البته می توانیم این را بگوییم لینوکسبیشتر بی خطر(محافظت شده) نسبت به ویندوز. امنیت v لینوکسساخته شده است ، و جایی در طرف پیچ نیست ، همانطور که در ویندوز اجرا می شود. امنیتسیستم های لینوکسمنطقه را از هسته تا دسکتاپ پوشش می دهد ، اما به احتمال زیاد هکرها به فهرست اصلی (/ home) شما آسیب می رسانند.
بایت های عکس ، فیلم های خانگی ، اسناد و داده های کارت اعتباری یا کیف پول شما گران ترین اطلاعات کامپیوتر است. البته لینوکس مستعد انواع کرم های اینترنتی و ویروس های ویندوز نیست. اما مهاجمان می توانند راهی برای دسترسی به اطلاعات شما در فهرست اصلی خود بیابند.
کامپیوتر قدیمی خود را آماده کنید یا HDDبه نظر شما قبل از فروش قالب بندی کافی خواهد بود؟ هزاران ابزار بازیابی اطلاعات مدرن وجود دارد. هکر به راحتی می تواند اطلاعات شما را از آنها بازیابی کند هارد دیسکصرف نظر از سیستم عامل که روی آن کار می کردید.
در مورد این موضوع ، من تجربه یک شرکت را در خرید مجدد رایانه ها و دیسک های کارکرده به خاطر می آورم. آنها در حین فعالیت خود این حکم را صادر کردند که 90 درصد از صاحبان قبلی رایانه های خود قبل از فروش از نظافت محیط ذخیره سازی خود مراقبت مناسبی نداشتند. و آنها بایت های بسیار دقیق داده را استخراج می کردند. تصور اینکه جایی در سطل های هارد دیسک شما اطلاعاتی برای ورود به بانک اینترنتی یا کیف پول آنلاین شما وجود دارد ، حتی ترسناک است.
با اصول اولیه امنیت لینوکس شروع کنید
بیایید به سراغ اصول اولیه () برویم ، که تقریباً برای همه کار می کند 
توزیع های لینوکس
بیایید برای امنیت بیشتر لینوکس ، سیستم فایل را در لینوکس رمزگذاری کنیم
اگر واقعاً می خواهید هیچ کس نتواند فهرست خانگی شما (/ خانه) یا اندازه بایت خاصی را بخواند ، گذرواژه های کاربر مشکل را حل نمی کند. شما می توانید این کار را انجام دهید به طوری که حتی یک کاربر با امتیازات ریشه بالا نتواند بینی خود را فشار دهد.
فایلهای حساس را حذف کنید تا شخص دیگری نتواند آنها را بازیابی کند
اگر تصمیم دارید رایانه یا وسیله ذخیره سازی خود را بفروشید یا اهدا کنید ، تصور نکنید که قالب بندی ساده باعث حذف دائمی فایل های شما می شود. می توانید ابزار حذف امن را روی لینوکس خود نصب کنید که شامل ابزار srm برای حذف ایمن فایل ها می شود.
همچنین ، را فراموش نکنید هسته لینوکسدیواره آتش. همه توزیع های لینوکس شامل lptables هستند که بخشی از هسته است. Lptables به شما امکان می دهد بسته های شبکه را فیلتر کنید. البته ، می توانید این ابزار را در ترمینال پیکربندی کنید. اما این روش از توان بسیاری ، از جمله من خارج است. بنابراین من به آسانی راه اندازی و تنظیم کردم مثل اینکه یک بازی انجام می دهم.
مانند همه سیستم عامل ها ، لینوکس هنگام اجرای برنامه های مختلف تمایل به جمع آوری مواد ناخواسته دارد. و این خطای لینوکس او نیست ، زیرا برنامه های مختلف مانند مرورگرها ، ویرایشگرهای متن و حتی پخش کننده های ویدئو در سطح هسته کار نمی کنند و فایل های موقت را جمع آوری می کنند. می توانید ابزار BleachBit را برای دفع جهانی زباله نصب کنید.
گشت و گذار ناشناس ، مخفی کردن IP شما برای امنیت هویت شما در لینوکس بسیار مهم است
در خاتمه ، می خواهم در مورد وب گردی ناشناس به شما بگویم. گاهی اوقات اتفاق می افتد که لازم است ، مانند من ، هنگامی که به طور مخفیانه از همسرم به سایت هایی با محتوای وابسته به عشق شهوانی سر می زنم. البته شوخی کردم
اگر مهاجمان نتوانند مکان شما را تعیین کنند ، برای شما دشوار خواهد بود. ما آثار را با یک پیکربندی ساده از دو برنامه کاربردی که با هم به نام privoxy و tor کار می کنند ، می پوشانیم.
به نظر من ، پیروی و پیکربندی همه این قوانین 90 درصد از شما و رایانه شما محافظت می کند.
P.S. من از ابری به نام dropbox استفاده می کنم. مقاله های قدیمی و جدیدم را که هنوز منتشر نشده اند در آن نگه می دارم. دسترسی به فایل های خود از هر نقطه در جهان و روی هر رایانه ای راحت است. هنگام نوشتن مقاله برای سایتی در ویرایشگر متن، اسناد متنی خود را با رمز ذخیره می کنم و فقط پس از آن آن را در سرور dropbox بارگذاری می کنم. شما هرگز نباید از امنیت غیر ضروری غافل شوید ، که فقط به نفع شما خواهد بود.
بدون شک همین الان سیستم نصب شدهلینوکس در برابر بدافزارهای مختلف ، جاسوس افزارها و هکرها بسیار مقاومتر از یکسان است نسخه ویندوز... با این حال ، اکثر سیستم های لینوکس از تنظیمات پیش فرض استفاده می کنند که از نظر ماهیت کاملاً ایمن نیستند.
