Muidugi võime seda öelda Linux rohkem ohutu(kaitstud) kui Windows. Turvalisus v Linux sisseehitatud ja mitte kruvitud kuhugi küljele, nagu see on rakendatud Windowsis. Turvalisus süsteemid Linux hõlmab ala tuumast töölauale, kuid häkkerid võivad teie kodukataloogi (/ home) kahjustada.
Teie baidid fotodest, koduvideodest, dokumentidest ja krediitkaardi või rahakoti andmetest on arvuti kõige kallim teave. Muidugi pole Linux vastuvõtlik igasugustele Interneti -ussidele ja Windowsi viirustele. Kuid ründajad leiavad võimaluse pääseda juurde teie andmetele teie kodukataloogis.
Vana arvuti ettevalmistamine või HDD kas arvate enne vormindamise müümist, et sellest piisab? Seal on palju kaasaegseid andmete taastamise tööriistu. Häkker saab teie andmed hõlpsalt taastada kõvaketas olenemata operatsioonisüsteemist, mille kallal töötasite.
Sellel teemal meenutan ühe ettevõtte kogemusi kasutatud arvutite ja ketaste tagasiostmisel. Oma tegevuse käigus langetasid nad kohtuotsuse, mille kohaselt 90% oma arvutite varasematest omanikest ei hoolitsenud enne müüki nõuetekohaselt oma andmekandjate puhastamise eest. Ja nad ammutasid väga hoolikaid andmebaite. On isegi hirmutav ette kujutada, et kusagil kõvaketta prügikastides on teavet teie Interneti -panga või veebipõhise rahakoti sisestamiseks.
Alustage Linuxi turvalisuse põhitõdedega
Läheme põhitõdede juurde (), mis toimivad peaaegu igaühe jaoks 
Linuxi distributsioonid.
Krüpteerime Linuxi failisüsteemi täieliku Linuxi turvalisuse tagamiseks
Kasutajaparoolid ei lahenda probleemi, kui soovite, et keegi ei saaks teie kodukataloogi (/ home) või teatud baidisuurust lugeda. Saate seda teha nii, et isegi kõrgete juureõigustega kasutaja ei saa nina torgata.
Kustutage tundlikud failid, et keegi teine neid taastada ei saaks
Kui otsustate oma arvuti või andmekandja müüa või kinkida, ärge eeldage, et lihtne vormindamine kustutab teie failid jäädavalt. Saate oma Linuxi installida turvalise kustutamise tööriista, mis sisaldab failide turvaliseks kustutamiseks utiliiti srm.
Ärge unustage ka Linuxi kernel tulemüür. Kõik Linuxi distributsioonid sisaldavad lptablesi, mis on osa tuumast. Lptables võimaldab võrgupakette filtreerida. Loomulikult saate selle utiliidi terminalis konfigureerida. Kuid see meetod on paljudele, sealhulgas mulle, võimatu. Seega seadistasin ja seadistasin sama lihtsalt, nagu mängiksin mängu.
Nagu kõik opsüsteemid, kipub Linux erinevate rakenduste käitamisel rämpsu koguma. Ja see pole tema Linuxi süü, kuna erinevad rakendused, näiteks brauserid, tekstiredaktorid ja isegi videopleierid, ei tööta kerneli tasemel ja koguvad ajutisi faile. Prügi universaalseks kõrvaldamiseks saate installida utiliidi BleachBit.
Anonüümne surfamine, teie IP varjamine on teie identiteedi turvalisuse tagamiseks Linuxis väga oluline
Kokkuvõtteks tahan teile rääkida anonüümsest veebis surfamisest. Mõnikord juhtub, et see on vajalik, nagu minagi, kui külastan salaja oma naiselt erootilise sisuga saite. Muidugi tegin nalja.
Ründajatel on raske teiega ühendust võtta, kui nad ei suuda teie asukohta kindlaks teha. Me katame jäljed kahe koos töötava utiliidi lihtsa konfiguratsiooniga, mida nimetatakse privoxy ja tor.
Minu arvates kaitseb kõigi nende reeglite järgimine ja seadistamine teid ja teie arvutit 90%.
P.S. Ma kasutan pilve nimega dropbox. Hoian selles oma vanu ja uusi, veel avaldamata artikleid. Oma failidele on mugav juurde pääseda kõikjalt maailmast ja igast arvutist. Aastal saidile artikleid kirjutades tekstiredaktor, Salvestan oma tekstidokumendid parooliga ja alles pärast seda laadin need dropboxi serverisse üles. Ärge kunagi unustage tarbetut turvalisust, mis mängib ainult teie kätes.
Pole kahtlustki just praegu paigaldatud süsteem Linux on erinevate pahavara, nuhkvara ja häkkerite suhtes palju vastupidavam kui sama Windowsi versioon... Enamik Linuxi süsteeme kasutab aga vaikeseadeid, mis pole oma olemuselt täiesti turvalised.
