Naravno, to možemo reći Linux više sef(zaštićen) od Windows -a. Sigurnost v Linux ugrađen, a ne zašrafljen negdje sa strane, kao što je implementirano u Windowsu. Sigurnost sistema Linux pokriva područje od jezgre do radne površine, ali postoje šanse da hakeri naškode vašem kućnom direktoriju (/ home).
Vaši bajtovi fotografija, kućni video zapisi, dokumenti i podaci o kreditnoj kartici ili novčaniku najskuplji su podatak na računaru. Naravno, Linux nije osjetljiv na sve vrste Internet crva i Windows virusa. Ali napadači mogu pronaći način da pristupe vašim podacima u vašem kućnom direktoriju.
Priprema vašeg starog računara ili HDD prije prodaje formatiranja, mislite li da će biti dovoljno? Postoji mnoštvo modernih alata za oporavak podataka. Haker može lako oporaviti vaše podatke tvrdi disk bez obzira na OS na kojem ste radili.
Na ovu temu se sjećam iskustva jedne kompanije u otkupu polovnih računara i diskova. U toku svojih aktivnosti donijeli su presudu da 90% dosadašnjih vlasnika njihovih računara nije vodilo računa o čišćenju medijuma za skladištenje prije prodaje. Izvlačili su vrlo skrupulozne bajtove podataka. Čak je i zastrašujuće zamisliti da negdje u kantama vašeg tvrdog diska postoje informacije za unos u vašu internetsku banku ili internetski novčanik.
Započnite s osnovama sigurnosti Linuxa
Prijeđimo na osnove (), koje će raditi za gotovo sve 
Linux distribucije.
Šifrirajmo datotečni sistem u Linuxu radi potpunije sigurnosti Linuxa
Korisničke lozinke neće riješiti problem ako zaista želite da niko ne može čitati vaš kućni direktorij (/ home) ili određenu veličinu bajta. To možete učiniti tako da čak ni korisnik s visokim root privilegijama neće moći gurnuti nos.
Izbrišite osjetljive datoteke kako ih nitko drugi ne bi mogao vratiti
Ako odlučite prodati ili pokloniti svoj računar ili medij za pohranu, nemojte pretpostavljati da će jednostavno formatiranje trajno izbrisati vaše datoteke. Alat za sigurno brisanje možete instalirati na svoj Linux, koji uključuje uslužni program srm za sigurno brisanje datoteka.
Takođe, ne zaboravite na Linux kernel firewall. Sve distribucije Linuxa uključuju lptables, koji je dio jezgre. Lptables vam omogućuje filtriranje mrežnih paketa. Naravno, ovaj program možete konfigurirati u terminalu. Ali ova metoda nije u moći mnogih, uključujući mene. Pa sam se postavio i postavio tako lako kao da igram igru.
Kao i svi operativni sustavi, Linux nastoji akumulirati smeće pri pokretanju različitih aplikacija. I to nije njegova Linux greška, jer razne aplikacije, poput preglednika, uređivača teksta, pa čak i video playera, ne rade na razini jezgre i akumuliraju privremene datoteke. Možete instalirati uslužni program BleachBit za univerzalno odlaganje smeća.
Anonimno surfanje, skrivanje vašeg IP -a vrlo je važno za sigurnost vašeg identiteta pod Linuxom
U zaključku želim vam reći nešto o anonimnom surfanju internetom. Ponekad se dogodi da je to potrebno, kao što i činim, kada tajno od supruge posjećujem web stranice s erotskim sadržajem. Naravno da sam se šalio.
Napadačima će biti teško doći do vas ako ne mogu odrediti vašu lokaciju. Pokrivamo tragove jednostavnom konfiguracijom dvaju pomoćnih programa koji rade zajedno pod nazivom privoxy i tor.
Po mom mišljenju, pridržavanje i konfiguriranje svih ovih pravila zaštitit će vas i vaš računar za 90%.
P.S. Koristim oblak koji se zove dropbox. U njemu čuvam svoje stare i nove, još neobjavljene članke. Prikladno je imati pristup vašim datotekama s bilo kojeg mjesta u svijetu i na bilo kojem računaru. Prilikom pisanja članaka za web lokaciju u uređivač teksta, Svoje tekstualne dokumente čuvam lozinkom i tek nakon toga ih postavljam na dropbox server. Nikada ne smijete zanemariti nepotrebnu sigurnost, koja će vam samo igrati.
Nema sumnje upravo sada instalirani sistem Linux je mnogo otporniji na različite zlonamjerne programe, špijunski softver i hakere nego isti Windows verzija... Međutim, većina Linux sustava koristi zadane postavke koje nisu potpuno sigurne prirode.
