Samozřejmě to můžeme říci Linux více bezpečný(chráněno) než Windows. Bezpečnostní proti Linux vestavěný a ne zašroubovaný někde na boku, protože je implementován ve Windows. Bezpečnostní systémy Linux pokrývá oblast od jádra po plochu, ale je pravděpodobné, že hackeři poškodí váš domovský adresář (/ home).
Vaše bajty fotografií, domácích videí, dokumentů a údajů o kreditní kartě nebo peněžence jsou nejdražší informací v počítači. Linux samozřejmě není citlivý na všechny druhy internetových červů a virů Windows. Útočníci však mohou najít způsob, jak získat přístup k vašim datům ve vašem domovském adresáři.
Příprava starého počítače nebo HDD myslíte, že to bude před prodejem formátování stačit? K dispozici je mnoho moderních nástrojů pro obnovu dat. Hacker může snadno obnovit vaše data z pevný disk bez ohledu na OS, na kterém jste pracovali.
Na toto téma si připomínám zkušenosti jedné společnosti s výkupem použitých počítačů a disků. V rámci své činnosti vynesli verdikt, že 90% předchozích majitelů jejich počítačů se před prodejem řádně nestaralo o čištění svých paměťových médií. A extrahovali velmi úzkostlivé datové bajty. Je dokonce děsivé si představit, že někde v přihrádkách vašeho pevného disku jsou informace pro vstup do vaší internetové banky nebo online peněženky.
Začněte se základy zabezpečení Linuxu
Pojďme k základům (), které budou fungovat téměř pro všechny 
Distribuce Linuxu.
Zašifrujme souborový systém v Linuxu pro úplnější zabezpečení Linuxu
Uživatelská hesla problém nevyřeší, pokud opravdu chcete, aby nikdo nemohl číst váš domovský adresář (/ home) nebo konkrétní velikost bajtu. Můžete to udělat tak, že ani uživatel s vysokými oprávněními root nebude moci strkat nos.
Odstraňte citlivé soubory, aby je nikdo jiný nemohl obnovit
Pokud se rozhodnete prodat nebo darovat počítač nebo paměťové médium, nepředpokládejte, že jednoduché formátování trvale odstraní vaše soubory. Do svého Linuxu si můžete nainstalovat nástroj secure-delete, který obsahuje nástroj srm pro bezpečné mazání souborů.
Nezapomeňte také na dostupné v Linuxové jádro firewall. Všechny distribuce Linuxu obsahují lptables, který je součástí jádra. Lptables vám umožňuje filtrovat síťové pakety. Tento nástroj můžete samozřejmě konfigurovat v terminálu. Ale tato metoda je nad síly mnoha, včetně mě. Nastavil jsem a nastavil tedy tak snadno, jako bych hrál nějakou hru.
Stejně jako všechny operační systémy má Linux tendenci hromadit nevyžádanou poštu při spouštění různých aplikací. A není to jeho chyba Linuxu, protože různé aplikace, jako jsou prohlížeče, textové editory a dokonce i přehrávače videa, nefungují na úrovni jádra a hromadí dočasné soubory. Můžete si nainstalovat nástroj BleachBit pro univerzální likvidaci odpadu.
Anonymní surfování, skrytí vaší IP adresy je velmi důležité pro zabezpečení vaší identity pod Linuxem
Na závěr vám chci říci o anonymním procházení webu. Někdy se stane, že je nutné, stejně jako já, když tajně od své ženy navštěvuji stránky s erotickým obsahem. Samozřejmě jsem žertoval.
Útočníci se k vám budou těžko dostávat, pokud nebudou schopni určit vaši polohu. Stopy pokrýváme jednoduchou konfigurací dvou obslužných programů, které se nazývají privoxy a tor.
Podle mého názoru bude dodržování a konfigurace všech těchto pravidel chránit vás a váš počítač na 90%.
P.S. Používám cloud s názvem dropbox. Uchovávám v něm své staré i nové, dosud nepublikované články. Je pohodlné mít přístup ke svým souborům odkudkoli na světě a z jakéhokoli počítače. Při psaní článků pro web v textový editor„Své textové dokumenty ukládám s heslem a až poté je nahraji na server schránky. Nikdy byste neměli zanedbávat zbytečné zabezpečení, které vám bude hrát jen do karet.
Bezpochyby právě teď nainstalovaný systém Linux je mnohem odolnější vůči různému malwaru, spywaru a hackerům než stejný Verze Windows... Většina systémů Linux však používá výchozí nastavení, která nejsou ve své podstatě zcela bezpečná.