Mõned Linuxi distributsioonid on loodud karbist võimalikult turvaliseks, kuid algajatele, eriti arvutiturbeekspertidele, on need tavaliselt väga rasked.
Ubuntu on tänapäeval kõige populaarsem Linuxi distributsioon. See on tingitud paljudest teguritest, millest üks on see, et see on algajatele kasutajatele kõige lihtsam. Sellel on oma positiivsed küljed, kuid ka sel põhjusel on süsteemis mitmeid nõrkusi, mille arendajad kasutajasõbralikkuse valimisel maha jätsid. Selles artiklis vaatleme, kuidas Ubuntu 16.04 turvakonfiguratsiooni teostatakse. Need seaded ei ole nii keerulised, kuid aitavad teil süsteemi enamlevinud rünnakumeetodite suhtes vastupidavamaks muuta.
Esimene asi, mida peate teadma, on hoida oma süsteemi pidevalt ajakohasena ja ajakohasena. Tuuma ja tarkvara uusi turvaauke avastatakse pidevalt, näiteks on sama Drity COW. Arendajad parandavad need vead väga kiiresti, kuid nende paranduste rakendamiseks oma süsteemis peate selle õigeaegselt värskendama.
Teine oluline märkus on kasutaja parool. Ärge kasutage kasutajat ilma paroolita. Kui peate oma arvutit teiste inimestega jagama, looge uus konto nt külaline. Kuid kasutage alati paroole. Operatsiooni ruum Linuxi süsteem oli algselt loodud mitme kasutaja süsteemina, pidades silmas turvalisust kõigile kasutajatele, seega ei tohiks seda võimalust kasutamata jätta. Kuid need on kõik näpunäited, mida te ilmselt juba teate, vaatame mõningaid tõeliselt kasulikke viise ubuntu turvalisuse suurendamiseks.
1. Jagatud mälu seadistamine
Vaikimisi kogu helitugevus jagatud mälu/ run / shm loetakse / kirjutatakse võimalusega programme käivitada. Seda peetakse turvaaukuks ja paljud ärakasutused kasutavad jooksvate teenuste ründamiseks käsku / run / shm. Enamiku töölaua- ja eriti serveriseadmete puhul on soovitatav see fail ühendada kirjutuskaitstud režiimis. Selleks lisage failile / etc / fstab järgmine rida:
sudo vi / etc / fstab
none / run / shm tmpfs vaikimisi, ro 0 0
Sellest hoolimata ei tööta mõned programmid, kui / run / shm on kirjutuskaitstud, üks neist on Google chrome... Kui kasutate Google Chrome'i, peame säilitama kirjutamisvõime, kuid saame takistada programmide täitmist, selleks lisage ülaltoodud rea asemel järgmine rida:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Keelake mitte-administraatoritele
Lisaks teie kontole on Ubuntul ka külaline Konto mille abil saate oma sülearvutit sõbraga jagada. Utiliit su võimaldab teil programme käivitada erineva kasutajana. See on väga kasulik süsteemi haldamisel ja eluliselt tähtis, kui seda õigesti rakendada. Sellele vaatamata saavad kõik Linuxi kasutajad sellele utiliidile juurde pääseda ja see on juba kuritarvitamine. Külaliskontole juurdepääsu keelamiseks käsule su, keelake:
sudo dpkg -statoverride --update -lisage juur sudo 4750 / bin / su
3. Kaitske oma kodukataloogi
Teie vaike -kodukataloog on juurdepääsetav kõigile süsteemi kasutajatele. Nii et kui teil on külaliskonto, saab külaline täieliku juurdepääsu kõigile teie isiklikele failidele ja dokumentidele. Kuid saate selle ainult teile kättesaadavaks teha. Avage terminal ja käivitage järgmine käsk:
chmod 0700 / home / kasutajanimi
See määrab õigused nii, et kausta omanikul, st teil on juurdepääs kõigele ja teised kasutajad ei näe isegi sisu. Teise võimalusena saate määrata 750 õigust, mis annavad lugemisõiguse teie kausta kasutajatele, kes kuuluvad samasse rühma:
chmod 0750 / home / kasutajanimi
Nüüd on Ubuntu 16.04 ja eriti teie isikuandmete turvalisus pisut kõrgem.