Neke distribucije Linuxa dizajnirane su da budu što sigurnije iz kutije, ali su početnicima vrlo teške, posebno stručnjacima za ne-računarsku sigurnost.
Ubuntu je najpopularnija Linux distribucija koja se danas koristi. To je zbog mnogih faktora, od kojih je jedan najlakši za početnike. Ovo ima svoje pozitivne strane, ali i iz tog razloga postoji nekoliko slabosti u sistemu koje su programeri ostavili iza sebe odabirom prilagođenosti korisnicima. U ovom članku ćemo pogledati kako se izvodi sigurnosna konfiguracija na Ubuntu 16.04. Ove postavke nisu toliko komplicirane, ali će vam pomoći da sustav učinite otpornijim na najčešće metode napada.
Prva stvar koju trebate znati je da sistem stalno ažurirate i ažurirate. Stalno se otkrivaju nove ranjivosti u kernelu i softveru, primjer je ista Drity COW. Programeri vrlo brzo ispravljaju ove greške, ali da biste te popravke primijenili na svoj sistem, morate ih ažurirati na vrijeme.
Druga važna napomena je korisnička lozinka. Ne koristite korisnika bez lozinke. Ako trebate dijeliti svoj računar s drugim ljudima, kreirajte novi račun npr. gost. Ali uvijek koristite lozinke. Operativno Linux sistem izvorno je izgrađen kao višekorisnički sistem sa sigurnošću na umu za sve korisnike, pa ovu priliku ne treba propustiti. Ali ovo su svi savjeti koje vjerojatno već znate, pogledajmo neke zaista korisne načine za povećanje sigurnosti ubuntu -a.
1. Postavljanje zajedničke memorije
Prema zadanim postavkama, cijeli volumen zajednička memorija/ run / shm se čita / piše sa mogućnošću pokretanja programa. Ovo se smatra sigurnosnom rupom i mnogi exploiti koriste / run / shm za napad na pokrenute usluge. Za većinu desktop, a posebno serverskih uređaja, preporučuje se postavljanje ove datoteke u način rada samo za čitanje. Da biste to učinili, dodajte sljedeći red u / etc / fstab:
sudo vi / etc / fstab
none / run / shm tmpfs default, ro 0 0
No, ipak, neki programi neće raditi ako je / run / shm samo za čitanje, jedan od njih je Google chrome... Ako koristite Google Chrome, moramo zadržati mogućnost pisanja, ali možemo spriječiti izvršavanje programa, jer za to dodajte sljedeći redak umjesto gore predloženog:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Zabrani su za administratore
Osim vašeg računa, Ubuntu ima i gosta Račun koje možete koristiti za dijeljenje prijenosnog računara sa prijateljem. Pomoćni program su omogućuje vam pokretanje programa kao različiti korisnik. Ovo je od velike pomoći u administraciji sistema i od vitalnog je značaja ako se pravilno primijeni. No, ipak, svi korisnici Linuxa mogu pristupiti ovom uslužnom programu, što je već zloupotreba. Da biste zabranili pristup računu gostu naredbi su, pokrenite:
sudo dpkg -statoverride --update -dodaj korijen sudo 4750 / bin / su
3. Zaštitite svoj kućni direktorij
Zadani početni direktorij bit će dostupan svakom korisniku na sistemu. Dakle, ako imate račun gosta, tada gost može imati potpuni pristup svim vašim ličnim datotekama i dokumentima. Ali to možete učiniti samo vama. Otvorite terminal i pokrenite sljedeću naredbu:
chmod 0700 / home / korisničko ime
Prava postavlja na takav način da vlasnik mape, odnosno imate pristup svemu, a drugi korisnici ne mogu ni vidjeti sadržaj. Alternativno, možete postaviti 750 dozvola, koje će dodijeliti pristup čitanju vašoj mapi za korisnike u istoj grupi kao i vi:
chmod 0750 / home / korisničko ime
Sada će sigurnost Ubuntu 16.04, a posebno vaših osobnih podataka, biti nešto veća.
4. Onemogućite SSH prijavu kao root
Prema zadanim postavkama, u Ubuntu -u možete SSH ući u sistem kao superkorisnik. Iako ste postavili lozinku za root korisnika, to može biti potencijalno opasno, jer ako je lozinka vrlo jednostavna, napadač je može grubo prisiliti i preuzeti potpunu kontrolu računara. Usluga sshd možda nije instalirana na vašem sistemu. Da biste provjerili pokretanje:
Ako dobijete poruku o odbijanju veze, to znači da nije instaliran SSH server i možete preskočiti ovaj korak. Ali ako je instaliran, tada ga je potrebno konfigurirati pomoću konfiguracijske datoteke / etc / ssh / sshd_config. Otvorite ovu datoteku i zamijenite red:
PermitRootLogin da
PermitRootLogin br
Gotovo, sada će biti teže ući u vaš sistem, ali sigurnosna konfiguracija u ubuntu 16.04 još nije dovršena.