Některé distribuce Linuxu jsou navrženy tak, aby byly po vybalení co nejbezpečnější, ale pro nováčky, zejména pro experty na počítačovou bezpečnost, bývají velmi obtížné.
Ubuntu je dnes nejpopulárnější distribucí Linuxu. Je to způsobeno mnoha faktory, jedním z nich je, že je pro začínající uživatele nejsnadnější. Toto má své vlastní pozitivní stránky, ale také z tohoto důvodu existuje v systému několik slabin, které vývojáři zanechali tím, že se rozhodli pro uživatelskou přívětivost. V tomto článku se podíváme na to, jak se provádí konfigurace zabezpečení v Ubuntu 16.04. Tato nastavení nejsou tak složitá, ale pomohou vám zvýšit odolnost systému vůči nejběžnějším metodám útoku.
První věc, kterou musíte vědět, je udržovat váš systém neustále aktualizovaný a aktuální. Neustále se objevují nové zranitelnosti v jádře a softwaru, příkladem je stejná Drity COW. Vývojáři tyto chyby opravují velmi rychle, ale abyste mohli tyto opravy použít ve svém systému, je třeba je včas aktualizovat.
Další důležitou poznámkou je heslo uživatele. Nepoužívejte uživatele bez hesla. Pokud potřebujete sdílet svůj počítač s jinými lidmi, vytvořte nový účet např. host. Vždy ale používejte hesla. Operační sál Linuxový systém byl původně postaven jako víceuživatelský systém s ohledem na zabezpečení pro všechny uživatele, takže tuto příležitost byste si neměli nechat ujít. Ale to jsou všechny tipy, které pravděpodobně již znáte, pojďme se podívat na některé opravdu užitečné způsoby, jak zvýšit zabezpečení ubuntu.
1. Nastavení sdílené paměti
Ve výchozím nastavení celý svazek sdílená paměť/ run / shm je čtení / zápis s možností spouštění programů. To je považováno za bezpečnostní díru a mnoho exploitů používá / run / shm k útoku na spuštěné služby. Pro většinu stolních a zejména serverových zařízení se doporučuje připojit tento soubor v režimu jen pro čtení. Chcete -li to provést, přidejte do / etc / fstab následující řádek:
sudo vi / etc / fstab
žádné / run / shm tmpfs výchozí, ro 0 0
Některé programy však nebudou fungovat, pokud / run / shm je pouze pro čtení, jeden z nich je Google Chrome... Pokud používáte Google Chrome, musíme si zachovat schopnost psát, ale můžeme zabránit spuštění programů, proto přidejte následující řádek místo výše uvedeného:
žádný / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Zakázat su pro správce
Kromě vašeho účtu má Ubuntu také hosta Účet který můžete použít ke sdílení notebooku s přítelem. Obslužný program su vám umožňuje spouštět programy jako jiný uživatel. To je velmi užitečné při správě systému a zásadní při správné aplikaci. K tomuto nástroji však mají přístup všichni uživatelé Linuxu, což je již zneužívání. Chcete -li odepřít přístup účtu hosta k příkazu su, spusťte:
sudo dpkg -statoverride --update -přidejte root sudo 4750 / bin / su
3. Chraňte svůj domovský adresář
Váš výchozí domovský adresář bude přístupný každému uživateli v systému. Pokud tedy máte účet hosta, pak může mít host plný přístup ke všem vašim osobním souborům a dokumentům. Ale můžete jej zpřístupnit pouze vám. Otevřete terminál a spusťte následující příkaz:
chmod 0700 / home / uživatelské jméno
Nastavuje práva tak, aby vlastník složky, to znamená, že máte přístup ke všemu, a ostatní uživatelé nemohli obsah ani vidět. Alternativně můžete nastavit 750 oprávnění, která uživatelům ve stejné skupině, jako jste vy, udělí přístup ke čtení do vaší složky:
chmod 0750 / home / uživatelské jméno
Nyní bude zabezpečení Ubuntu 16.04, a zejména vašich osobních údajů, o něco vyšší.