برخی از توزیع های لینوکس به گونه ای طراحی شده اند که تا حد امکان امن باشند ، اما برای مبتدیان ، به ویژه کارشناسان امنیتی غیر رایانه ای ، بسیار دشوار است.
اوبونتو محبوب ترین توزیع لینوکس است که امروزه مورد استفاده قرار می گیرد. این به عوامل زیادی بر می گردد که یکی از آنها ساده ترین راه برای کاربران مبتدی است. این خاص خودش را دارد جنبه های مثبت، اما همچنین به همین دلیل ، چندین ضعف در سیستم وجود دارد که توسعه دهندگان با انتخاب کاربر پسند بودن آنها را پشت سر گذاشتند. در این مقاله ، نحوه انجام تنظیمات امنیتی در اوبونتو 16.04 را بررسی می کنیم. این تنظیمات چندان پیچیده نیستند ، اما به شما کمک می کنند تا سیستم را در برابر متداول ترین روش های حمله مقاوم تر کنید.
اولین چیزی که باید بدانید این است که سیستم خود را دائماً به روز و به روز نگه دارید. آسیب پذیری های جدید در هسته و نرم افزار به طور مداوم کشف می شود ، به عنوان مثال می توان به Drity COW اشاره کرد. توسعه دهندگان این اشکالات را به سرعت برطرف می کنند ، اما برای اعمال این مشکلات در سیستم خود ، باید آن را به موقع به روز کنید.
نکته مهم دیگر رمز عبور کاربر است. از کاربر بدون رمز استفاده نکنید. اگر می خواهید رایانه خود را با افراد دیگر به اشتراک بگذارید ، ایجاد کنید حساب جدیدبه عنوان مثال مهمان اما همیشه از رمزهای عبور استفاده کنید. اتاق عمل سیستم لینوکسدر ابتدا به عنوان یک سیستم چند کاربره با رعایت امنیت برای همه کاربران ساخته شد ، بنابراین این فرصت را نباید از دست داد. اما اینها همه نکاتی است که احتمالاً قبلاً می دانید ، بیایید به برخی از راه های واقعا مفید برای افزایش امنیت اوبونتو نگاه کنیم.
1. راه اندازی حافظه مشترک
به طور پیش فرض ، کل حجم حافظه مشترک/ run / shm خواندن / نوشتن با قابلیت اجرای برنامه ها است. این یک حفره امنیتی محسوب می شود و بسیاری از سوء استفاده ها از / run / shm برای حمله به سرویس های در حال اجرا استفاده می کنند. برای اکثر دستگاه های رومیزی و به ویژه سرور ، توصیه می شود این فایل را در حالت فقط خواندنی نصب کنید. برای انجام این کار ، خط زیر را به / etc / fstab اضافه کنید:
sudo vi / etc / fstab
none / run / shm tmpfs پیش فرض ، ro 0 0
اما با این وجود ، اگر / run / shm فقط خواندنی باشد ، برخی از برنامه ها کار نمی کنند ، یکی از آنها این است گوگل کروم... اگر از Google Chrome استفاده می کنید ، باید توانایی نوشتن را حفظ کنیم ، اما می توانیم از اجرای برنامه ها جلوگیری کنیم ، زیرا خط زیر را به جای خط پیشنهادی بالا اضافه کنید:
none / run / shm tmpfs rw، noexec، nosuid، nodev 0 0
2. ممنوعیت su برای غیر مدیران
اوبونتو علاوه بر حساب شما ، یک مهمان نیز دارد حسابکه می توانید از آن برای اشتراک گذاری لپ تاپ خود با یک دوست استفاده کنید. ابزار su به شما امکان می دهد برنامه ها را به عنوان یک کاربر متفاوت اجرا کنید. این در مدیریت سیستم بسیار مفید است و در صورت استفاده صحیح بسیار حیاتی است. اما ، با این وجود ، همه کاربران لینوکس می توانند به این ابزار دسترسی داشته باشند ، و این در حال حاضر سوء استفاده است. برای عدم دسترسی حساب مهمان به فرمان su ، دستور زیر را اجرا کنید:
sudo dpkg -statoverride -Update -ریشه sudo 4750 / bin / su را اضافه کنید
3. از فهرست اصلی خود محافظت کنید
فهرست اصلی پیش فرض شما برای همه کاربران سیستم قابل دسترسی خواهد بود. بنابراین اگر حساب مهمان دارید ، مهمان می تواند به تمام پرونده ها و اسناد شخصی شما دسترسی کامل داشته باشد. اما فقط می توانید آن را در اختیار شما قرار دهید. یک ترمینال را باز کرده و دستور زیر را اجرا کنید:
chmod 0700 / home / نام کاربری
این حقوق را به گونه ای تنظیم می کند که صاحب پوشه ، یعنی شما به همه چیز دسترسی دارید و سایر کاربران حتی نمی توانند محتویات را مشاهده کنند. متناوباً ، می توانید 750 مجوز را تنظیم کنید ، که به کاربران همان گروه شما دسترسی خواندن به پوشه شما را می دهد:
chmod 0750 / home / username
اکنون امنیت Ubuntu 16.04 و به ویژه داده های شخصی شما کمی بالاتر خواهد بود.