5. Instalirajte zaštitni zid
Možda na vašem računaru nemate instaliran samo ssh server, već i uslugu baze podataka i apache web server ili nginx. Ako ovo kućni računar tada najvjerojatnije ne biste htjeli da se netko drugi može povezati na vašu lokalnu web lokaciju ili bazu podataka. Da biste to spriječili, morate instalirati zaštitni zid. Preporučuje se korištenje gufw -a na Ubuntu -u jer je dizajniran posebno za ovaj sistem.
Da biste instalirali, pokrenite:
sudo apt install gufw
Zatim morate otvoriti program, uključiti zaštitu i blokirati sve dolazne veze. Dopustite samo potrebne portove za preglednik i druge poznatih programa... Pročitajte više u uputama.
6. Zaštita od MITM napada
Suština napada MITM-a ili Man-in-the-Middle napada je u tome što druga osoba presreće sve pakete koje prenosite na server, pa tako može dobiti sve vaše lozinke i lične podatke. Ne možemo se braniti od svih napada ove vrste, ali različiti MITM napadi - ARP napad - prilično su popularni u javnim lokalnim mrežama. Korišćenje funkcija ARP protokol napadač se pretvara da je usmjerivač ispred vašeg računara i vi mu šaljete sve svoje pakete podataka. Možete se vrlo lako zaštititi od toga pomoću uslužnog programa TuxCut.
U službenim spremištima nema programa, pa da biste ga instalirali, morate preuzeti paket s GitHub -a:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Zatim instalirajte rezultirajući paket:
sudo apt install tuxcut_6.1_amd64.deb
Prije pokretanja programa pokrenite njegovu uslugu:
sudo systemctl pokreće tuxcutd
Glavni prozor uslužnog programa izgleda ovako:
Ovdje se prikazuju IP adrese svih korisnika povezanih na mrežu, kao i odgovarajuće svakom od njih MAC adresa... Ako potvrdite okvir za način zaštite, program će se zaštititi od ARP napada. Možete ga koristiti na javnim mrežama, kao što je javni wifi, gdje se bojite za svoju sigurnost.
zaključci
Pa to je to, sada je sigurnosno podešavanje za Ubuntu 16.04 završeno i vaš sistem je mnogo sigurniji. Blokirali smo najčešće vektore napada i metode prodora u sistem koji koriste hakeri. Ako znate druge korisne načine za poboljšanje sigurnosti u Ubuntuu, napišite u komentarima!
Svi to znamo operativni sistem Linux je mnogo sigurnije od Windows -a zbog svoje arhitekture i posebnog sistema distribucije pristupa među korisnicima. Ali i programeri su ljudi, koliko god nam se to sviđalo, oni također griješe. Zbog ovih grešaka u sistemu se pojavljuju rupe kroz koje napadači mogu zaobići zaštitne sisteme.
Ove greške se nazivaju ranjivosti, mogu se naći u raznim programima, pa čak i u samoj jezgri sistema, podrivajući njegovu sigurnost. Posljednjih godina popularnost Linuxa je počela rasti, a sigurnosni istraživači obraćaju više pažnje na sistem. Otkriva se sve više ranjivosti, a zahvaljujući otvorenom izvornom kodu, one se mogu vrlo brzo ukloniti. U ovom ćemo članku pogledati najopasnije ranjivosti Linuxa otkrivene u posljednjih nekoliko godina.
Prije nego što pređete na listu ranjivosti, važno je razumjeti šta su i šta su. Kao što sam rekao, ranjivost je greška u programu koja omogućava korisniku da koristi program na način koji njegov programer nije namjeravao.
To može biti nedostatak provjere ispravnosti primljenih podataka, provjere izvora podataka i, što je najzanimljivije, veličine podataka. Najopasnije ranjivosti su one koje dozvoljavaju izvršavanje proizvoljnog koda. V ram memorija svi su podaci određene veličine i program je dizajniran za upisivanje podataka od korisnika određene veličine u memoriju. Ako korisnik prenese više podataka, trebao bi prikazati grešku.
Ali ako programer pogriješi, podaci će prebrisati programski kod, a procesor će ga pokušati izvršiti, stvarajući tako ranjivosti prelijevanja bafera.