4. Zakažte přihlášení SSH jako root
Ve výchozím nastavení můžete v systému Ubuntu jako superuživatel použít SSH. Ačkoli nastavíte heslo pro uživatele root, může to být potenciálně nebezpečné, protože pokud je heslo velmi jednoduché, útočník ho může hrubě vynutit a převzít plnou kontrolu nad počítač. Služba sshd nemusí být ve vašem systému nainstalována. Chcete -li zkontrolovat běh:
Pokud se zobrazí zpráva o odmítnutí připojení, znamená to, že není nainstalován žádný server SSH a tento krok můžete přeskočit. Pokud je však nainstalován, musí být nakonfigurován pomocí konfiguračního souboru / etc / ssh / sshd_config. Otevřete tento soubor a nahraďte řádek:
PermitRootLogin ano
PermitRootLogin č
Hotovo, nyní bude ssh do vašeho systému obtížnější, ale konfigurace zabezpečení v ubuntu 16.04 ještě není dokončena.
5. Nainstalujte si bránu firewall
Možná máte na svém počítači nainstalován nejen server ssh, ale také databázovou službu a webový server apache nebo nginx. Pokud tohle domácí počítač pak s největší pravděpodobností nebudete chtít, aby se někdo jiný mohl připojit k vašemu místnímu webu nebo databázi. Abyste tomu zabránili, musíte si nainstalovat firewall. Doporučuje se použít gufw na Ubuntu, protože je navržen speciálně pro tento systém.
Chcete -li nainstalovat, spusťte:
sudo apt install gufw
Poté musíte otevřít program, zapnout ochranu a zablokovat všechna příchozí připojení. Povolte pouze nezbytné porty pro prohlížeč a další slavné programy... Přečtěte si více v pokynech.
6. Ochrana před útoky MITM
Podstatou útoku MITM nebo Man-in-the-Middle je, že jiná osoba zachytí všechny pakety, které přenesete na server, a tak může získat všechna vaše hesla a osobní údaje. Nemůžeme se bránit všem útokům tohoto druhu, ale různé útoky MITM - útok ARP - jsou ve veřejných místních sítích docela populární. Používání funkcí Protokol ARPútočník před vaším počítačem předstírá router a vy mu pošlete všechny své datové pakety. Před tímto se můžete velmi snadno chránit pomocí nástroje TuxCut.
V oficiálních úložištích není žádný program, takže k jeho instalaci si musíte stáhnout balíček z GitHubu:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Poté nainstalujte výsledný balíček:
sudo apt install tuxcut_6.1_amd64.deb
Před spuštěním programu spusťte jeho službu:
sudo systemctl start tuxcutd
Hlavní okno nástroje vypadá takto:
Zde se zobrazují IP adresy všech uživatelů připojených k síti, stejně jako odpovídající každému z nich MAC adresa... Pokud zaškrtnete políčko Režim ochrany, program bude chránit před útoky ARP. Můžete jej použít ve veřejných sítích, jako je veřejná wifi, kde se bojíte o svou bezpečnost.
závěry
To je vše, nyní je nastavení zabezpečení pro Ubuntu 16.04 dokončeno a váš systém je mnohem bezpečnější. Zablokovali jsme nejběžnější útočné vektory a způsoby pronikání do systému používaného hackery. Pokud víte o dalších užitečných způsobech, jak zlepšit zabezpečení v Ubuntu, napište do komentářů!
Všichni to víme operační systém Linux je hodně bezpečnější než Windows díky své architektuře a speciálnímu systému distribuce přístupu mezi uživateli. Ale programátoři jsou také lidé, bez ohledu na to, jak se nám to líbí, také se mýlí. A kvůli těmto chybám se v systému objevují díry, kterými útočníci mohou obejít ochranné systémy.
Tyto chyby se nazývají zranitelnosti, lze je nalézt v různých programech a dokonce i v samotném jádru systému, což narušuje jeho zabezpečení. V posledních letech si Linux začíná získávat na popularitě a bezpečnostní výzkumníci věnují systému větší pozornost. Odhaluje se stále více zranitelností a díky otevřenému zdrojovému kódu je lze velmi rychle odstranit. V tomto článku se podíváme na nejnebezpečnější zranitelnosti Linuxu, které byly objeveny za posledních několik let.
Než přejdeme k samotnému seznamu zranitelností, je důležité porozumět tomu, co jsou a co jsou. Jak jsem řekl, zranitelnost je chyba v programu, která uživateli umožňuje používat program způsobem, který jeho vývojář nezamýšlel.
Může to být chybějící ověření správnosti přijatých dat, ověření zdroje dat a nejzajímavější je velikost dat. Nejnebezpečnější chyby zabezpečení jsou ty, které umožňují spuštění libovolného kódu. PROTI paměť s náhodným přístupem všechna data mají určitou velikost a program je určen k zápisu dat od uživatele určité velikosti do paměti. Pokud uživatel přenáší více dat, mělo by dojít k chybě.
