Természetesen mondhatjuk ezt Linux több biztonságos(védett), mint a Windows. Biztonság v Linux beépített, és nem csavarva valahol az oldalán, ahogy a Windows-ban megvalósítják. Biztonság rendszereket Linux kiterjed a kerneltől az asztalig, de valószínű, hogy a hackerek kárt okoznak a saját könyvtárában (/ home).
A fényképek, otthoni videók, dokumentumok és hitelkártya- vagy pénztárcaadatok bájtjai a számítógép legdrágább adatai. Természetesen a Linux nem érzékeny mindenféle internetes férgekre és Windows vírusokra. A támadók azonban megtalálhatják a módját, hogy hozzáférjenek az otthoni könyvtárban lévő adataihoz.
Régi számítógépének előkészítése ill HDD a formázás eladása előtt, szerinted elég lesz? Rengeteg modern adat -helyreállítási eszköz létezik. Egy hacker könnyen visszaállíthatja adatait merevlemez függetlenül attól, hogy milyen operációs rendszeren dolgozik.
Ebben a témában felidézem egy vállalat tapasztalatait a használt számítógépek és lemezek visszavásárlása során. Tevékenységük során azt az ítéletet hozták, hogy számítógépeik korábbi tulajdonosainak 90% -a nem gondoskodott megfelelően a tárolóeszközök tisztításáról az eladás előtt. És nagyon alapos adatbájtokat szedtek ki. Még félelmetes is elképzelni, hogy valahol a merevlemez kukáiban vannak olyan információk, amelyek megadhatják az internetbankját vagy az online pénztárcáját.
Kezdje a Linux biztonságának alapjaival
Lépjünk az alapokhoz (), amelyek szinte mindenkinél működnek 
Linux disztribúciók.
Titkosítsuk a fájlrendszert Linuxban a teljesebb Linux biztonság érdekében
A felhasználói jelszavak nem oldják meg a problémát, ha valóban azt szeretné, hogy senki ne tudja elolvasni a saját könyvtárát (/ home) vagy egy bizonyos bájtméretet. Megteheti, hogy még a legmagasabb gyökérjogosultsággal rendelkező felhasználó sem tudja az orrát piszkálni.
Törölje az érzékeny fájlokat, hogy senki más ne tudja azokat visszaállítani
Ha úgy dönt, hogy eladja vagy ajándékozza számítógépét vagy adathordozóját, ne feltételezze, hogy az egyszerű formázás véglegesen törli a fájlokat. Telepítheti a biztonságos törlés eszközt a Linux dobozára, amely tartalmazza az srm segédprogramot a fájlok biztonságos törléséhez.
Továbbá, ne felejtsük el a Linux kernel tűzfal. Minden Linux disztribúció tartalmazza az lptables -t, amely a kernel része. Az Lptables lehetővé teszi a hálózati csomagok szűrését. Természetesen beállíthatja ezt a segédprogramot a terminálon. De ez a módszer sokak erejét meghaladja, köztük engem is. Így olyan könnyen beállítottam és beállítottam, mintha játékot játszanék.
Mint minden operációs rendszer, a Linux is hajlamos a szemét felhalmozására különféle alkalmazások futtatásakor. És ez nem az ő hibája a Linuxban, mivel a különböző alkalmazások, például a böngészők, a szövegszerkesztők és még a videolejátszók sem működnek kernel szinten, és felhalmozzák az ideiglenes fájlokat. Telepítheti a BleachBit segédprogramot az univerzális szemétlerakáshoz.
A névtelen szörfözés, az IP elrejtése nagyon fontos a személyazonosság biztonsága szempontjából Linux alatt
Végezetül a névtelen webes szörfözésről szeretnék mesélni. Néha előfordul, hogy szükség van rá, ahogy én is, amikor feleségem titokban ellátogatok erotikus tartalmú webhelyekre. Persze vicceltem.
A támadók nehezen tudják elérni Önt, ha nem tudják meghatározni a tartózkodási helyét. A nyomokat két olyan segédprogram egyszerű konfigurációjával fedjük le, amelyek együtt dolgoznak, a privoxy és a tor.
Véleményem szerint ezen szabályok betartása és beállítása 90%-ban védi Önt és számítógépét.
P.S. Dropbox nevű felhőt használok. Régi és új, még nem publikált cikkeimet tartom benne. Kényelmes hozzáférés a fájlokhoz a világ bármely pontjáról és bármely számítógépről. Amikor cikkeket ír egy webhelyhez szöveg szerkesztő, A szöveges dokumentumaimat jelszóval mentem, és csak ezután töltöm fel a dropbox szerverre. Soha ne hanyagolja el a szükségtelen biztonságot, amely csak a kezébe kerül.