Također, sve se ranjivosti mogu podijeliti na lokalne, koje funkcioniraju samo ako haker ima pristup lokalnog računara i daljinski, kada ima dovoljno pristupa putem Interneta. Pređimo sada na listu ranjivosti.
1. Prljava KRAVA
Prva na našoj listi bit će svježa ranjivost koja je otkrivena ove jeseni. Naziv Dirty COW označava Copy on Write. Greška se javlja u sistem podataka tokom kopiranja tokom snimanja. Ovo je lokalna ranjivost koja svakom neprivilegiranom korisniku omogućava potpuni pristup sistemu.
Ukratko, da biste iskoristili ranjivost, potrebne su vam dvije datoteke, jedna se može upisivati samo u ime superkorisnika, a druga za nas. Počinjemo upisivati podatke u našu datoteku i čitati iz datoteke superkorisnika mnogo puta, nakon određenog vremena doći će trenutak kada će se međuspremnici obje datoteke pomiješati i korisnik će moći upisivati podatke u datoteku, čiji je zapis mu je nedostupan, pa se možete predati root prava u sistemu.
Ranjivost je bila u jezgri oko 10 godina, ali nakon otkrića brzo je uklonjena, iako još uvijek postoje milioni Andoid uređaja na kojima jezgro nije ažurirano i ne razmišlja i gdje se ta ranjivost može iskoristiti. Ranjivost je dobila kod CVE-2016-5195.
2. Glibc ranjivost
Ranjivost je dobila kod CVE-2015-7547. Ovo je bila jedna od ranjivosti otvorenog koda o kojoj se najviše govori. U veljači 2016. otkriveno je da biblioteka Glibc ima vrlo ozbiljnu ranjivost koja omogućava napadaču da izvrši svoj kod na udaljenom sistemu.
Važno je napomenuti da je Glibc implementacija standardna biblioteka C i C ++, koje većina koristi Linux programi, uključujući usluge i programske jezike kao što su PHP, Python, Perl.
Došlo je do greške u šifri raščlanjivanja odgovora DNS serveri... Tako bi ranjivost mogli iskoristiti hakeri, čijem DNS -u pristupaju ranjive mašine, kao i izvođenjem MITM napada. Ali ranjivost je dala potpunu kontrolu nad sistemom.
Ranjivost je u biblioteci od 2008. godine, ali su nakon otkrivanja zakrpe brzo objavljene.
3. Krvarenje
U 2014. otkrivena je jedna od najozbiljnijih ranjivosti u razmjerima i posljedicama. Uzrok je bila greška u modulu heartdead programa OpenSSL programa, otuda i naziv Heartbleed. Ranjivost je omogućila napadačima da dobiju direktan pristup do 64 kilobajta RAM -a servera, a napad se mogao ponavljati dok se sva memorija ne pročita.
Unatoč činjenici da je popravak objavljen vrlo brzo, mnoge web lokacije i aplikacije su pogođene. U stvari, sve web lokacije koje koriste HTTPS za zaštitu prometa bile su ranjive. Napadači su mogli dobiti korisničke lozinke, njihove lične podatke i sve što je bilo u memoriji u vrijeme napada. Ranjivost je dobila kod CVE-2014-0160.
4. Strašno
Ako je ranjivost dobila kodno ime, to jasno znači da zaslužuje pažnju. Ranjivost Stagerfight -a nije izuzetak. Istina, ovo nije problem s Linuxom. Stagefright je biblioteka za rukovanje multimedijskim formatima u Androidu.
Implementiran je u C ++, što znači da zaobilazi sve Java sigurnosne mehanizme. U 2015. otkrivena je cijela grupa ranjivosti koja je omogućila daljinsko izvršavanje proizvoljnog koda na sistemu. To su CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 i CVE-2015-3829.
Napadač je samo morao poslati MMS na ranjivi pametni telefon sa posebno izmijenjenom medijskom datotekom, a on je dobio potpunu kontrolu nad uređajem s mogućnošću pisanja i čitanja podataka s memorijske kartice. Ranjivost su zakrpili Android programeri, ali i dalje milioni uređaja ostaju ranjivi.
5. Ranjivost nultog dana jezgre
Ovo je lokalna ranjivost koja dozvoljava trenutnom korisniku da se podigne u root zbog greške u sistemu za rukovanje kriptografskim podacima jezgre pohranjenim u memoriji. Otkriven je u februaru 2016. i obuhvatio je sva jezgra počevši od 3.8, što znači da ranjivost postoji već 4 godine.