Pokud ale programátor udělá chybu, data přepíší kód programu a procesor se ho pokusí spustit, čímž vytvoří zranitelnost přetečení vyrovnávací paměti.
Všechny zranitelnosti lze také rozdělit na místní, které fungují pouze v případě, že k nim má hacker přístup místní počítač a vzdálené, pokud je k dispozici dostatečný přístup přes internet. Nyní přejdeme k seznamu zranitelností.
1. Špinavá kráva
První na našem seznamu bude nová zranitelnost, která byla objevena letos na podzim. Název Dirty COW znamená Copy on Write. K chybě dochází v souborový systém při kopírování při nahrávání. Jedná se o lokální zranitelnost, která umožňuje každému neprivilegovanému uživateli získat plný přístup k systému.
Stručně řečeno, k využití této zranitelnosti potřebujete dva soubory, jeden je zapisovatelný pouze jménem superuživatele a druhý pro nás. Začneme zapisovat data do našeho souboru a číst ze souboru superuživatele mnohokrát, po určité době přijde okamžik, kdy se vyrovnávací paměti obou souborů smíchají a uživatel bude moci zapisovat data do souboru, jehož záznam je pro něj nedostupný, takže si můžete dát práva root v systému.
Zranitelnost byla v jádře asi 10 let, ale po jejím zjištění byla rychle odstraněna, přestože stále existují miliony zařízení Andoid, ve kterých jádro nebylo aktualizováno a nemyslí a kde lze tuto chybu zabezpečení zneužít. Tato chyba zabezpečení obdržela kód CVE-2016-5195.
2. Glibc zranitelnost
Tato chyba zabezpečení obdržela kód CVE-2015-7547. Toto byla jedna z nejvíce diskutovaných zranitelností open source. V únoru 2016 bylo odhaleno, že knihovna Glibc má velmi vážnou zranitelnost, která umožňuje útočníkovi spustit svůj kód na vzdáleném systému.
Je důležité si uvědomit, že Glibc je implementace standardní knihovna C a C ++, který používá většina Linuxové programy, včetně služeb a programovacích jazyků, jako je PHP, Python, Perl.
V kódu analýzy odpovědi byla provedena chyba Servery DNS... Zranitelnost tedy mohli zneužít hackeři, k jejichž DNS měli přístup zranitelné počítače, a také provedením útoku MITM. Tato zranitelnost však poskytla plnou kontrolu nad systémem.
Zranitelnost je v knihovně od roku 2008, ale po zjištění byly záplaty rychle uvolněny.
3. Heartbleed
V roce 2014 byla objevena jedna z nejzávažnějších zranitelností v rozsahu a dopadu. Bylo to způsobeno chybou v modulu Heartdead programu OpenSSL, odtud název Heartbleed. Tato chyba zabezpečení umožnila útočníkům získat přímý přístup k 64 kilobajtům paměti RAM serveru a útok bylo možné opakovat, dokud nebyla načtena veškerá paměť.
Navzdory skutečnosti, že oprava byla vydána velmi rychle, bylo ovlivněno mnoho webů a aplikací. Ve skutečnosti byly zranitelné všechny weby využívající k ochraně provozu HTTPS. Útočníci mohli získat uživatelská hesla, jejich osobní údaje a vše, co bylo v době útoku v paměti. Tato chyba zabezpečení obdržela kód CVE-2014-0160.
4. Stagefright
Pokud byla zranitelnosti dána kódové označení, znamená to, že si zaslouží pozornost. Zranitelnost Stagerfight není výjimkou. Je pravda, že to není problém Linuxu. Stagefright je knihovna pro zpracování multimediálních formátů v systému Android.
Je implementován v jazyce C ++, což znamená, že obchází všechny bezpečnostní mechanismy Java. V roce 2015 byla objevena celá skupina zranitelností, které umožňovaly vzdálené spuštění libovolného kódu v systému. Jedná se o CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 a CVE-2015-3829.
Útočník stačil odeslat MMS zranitelnému smartphonu se speciálně upraveným mediálním souborem a získal plnou kontrolu nad zařízením s možností zápisu a čtení dat z paměťové karty. Tuto chybu zabezpečení opravili vývojáři systému Android, ale miliony zařízení stále zůstávají zranitelné.