Kétségtelen, hogy csak most telepített rendszer A Linux sokkal ellenállóbb a különféle rosszindulatú programokkal, kémprogramokkal és hackerekkel szemben Windows verzió... A legtöbb Linux rendszer azonban olyan alapértelmezett beállításokat használ, amelyek nem teljesen biztonságosak.
Néhány Linux disztribúciót úgy terveztek, hogy a lehető legbiztonságosabb legyen, de általában nagyon nehéz az újoncoknak, különösen a nem számítógépes biztonsági szakértőknek.
Az Ubuntu ma a legnépszerűbb Linux disztribúció. Ez számos tényezőnek köszönhető, amelyek közül az egyik az, hogy a legegyszerűbb a kezdő felhasználók számára. Ennek megvan a maga pozitív oldalai, de emiatt is számos gyengeség van a rendszerben, amelyeket a fejlesztők hagytak hátra a felhasználóbarát megoldás mellett. Ebben a cikkben megvizsgáljuk, hogyan történik a biztonsági konfiguráció az Ubuntu 16.04 rendszeren. Ezek a beállítások nem olyan bonyolultak, de segítenek abban, hogy ellenállóbbá tegyék a rendszert a leggyakoribb támadási módszerekkel szemben.
Az első dolog, amit tudnia kell, az, hogy rendszere folyamatosan frissüljön és naprakész legyen. A rendszermag és a szoftver új sebezhetőségét folyamatosan felfedezik, erre példa a Drity COW. A fejlesztők nagyon gyorsan kijavítják ezeket a hibákat, de ahhoz, hogy ezeket a javításokat a rendszerére alkalmazni lehessen, időben frissítenie kell.
Egy másik fontos megjegyzés a felhasználó jelszava. Ne használjon felhasználót jelszó nélkül. Ha meg kell osztania számítógépét másokkal, hozzon létre új fiók pl vendég. De mindig használjon jelszavakat. Üzemeltetési Linux rendszer eredetileg többfelhasználós rendszerként épült, minden felhasználó biztonságát szem előtt tartva, ezért ezt a lehetőséget nem szabad kihagyni. De mindezek a tippek, amelyeket valószínűleg már ismersz, nézzünk meg néhány igazán hasznos módszert az ubuntu biztonságának növelésére.
1. A megosztott memória beállítása
Alapértelmezés szerint a teljes kötet megosztott memória A / run / shm a programok futtatásának lehetőségével olvasható / írható. Ezt biztonsági lyuknak tekintik, és sok kihasználás a / run / shm használatával támadja meg a futó szolgáltatásokat. A legtöbb asztali és különösen szerver eszköz esetén ajánlott ezt a fájlt csak olvasható módban csatlakoztatni. Ehhez adja hozzá a következő sort az / etc / fstab fájlhoz:
sudo vi / etc / fstab
none / run / shm tmpfs alapértelmezett, ro 0 0
Ennek ellenére egyes programok nem működnek, ha a / run / shm csak olvasható, az egyik az Google chrome... Ha a Google Chrome -ot használja, akkor meg kell tartanunk az írási képességet, de megakadályozhatjuk a programok végrehajtását, ehhez adja hozzá a következő sort a fent javasolt helyett:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Tiltsa meg a nem adminisztrátorokat
A fiókja mellett az Ubuntunak is van vendége Fiók amellyel megoszthatja laptopját egy barátjával. A su segédprogram lehetővé teszi a programok futtatását más felhasználóként. Ez nagyon hasznos a rendszer adminisztrációjában, és létfontosságú, ha helyesen alkalmazzák. Ennek ellenére minden Linux -felhasználó hozzáférhet ehhez a segédprogramhoz, és ez már visszaélés. Ha meg szeretné tagadni a vendégfiók hozzáférését a su parancshoz, futtassa:
sudo dpkg -statoverride --frissítés -root sudo 4750 / bin / su hozzáadása
3. Védje otthoni könyvtárát
Az alapértelmezett kezdőkönyvtár a rendszer minden felhasználója számára elérhető lesz. Tehát ha van vendégfiókja, akkor a vendég teljes hozzáféréssel rendelkezhet az összes személyes fájljához és dokumentumához. De csak elérhetővé teheti. Nyisson meg egy terminált, és futtassa a következő parancsot:
chmod 0700 / home / felhasználónév
A jogosultságokat úgy határozza meg, hogy a mappa tulajdonosa, vagyis mindenhez hozzáférjen, és a többi felhasználó nem is láthatja a tartalmat. Alternatív megoldásként 750 engedélyt állíthat be, amelyek olvasási hozzáférést biztosítanak a mappájához az Önnel azonos csoportba tartozó felhasználók számára:
chmod 0750 / home / felhasználónév
Most az Ubuntu 16.04 és különösen a személyes adatok biztonsága valamivel magasabb lesz.