4. ورود SSH را به عنوان root غیرفعال کنید
به طور پیش فرض ، در اوبونتو ، می توانید به عنوان superuser به سیستم SSH وارد شوید. اگرچه برای کاربر اصلی یک رمز عبور تعیین می کنید ، اما این می تواند به طور بالقوه خطرناک باشد زیرا اگر رمز عبور بسیار ساده باشد ، یک مهاجم می تواند آن را به زور اعمال کند و کنترل کامل آن را در دست بگیرد. کامپیوتر رایانه. ممکن است سرویس sshd روی سیستم شما نصب نشده باشد. برای بررسی اجرا:
در صورت دریافت پیام رد ارتباط ، به این معنی است که هیچ سرور SSH نصب نشده است و می توانید این مرحله را رد کنید. اما اگر نصب شده است ، باید با استفاده از فایل پیکربندی / etc / ssh / sshd_config پیکربندی شود. این فایل را باز کرده و خط را جایگزین کنید:
PermitRootLogin بله
شماره PermitRootLogin
انجام شد ، اکنون اس اس اس در سیستم شما دشوارتر خواهد بود ، اما پیکربندی امنیتی در اوبونتو 16.04 هنوز کامل نشده است.
5. فایروال را نصب کنید
شاید شما نه تنها سرور ssh روی دستگاه خود نصب کرده اید ، بلکه سرویس پایگاه داده و وب سرور apacheیا nginx اگر این کامپیوتر خانگیپس به احتمال زیاد شما نمی خواهید شخص دیگری بتواند به سایت یا پایگاه داده محلی شما متصل شود. برای جلوگیری از این امر ، باید فایروال نصب کنید. توصیه می شود از gufw در اوبونتو استفاده کنید زیرا به طور خاص برای این سیستم طراحی شده است.
برای نصب ، اجرا کنید:
sudo apt gufw را نصب کنید
سپس باید برنامه را باز کنید ، محافظت را روشن کرده و همه اتصالات ورودی را مسدود کنید. فقط پورت های لازم را برای مرورگر و سایرین مجاز کنید برنامه های معروف... در دستورالعمل ها بیشتر بخوانید.
6. حفاظت در برابر حملات MITM
ماهیت حمله MITM یا Man-in-the-Middle این است که شخص دیگری تمام بسته هایی را که به سرور ارسال می کنید ، رهگیری می کند ، بنابراین می تواند کلمه عبور و داده های شخصی شما را دریافت کند. ما نمی توانیم در برابر همه حملات از این دست دفاع کنیم ، اما انواع حملات MITM - حمله ARP - در شبکه های محلی عمومی بسیار محبوب است. استفاده از ویژگی ها پروتکل ARPمهاجم جلوی کامپیوتر شما وانمود می کند که یک روتر است و شما تمام بسته های داده خود را برای او ارسال می کنید. با استفاده از ابزار TuxCut می توانید به راحتی خود را در برابر این امر محافظت کنید.
هیچ برنامه ای در مخازن رسمی وجود ندارد ، بنابراین برای نصب آن باید بسته را از GitHub بارگیری کنید:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
سپس بسته حاصله را نصب کنید:
sudo apt install tuxcut_6.1_amd64.deb
قبل از شروع برنامه ، سرویس آن را شروع کنید:
sudo systemctl شروع tuxcutd
پنجره اصلی ابزار به این شکل است:
آدرس IP همه کاربران متصل به شبکه در اینجا و همچنین مربوط به هر یک از آنها نمایش داده می شود آدرس MAC... اگر تیک گزینه Protection Mode را علامت بزنید ، برنامه در برابر حملات ARP محافظت می کند. می توانید از آن در شبکه های عمومی مانند وای فای عمومی استفاده کنید ، جایی که از امنیت خود می ترسید.
نتیجه گیری
خوب ، تمام شد ، اکنون تنظیمات امنیتی Ubuntu 16.04 کامل شده است و سیستم شما بسیار امن تر است. ما متداول ترین بردارهای حمله و روشهای نفوذ مورد استفاده هکرها را مسدود کرده ایم. اگر راههای مفید دیگری برای بهبود امنیت در اوبونتو می دانید ، در نظرات بنویسید!
همه ما این را می دانیم سیستم عامللینوکس بسیار است ایمن تر از ویندوزبه دلیل معماری و سیستم ویژه توزیع دسترسی بین کاربران. اما برنامه نویسان نیز افرادی هستند ، مهم نیست که ما چقدر دوست داریم ، آنها نیز در اشتباه هستند. و به دلیل این خطاها ، سوراخ هایی در سیستم ظاهر می شود که از طریق آنها مهاجمان می توانند سیستم های حفاظتی را دور بزنند.
این خطاها آسیب پذیری نامیده می شوند ، آنها را می توان در برنامه های مختلف و حتی در هسته اصلی سیستم یافت و امنیت آن را تضعیف کرد. در سال های اخیر ، محبوبیت لینوکس افزایش یافته است و محققان امنیتی توجه بیشتری به این سیستم دارند. آسیب پذیری های بیشتری در حال کشف شدن هستند و به لطف کد منبع باز می توان آنها را به سرعت از بین برد. در این مقاله ، ما خطرناک ترین آسیب پذیری های لینوکس را که در چند سال گذشته کشف شده است ، بررسی می کنیم.
قبل از اینکه به سراغ لیست آسیب پذیری ها برویم ، مهم است که بدانیم آنها چیست و چه هستند. همانطور که گفتم آسیب پذیری یک اشکال در برنامه ای است که به کاربر اجازه می دهد از برنامه ای به نحوی استفاده کند که مورد نظر توسعه دهنده آن نبوده است.
این ممکن است عدم تأیید صحت داده های دریافتی ، تأیید منبع داده و از همه جالبتر ، اندازه داده ها باشد. خطرناک ترین آسیب پذیری ها آنهایی هستند که اجازه اجرای کد دلخواه را می دهند. V حافظه دسترسی تصادفیهمه داده ها دارای اندازه خاصی هستند و برنامه برای نوشتن داده از کاربر با اندازه معین به حافظه طراحی شده است. اگر کاربر داده های بیشتری را ارسال می کند ، باید خطایی ایجاد کند.
اما اگر برنامه نویس اشتباهی انجام دهد ، داده ها کد برنامه را بازنویسی می کنند و پردازنده سعی می کند آن را اجرا کند ، بنابراین آسیب پذیری های سرریز بافر ایجاد می شود.
