestatus' kmandi.
# sestatus
Jekk tkun diżattivata, ippermetti SELinux billi tuża l-kmand li ġej.
# setenforce enforcing
Jista 'jiġi ġestit ukoll mill-fajl '/etc/selinux/config', fejn tista' tattivah jew tiddiżattivah.
10. Neħħi KDE/GNOME Desktops
M'hemmx bżonn li tħaddem desktops X Window bħal KDE jew GNOME fuq is-server dedikat tiegħek LAMP. Tista 'tneħħihom jew tiddiżattivahom biex iżżid is-sigurtà tas-server u l-prestazzjoni. Biex tiddiżattiva sempliċi tiftaħ il-fajl '/etc/inittab' u ssettja l-livell ta 'ġirja għal 3. Jekk tixtieq tneħħih kompletament mis-sistema uża l-kmand ta' hawn taħt.
# yum groupremove "X Window System"
11. Itfi IPv6
Jekk m'intix qed tuża protokoll IPv6, allura għandek tiddiżattivah minħabba li ħafna mill-applikazzjonijiet jew il-politiki mhumiex meħtieġa protokoll IPv6 u bħalissa mhux meħtieġ fuq is-server. Mur fil-fajl tal-konfigurazzjoni tan-netwerk u żid il-linji li ġejjin biex tiddiżattivah.
# vi /etc/sysconfig/network
NETWORKING_IPV6=no IPV6INIT=no
12. Irrestrinġi l-Utenti biex Jużaw Passwords Qadim
Dan huwa utli ħafna jekk trid ma tħallix lill-utenti jużaw l-istess passwords qodma. Il-fajl tal-password l-antik jinsab f'/etc/security/opasswd. Dan jista 'jinkiseb bl-użu tal-modulu PAM.
Iftaħ il-fajl '/etc/pam.d/system-auth' taħt RHEL/CentOS/Fedora.
# vi /etc/pam.d/system-auth
Iftaħ il-fajl '/etc/pam.d/common-password' taħt Ubuntu/Debian/Linux Mint.
# vi /etc/pam.d/common-password
Żid il-linja li ġejja mat-taqsima 'awth'.
auth sufficient pam_unix.so likeauth nullok
Żid il-linja li ġejja mat-taqsima 'password' biex ma tħallix utent milli jerġa' juża l-aħħar 5 password tiegħu jew tagħha.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5
L-aħħar 5 passwords biss huma ftakar mis-server. Jekk ippruvajt tuża xi waħda mill-aħħar 5 passwords qodma, ikollok żball bħal.
Password has been already used. Choose another.
13. Kif Tiċċekkja l-Iskadenza tal-Password tal-Utent
Fil-Linux, il-passwords tal-utent huma maħżuna fil-fajl '/etc/shadow' f'format kriptat. Biex tiċċekkja l-iskadenza tal-password tal-utent, trid tuża l-kmand tal-‘chage’. Hija turi informazzjoni dwar id-dettalji tal-iskadenza tal-password flimkien mad-data tal-aħħar bidla tal-password. Dawn id-dettalji jintużaw mis-sistema biex tiddeċiedi meta utent irid ibiddel il-password tiegħu/tagħha.
Biex tara l-informazzjoni dwar ix-xjuħija ta’ kwalunkwe utent eżistenti bħad-data u l-ħin ta’ skadenza, uża l-kmand li ġej.
#chage -l username
Biex tbiddel il-password ta 'kull utent, uża l-kmand li ġej.
#chage -M 60 username #chage -M 60 -m 7 -W 7 userName
- -M Issettja n-numru massimu ta' jiem
- -m Issettja numru minimu ta' jiem
- -W Issettja n-numru ta' jiem ta' twissija
14. Lock u Nisfruttaw Kont Manwalment
Il-karatteristiċi tal-illokkjar u tal-ftuħ huma utli ħafna, minflok ma tneħħi kont mis-sistema, tista' tissakkarha għal ġimgħa jew xahar. Biex tissakkar utent speċifiku, tista 'tuża l-kmand ta' segwitu.
# passwd -l accountName
Nota : L-utent imsakkar għadu disponibbli għall-utent root biss. L-illokkjar isir billi tissostitwixxi l-password encrypted b'sekwenza (!). Jekk xi ħadd jipprova jaċċessa s-sistema billi juża dan il-kont, ikollu żball simili għal hawn taħt.