4. Keela SSH sisselogimine juurena
Vaikimisi saate Ubuntu süsteemis SSH -i kasutada superkasutajana. Kuigi määrate juurkasutajale parooli, võib see olla potentsiaalselt ohtlik, sest kui parool on väga lihtne, võib ründaja seda julmalt sundida ja täieliku kontrolli üle võtta arvuti. Teenust sshd ei pruugi teie süsteemi installida. Jooksmise kontrollimiseks:
Kui kuvatakse teade ühenduse keeldumisest, tähendab see, et SSH -serverit pole installitud ja saate selle sammu vahele jätta. Kuid kui see on installitud, tuleb see konfigureerida konfiguratsioonifaili / etc / ssh / sshd_config abil. Avage see fail ja asendage rida:
PermitRootLogin jah
PermitRootLogin nr
Valmis, nüüd on teie süsteemi ssh sisestamine keerulisem, kuid ubuntu 16.04 turvakonfiguratsioon pole veel lõpule viidud.
5. Installige tulemüür
Võib -olla pole teie arvutisse installitud mitte ainult ssh -server, vaid ka andmebaasiteenus ja apache veebiserver või nginx. Kui see koduarvuti siis tõenäoliselt ei tahaks, et keegi teine saaks teie kohaliku saidi või andmebaasiga ühenduse luua. Selle vältimiseks peate installima tulemüüri. Ubuntu puhul on soovitatav kasutada gufw -d, kuna see on spetsiaalselt selle süsteemi jaoks loodud.
Installimiseks käivitage:
sudo apt install gufw
Seejärel peate programmi avama, kaitse sisse lülitama ja blokeerima kõik sissetulevad ühendused. Luba ainult brauseri ja teiste jaoks vajalikud pordid kuulsad programmid... Lisateavet leiate juhistest.
6. Kaitse MITM -i rünnakute eest
MITM-i või Man-in-the-Middle rünnaku olemus on see, et teine inimene võtab kinni kõik paketid, mille serverile edastate, seega saab kätte kõik teie paroolid ja isikuandmed. Me ei saa kaitsta kõigi seda tüüpi rünnakute eest, kuid teatud tüüpi MITM -rünnakud - ARP -rünnak - on avalikes kohalikes võrkudes üsna populaarsed. Funktsioonide kasutamine ARP protokoll ründaja teeskleb teie arvuti ees olevat ruuterit ja te saadate talle kõik oma andmepaketid. Selle abil saate end väga hõlpsalt kaitsta, kasutades utiliiti TuxCut.
Ametlikes hoidlates pole ühtegi programmi, nii et selle installimiseks peate paketi GitHubist alla laadima:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Seejärel installige saadud pakett:
sudo apt install tuxcut_6.1_amd64.deb
Enne programmi käivitamist käivitage selle teenus:
sudo systemctl käivitage tuxcutd
Utiliidi peaaken näeb välja selline:
Siin kuvatakse kõigi võrku ühendatud kasutajate IP -aadressid ja vastavad igale neist MAC -aadress... Kui märgite märkeruudu Kaitserežiim, kaitseb programm ARP -rünnakute eest. Saate seda kasutada avalikes võrkudes, näiteks avalikus wifi -s, kus kardate oma turvalisuse pärast.
järeldused
See on kõik, nüüd on Ubuntu 16.04 turvaseadistus lõpule viidud ja teie süsteem on palju turvalisem. Oleme blokeerinud häkkerite kõige levinumad rünnakuvektorid ja läbitungimismeetodid. Kui teate muid kasulikke viise Ubuntu turvalisuse parandamiseks, kirjutage kommentaaridesse!
Me kõik teame seda operatsioonisüsteem Linux on palju turvalisem kui Windows tänu oma arhitektuurile ja spetsiaalsele juurdepääsu jaotamise süsteemile kasutajate vahel. Kuid ka programmeerijad on inimesed, ükskõik kuidas meile see meeldib, eksivad nad ka. Ja nende vigade tõttu ilmuvad süsteemi augud, mille kaudu ründajad saavad kaitsesüsteemidest mööda minna.
Neid vigu nimetatakse haavatavusteks, neid võib leida erinevatest programmidest ja isegi süsteemi tuumast, kahjustades selle turvalisust. Viimastel aastatel on Linuxi populaarsus hakanud kasvama ja turvauurijad pööravad süsteemile rohkem tähelepanu. Järjest rohkem avastatakse turvaauke ja tänu avatud lähtekoodile saab need väga kiiresti kõrvaldada. Selles artiklis vaatleme kõige ohtlikumaid Linuxi haavatavusi, mis on avastatud viimase paari aasta jooksul.
Enne haavatavuste loendisse liikumist on oluline mõista, mis need on ja mis need on. Nagu ma ütlesin, on haavatavus programmi viga, mis võimaldab kasutajal programmi kasutada viisil, mida selle arendaja pole ette näinud.
Selle põhjuseks võib olla vastuvõetud andmete õigsuse kontrollimise puudumine, andmeallika kontrollimine ja mis kõige huvitavam - andmete suurus. Kõige ohtlikumad haavatavused on need, mis võimaldavad suvalise koodi käivitamist. V muutmälu kõik andmed on teatud suurusega ja programm on mõeldud teatud suurusega kasutaja andmete mällu kirjutamiseks. Kui kasutaja edastab rohkem andmeid, peaks see vea andma.