همچنین می توان همه آسیب پذیری ها را به محلی تقسیم کرد که تنها در صورت دسترسی هکر به آنها کار می کند کامپیوتر محلیو از راه دور ، هنگامی که دسترسی کافی از طریق اینترنت وجود دارد. حالا بیایید به سراغ لیست آسیب پذیری ها برویم.
1. COW کثیف
اولین مورد در لیست ما آسیب پذیری جدیدی است که در پاییز امسال کشف شد. نام Dirty COW مخفف Copy on Write است. خطا در رخ می دهد سیستم فایلهنگام کپی هنگام ضبط این یک آسیب پذیری محلی است که به هر کاربر محروم اجازه می دهد تا دسترسی کامل به سیستم داشته باشد.
به طور خلاصه ، برای سوء استفاده از این آسیب پذیری ، به دو فایل نیاز دارید ، یکی فقط از طرف کاربر فوق العاده قابل نوشتن است ، دیگری برای ما. ما شروع به نوشتن داده ها بر روی پرونده خود و خواندن چندین بار از فایل superuser می کنیم ، پس از زمان معینی لحظه ای فرا می رسد که بافرهای هر دو فایل با هم مخلوط می شوند و کاربر قادر خواهد بود داده هایی را در پرونده بنویسد که پرونده آنها برای او غیرقابل دسترسی است ، بنابراین می توانید خود را به او بدهید حقوق ریشهدر سیستم
این آسیب پذیری حدود 10 سال در هسته وجود داشت ، اما پس از کشف آن به سرعت حذف شد ، اگرچه هنوز میلیون ها دستگاه Andoid وجود دارد که هسته آنها به روز نشده و فکر نمی کند و در آنها می توان از این آسیب پذیری استفاده کرد. این آسیب پذیری کد CVE-2016-5195 را دریافت کرد.
2. آسیب پذیری Glibc
این آسیب پذیری کد CVE-2015-7547 را دریافت کرد. این یکی از رایج ترین آسیب پذیری های منبع باز بود. در فوریه 2016 ، مشخص شد که کتابخانه Glibc دارای یک آسیب پذیری بسیار جدی است که به مهاجمان اجازه می دهد کد خود را بر روی یک سیستم از راه دور اجرا کنند.
لازم به ذکر است که Glibc یک پیاده سازی است کتابخانه استاندارد C و C ++ ، که اکثر آنها از آن استفاده می کنند برنامه های لینوکس، از جمله خدمات و زبان های برنامه نویسی مانند PHP ، Python ، Perl.
خطایی در کد تجزیه و تحلیل پاسخ ایجاد شد سرورهای DNS... بنابراین ، این آسیب پذیری می تواند توسط هکرهایی که دستگاه های آسیب پذیر به DNS آنها دسترسی داشتند ، و همچنین انجام حمله MITM ، مورد سوء استفاده قرار گیرد. اما این آسیب پذیری کنترل کامل سیستم را در اختیار داشت.
این آسیب پذیری از سال 2008 در کتابخانه وجود داشت ، اما پس از شناسایی ، وصله ها به سرعت منتشر شد.
3. دل درد
در سال 2014 ، یکی از جدی ترین آسیب پذیری ها در مقیاس و پیامدها کشف شد. این به دلیل اشکالی در ماژول heartdead برنامه OpenSSL ایجاد شده است ، از این رو نام Heartbleed گرفته شده است. این آسیب پذیری به مهاجمان امکان دسترسی مستقیم به 64 کیلوبایت RAM سرور را می دهد و حمله می تواند تا زمان خواندن تمام حافظه تکرار شود.
علیرغم این واقعیت که این تعمیر خیلی سریع منتشر شد ، بسیاری از سایت ها و برنامه ها تحت تأثیر قرار گرفتند. در حقیقت ، همه سایت هایی که از HTTPS برای محافظت از ترافیک استفاده می کنند آسیب پذیر بودند. مهاجمان می توانند گذرواژه های کاربر ، اطلاعات شخصی آنها و هر آنچه در زمان حمله در حافظه وجود داشت را دریافت کنند. این آسیب پذیری کد CVE-2014-0160 را دریافت کرده است.
4. مبارزه مرحله ای
اگر به یک آسیب پذیری نام رمز داده شود ، به وضوح بدان معنی است که شایسته توجه است. آسیب پذیری Stagerfight نیز از این قاعده مستثنی نیست. درست است ، این واقعا یک مشکل لینوکس نیست. Stagefright کتابخانه ای برای مدیریت فرمت های چند رسانه ای در Android است.
این برنامه در C ++ پیاده سازی شده است ، به این معنی که همه مکانیسم های امنیتی جاوا را دور می زند. در سال 2015 ، یک گروه کامل از آسیب پذیری ها کشف شد که امکان اجرای از راه دور کد دلخواه را در سیستم فراهم می کرد. اینها CVE-2015-1538 ، CVE-2015-1539 ، CVE-2015-3824 ، CVE-2015-3826 ، CVE-2015-3827 ، CVE-2015-3828 و CVE-2015-3829 هستند.
مهاجم فقط باید MMS را به یک تلفن هوشمند آسیب پذیر با یک فایل رسانه ای تغییر یافته ارسال کند و کنترل کامل دستگاه را با قابلیت نوشتن و خواندن داده ها از کارت حافظه دریافت کرد. این آسیب پذیری توسط توسعه دهندگان اندروید وصله شد اما هنوز میلیون ها دستگاه آسیب پذیر هستند.