Grešku su mogli iskoristiti hakeri ili zlonamjerni softver softvera da povećaju svoja ovlašćenja u sistemu, ali je vrlo brzo popravljeno.
6. Ranjivost u MySQL -u
Ova je ranjivost bila oznaka CVE-2016-6662 i utjecala je na sve dostupne verzije servera baze podataka MySQL (5.7.15, 5.6.33 i 5.5.52), Oracle baze podataka i klonove MariaDB i PerconaDB.
Napadači bi mogli dobiti potpuni pristup sistemu putem SQL upit proslijeđen je kôd koji je omogućio zamjenu my.conf vlastitom verzijom i ponovno pokretanje servera. Postojala je i prilika za nastup zlonamerni kod sa pravima superkorisnika.
MariaDB i PerconaDB objavili su zakrpe prilično brzo, Oracle je reagirao, ali mnogo kasnije.
7. Shellshock
Ova ranjivost je otkrivena 2014. godine prije nego što je postojala 22 godine. Dodijeljen joj je CVE-2014-6271 kod i kodni naziv Shellshock. Ova ranjivost je ozbiljnosti uporediva sa već poznatim Heartbleedom. Uzrok je greška u interpretatoru naredbi Bash, koja je zadana na većini distribucija Linuxa.
Bash vam omogućuje da deklarirate varijable okruženja bez autentifikacije korisnika, a zajedno možete pokrenuti bilo koju naredbu u njima. Ovo je posebno opasno u CGI skriptama koje podržava većina web stranica. Nisu samo serveri ranjivi, već i personalnih računara korisnika, usmjerivača i drugih uređaja. Zapravo, napadač može daljinski izvršiti bilo koju naredbu; ovo je punopravni daljinski upravljač bez provjere autentičnosti.
Sve su verzije Basha pogođene, uključujući 4.3, iako su programeri nakon otkrivanja problema vrlo brzo objavili popravak.
8. Quadrooter
Ovo je cijeli niz propusta u Androidu koji su otkriveni u kolovozu 2016. Primili su kodove CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Više od 900 miliona podložno je greškama Android uređaji... Sve ranjivosti su pronađene u upravljačkom programu Qualcomm procesora ARM i sve ih se može iskoristiti dobijanje korijena pristup uređaju.
Kao i DirtyCOW, ovdje vam ne trebaju nikakve vjerodajnice, samo instalirajte zlonamjernu aplikaciju i ona će moći dobiti sve vaše podatke i prenijeti ih napadaču.
9. Ranjivost u OpenJDK -u
Ovo je vrlo ozbiljna ranjivost linux 2016 na Java računaru OpenJDK sa kodom CVE-2016-0636 i pogađa sve korisnike koji koriste Oracle Java SE 7 ažuriranje 97 i 8 ažuriranje 73 i 74 za Windows, Solaris, Linux i Mac OS X. Ova ranjivost Omogućava napadaču izvršavanje proizvoljnog koda izvan Java stroja ako otvorite posebnu stranicu u pregledniku s ranjivom verzijom Jave.
To je omogućilo napadaču pristup vašim lozinkama, ličnim podacima i pokretanje programa na vašem računaru. U svim verzijama Java greška je vrlo brzo ispravljen, postoji od 2013.
10. Ranjivost HTTP / 2 protokola
Ovo je čitav niz ranjivosti koje su otkrivene 2016. godine u HTTP / 2 protokolu. Dobili su kodove CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Sve implementacije ovog protokola u Apache, Nginx Microsoft, Jetty i nghttp2 su pogođene.
Svi oni omogućuju napadaču da dramatično uspori web poslužitelj i izvede napad uskraćivanja usluge. Na primjer, jedna od grešaka dovela je do mogućnosti slanja male poruke koja je na serveru raspakirana u gigabajte. Greška je vrlo brzo ispravljena i stoga nije izazvala mnogo buke u zajednici.
Jesi li siguran?
U ovom smo članku obradili najopasnije Linux ranjivosti u 2016., 2015. i 2014. godini. Većina njih bi mogla izazvati ozbiljna oštećenja sistema ako se ne otklone na vrijeme. Zahvaljujući otvorenom izvornom kodu, takve ranjivosti Linuxa efikasno se otkrivaju i brzo ispravljaju. Samo zapamtite da ažurirate sistem. Jedini problem ostaje s Androidom. Neki uređaji više ne primaju ažuriranja i još nema rješenja za ovaj problem.
Uobičajeno je zabluda da su Linux serveri najsigurniji i zaštićeni od vanjskih upada. Nažalost, to nije slučaj, sigurnost bilo kojeg poslužitelja ovisi o brojnim faktorima i mjerama kako bi se to osiguralo i praktično ne ovisi o operativnom sistemu koji se koristi.