5. Zranitelnost jádra nulového dne
Jedná se o lokální chybu zabezpečení, která umožňuje, aby byl aktuální uživatel povýšen na root kvůli chybě v systému při zpracování kryptografických dat jádra uložených v paměti. Byla objevena v únoru 2016 a pokrývala všechna jádra od 3.8, což znamená, že zranitelnost existuje již 4 roky.
Chybu mohli zneužít hackeři nebo malware software posílit své schopnosti v systému, ale byl rychle opraven.
6. Zranitelnost v MySQL
Tato chyba zabezpečení byla kód CVE-2016-6662 a týkala se všech dostupných verzí databázového serveru MySQL (5.7.15, 5.6.33 a 5.5.52), databází Oracle a klonů MariaDB a PerconaDB.
Útočníci by mohli získat plný přístup k systému prostřednictvím SQL dotaz byl předán kód, který umožňoval nahradit soubor my.conf vlastní verzí a restartovat server. Nechyběla ani příležitost vystoupit Škodlivý kód s právy superuživatele.
MariaDB a PerconaDB vydávaly záplaty poměrně rychle, Oracle reagoval, ale mnohem později.
7. Shellshock
Tato zranitelnost byla objevena v roce 2014, než existovala 22 let. Byl jí přidělen kód CVE-2014-6271 a kódové označení Shellshock. Tato zranitelnost je závažností srovnatelná s již známým Heartbleed. Je to způsobeno chybou v překladači příkazů Bash, což je výchozí nastavení pro většinu distribucí Linuxu.
Bash vám umožňuje deklarovat proměnné prostředí bez ověření uživatele a společně v nich můžete spustit libovolný příkaz. To je zvláště nebezpečné ve skriptech CGI, které podporuje většina webů. Nejen servery jsou zranitelné, ale také osobní počítače uživatelé, směrovače a další zařízení. Ve skutečnosti může útočník vzdáleně spustit jakýkoli příkaz; toto je plnohodnotné dálkové ovládání bez ověřování.
Byly ovlivněny všechny verze Bash, včetně 4.3, i když po zjištění problému vývojáři vydali opravu velmi rychle.
8. Quadrooter
Jedná se o celou řadu zranitelností systému Android, které byly objeveny v srpnu 2016. Obdrželi kódy CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Více než 900 milionů je vystaveno chybám Zařízení Android... Všechny chyby zabezpečení byly nalezeny v ovladači ARM procesoru Qualcomm a lze je všechny zneužít dostat root přístup k zařízení.
Stejně jako DirtyCOW zde nepotřebujete žádné přihlašovací údaje, stačí si nainstalovat škodlivou aplikaci a ta bude moci získat všechna vaše data a přenést je na útočníka.
9. Zranitelnost v OpenJDK
Jedná se o velmi závažnou chybu zabezpečení linuxu 2016 na stroji OpenJDK Java s kódem CVE-2016-0636 a týká se všech uživatelů, kteří používají Oracle Java SE 7 Update 97 a 8 Update 73 a 74 pro Windows, Solaris, Linux a Mac OS X. Toto zranitelnost Umožňuje útočníkovi spustit libovolný kód mimo počítač Java, pokud otevřete speciální stránku v prohlížeči se zranitelnou verzí Javy.
To útočníkovi umožnilo získat přístup k vašim heslům, osobním údajům a spouštění programů na vašem počítači. Ve všech verzích Chyba Java byla velmi rychle opravena, existuje od roku 2013.
10. Zranitelnost protokolu HTTP / 2
Jedná se o celou řadu zranitelností, které byly objeveny v roce 2016 v protokolu HTTP / 2. Obdrželi kódy CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Byly ovlivněny všechny implementace tohoto protokolu v Apache, Nginx Microsoft, Jetty a nghttp2.
Všechny umožňují útočníkovi dramaticky zpomalit webový server a provést útok odmítnutí služby. Jedna z chyb například vedla k možnosti odeslání malé zprávy, která byla na serveru rozbalena do gigabajtů. Chyba byla opravena velmi rychle, a proto v komunitě nevyvolala velké buzzy.
Jsi v bezpečí?
V tomto článku jsme se zabývali nejnebezpečnějšími zranitelnostmi Linuxu v letech 2016, 2015 a 2014. Většina z nich by mohla způsobit vážné poškození systémů, pokud by nebyly včas opraveny. Díky otevřenému zdrojovému kódu jsou tyto chyby systému Linux efektivně detekovány a rychle opraveny. Nezapomeňte aktualizovat svůj systém. Jediným problémem zůstává Android. Některá zařízení již nedostávají aktualizace a na tento problém zatím neexistuje řešení.