# su - accountName This account is currently not available.
Biex tiftaħ jew tippermetti aċċess għal kont imsakkar, uża l-kmand bħala. Dan se jneħħi (!) string b'password encrypted.
# passwd -u accountName
15. Infurzar Passwords Aktar B'saħħithom
Għadd ta' utenti jużaw passwords artab jew dgħajfa u l-password tagħhom tista' tiġi hackjata b'attakki bbażati fuq dizzjunarju jew b'forza bruta. Il-modulu 'pam_cracklib' huwa disponibbli f'munzell ta' moduli PAM (Pluggable Authentication Modules) li se jġiegħel lill-utent jistabbilixxi passwords b'saħħithom. Iftaħ il-fajl li ġej b'editur.
Aqra wkoll:
# vi /etc/pam.d/system-auth
U żid il-linja billi tuża parametri tal-kreditu bħala (lcredit, ucredit, dcredit u/jew ocredit rispettivament b'ittri żgħar, kbar, ċifri u oħrajn)
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
16. Ippermetti Iptables (Firewall)
Huwa rakkomandat ħafna li tippermetti firewall Linux biex jiżgura aċċess mhux awtorizzat tas-servers tiegħek. Applika regoli f'iptables għall-filtri ta' pakketti deħlin, ħerġin u li jibagħtu. Nistgħu nispeċifikaw l-indirizz tas-sors u tad-destinazzjoni biex nippermettu u niċħdu f'numru tal-port speċifiku udp/tcp.
- Gwida u Suġġerimenti għall-IPTables Bażiċi
17. Iddiżattiva Ctrl + Alt + Ħassar f'Inittab
Fil-biċċa l-kbira tad-distribuzzjonijiet tal-Linux, meta tagħfas 'CTRL-ALT-DELETE' tieħu s-sistema tiegħek biex terġa' tibda l-proċess. Għalhekk, mhix idea tajba li din l-għażla tkun attivata għall-inqas fuq servers ta 'produzzjoni, jekk xi ħadd bi żball jagħmel dan.
Dan huwa definit fil-fajl '/etc/inittab', jekk tħares mill-qrib f'dak il-fajl se tara linja simili għal hawn taħt. B'mod awtomatiku, il-linja mhix ikkummentata. Irridu nikkummentawha. Dan is-sinjalar partikolari tas-sekwenza taċ-ċavetta se jagħlaq sistema.
# Trap CTRL-ALT-DELETE #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
18. Kontijiet Iċċekkjar għal Passwords Vojta
Kwalunkwe kont li jkollu password vojta jfisser li jinfetaħ għal aċċess mhux awtorizzat għal xi ħadd fuq il-web u huwa parti mis-sigurtà fi ħdan server Linux. Għalhekk, trid tiżgura li l-kontijiet kollha jkollhom passwords b'saħħithom u ħadd ma jkollu aċċess awtorizzat. Il-kontijiet tal-password vojta huma riskji għas-sigurtà u li jistgħu jkunu faċilment hackable. Biex tivverifika jekk kienx hemm xi kontijiet b'password vojta, uża l-kmand li ġej.
# cat /etc/shadow | awk -F: '($2==""){print $1}'
19. Uri SSH Banner Qabel Il-Logg
Dejjem tkun idea aħjar li jkollok banner legali jew banners tas-sigurtà b'xi twissijiet tas-sigurtà qabel l-awtentikazzjoni SSH. Biex tissettja banners bħal dawn aqra l-artiklu li ġej.
- Uri Messaġġ ta' Twissija SSH lill-Utenti
20. Tissorvelja l-Attivitajiet tal-Utenti
Jekk qed tittratta ma 'lottijiet ta' utenti, allura huwa importanti li tiġbor l-informazzjoni ta 'kull utent attivitajiet u proċessi kkunsmati minnhom u tanalizzahom aktar tard jew fil-każ jekk xi tip ta' prestazzjoni, kwistjonijiet ta 'sigurtà. Imma kif nistgħu nissorveljaw u niġbru informazzjoni dwar l-attivitajiet tal-utent.