Aga kui programmeerija eksib, kirjutavad andmed programmi koodi üle ja protsessor proovib seda käivitada, luues seeläbi puhvri ületäitumise haavatavuse.
Samuti saab kõik turvaaukud jagada kohalikeks, mis toimivad ainult häkkerile juurdepääsu korral kohalik arvuti ja kaugjuhtimisega, kui Interneti kaudu on piisavalt juurdepääsu. Nüüd liigume haavatavuste loendi juurde.
1. Räpane lehm
Esimene meie nimekirjas on uus haavatavus, mis sel sügisel avastati. Nimi Dirty COW tähistab Copy on Write. Viga ilmneb aastal failisüsteem kopeerimise ajal salvestamise ajal. See on kohalik haavatavus, mis võimaldab kõigil õigusteta kasutajatel saada süsteemile täielik juurdepääs.
Lühidalt, haavatavuse kasutamiseks vajate kahte faili, millest üks on kirjutatav ainult superkasutaja nimel, teine meie jaoks. Hakkame oma faili andmeid kirjutama ja superkasutajafailist lugema mitu korda, teatud aja pärast saabub hetk, mil mõlema faili puhvrid segunevad ja kasutaja saab faili kirjutada andmeid, mille kirje on talle kättesaamatu, nii et saate ennast anda juurõigused süsteemis.
Haavatavus oli kernelis umbes 10 aastat, kuid pärast selle avastamist kõrvaldati see kiiresti, kuigi on veel miljoneid andoidseadmeid, milles tuuma pole uuendatud ja mis ei mõtle ning kus seda haavatavust saab ära kasutada. Haavatavus sai koodi CVE-2016-5195.
2. Glibci haavatavus
Haavatavus sai koodi CVE-2015-7547. See oli üks enim räägitud avatud lähtekoodiga haavatavusi. 2016. aasta veebruaris selgus, et Glibci raamatukogul on väga tõsine haavatavus, mis võimaldab ründajal oma koodi kaugsüsteemis käivitada.
Oluline on märkida, et Glibc on rakendus tavaline raamatukogu C ja C ++, mida enamik kasutab Linuxi programmid, sealhulgas teenused ja programmeerimiskeeled nagu PHP, Python, Perl.
Vastuse sõelumiskoodis tehti viga DNS -serverid... Seega said haavatavust kasutada häkkerid, kelle DNS -ile pääsesid ligi haavatavad masinad, samuti MITM -i rünnaku sooritamine. Kuid haavatavus andis süsteemi üle täieliku kontrolli.
Haavatavus on raamatukogus olnud alates 2008. aastast, kuid pärast avastamist lasti plaastrid kiiresti välja.
3. Südamlik
2014. aastal avastati mastaabis ja tagajärgedes üks tõsisemaid haavatavusi. Selle põhjustas viga OpenSSL -i programmi südamemoodulis, sellest ka nimi Heartbleed. Haavatavus võimaldas ründajatel pääseda otse juurde 64 -kilobaitisele serveri RAM -ile ja rünnakut võis korrata, kuni kogu mälu oli loetud.
Hoolimata asjaolust, et parandus ilmus väga kiiresti, mõjutas see paljusid saite ja rakendusi. Tegelikult olid kõik saidid, mis kasutasid HTTPS -i liikluse kaitsmiseks, haavatavad. Ründajad said kasutaja paroole, nende isikuandmeid ja kõike, mis rünnaku ajal mälus oli. Haavatavus sai koodi CVE-2014-0160.
4. Lavahirm
Kui haavatavusele on antud koodnimi, tähendab see selgelt, et see väärib tähelepanu. Stagerfight'i haavatavus pole erand. Tõsi, see pole tegelikult Linuxi probleem. Stagefright on raamatukogu multimeediumivormingute haldamiseks Androidis.
See on rakendatud C ++ keeles, mis tähendab, et see möödub kõigist Java turvamehhanismidest. 2015. aastal avastati terve rühm haavatavusi, mis võimaldasid süsteemis suvalise koodi kaugkäivitamist. Need on CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 ja CVE-2015-3829.
Ründajal tuli vaid saata MMS spetsiaalselt muudetud meediumifailiga haavatavasse nutitelefoni ning ta sai seadme üle täieliku kontrolli koos võimalusega mälukaardilt andmeid kirjutada ja lugeda. Haavatavuse parandasid Androidi arendajad, kuid miljonid seadmed on endiselt haavatavad.