5. آسیب پذیری روز صفر هسته
این یک آسیب پذیری محلی است که به کاربر فعلی اجازه می دهد تا به دلیل خطایی در سیستم برای مدیریت داده های رمزنگاری شده ذخیره شده در حافظه ، به root برسد. این در فوریه 2016 کشف شد و همه هسته ها را از 3.8 شروع کرد ، به این معنی که این آسیب پذیری به مدت 4 سال وجود داشته است.
این خطا می تواند توسط هکرها یا بدافزارها مورد سوء استفاده قرار گیرد نرم افزاربرای تقویت قدرت خود در سیستم ، اما به سرعت ثابت شد.
6. آسیب پذیری در MySQL
این آسیب پذیری کد CVE-2016-6662 بود و همه نسخه های موجود سرور پایگاه داده MySQL (5.7.15 ، 5.6.33 و 5.5.52) ، پایگاه های داده Oracle و کلونهای MariaDB و PerconaDB را تحت تأثیر قرار داد.
مهاجمان می توانند از طریق آن به سیستم دسترسی کامل داشته باشند پرس و جو SQLکدی تصویب شد که اجازه می داد my.conf را با نسخه خاص خود جایگزین کرده و سرور را راه اندازی مجدد کند. همچنین فرصتی برای اجرا وجود داشت کد مخرببا حقوق فوق استفاده کننده
MariaDB و PerconaDB وصله هایی را به سرعت منتشر کردند ، اوراکل واکنش نشان داد ، اما خیلی دیرتر.
7. پوسته پوسته
این آسیب پذیری در سال 2014 قبل از 22 سال وجود داشت. کد CVE-2014-6271 و نام رمز Shellshock به او اختصاص داده شد. این آسیب پذیری از نظر شدت قابل مقایسه با Heartbleed است. علت آن اشکال در مفسر دستور Bash است که در اکثر توزیع های لینوکس به طور پیش فرض است.
Bash به شما امکان می دهد متغیرهای محیط را بدون احراز هویت کاربر اعلام کنید و با هم می توانید هر فرمانی را در آنها اجرا کنید. این امر به ویژه در اسکریپت های CGI که توسط اکثر سایت ها پشتیبانی می شوند ، خطرناک است. نه تنها سرورها آسیب پذیر هستند ، بلکه آسیب پذیر هستند کامپیوترهای شخصیکاربران ، روترها و سایر دستگاهها. در واقع ، یک مهاجم می تواند از راه دور هر فرمان را اجرا کند ؛ این یک کنترل از راه دور تمام عیار و بدون احراز هویت است.
همه نسخه های Bash ، از جمله 4.3 تحت تأثیر قرار گرفتند ، اگرچه پس از کشف مشکل ، توسعه دهندگان به سرعت رفع مشکل را منتشر کردند.
8. چهارگانه
این مجموعه ای از آسیب پذیری های اندروید است که در آگوست 2016 کشف شد. آنها کد CVE-2016-5340 ، CVE-2016-2059 ، CVE-2016-2504 ، CVE-2016-2503 را دریافت کردند. بیش از 900 میلیون نفر در معرض خطا هستند دستگاه های Android... همه آسیب پذیری ها در درایور ARM پردازنده Qualcomm پیدا شده اند و می توان از آنها استفاده کرد ریشه دار شدندسترسی به دستگاه
مانند DirtyCOW ، در اینجا نیازی به اعتبار ندارید ، فقط باید یک برنامه مخرب را نصب کنید و بتواند تمام داده های شما را دریافت کرده و به مهاجم منتقل کند.
9. آسیب پذیری در OpenJDK
این یک آسیب پذیری بسیار جدی لینوکس 2016 در ماشین جاوا OpenJDK با کد CVE-2016-0636 است و بر همه کاربرانی که از Oracle Java SE 7 Update 97 و 8 Update 73 و 74 برای Windows ، Solaris ، Linux و Mac OS X استفاده می کنند تأثیر می گذارد. این آسیب پذیری به مهاجم اجازه می دهد در صورت باز کردن یک صفحه خاص در مرورگر با نسخه آسیب پذیر جاوا ، کد دلخواه را در خارج از دستگاه جاوا اجرا کند.
این به مهاجم اجازه می دهد تا به گذرواژه ها ، اطلاعات شخصی شما دسترسی پیدا کند و برنامه هایی را در رایانه شما اجرا کند. در همه نسخه ها خطای جاواخیلی سریع اصلاح شد ، از سال 2013 وجود دارد.
10. آسیب پذیری پروتکل HTTP / 2
این مجموعه ای از آسیب پذیری ها است که در سال 2016 در پروتکل HTTP / 2 کشف شد. آنها کدهای CVE-2015-8659 ، CVE-2016-0150 ، CVE-2016-1546 ، CVE-2016-2525 ، CVE-2016-1544 را دریافت کردند. تمام پیاده سازی های این پروتکل در Apache ، Nginx Microsoft ، Jetty و nghttp2 تحت تأثیر قرار گرفت.
همه آنها به مهاجم اجازه می دهند تا سرعت سرور وب را به شدت کاهش دهد و حمله انکار سرویس را اجرا کند. به عنوان مثال ، یکی از خطاها منجر به امکان ارسال یک پیام کوچک شد ، که بر روی سرور به گیگابایت فشرده شد. این اشکال به سرعت برطرف شد و بنابراین در جامعه جنجال زیادی ایجاد نکرد.
آیا تو در امان هستی؟
در این مقاله ، ما خطرناک ترین آسیب پذیری های لینوکس در سال های 2016 ، 2015 و 2014 را پوشش داده ایم. اگر به موقع برطرف نشوند ، اکثر آنها می توانند آسیب جدی به سیستم ها وارد کنند. به لطف کد منبع باز ، چنین آسیب پذیری های لینوکس به طور موثر شناسایی شده و به سرعت برطرف می شوند. فقط به یاد داشته باشید که سیستم خود را به روز کنید. تنها مشکل در اندروید باقی می ماند. برخی از دستگاه ها دیگر به روز رسانی نمی کنند و هنوز راه حلی برای این مشکل وجود ندارد.