Odlučili smo započeti seriju članaka posvećenih sigurnost mreže s Ubuntu serverom, budući da su rješenja zasnovana na ovoj platformi od velikog interesa za naše čitatelje i budući da mnogi vjeruju da su Linux rješenja sama po sebi sigurna.
U isto vrijeme, usmjerivač s namjenskom IP adresom je "pristupnik" lokalnoj mreži, a samo će administrator odlučiti hoće li ta vrata biti pouzdana barijera ili će se pokazati kao dacha kapija zatvorena ekserom.
Još jedna uobičajena zabluda, rezonovanje u stilu: "ali kome to treba, naš server, nemamo ništa zanimljivo." Zaista, vaša lokalna mreža možda neće biti od interesa za napadače, ali oni mogu koristiti kompromitirani server za slanje neželjene pošte, napada na druge servere, anonimni proxy, ukratko, kao polazište za svoja mračna djela.
A to je već neugodno i može poslužiti kao izvor različitih problema: od pružatelja usluga do agencija za provođenje zakona. I o širenju virusa, krađi i uništavanju važna informacija također ne vrijedi zaboraviti, kao i činjenicu da zastoji preduzeća dovode do sasvim opipljivih gubitaka.
Unatoč činjenici da je ovaj članak o Ubuntu poslužitelju, prvo ćemo pogledati opšta pitanja sigurnosti, koje su podjednako relevantne za svaku platformu i osnova su, bez kojih nema smisla detaljnije raspravljati o ovom pitanju.
Gdje počinje sigurnost?
Ne, sigurnost ne počinje vatrozidom, uopće ne počinje hardverom, sigurnost počinje od korisnika. Uostalom, kakva je korist od najhladnijih metalnih vrata koja su postavili najbolji stručnjaci ako vlasnik ostavi ključ ispod prostirke?
Stoga, prvo što trebate učiniti je obaviti sigurnosnu reviziju. Nemojte se uplašiti ove riječi, sve nije tako teško: nacrtajte shematski plan mreže na kojem označite zaštićeno područje, potencijalno opasno područje i područje velike opasnosti, a također napravite popis korisnika koji ( treba imati pristup) ovim područjima.
Sigurna zona treba uključivati interne resurse mreže kojima nema pristup izvana i za koje je to dopušteno nizak nivo sigurnost. To mogu biti radne stanice, serveri datoteka itd. uređaji kojima je pristup ograničen na lokalnu mrežu preduzeća.
Zona potencijalne opasnosti uključuje poslužitelje i uređaje koji nemaju izravan pristup vanjskoj mreži, ali čije su pojedinačne usluge dostupne izvana, na primjer, web i poslužitelji pošte koji se nalaze iza vatrozida, ali istovremeno služe zahtjevima iz spoljnu mrežu.
Opasno područje treba uključivati uređaje izravno pristupačne izvana, idealno bi to trebao biti jedan usmjerivač.
Ako je moguće, potencijalno opasnu zonu treba premjestiti u zasebnu podmrežu - demilitarizovanu zonu (DMZ), koja je od glavne mreže odvojena dodatnim vatrozidom.
Uređaji na lokalnoj mreži trebali bi imati pristup samo onim uslugama u DMZ -u koje su im potrebne, na primjer SMTP, POP3, HTTP, ostale veze treba blokirati. To će vam omogućiti da pouzdano izolirate napadača ili zlonamjerni softver koji je iskoristio ranjivost u posebnoj usluzi, DMZ, onemogućivši im pristup glavnoj mreži.
Fizički, DMZ se može organizirati instaliranjem zasebnog poslužiteljskog / hardverskog vatrozida ili dodavanjem dodatne mrežne kartice na usmjerivač, ali u potonjem slučaju morat ćete obratiti veliku pažnju na sigurnost usmjerivača. Ali u svakom slučaju, osiguravanje jednog servera je mnogo lakše nego osiguravanje grupe servera.
Sljedeći korak bi trebao biti analiza popisa korisnika, trebaju li im svi pristup DMZ -u i usmjerivaču (s izuzetkom javnih usluga), posebnu pažnju treba posvetiti korisnicima koji se povezuju izvana.
Obično ovo zahtijeva vrlo nepopularan korak - provođenje politike lozinki. Sve lozinke korisnika koji imaju pristup kritičnim uslugama i koji se mogu spojiti izvana moraju sadržavati najmanje 6 znakova i osim malih slova sadržavati znakove dvije kategorije od tri: velika slova, brojeve, znakove bez abecede.