5. Kerneli nullpäeva haavatavus
See on kohalik haavatavus, mis võimaldab praeguse kasutaja tõsta mälusse salvestatud kerneli krüptograafiliste andmete haldamise süsteemi tõrke tõttu juurikasse. See avastati 2016. aasta veebruaris ja hõlmas kõiki tuumaid alates 3.8, mis tähendab, et haavatavus on eksisteerinud 4 aastat.
Viga võisid ära kasutada häkkerid või pahavara tarkvara suurendada oma volitusi süsteemis, kuid see parandati väga kiiresti.
6. Haavatavus MySQL -is
See haavatavus oli kood CVE-2016-6662 ja see mõjutas kõiki saadaolevaid MySQL andmebaasiserveri versioone (5.7.15, 5.6.33 ja 5.5.52), Oracle'i andmebaase ning MariaDB ja PerconaDB kloone.
Ründajad said süsteemi kaudu täieliku juurdepääsu SQL päring edastati kood, mis võimaldas my.conf oma versiooniga asendada ja serveri taaskäivitada. Oli ka esinemisvõimalus pahatahtlik kood superkasutaja õigustega.
MariaDB ja PerconaDB avaldasid plaastrid üsna kiiresti, Oracle reageeris, kuid palju hiljem.
7. Shellshock
See haavatavus avastati 2014. aastal enne selle olemasolu 22 aastat. Talle määrati kood CVE-2014-6271 ja koodnimi Shellshock. See haavatavus on raskusastmega võrreldav juba tuntud Heartbleediga. Selle põhjuseks on viga käsutõlkes Bash, mis on enamiku Linuxi distributsioonide vaikeseade.
Bash võimaldab deklareerida keskkonnamuutujaid ilma kasutaja autentimiseta ja koos saate neis käivitada mis tahes käske. See on eriti ohtlik CGI skriptides, mida enamik saite toetab. Mitte ainult serverid on haavatavad, vaid ka personaalarvutid kasutajad, ruuterid ja muud seadmed. Tegelikult saab ründaja mis tahes käsku eemalt täita; see on täieõiguslik kaugjuhtimispult ilma autentimiseta.
See mõjutas kõiki Bashi versioone, sealhulgas 4.3, kuigi pärast probleemi avastamist avaldasid arendajad väga kiiresti paranduse.
8. Quadrooter
See on terve rida Androidi turvaauke, mis avastati augustis 2016. Nad said koodid CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Üle 900 miljoni on vigade all Android -seadmed... Kõik turvaaukud on leitud Qualcommi protsessori ARM -draiverist ja neid kõiki saab ära kasutada juurdumine juurdepääsu seadmele.
Nagu DirtyCOW, ei vaja te siin mingeid volitusi, vaid peate installima pahatahtliku rakenduse ja see saab kõik teie andmed kätte ja ründajale edastada.
9. Haavatavus OpenJDK -s
See on väga tõsine Linux 2016 haavatavus OpenJDK Java masinas koodiga CVE-2016-0636 ja mõjutab kõiki kasutajaid, kes käitavad Oracle Java SE 7 värskendusi 97 ja 8 värskendusi 73 ja 74 Windowsi, Solarise, Linuxi ja Mac OS X jaoks. haavatavus Võimaldab ründajal suvalise koodi käivitada väljaspool Java -masinat, kui avate brauseris spetsiaalse lehe Java haavatava versiooniga.
See võimaldas ründajal pääseda juurde teie paroolidele, isikuandmetele ja käivitada arvutis programme. Kõikides versioonides Java viga parandati väga kiiresti, see on eksisteerinud alates 2013.
10. HTTP / 2 protokolli haavatavus
See on terve rida haavatavusi, mis avastati 2016. aastal HTTP / 2 protokollis. Nad said koodid CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. See mõjutas kõiki selle protokolli rakendusi Apache, Nginx Microsoft, Jetty ja nghttp2.
Kõik need võimaldavad ründajal veebiserverit järsult aeglustada ja teenuse keelamise rünnakut sooritada. Näiteks üks vigadest tõi kaasa võimaluse saata väike sõnum, mis oli serveris gigabaitideks lahti pakitud. Viga parandati väga kiiresti ja seetõttu ei tekitanud see kogukonnas palju suminat.
Kas olete turvaline?
Selles artiklis oleme käsitlenud kõige ohtlikumaid Linuxi haavatavusi aastatel 2016, 2015 ja 2014. Enamik neist võib süsteeme tõsiselt kahjustada, kui neid õigeaegselt ei parandata. Tänu avatud lähtekoodile tuvastatakse sellised Linuxi haavatavused tõhusalt ja parandatakse need kiiresti. Ärge unustage lihtsalt oma süsteemi värskendada. Ainus probleem on Androidiga. Mõned seadmed ei saa enam värskendusi ja sellele probleemile pole veel lahendust.