Existuje běžná mylná představa, že servery Linux jsou nejbezpečnější a chráněné před vniknutími zvenčí. Bohužel tomu tak není, zabezpečení jakéhokoli serveru závisí na řadě faktorů a opatření k jeho zajištění a prakticky nezávisí na použitém operačním systému.
Rozhodli jsme se zahájit sérii článků věnovaných zabezpečení sítě se serverem Ubuntu, protože řešení na této platformě jsou pro naše čtenáře velkým zájmem a protože mnoho lidí si myslí, že řešení Linux jsou sama o sobě bezpečná.
Router s vyhrazenou IP adresou je zároveň „branou“ do místní sítě a pouze správce určí, zda tyto brány budou spolehlivou bariérou, nebo se z nich stane dacha brána uzavřená hřebíkem.
Další běžná mylná představa, odůvodnění ve stylu: „ale kdo to potřebuje, náš server, nemáme nic zajímavého.“ Kybernetičtí zločinci vaši místní síť skutečně nemusí zajímat, ale mohou použít kompromitovaný server k odesílání nevyžádané pošty, útoků na jiné servery, zkrátka jako výchozí bod pro jejich temné činy.
A to už je nepříjemné a může to sloužit jako zdroj různých problémů: od poskytovatele po orgány činné v trestním řízení. A o šíření virů, krádeží a ničení důležitá informace také nestojí za to zapomenout, stejně jako skutečnost, že prostoje podniku vedou k poměrně hmatatelným ztrátám.
Navzdory skutečnosti, že tento článek je o Ubuntu Serveru, nejprve se podíváme na obecné problémy zabezpečení, které jsou stejně důležité pro jakoukoli platformu a jsou základem, bez nichž nemá smysl podrobněji diskutovat o tomto problému.
Kde začíná bezpečnost?
Ne, zabezpečení nezačíná firewallem, už vůbec nezačíná hardwarem, zabezpečení začíná uživatelem. Koneckonců, k čemu jsou ty nejlepší kovové dveře nainstalované nejlepšími odborníky, když majitel nechá klíč pod kobercem?
První věc, kterou byste proto měli udělat, je provést bezpečnostní audit. Nenechte se tímto slovem zastrašit, vše není tak obtížné: nakreslete schematický síťový plán, na kterém označíte bezpečnou oblast, potenciální nebezpečnou oblast a vysoce rizikovou oblast, a také si vytvořte seznam uživatelů, kteří mají (měli by mít přístup) do těchto oblastí.
Bezpečná zóna by měla zahrnovat vnitřní zdroje sítě, ke kterým přístup zvenčí není dostupný a pro který je přípustný nízká úroveň bezpečnostní. Mohou to být pracovní stanice, souborové servery atd. zařízení, ke kterým je přístup omezen na místní síť podniku.
Potenciální nebezpečná zóna zahrnuje servery a zařízení, která nemají přímý přístup k externí síti, ale jejichž jednotlivé služby jsou přístupné zvenčí, například webové a poštovní servery umístěné za bránou firewall, ale současně obsluhující požadavky od externí síť.
Do nebezpečné oblasti by měla patřit zařízení přímo přístupná zvenčí, ideálně by to měl být jeden router.
Pokud je to možné, potenciálně nebezpečná zóna by měla být přesunuta do samostatné podsítě - demilitarizované zóny (DMZ), která je od hlavní sítě oddělena dalším firewallem.
Zařízení v místní síti by měla mít přístup pouze ke službám v DMZ, které potřebují, například SMTP, POP3, HTTP, ostatní připojení by měla být blokována. To spolehlivě izoluje útočníka nebo malware, který zneužil zranitelnost v samostatné službě, DMZ, tím, že jim odepře přístup do hlavní sítě.
Fyzicky lze DMZ organizovat instalací samostatného serveru / hardwarového firewallu nebo přidáním další síťové karty do routeru, ale v druhém případě budete muset věnovat velkou pozornost zabezpečení routeru. Zabezpečení jednoho serveru je ale v každém případě mnohem snazší než zabezpečení skupiny serverů.
Dalším krokem by měla být analýza seznamu uživatelů, zda všichni potřebují přístup k DMZ a routeru (kromě veřejných služeb), zvláštní pozornost by měla být věnována uživatelům připojujícím se zvenčí.