Hemm żewġ għodod utli msejħa 'psacct' u 'acct' huma użati għall-monitoraġġ tal-attivitajiet u l-proċessi tal-utent fuq sistema. Dawn l-għodod jaħdmu fi sfond tas-sistema u kontinwament isegwu kull attività tal-utent fuq sistema u riżorsi kkunsmati minn servizzi bħal Apache, MySQL, SSH, FTP, eċċ. Għal aktar informazzjoni dwar l-installazzjoni, il-konfigurazzjoni u l-użu, żur l-url hawn taħt.
- Immonitorja l-Attività tal-Utent bi Kmandi psacct jew acct
21. Irrevedi zkuk regolarment
Ċaqlaq zkuk f'server ta 'logs iddedikat, dan jista' jipprevjeni lill-intrużi biex jimmodifikaw faċilment zkuk lokali. Hawn taħt hemm l-isem tal-fajls log default tal-Linux Komuni u l-użu tagħhom:
- /var/log/message – Fejn huma disponibbli r-reġistri tas-sistema kollha jew ir-reġistri tal-attività kurrenti.
- /var/log/auth.log – Reġistri ta' awtentikazzjoni.
- /var/log/kern.log – Żkuk tal-kernel.
- /var/log/cron.log – Crond logs (cron job).
- /var/log/maillog – Logs tas-server tal-posta.
- /var/log/boot.log – Is-sistema tal-boot log.
- /var/log/mysqld.log – Fajl ta’ log tas-server tad-database MySQL.
- /var/log/secure – Ġurnal tal-awtentikazzjoni.
- /var/log/utmp jew /var/log/wtmp : Fajl tar-rekords tal-login.
- /var/log/yum.log: fajls ta' log Yum.
22. Fajl importanti Backup
F'sistema ta 'produzzjoni, huwa meħtieġ li tieħu backup ta' fajls importanti u żżommhom fil-kaxxa-forti tas-sigurtà, f'sit remot jew barra mis-sit għall-irkupru tad-Diżastri.
23. NIC Bonding
Hemm żewġ tipi ta 'modalità fit-twaħħil NIC, jeħtieġ li tissemma fl-interface tat-twaħħil.
- mode=0 – Round Robin
- mode=1 – Attiv u Backup
NIC Bonding jgħinna nevitaw punt wieħed ta 'falliment. Fit-twaħħil NIC, aħna ngħaqqdu żewġ Network Ethernet Cards jew aktar flimkien u nagħmlu Interface virtwali waħda waħda fejn nistgħu nassenjaw indirizz IP biex nitkellmu ma 'servers oħra. In-netwerk tagħna jkun disponibbli f'każ li NIC Card waħda ma tkunx disponibbli jew ma tkunx disponibbli minħabba xi raġuni.
24. Żomm /boot bħala qari biss
Il-kernel tal-Linux u l-fajls relatati tiegħu jinsabu fid-direttorju /boot li huwa awtomatikament bħala read-write. Li tinbidel għal qari biss inaqqas ir-riskju ta 'modifika mhux awtorizzata ta' fajls kritiċi boot. Biex tagħmel dan, iftaħ il-fajl /etc/fstab.
# vi /etc/fstab
Żid il-linja li ġejja fil-qiegħ, issalva u agħlaqha.
LABEL=/boot /boot ext2 defaults,ro 1 2
Jekk jogħġbok innota li għandek bżonn tirrisettja l-bidla għal read-write jekk ikollok bżonn taġġorna l-kernel fil-futur.
25. Injora ICMP jew Talba tax-Xandir
Żid il-linja li ġejja fil-fajl “/etc/sysctl.conf” biex tinjora t-talba tal-ping jew tax-xandir.
Ignore ICMP request: net.ipv4.icmp_echo_ignore_all = 1 Ignore Broadcast request: net.ipv4.icmp_echo_ignore_broadcasts = 1
Tagħbija settings jew bidliet ġodda, billi tħaddem il-kmand li ġej
#sysctl -p
Jekk tlift xi ponta importanti tas-sigurtà jew tat-twebbis fil-lista ta 'hawn fuq, jew għandek xi ponta oħra li trid tiġi inkluża fil-lista. Jekk jogħġbok poġġi l-kummenti tiegħek fil-kaxxa tal-kummenti tagħna. TecMint huwa dejjem interessat li jirċievi kummenti, suġġerimenti kif ukoll diskussjoni għal titjib.