On levinud eksiarvamus, et Linuxi serverid on kõige turvalisemad ja kaitstud väliste sissetungide eest. Kahjuks see nii ei ole, iga serveri turvalisus sõltub paljudest teguritest ja meetmetest selle tagamiseks ning praktiliselt ei sõltu kasutatavast operatsioonisüsteemist.
Otsustasime alustada artiklite sarja, mis on pühendatud võrgu turvalisus Ubuntu Serveriga, kuna selle platvormi lahendused pakuvad meie lugejatele suurt huvi ja kuna paljud inimesed arvavad, et Linuxi lahendused on iseenesest ohutud.
Samal ajal on spetsiaalse IP -aadressiga ruuter kohaliku võrgu "värav" ja ainult administraator otsustab, kas need väravad on usaldusväärne tõke või osutuvad naelaga suletud dacha väravaks.
Teine levinud eksiarvamus, arutlus stiilis: "aga kellel seda vaja on, meie server, meil pole midagi huvitavat." Tõepoolest, teie kohalik võrk ei pruugi küberkurjategijatele huvi pakkuda, kuid nad võivad kasutada rikutud serverit rämpsposti, rünnakute teistele serveritele, anonüümse puhverserveri, lühidalt, nende süngete tegude lähtepunktiks.
Ja see on juba ebameeldiv ja võib olla mitmesuguste probleemide allikaks: teenusepakkujast õiguskaitseorganiteni. Ja viiruste leviku, varguste ja hävitamise kohta olulist teavet samuti ei tasu unustada, samuti asjaolu, et ettevõtte seisak toob kaasa üsna käegakatsutavaid kahjusid.
Hoolimata asjaolust, et see artikkel räägib Ubuntu serverist, vaatame kõigepealt üldised küsimused turvalisus, mis on ühtviisi asjakohased igale platvormile ja on põhitõed, ilma milleta pole mõtet teemat üksikasjalikumalt arutada.
Kust algab ohutus?
Ei, turvalisus ei alga tulemüüriga, ei alga üldse riistvaraga, turvalisus algab kasutajast. Lõppude lõpuks, mis kasu on kõige lahedamast metallist uksest, mille on paigaldanud parimad spetsialistid, kui omanik jätab võtme vaiba alla?
Seetõttu peaksite esimese asjana läbi viima turvaauditi. Ärge laske end sellest sõnast hirmutada, sest kõik pole nii keeruline: joonistage võrgu skemaatiline plaan, millele märgite ohutu ala, potentsiaalse ohuala ja kõrge ohuga ala ning tehke ka nimekiri kasutajatest, kellel on ( neil peaks olema juurdepääs).
Turvatsoon peaks hõlmama võrgu sisemisi ressursse, millele pole väljastpoolt juurdepääsu ja mille jaoks see on lubatud madal tase turvalisus. Need võivad olla tööjaamad, failiserverid jne. seadmed, millele juurdepääs on piiratud ettevõtte kohaliku võrguga.
Potentsiaalse ohuala alla kuuluvad serverid ja seadmed, millel puudub otsene juurdepääs välisvõrgule, kuid mille üksikutele teenustele on juurdepääs väljastpoolt, näiteks tulemüüri taga asuvad veebi- ja meiliserverid, kuid mis samal ajal teenindavad päringuid välist võrku.
Ohtlik ala peaks hõlmama seadmeid, millele on juurdepääs väljastpoolt, ideaaljuhul peaks see olema üks ruuter.
Võimaluse korral tuleks potentsiaalselt ohtlik tsoon teisaldada eraldi alamvõrku - demilitariseeritud tsooni (DMZ), mis on põhivõrgust eraldatud täiendava tulemüüriga.
Kohaliku võrgu seadmetel peaks olema juurdepääs ainult neile vajalikele DMZ -i teenustele, näiteks SMTP, POP3, HTTP, muud ühendused tuleks blokeerida. See võimaldab teil usaldusväärselt isoleerida ründaja või pahavara, mis kasutas haavatavust eraldi teenuses DMZ, keelates neil juurdepääsu põhivõrgule.
Füüsiliselt saab DMZ -i korraldada, installides eraldi serveri / riistvara tulemüüri või lisades ruuterile täiendava võrgukaardi, kuid viimasel juhul peate ruuteri turvalisusele suurt tähelepanu pöörama. Kuid igal juhul on ühe serveri turvamine palju lihtsam kui serverirühma turvamine.
Järgmise sammuna tuleks analüüsida kasutajate loendit, kas nad kõik vajavad juurdepääsu DMZ -le ja ruuterile (välja arvatud avalikud teenused), erilist tähelepanu tuleks pöörata väljastpoolt ühenduvatele kasutajatele.