4. Tiltsa le az SSH bejelentkezést rootként
Alapértelmezés szerint az Ubuntuban SSH -t használhat a rendszerben, mint felügyeleti felhasználó. Bár jelszót állít be a root felhasználó számára, ez potenciálisan veszélyes lehet, mert ha a jelszó nagyon egyszerű, akkor a támadó brutálisan erőltetheti, és teljes mértékben átveheti az irányítást a számítógép. Előfordulhat, hogy az sshd szolgáltatás nincs telepítve a rendszerre. A futás ellenőrzése:
Ha a kapcsolat megtagadása üzenetet kap, az azt jelenti, hogy nincs telepítve SSH szerver, és kihagyhatja ezt a lépést. De ha telepítve van, akkor az / etc / ssh / sshd_config konfigurációs fájl segítségével kell konfigurálni. Nyissa meg ezt a fájlt, és cserélje ki a sort:
PermitRootLogin igen
PermitRootLogin sz
Kész, most már nehezebb lesz belépni a rendszerbe, de az ubuntu 16.04 biztonsági konfigurációja még nem fejeződött be.
5. Telepítse a tűzfalat
Lehet, hogy nem csak az ssh szervert telepítette a gépére, hanem egy adatbázis szolgáltatást és apache webszerver vagy nginx. Ha ez otthoni számítógép akkor valószínűleg nem szeretné, ha valaki más csatlakozhatna a helyi webhelyhez vagy adatbázishoz. Ennek elkerülése érdekében telepítenie kell egy tűzfalat. Javasolt a gufw használata az Ubuntu rendszeren, mivel kifejezetten ehhez a rendszerhez készült.
A telepítéshez futtassa:
sudo apt install gufw
Ezután meg kell nyitnia a programot, be kell kapcsolnia a védelmet, és blokkolnia kell az összes bejövő kapcsolatot. Csak a szükséges portokat engedélyezze a böngésző és mások számára híres programok... Olvasson tovább az utasításokban.
6. Védelem az MITM támadások ellen
Az MITM vagy az emberközeli támadás lényege, hogy egy másik személy elfogja az összes csomagot, amelyet a szervernek továbbít, így megkaphatja az összes jelszavát és személyes adatát. Nem tudunk védekezni az összes ilyen támadás ellen, de az MITM támadások egy típusa - az ARP támadás - meglehetősen népszerű a nyilvános helyi hálózatokban. A funkciók használata ARP protokoll a támadó útválasztónak adja ki magát a számítógépe előtt, és Ön elküldi neki az összes adatcsomagot. A TuxCut segédprogram segítségével nagyon könnyen megvédheti magát ettől.
A hivatalos tárolókban nincs program, ezért a telepítéshez le kell töltenie a csomagot a GitHub -ról:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Ezután telepítse a kapott csomagot:
sudo apt install tuxcut_6.1_amd64.deb
A program indítása előtt indítsa el a szolgáltatást:
sudo systemctl indítsa el a tuxcutd parancsot
A segédprogram főablaka így néz ki:
Itt jelenik meg a hálózathoz csatlakozó összes felhasználó IP -címe, valamint a hozzájuk tartozó IP -címek Mac cím... Ha bejelöli a Védelem mód jelölőnégyzetet, a program védelmet nyújt az ARP támadások ellen. Használhatja nyilvános hálózatokon, például nyilvános wifi -n, ahol fél a biztonságáért.
következtetéseket
Nos, ennyi, most az Ubuntu 16.04 biztonsági beállításai befejeződtek, és a rendszer sokkal biztonságosabb. Letiltottuk a hackerek által használt leggyakoribb támadási vektorokat és behatolási módszereket. Ha tud más hasznos módszereket az Ubuntu biztonságának javítására, írjon megjegyzésekben!
Ezt mind tudjuk operációs rendszer A Linux sok biztonságosabb, mint a Windows architektúrája és a felhasználók közötti speciális hozzáférési elosztási rendszer miatt. De a programozók is emberek, bármennyire is szeretjük, ők is tévednek. Ezen hibák miatt lyukak jelennek meg a rendszerben, amelyeken keresztül a támadók megkerülhetik a védelmi rendszereket.
Ezeket a hibákat sebezhetőségnek nevezik, különböző programokban és akár a rendszer magjában is megtalálhatók, aláásva annak biztonságát. Az elmúlt években a Linux népszerűsége növekedni kezdett, és a biztonsági kutatók nagyobb figyelmet fordítanak a rendszerre. Egyre több sebezhetőséget fedeznek fel, és a nyílt forráskódnak köszönhetően nagyon gyorsan kiküszöbölhetők. Ebben a cikkben megvizsgáljuk a legveszélyesebb Linux sebezhetőségeket, amelyeket az elmúlt években fedeztek fel.