Osim toga, lozinka ne bi trebala sadržavati korisničko ime ili njegov dio, ne smije sadržavati datume i imena koja se mogu povezati s korisnikom i, po mogućnosti, ne biti riječnička riječ.
Bilo bi dobro započeti praksu mijenjanja lozinki svakih 30-40 dana. Jasno je da takva politika može uzrokovati odbijanje korisnika, ali uvijek biste trebali zapamtiti da se lozinke poput 123 ili qwerty ekvivalentno je ostavljanju ključa ispod tepiha.
Sigurnost servera nije ništa više.
Sada kada imamo ideju šta želimo zaštititi i od čega, pređimo na sam server. Napravite popis svih usluga i usluga, a zatim razmislite jesu li sve potrebne na ovom poslužitelju ili se mogu negdje izvaditi.
Što je manje usluga, lakše je osigurati sigurnost, manje su šanse da poslužitelj bude ugrožen zbog kritične ranjivosti u jednoj od njih.
Konfigurirajte usluge koje služe lokalnoj mreži(npr. lignje) tako da prihvaćaju samo zahtjeve s lokalnog sučelja. Što je manje usluga dostupno izvana, to bolje.
Dobar pomoćnik u sigurnosti je skener ranjivosti koji treba skenirati prednji kraj server. Koristili smo demo verziju jednog od najpoznatijih proizvoda - XSpider 7.7.
Skener prikazuje otvorene portove, pokušava odrediti vrstu pokrenute usluge i, ako uspije, ranjivosti za nju. Kao što vidite, pravilno konfiguriran sustav prilično je siguran, ali ključ ne smijete ostaviti pod tepihom, prisutnost otvorenih portova 1723 (VPN) i 3389 (RDP, proslijeđena na terminal server) je dobra razlog za razmišljanje o politici lozinki.
Odvojeno, vrijedi razgovarati o SSH sigurnosti, ovu uslugu obično koriste administratori daljinski upravljač server i od povećanog je interesa za cyber kriminalce. SSH postavke su pohranjene u datoteci / etc / ssh / sshd_config, u njega se unose sve dolje opisane promjene. Prije svega, trebali biste onemogućiti autorizaciju pod root korisnikom, za to dodajte opciju:
PermitRootLogin br
Sada će napadač morati pogoditi ne samo lozinku, već i prijavu, dok još uvijek neće znati lozinku superkorisnika (nadamo se da se ne podudara s vašom lozinkom). Svi administrativni zadaci pri povezivanju izvana trebaju se obavljati odozdo sudo prijavljivanjem kao neprivilegirani korisnik.
Vrijedi izričito navesti popis dopuštenih korisnika; u ovom slučaju možete koristiti zapise poput [zaštićena e -pošta] koja dozvoljava navedenom korisniku da se poveže samo sa navedenog hosta. Na primjer, da biste omogućili korisniku ivanov da se poveže od kuće (IP 1.2.3.4), dodajte sljedeći unos:
AllowUser [zaštićena e -pošta]
Također zabraniti upotrebu zastarjelih i manje siguran protokol SSH1, dopuštajući samo drugu verziju protokola, da to učini, dati sljedeći red pogledati:
Protokol 2
Unatoč svim poduzetim mjerama, pokušaji povezivanja na SSH i druge javne usluge i dalje će biti kako bi se spriječilo nagađanje lozinke, koristite uslužni program fail2ban, koji vam omogućava da automatski blokirate korisnika nakon nekoliko neuspješnih pokušaja prijave. Možete ga instalirati pomoću naredbe:
Sudo apt-get install fail2ban
Ovaj uslužni program spreman je za rad odmah nakon instalacije, međutim, savjetujemo vam da odmah promijenite neke parametre, za to unesite izmjene u datoteku /etc/fail2ban/jail.conf... Prema zadanim postavkama, samo je SSH pristup kontroliran i vrijeme zabrane je 10 minuta (600 sekundi), po našem mišljenju vrijedi ga povećati promjenom sljedeće opcije:
Bantime = 6000
Zatim se pomaknite kroz datoteku i omogućite odjeljke za usluge pokrenute na vašem sistemu postavljanjem parametra iza imena odgovarajućeg odjeljka omogućeno u državi istinito, na primjer za servis proftpd to će izgledati ovako:
omogućeno = tačno
Još jedan važan parametar maxretry, koji je odgovoran za najveći broj pokušaja povezivanja. Nakon promjene postavki, ne zaboravite ponovo pokrenuti uslugu:
Sudo /etc/init.d/fail2ban ponovno pokretanje
Dnevnik uslužnog programa možete vidjeti u /var/log/fail2ban.log.