Obvykle to vyžaduje velmi nepopulární krok - vynucení zásady hesla. Všechna hesla uživatelů, kteří mají přístup ke klíčovým službám a kteří se mohou připojit zvenčí, musí obsahovat alespoň 6 znaků a kromě malých písmen obsahovat také znaky dvou tří kategorií: velká písmena, číslice, neabecední znaky.
Kromě toho by heslo nemělo obsahovat přihlašovací údaje uživatele ani jeho část, nemělo by obsahovat data a jména, která lze s uživatelem spojovat, a pokud možno, nemělo by to být slovníkové slovo.
Je dobré začít s praxí změny hesel každých 30–40 dní. Je jasné, že taková politika může způsobit odmítnutí ze strany uživatelů, ale vždy byste měli pamatovat na to, že hesla se líbí 123 nebo qwerty jsou ekvivalentní ponechání klíče pod kobercem.
Zabezpečení serveru není nic jiného.
Nyní, když máme představu o tom, co a před čím chceme chránit, přejděte k samotnému serveru. Vytvořte si seznam všech služeb a služeb a poté přemýšlejte o tom, zda jsou všechny potřebné na tomto konkrétním serveru, nebo je lze někde vyjmout.
Čím méně služeb, tím snazší je zajistit zabezpečení, tím menší je šance, že bude server ohrožen kritickou zranitelností v jedné z nich.
Konfigurujte služby, které slouží místní síť(např. chobotnice) tak, že přijímají pouze požadavky z místního rozhraní. Čím méně externě dostupných služeb, tím lépe.
Dobrým pomocníkem v zabezpečení je skener zranitelnosti, který by měl být naskenován přední konec server. Použili jsme demo verzi jednoho z nejznámějších produktů - XSpider 7.7.
Skener ukazuje otevřené porty, pokusí se určit typ běžící služby a v případě úspěchu její zranitelnosti. Jak vidíte, správně nakonfigurovaný systém je docela bezpečný, ale neměli byste klíč nechávat pod kobercem, přítomnost otevřených portů 1723 (VPN) a 3389 (RDP, přeposláno na terminálový server) na routeru je dobrá důvod přemýšlet o zásadách pro heslo.
Samostatně stojí za to mluvit o zabezpečení SSH, tuto službu obvykle používají správci dálkové ovládání server a je zvýšeným zájmem počítačových zločinců. Nastavení SSH jsou uložena v souboru / etc / ssh / sshd_config, provedou se v něm všechny níže popsané změny. Nejprve byste měli zakázat autorizaci pod uživatelem root, proto přidejte možnost:
PermitRootLogin č
Nyní bude muset útočník uhodnout nejen heslo, ale také přihlašovací údaje, přičemž heslo superuživatele stále nezná (doufáme, že se neshoduje s vaším heslem). Všechny administrativní úkoly při připojování zvenčí by měly být prováděny zespodu sudo přihlášením jako neprivilegovaný uživatel.
Stojí za to explicitně specifikovat seznam povolených uživatelů; v tomto případě můžete použít záznamy jako [chráněno emailem] který umožňuje zadanému uživateli připojit se pouze ze zadaného hostitele. Chcete -li například umožnit uživateli ivanov připojit se z domova (IP 1.2.3.4), přidejte následující položku:
AllowUser [chráněno emailem]
Zakázat také používání zastaralých a méně zabezpečený protokol SSH1, umožňující pouze druhé verzi protokolu, jak to udělat, dát další řádek podívat se:
Protokol 2
Navzdory všem přijatým opatřením budou pokusy o připojení k SSH a dalším veřejným službám stále provedeny, aby se zabránilo hádání hesel, použijte obslužný program fail2ban, což vám umožňuje automaticky zakázat uživatele po několika neúspěšných pokusech o přihlášení. Můžete jej nainstalovat pomocí příkazu:
Sudo apt-get install fail2ban
Tento nástroj je připraven pracovat ihned po instalaci, nicméně doporučujeme vám okamžitě změnit některé parametry, za tímto účelem proveďte změny v souboru /etc/fail2ban/jail.conf... Ve výchozím nastavení je řízen pouze přístup SSH a doba zákazu je 10 minut (600 sekund), podle našeho názoru je vhodné ji zvýšit změnou následující možnosti:
Bantime = 6000
Poté procházejte souborem a povolte sekce pro služby spuštěné ve vašem systému nastavením parametru za názvem příslušné sekce povoleno ve státě skutečný, například za službu proftpd bude to vypadat takto:
enabled = true
Další důležitý parametr maxretry, který je zodpovědný za maximální počet pokusů o připojení. Po změně nastavení nezapomeňte službu restartovat:
Sudo /etc/init.d/fail2ban restart
Protokol nástroje můžete zobrazit v /var/log/fail2ban.log.