این تصور غلط رایج وجود دارد که سرورهای لینوکس امن ترین و محافظت شده در برابر نفوذ خارجی هستند. متأسفانه ، اینطور نیست ، امنیت هر سرور به عوامل و اقدامات مختلفی برای اطمینان از آن بستگی دارد و عملاً به سیستم عامل مورد استفاده بستگی ندارد.
ما تصمیم گرفتیم یک سری مقالات اختصاص داده شده را شروع کنیم امنیت شبکهبا سرور اوبونتو ، از آنجا که راه حل های موجود در این پلت فرم برای خوانندگان ما بسیار مورد توجه است و بسیاری از مردم فکر می کنند که راه حل های لینوکس به خودی خود ایمن هستند.
در همان زمان ، یک روتر با آدرس IP اختصاصی یک "دروازه" به شبکه محلی است و فقط مدیر تعیین می کند که آیا این دروازه ها یک مانع قابل اعتماد خواهند بود یا به عنوان یک دروازه dacha بسته شده با یک میخ مشخص می شود.
یک تصور اشتباه رایج دیگر ، استدلال به سبک: "اما چه کسی به آن نیاز دارد ، سرور ما ، ما چیز جالبی نداریم." در واقع ، شبکه محلی شما ممکن است برای مجرمان سایبری جالب نباشد ، اما آنها می توانند از سرور آسیب دیده برای ارسال هرزنامه ، حملات به سرورهای دیگر ، یک پروکسی ناشناس ، به عنوان نقطه شروع اقدامات تاریک خود استفاده کنند.
و این در حال حاضر ناخوشایند است و می تواند به عنوان منبع مشکلات مختلف عمل کند: از ارائه دهنده تا سازمان های اجرای قانون. و در مورد گسترش ویروس ها ، سرقت و تخریب اطلاعات مهمهمچنین نباید فراموش کرد ، و همچنین این واقعیت که زمان خرابی شرکت منجر به زیان های ملموس می شود.
اگرچه این مقاله در مورد سرور اوبونتو است ، ابتدا به آن می پردازیم مسائل کلیامنیت ، که به همان اندازه با هر پلتفرمی مرتبط هستند و اصول اولیه هستند ، بدون آنها بحث در مورد جزئیات بیشتر منطقی نیست.
ایمنی از کجا شروع می شود؟
نه ، امنیت با فایروال شروع نمی شود ، از سخت افزار هم شروع نمی شود ، امنیت از کاربر شروع می شود. به هر حال ، اگر صاحبخانه کلید را زیر فرش بگذارد ، جالب ترین درب فلزی نصب شده توسط بهترین متخصصان چیست؟
بنابراین ، اولین کاری که باید انجام دهید این است که یک ممیزی امنیتی انجام دهید. از این کلمه نترسید ، همه چیز چندان دشوار نیست: یک طرح شبکه ای طرح ریزی کنید که بر روی آن منطقه امن ، منطقه خطر احتمالی و منطقه پرخطر را مشخص کرده و همچنین فهرستی از کاربرانی که دارای (باید داشته باشند) تهیه کنید. دسترسی) به این مناطق.
منطقه امن باید شامل منابع داخلی شبکه باشد که از خارج به آن دسترسی ندارید و برای آنها مجاز است سطح پایینامنیت. اینها می توانند ایستگاه های کاری ، سرورهای فایل و غیره باشند. دستگاه هایی که دسترسی به آنها محدود به شبکه محلی شرکت است.
منطقه خطر بالقوه شامل سرورها و دستگاه هایی است که دسترسی مستقیم به شبکه خارجی ندارند ، اما خدمات فردی آنها از خارج قابل دسترسی است ، به عنوان مثال ، سرورهای وب و پست که در پشت دیوار آتش قرار دارند ، اما در عین حال به درخواست های شبکه خارجی
منطقه خطرناک باید شامل دستگاه هایی باشد که مستقیماً از خارج قابل دسترسی هستند ، در حالت ایده آل باید یک روتر باشد.
در صورت امکان ، منطقه بالقوه خطرناک باید به یک زیر شبکه جداگانه منتقل شود - منطقه غیرنظامی (DMZ) ، که توسط یک دیوار آتش اضافی از شبکه اصلی جدا می شود.
دستگاههای موجود در شبکه محلی فقط باید به خدمات مورد نیاز DMZ دسترسی داشته باشند ، به عنوان مثال SMTP ، POP3 ، HTTP ، سایر اتصالات باید مسدود شوند. این به شما امکان می دهد با جلوگیری از دسترسی آنها به شبکه اصلی ، مهاجم یا بدافزاری را که از آسیب پذیری در سرویس جداگانه DMZ سوء استفاده کرده است ، به طور مطمئن جدا کنید.
از نظر فیزیکی ، DMZ را می توان با نصب یک فایروال سرور / سخت افزار جداگانه یا اضافه کردن یک کارت شبکه اضافی به روتر سازماندهی کرد ، اما در مورد دوم ، شما باید به امنیت روتر توجه زیادی داشته باشید. اما در هر صورت ، ایمن سازی یک سرور ساده تر از تامین امنیت گروهی از سرورها است.
گام بعدی باید تجزیه و تحلیل لیست کاربران باشد ، خواه همه آنها نیاز به دسترسی به DMZ داشته باشند و هم روتر (به استثنای خدمات عمومی) ، توجه ویژه ای باید به کاربران متصل از خارج شود.