Na godišnjem LinuxConu 2015., tvorac GNU / Linux kernela, Linus Torvalds, podijelio je svoje poglede na sigurnost sistema. Naglasio je potrebu da se kompetentnom zaštitom ublaži učinak prisutnosti određenih grešaka, tako da ako jedna komponenta ne radi, sljedeći sloj preklapa problem.
U ovom ćemo članku pokušati pokriti ovu temu s praktičnog gledišta:
7. Instalirajte zaštitne zidove
Nedavno je postojala nova ranjivost koja dopušta DDoS napade na Linux servere. Greška u kernelu sistema pojavila se s verzijom 3.6 krajem 2012. godine. Ova ranjivost omogućava hakerima da ubace viruse u datoteke za preuzimanje, web stranice i otkriju Tor veze, a za hakiranje nije potrebno puno truda - metoda IP lažiranja će funkcionirati.Maksimalna šteta za šifrirane HTTPS ili SSH veze je prekidanje veze, ali napadač može postaviti novi sadržaj u nezaštićeni promet, uključujući malware... Za zaštitu od takvih napada prikladan je vatrozid.
Blokirajte pristup vatrozidom
Vatrozid je jedan od najvažnijih alata za blokiranje neželjenih dolazni saobraćaj... Preporučujemo da dozvolite samo promet koji vam je zaista potreban i potpuno uskratite sve ostalo.
Većina distribucija Linuxa ima iptables kontroler za filtriranje paketa. Obično ga koriste iskusni korisnici, a za pojednostavljenu konfiguraciju možete koristiti UFW pomoćne programe u Debian / Ubuntu ili FirewallD u Fedori.
8. Onemogućite nepotrebne usluge
Stručnjaci sa Univerziteta Virginia preporučuju da isključite sve usluge koje ne koristite. Neki pozadinski procesi su postavljene na automatsko učitavanje i rade sve dok se sistem ne isključi. Da biste konfigurirali ove programe, morate provjeriti init skripte. Usluge se mogu pokrenuti putem inetd ili xinetd.Ako je vaš sistem konfiguriran putem inetd -a, tada u datoteci /etc/inetd.conf možete urediti popis pozadinskih programa "daemona"; da biste onemogućili učitavanje usluge, samo stavite znak "#" na početak redak, pretvarajući ga iz izvršnog u komentar.
Ako sistem koristi xinetd, tada će njegova konfiguracija biti u /etc/xinetd.d direktoriju. Svaka datoteka direktorija definira uslugu koja se može onemogućiti navođenjem disable = yes, kao u ovom primjeru:
Uslužni prst (socket_type = stream čeka = nema korisnika = niko nema server = /usr/sbin/in.fingerd disable = yes)
Također je vrijedno provjeriti postojane procese kojima ne upravljaju inetd ili xinetd. Skripte za pokretanje možete konfigurirati u /etc/init.d ili / etc / inittab direktoriju. Nakon izvršenih promjena, pokrenite naredbu kao root račun.
/etc/rc.d/init.d/inet ponovno pokretanje
9. Fizički zaštitite server
Nije moguće u potpunosti se obraniti od napada napada fizički pristup do servera. Zbog toga je potrebno osigurati prostoriju u kojoj se nalazi vaš sistem. Data centri ozbiljno nadziru sigurnost, ograničavaju pristup serverima, instaliraju sigurnosne kamere i dodjeljuju stalnu sigurnost.Da bi ušli u podatkovni centar, svi posjetitelji moraju proći određene faze autentifikacije. Također se preporučuje upotreba senzora pokreta u svim područjima centra.
10. Zaštitite poslužitelj od neovlaštenog pristupa
Neovlašteni pristupni sistem ili IDS prikuplja podatke o konfiguraciji sistema i datotekama, a zatim uspoređuje te podatke s novim promjenama kako bi utvrdio jesu li štetni za sistem.Na primjer, alati Tripwire i Aide prikupljaju bazu podataka o sistemske datoteke i zaštitite ih setom ključeva. Psad se koristi za praćenje sumnjivih aktivnosti pomoću izvještaja o vatrozidu.
Bro je dizajniran za praćenje mreže, praćenje sumnjivih obrazaca aktivnosti, prikupljanje statističkih podataka, izvršavanje sistemskih naredbi i generiranje upozorenja. RKHunter se može koristiti za zaštitu od virusa, najčešće rootkita. Ovaj uslužni program provjerava postoje li u vašem sistemu ranjivosti i može identificirati nesigurne postavke u aplikacijama.