Na každoročním LinuxConu v roce 2015 se tvůrce jádra GNU / Linux Linus Torvalds podělil o své názory na zabezpečení systému. Zdůraznil, že je třeba zmírnit účinek přítomnosti určitých chyb pomocí kompetentní ochrany, takže pokud dojde k poruše jedné komponenty, další vrstva problém překrývá.
V tomto článku se pokusíme pokrýt toto téma z praktického hlediska:
7. Nainstalujte brány firewall
Nedávno došlo k nové chybě zabezpečení umožňující útoky DDoS na servery Linux. Na konci roku 2012 se ve verzi 3.6 objevila chyba v jádře systému. Tato zranitelnost umožňuje hackerům vložit viry do stahovaných souborů, webových stránek a zpřístupnit připojení Tor a hackování nevyžaduje mnoho úsilí - IP spoofing bude fungovat.Maximální poškození šifrovaných připojení HTTPS nebo SSH je přerušení připojení, ale útočník může umístit nový obsah do nechráněného provozu, včetně malware... K ochraně před takovými útoky je vhodný firewall.
Blokovat přístup pomocí brány firewall
Firewall je jedním z nejdůležitějších nástrojů pro blokování nežádoucích příchozí provoz... Doporučujeme povolit pouze provoz, který skutečně potřebujete, a vše ostatní zcela zakázat.
Většina distribucí Linuxu má řadič iptables pro filtrování paketů. Obvykle to používají zkušení uživatelé, a pro zjednodušenou konfiguraci můžete použít nástroje UFW v Debianu / Ubuntu nebo FirewallD ve Fedoře.
8. Zakažte nepotřebné služby
Odborníci z University of Virginia doporučují vypnout všechny služby, které nepoužíváte. Nějaký procesy na pozadí jsou nastaveny na automatické načítání a běží, dokud se systém nevypne. Chcete -li konfigurovat tyto programy, musíte zkontrolovat inicializační skripty. Služby lze spustit pomocí inetd nebo xinetd.Pokud je váš systém konfigurován pomocí inetd, pak v souboru /etc/inetd.conf můžete upravit seznam programů „démonů“ na pozadí; pro deaktivaci načítání služby stačí na začátek řádku umístit znak „#“ řádek, čímž se z spustitelného souboru stane komentář.
Pokud systém používá xinetd, pak bude jeho konfigurace v adresáři /etc/xinetd.d. Každý soubor adresáře definuje službu, kterou lze zakázat zadáním disable = yes, jako v tomto příkladu:
Servisní prst (socket_type = čekání na stream = žádný uživatel = nikdo server = /usr/sbin/in.fingerd zakázat = ano)
Rovněž stojí za to zkontrolovat trvalé procesy, které nejsou spravovány pomocí inetd nebo xinetd. Spouštěcí skripty můžete konfigurovat v adresářích /etc/init.d nebo / etc / inittab. Po provedených změnách spusťte příkaz jako root účet.
/etc/rc.d/init.d/inet restart
9. Chraňte server fyzicky
Je nemožné plně se bránit útokům útočníků pomocí fyzický přístup na server. Proto je nutné zajistit místnost, kde je váš systém umístěn. Datová centra vážně monitorují zabezpečení, omezují přístup k serverům, instalují bezpečnostní kamery a přiřazují trvalé zabezpečení.Pro vstup do datového centra musí všichni návštěvníci projít určitými fázemi autentizace. Důrazně se také doporučuje používat pohybové senzory ve všech oblastech centra.
10. Chraňte server před neoprávněným přístupem
Systém neautorizovaného přístupu nebo IDS shromažďuje data o konfiguraci systému a souborech a poté je porovnává s novými změnami, aby určil, zda jsou pro systém škodlivé.Například nástroje Tripwire a Aide shromažďují databázi systémové soubory a chránit je sadou klíčů. Psad se používá ke sledování podezřelých aktivit pomocí zpráv brány firewall.
Bro je navržen tak, aby monitoroval síť, sledoval podezřelé vzorce činnosti, shromažďoval statistiky, prováděl systémové příkazy a generoval výstrahy. RKHunter lze použít k ochraně před viry, nejčastěji rootkity. Tento nástroj kontroluje váš systém, zda neobsahuje známé chyby zabezpečení, a dokáže identifikovat nebezpečná nastavení v aplikacích.