Tavaliselt nõuab see väga ebapopulaarset sammu - paroolipoliitika jõustamist. Kõik kasutajate paroolid, kellel on juurdepääs kriitilistele teenustele ja kes saavad väljastpoolt ühendust luua, peavad sisaldama vähemalt 6 tähemärki ja lisaks väiketähtedele kahes kategoorias kolm tähemärki: suured tähed, numbrid, mitte-tähestikulised tähemärgid.
Lisaks ei tohiks parool sisaldada kasutaja sisselogimist ega selle osa, mitte sisaldada kuupäevi ja nimesid, mida saab kasutajaga seostada, ja eelistatavalt mitte olla sõnastikusõna.
Hea mõte on alustada paroolide vahetamist iga 30–40 päeva tagant. On selge, et selline poliitika võib põhjustada kasutajate tagasilükkamise, kuid peaksite alati meeles pidama, et sellised paroolid nagu 123 või qwerty on samaväärne võtme jätmisega vaiba alla.
Serveri turvalisus pole midagi muud.
Nüüd, kui meil on idee, mida me tahame kaitsta ja mille eest, liigume edasi serveri enda juurde. Tehke nimekiri kõigist teenustest ja teenustest, seejärel mõelge, kas neid kõiki on sellel serveril vaja või saab need kuskilt välja viia.
Mida vähem teenuseid, seda lihtsam on tagada turvalisus, seda väiksem on võimalus, et ühes neist on kriitiline haavatavus serveri ohtu.
Seadistage teenused, mida teenindatakse kohtvõrk(nt kalmaarid), et nad võtaksid vastu ainult kohaliku liidese päringuid. Mida vähem teenuseid väljastpoolt pakutakse, seda parem.
Hea abimees turvalisuses on haavatavuste skanner, mida tuleks skannida esiots server. Kasutasime ühe kuulsama toote - XSpider 7.7 - demoversiooni.
Skanner näitab avatud sadamad, proovib määrata töötava teenuse tüübi ja õnnestumise korral selle turvaauke. Nagu näete, on korralikult konfigureeritud süsteem üsna ohutu, kuid te ei tohiks võtit vaiba alla jätta, avatud portide 1723 (VPN) ja 3389 (RDP, edastatud terminaliserverile) olemasolu ruuteris on hea põhjust mõelda paroolipoliitikale.
Eraldi tasub rääkida SSH turvalisusest, tavaliselt kasutavad seda teenust administraatorid Pult server ja pakub küberkurjategijatele suuremat huvi. SSH seaded salvestatakse faili / etc / ssh / sshd_config, tehakse selles kõik allpool kirjeldatud muudatused. Esiteks peaksite juurkasutaja alt autoriseerimise keelama, selleks lisage suvand:
PermitRootLogin nr
Nüüd peab ründaja ära arvama mitte ainult parooli, vaid ka sisselogimise, samas kui ta ei tea ikkagi superkasutaja parooli (loodame, et see ei vasta teie paroolile). Kõik haldusülesanded väljastpoolt ühendamisel tuleks täita altpoolt sudo sisse logides privileegita kasutajana.
Tasub selgesõnaliselt täpsustada lubatud kasutajate loend, samas saate kasutada selliseid kirjeid nagu [e -post kaitstud] mis võimaldab määratud kasutajal ühenduse luua ainult määratud hosti kaudu. Näiteks selleks, et lubada kasutajal ivanov kodust ühendust luua (IP 1.2.3.4), lisage järgmine kirje:
AllowUser [e -post kaitstud]
Samuti keelake aegunud ja vähemate kasutamine turvaline protokoll SSH1, lubades seda teha ainult protokolli teisel versioonil, annab järgmine rida vaatama:
Protokoll 2
Hoolimata kõigist võetud meetmetest püütakse SSH ja muude avalike teenustega ühenduse luua, et vältida parooli äraarvamist, kasutage utiliiti fail2ban, mis võimaldab pärast mitut ebaõnnestunud sisselogimiskatset kasutaja automaatselt keelata. Saate selle installida käsuga:
Sudo apt-get install fail2ban
See utiliit on kohe pärast installimist valmis töötama, kuid soovitame teil kohe mõnda parameetrit muuta, selleks tehke failis muudatusi /etc/fail2ban/jail.conf... Vaikimisi kontrollitakse ainult SSH -juurdepääsu ja keeluaeg on 10 minutit (600 sekundit), meie arvates tasub seda suurendada, muutes järgmist valikut:
Bantime = 6000
Seejärel kerige fail läbi ja lubage oma süsteemis töötavate teenuste osad, määrates parameetri vastava jaotise nime järele lubatud osariigis tõsi, näiteks teenindamiseks proftpd see näeb välja selline:
lubatud = tõsi
Teine oluline parameeter maksetööstuses, mis vastutab ühenduskatsete maksimaalse arvu eest. Pärast seadete muutmist ärge unustage teenust taaskäivitada:
Sudo /etc/init.d/fail2ban taaskäivitamine
Näete utiliidi logi /var/log/fail2ban.log.