به طور معمول ، این امر نیاز به یک مرحله بسیار محبوب ندارد - اعمال یک سیاست رمز عبور. همه گذرواژه های کاربرانی که به خدمات مهم دسترسی دارند و از خارج قابلیت اتصال دارند باید حداقل 6 نویسه داشته باشند و علاوه بر حروف کوچک ، نمادهای دو دسته سه را نیز شامل شوند: حروف بزرگ ، اعداد ، غیر الفبا شخصیت ها.
علاوه بر این ، رمز عبور نباید شامل نام کاربری یا بخشی از آن باشد ، شامل تاریخها و اسامی که می تواند با کاربر مرتبط باشد و ترجیحاً یک کلمه فرهنگ لغت نباشد باشد.
ایده خوبی است که تمرین تغییر رمزهای عبور را هر 30-40 روز شروع کنید. واضح است که چنین سیاستی می تواند باعث رد کاربران شود ، اما همیشه باید به یاد داشته باشید که گذرواژه ها مانند 123 یا qwertyمعادل گذاشتن کلید در زیر فرش هستند.
امنیت سرور چیز دیگری نیست.
اکنون که تصوری از آنچه می خواهیم محافظت کنیم و از چه چیزی محافظت می کنیم ، بیایید به سراغ خود سرور برویم. لیستی از همه خدمات و سرویس ها تهیه کنید ، سپس فکر کنید که آیا همه آنها در این سرور مورد نیاز هستند یا می توان آنها را در جایی خارج کرد.
هرچه خدمات کمتر باشد ، اطمینان از امنیت آسان تر است ، احتمال اینکه یک سرور از طریق آسیب پذیری مهم در یکی از آنها آسیب ببیند ، کمتر است.
سرویس های ارائه شده را پیکربندی کنید شبکه محلی(به عنوان مثال ماهی مرکب) به طوری که آنها فقط درخواست های رابط محلی را می پذیرند. هرچه خدمات خارجی کمتری در دسترس باشد ، بهتر است.
یک کمک کننده خوب در زمینه امنیت ، اسکنر آسیب پذیری است که باید اسکن شود انتهای جلوسرور ما از نسخه نمایشی یکی از معروف ترین محصولات - XSpider 7.7 استفاده کردیم.
اسکنر نشان می دهد بنادر باز، سعی می کند نوع سرویس در حال اجرا و در صورت موفقیت ، آسیب پذیری های آن را تعیین کند. همانطور که مشاهده می کنید ، سیستم پیکربندی شده کاملاً ایمن است ، اما نباید کلید را زیر فرش بگذارید ، وجود پورت های باز 1723 (VPN) و 3389 (RDP ، ارسال شده به سرور ترمینال) روی روتر خوب است دلیل برای فکر کردن در مورد سیاست رمز عبور
به طور جداگانه ، ارزش صحبت در مورد امنیت SSH را دارد ، این سرویس معمولاً توسط مدیران استفاده می شود کنترل از راه دورسرور و مورد توجه مجرمان سایبری قرار گرفته است. تنظیمات SSH در یک فایل ذخیره می شود / etc / ssh / sshd_config، تمام تغییرات شرح داده شده در زیر روی آن اعمال شده است. اول از همه ، شما باید مجوز را در زیر کاربر اصلی غیرفعال کنید ، برای این گزینه را اضافه کنید:
شماره PermitRootLogin
اکنون مهاجم باید نه تنها رمز عبور ، بلکه ورود را نیز حدس بزند ، در حالی که هنوز رمز عبور superuser را نمی داند (امیدواریم با گذرواژه شما مطابقت نداشته باشد). تمام کارهای اداری هنگام اتصال از خارج باید از زیر انجام شود sudoبا ورود به سیستم به عنوان یک کاربر غیرمجاز.
شایان ذکر است که لیست کاربران مجاز را به صراحت مشخص کنید ؛ در این مورد ، می توانید از پرونده هایی مانند [ایمیل محافظت شده] که به کاربر مشخص شده اجازه می دهد فقط از میزبان مشخص متصل شود. به عنوان مثال ، برای اجازه به کاربر ivanov برای اتصال از خانه (IP 1.2.3.4) ، ورودی زیر را اضافه کنید:
AllowUser [ایمیل محافظت شده]
همچنین استفاده از موارد منسوخ و کمتر را ممنوع کنید پروتکل امن SSH1 ، فقط به نسخه دوم پروتکل اجازه می دهد تا این کار را انجام دهد ، بدهد خط بعدینگاه كردن:
پروتکل 2
با وجود تمام اقدامات انجام شده ، تلاش برای اتصال به SSH و سایر خدمات عمومی همچنان به منظور جلوگیری از حدس زدن رمز عبور است ، از ابزار استفاده کنید fail2ban، که به شما امکان می دهد کاربر را پس از چندین بار ورود ناموفق به صورت خودکار ممنوع کنید. می توانید آن را با دستور زیر نصب کنید:
Sudo apt-get install fail2ban
این ابزار بلافاصله پس از نصب آماده کار است ، با این حال ، ما به شما توصیه می کنیم که بلافاصله برخی از پارامترها را تغییر دهید ، برای این کار ، فایل را تغییر دهید /etc/fail2ban/jail.conf... به طور پیش فرض ، فقط دسترسی SSH کنترل می شود و زمان ممنوعیت 10 دقیقه (600 ثانیه) است ، به نظر ما ارزش آن را با تغییر گزینه زیر افزایش می دهیم:
مدت زمان = 6000
سپس فایل را ورق بزنید و با تنظیم پارامتر بعد از نام بخش مربوطه ، بخش هایی را برای خدمات در سیستم خود فعال کنید. فعال شددر یک ایالت درست است، واقعی، به عنوان مثال برای خدمات proftpdشبیه این خواهد شد:
فعال = درست
پارامتر مهم دیگر حداکثر کار، که مسئول حداکثر تعداد تلاش برای اتصال است. پس از تغییر تنظیمات ، راه اندازی مجدد سرویس را فراموش نکنید:
راه اندازی مجدد سودو /etc/init.d/fail2ban
می توانید گزارش ابزار را در آن مشاهده کنید /var/log/fail2ban.log.