Iga -aastasel LinuxConil 2015. aastal jagas GNU / Linuxi tuuma looja Linus Torvalds oma seisukohti süsteemi turvalisuse kohta. Ta rõhutas vajadust leevendada teatud vigade esinemise mõju koos pädeva kaitsega, nii et kui üks komponent rikub, kattub järgmine kiht probleemiga.
Selles artiklis proovime seda teemat käsitleda praktilisest vaatenurgast:
7. Paigaldage tulemüürid
Hiljuti ilmnes uus haavatavus, mis lubas DDoS -i rünnakuid Linuxi serveritele. Süsteemi tuuma viga ilmnes versiooniga 3.6 2012. aasta lõpus. Haavatavus võimaldab häkkeritel süstida allalaaditud failidesse, veebilehtedele viiruseid ja paljastada Tor -ühendusi ning häkkimine ei nõua palju pingutusi - IP -võltsimismeetod töötab.Suurim kahju krüptitud HTTPS- või SSH -ühendustele on ühenduse katkestamine, kuid ründaja saab paigutada uue sisu kaitsmata liiklusse, sh pahavara... Selliste rünnakute eest kaitsmiseks sobib tulemüür.
Blokeerige juurdepääs tulemüüriga
Tulemüür on üks olulisemaid vahendeid soovimatute blokeerimiseks sissetulev liiklus... Soovitame lubada ainult seda liiklust, mida tõesti vajate, ja eitada kõik muu täielikult.
Enamikul Linuxi distributsioonidel on pakettide filtreerimiseks iptables -kontroller. Tavaliselt kasutavad nad seda kogenud kasutajad ja lihtsustatud konfigureerimiseks saate kasutada UFW utiliite Debianis / Ubuntus või FirewallD -s Fedoras.
8. Keela mittevajalikud teenused
Virginia ülikooli eksperdid soovitavad sulgeda kõik teenused, mida te ei kasuta. Mõned taustaprotsesse on seatud automaatseks laadimiseks ja töötavad seni, kuni süsteem välja lülitatakse. Nende programmide konfigureerimiseks peate kontrollima init -skripte. Teenuseid saab käivitada inetd või xinetd kaudu.Kui teie süsteem on konfigureeritud inetd kaudu, saate failis /etc/inetd.conf redigeerida taustaprogrammide "deemonid" loendit; teenuse laadimise keelamiseks pange lihtsalt "#" märk rida, muutes selle käivitatavast kommentaariks.
Kui süsteem kasutab xinetd, on selle konfiguratsioon kataloogis /etc/xinetd.d. Iga kataloogifail määratleb teenuse, mille saab keelata, määrates disable = yes, nagu selles näites:
Teenuse sõrm (pistikupesa tüüp = voo ootamine = kasutaja puudumine = keegi server = /usr/sbin/in.fingerd disable = jah)
Samuti tasub kontrollida püsivaid protsesse, mida ei halda inetd ega xinetd. Käivitusskripte saate konfigureerida kataloogides /etc/init.d või / etc / inittab. Pärast tehtud muudatusi käivitage käsk juurkontona.
/etc/rc.d/init.d/inet restart
9. Kaitske serverit füüsiliselt
Ründajate rünnakute eest pole võimalik täielikult kaitsta füüsiline juurdepääs serverisse. Seetõttu on vaja tagada ruum, kus teie süsteem asub. Andmekeskused jälgivad tõsiselt turvalisust, piiravad juurdepääsu serveritele, paigaldavad turvakaameraid ja määravad püsiva turvalisuse.Andmekeskusesse sisenemiseks peavad kõik külastajad läbima teatud autentimise etapid. Samuti on tungivalt soovitatav kasutada liikumisandureid keskuse kõikides piirkondades.
10. Kaitske serverit volitamata juurdepääsu eest
Volitamata juurdepääsu süsteem või IDS kogub andmeid süsteemi konfiguratsiooni ja failide kohta ning võrdleb neid seejärel uute muudatustega, et teha kindlaks, kas need on süsteemile kahjulikud.Näiteks Tripwire ja Aide tööriistad koguvad andmebaasi süsteemifailid ja kaitsta neid võtmete komplektiga. Psadi kasutatakse kahtlase tegevuse jälgimiseks tulemüüri aruannete abil.
Bro on loodud võrgu jälgimiseks, kahtlaste tegevusmustrite jälgimiseks, statistika kogumiseks, süsteemi käskude täitmiseks ja hoiatuste loomiseks. RKHunterit saab kasutada viiruste, kõige sagedamini rootkitide eest kaitsmiseks. See utiliit kontrollib teie süsteemis teadaolevaid turvaauke ja suudab tuvastada rakendustes ebaturvalisi seadeid.