در سالانه LinuxCon در سال 2015 ، Linus Torvalds ، خالق هسته GNU / Linux ، نظرات خود را در مورد امنیت سیستم به اشتراک گذاشت. وی بر لزوم کاهش اثر وجود برخی از اشکالات با حفاظت مناسب تاکید کرد ، به طوری که اگر یک جزء خراب شود ، لایه بعدی با مشکل همپوشانی دارد.
در این مقاله ، ما سعی می کنیم این موضوع را از نظر عملی پوشش دهیم:
7. فایروال نصب کنید
اخیراً یک آسیب پذیری جدید وجود داشت که به حملات DDoS به سرورهای لینوکس اجازه می داد. یک اشکال در هسته سیستم در نسخه 3.6 در پایان سال 2012 ظاهر شد. این آسیب پذیری به هکرها اجازه می دهد تا ویروس ها را در بارگیری فایل ها ، صفحات وب و افشای اتصالات Tor تزریق کنند و هک به تلاش زیادی نیاز ندارد - جعل IP کار می کند.حداکثر آسیب برای اتصالات رمزگذاری شده HTTPS یا SSH قطع اتصال است ، اما مهاجم می تواند محتوای جدید را در ترافیک محافظت نشده ، از جمله بد افزار... برای محافظت در برابر چنین حملاتی ، فایروال مناسب است.
دسترسی را با فایروال مسدود کنید
فایروال یکی از مهمترین ابزارها برای مسدود کردن موارد ناخواسته است ترافیک ورودی... توصیه می کنیم فقط به ترافیکی که واقعاً نیاز دارید اجازه دهید و سایر موارد را کاملاً رد کنید.
اکثر توزیع های لینوکس دارای کنترل کننده iptables برای فیلتر بسته هستند. معمولاً از آن استفاده می کنند کاربران با تجربه، و برای پیکربندی ساده ، می توانید از ابزارهای UFW در Debian / Ubuntu یا FirewallD در Fedora استفاده کنید.
8. خدمات غیر ضروری را غیرفعال کنید
کارشناسان دانشگاه ویرجینیا توصیه می کنند همه سرویس هایی را که استفاده نمی کنید خاموش کنید. مقداری فرایندهای پس زمینهروی بار خودکار تنظیم شده و تا خاموش شدن سیستم اجرا می شوند. برای پیکربندی این برنامه ها ، باید اسکریپت های init را بررسی کنید. خدمات را می توان از طریق inetd یا xinetd شروع کرد.اگر سیستم شما از طریق inetd پیکربندی شده است ، در فایل /etc/inetd.conf می توانید لیست برنامه های "daemons" پس زمینه را ویرایش کنید ؛ برای غیرفعال کردن بارگذاری سرویس ، فقط علامت "#" را در ابتدای برنامه قرار دهید خط را از حالت اجرایی به نظر تبدیل کنید.
اگر سیستم از xinetd استفاده می کند ، پیکربندی آن در فهرست /etc/xinetd.d خواهد بود. هر فایل دایرکتوری سرویسی را تعریف می کند که می توان آن را با مشخص کردن disable = yes غیرفعال کرد ، مانند مثال زیر:
انگشت سرویس (socket_type = جریان منتظر = بدون کاربر = سرور هیچ کس = /usr/sbin/in.fingerd غیرفعال = بله)
همچنین ارزش بررسی فرآیندهای مداومی را دارد که توسط inetd یا xinetd مدیریت نمی شوند. می توانید اسکریپت های راه اندازی را در فهرست /etc/init.d یا / etc / inittab پیکربندی کنید. پس از تغییرات ایجاد شده ، فرمان را به عنوان root account اجرا کنید.
/etc/rc.d/init.d/ راه اندازی مجدد
9. از سرور به صورت فیزیکی محافظت کنید
امکان دفاع کامل در برابر حملات مهاجمان با دسترسی فیزیکیبه سرور بنابراین ، لازم است اتاقی را که سیستم شما در آن قرار دارد ایمن کنید. مراکز داده به طور جدی امنیت را کنترل می کنند ، دسترسی به سرورها را محدود می کنند ، دوربین های امنیتی نصب می کنند و امنیت دائمی را تعیین می کنند.برای ورود به مرکز داده ، همه بازدیدکنندگان باید مراحل خاصی از احراز هویت را طی کنند. همچنین توصیه می شود از سنسورهای حرکت در همه مناطق مرکز استفاده کنید.
10. از سرور در برابر دسترسی های غیر مجاز محافظت کنید
یک سیستم دسترسی غیرمجاز یا IDS داده های مربوط به پیکربندی سیستم و فایل ها را جمع آوری می کند و سپس این داده ها را با تغییرات جدید مقایسه می کند تا مشخص شود آیا آنها برای سیستم مضر هستند یا خیر.به عنوان مثال ، ابزارهای Tripwire و Aide یک پایگاه داده از فایل های سیستمیو با مجموعه ای از کلیدها از آنها محافظت کنید. Psad برای ردیابی فعالیت های مشکوک با استفاده از گزارشات فایروال استفاده می شود.
Bro برای نظارت بر شبکه ، پیگیری الگوهای مشکوک فعالیت ، جمع آوری آمار ، اجرای دستورات سیستم و ایجاد هشدار طراحی شده است. RKHunter می تواند برای محافظت در برابر ویروس ها ، رایج ترین روت کیت ها استفاده شود. این ابزار سیستم شما را از نظر آسیب پذیری های شناخته شده بررسی می کند و می تواند تنظیمات ناامن در برنامه ها را شناسایی کند.