Mielőtt továbblépnénk a sebezhetőségek listájához, fontos megérteni, hogy melyek ezek és melyek. Mint mondtam, a sebezhetőség egy program hibája, amely lehetővé teszi a felhasználó számára, hogy a programot úgy használja, ahogy azt a fejlesztője nem tervezte.
Ez lehet a beérkezett adatok helyességének ellenőrzésének hiánya, az adatforrás ellenőrzése, és ami a legérdekesebb, az adatok mérete. A legveszélyesebb biztonsági rések azok, amelyek tetszőleges kód végrehajtását teszik lehetővé. V véletlen hozzáférésű memória minden adat egy bizonyos méretű, és a program célja, hogy adatokat írjon egy bizonyos méretű felhasználótól a memóriába. Ha a felhasználó több adatot továbbít, akkor hibát kell adnia.
De ha a programozó hibát követ el, az adatok felülírják a programkódot, és a processzor megpróbálja végrehajtani, így puffertúlcsordulási sérülékenységeket hoz létre.
Ezenkívül minden sebezhetőséget fel lehet osztani helyire, amelyek csak akkor működnek, ha a hacker hozzáfér helyi számítógépés távoli, ha van elegendő hozzáférés az interneten keresztül. Most térjünk át a sebezhetőségek listájára.
1. Piszkos tehen
A listánk első helyén az ősszel felfedezett friss sebezhetőség szerepel. A Dirty COW név jelentése Copy on Write. A hiba ben jelentkezik fájlrendszer felvétel közben másolás közben. Ez egy helyi biztonsági rés, amely lehetővé teszi, hogy minden jogosulatlan felhasználó teljes hozzáférést kapjon a rendszerhez.
Röviden, a biztonsági rés kihasználásához két fájlra van szükség, az egyik csak a felügyeleti felhasználó nevében írható, a másik számunkra. Elkezdünk adatokat írni a fájlunkba, és sokszor olvasunk a superuser fájlból, egy bizonyos idő elteltével elérkezik az a pillanat, amikor mindkét fájl pufferei összekeverednek, és a felhasználó képes lesz adatokat írni a fájlba. számára elérhetetlen, így odaadhatja magát root jogok rendszerben.
A sérülékenység körülbelül 10 évig volt a kernelben, de felfedezése után gyorsan megszüntették, bár még mindig milliónyi andoid eszköz van, amelyekben a kernelt nem frissítették, és nem gondolkozik, és hol lehet ezt a biztonsági rést kihasználni. A biztonsági rés a CVE-2016-5195 kódot kapta.
2. Glibc sebezhetőség
A biztonsági rés a CVE-2015-7547 kódot kapta. Ez volt az egyik legtöbbet emlegetett nyílt forráskódú sebezhetőség. 2016 februárjában kiderült, hogy a Glibc könyvtárnak van egy nagyon súlyos sebezhetősége, amely lehetővé teszi a támadó számára, hogy végrehajtja kódját egy távoli rendszeren.
Fontos megjegyezni, hogy a Glibc egy megvalósítás szabványos könyvtár C és C ++, amelyet a legtöbben használnak Linux programok, beleértve a szolgáltatásokat és programozási nyelveket, például PHP, Python, Perl.
Hiba történt a válasz elemző kódjában DNS -kiszolgálók... Így a sebezhetőséget kihasználhatják a hackerek, akik DNS -éhez sebezhető gépek fértek hozzá, valamint egy MITM támadás végrehajtásával. A sebezhetőség azonban teljes irányítást biztosított a rendszer felett.
A sérülékenység 2008 óta van a könyvtárban, de az észlelést követően a javítások gyorsan megjelentek.
3. Szívű
2014 -ben fedezték fel az egyik legsúlyosabb sebezhetőséget méretben és hatásban. Ezt az OpenSSL program szívmoduljának hibája okozta, innen a Heartbleed név. A biztonsági rés lehetővé tette, hogy a támadók közvetlen hozzáférést kapjanak a kiszolgáló 64 kilobájt RAM -jához, és a támadás megismételhető, amíg az összes memóriát ki nem olvassák.
Annak ellenére, hogy a javítás nagyon gyorsan megjelent, sok webhelyet és alkalmazást érintett. Valójában a HTTPS protokollt használó összes webhely sebezhető volt. A támadók megkaphatják a felhasználói jelszavakat, személyes adataikat és mindent, ami a támadás idején a memóriában volt. A biztonsági rés a CVE-2014-0160 kódot kapta.
4. Stagefright
Ha egy biztonsági rés kódnevet kapott, az egyértelműen azt jelenti, hogy figyelmet érdemel. A Stagerfight sebezhetőség sem kivétel. Igaz, ez nem igazán Linux probléma. A Stagefright egy könyvtár a multimédiás formátumok kezelésére Androidon.
C ++ nyelven van megvalósítva, ami azt jelenti, hogy megkerül minden Java biztonsági mechanizmust. 2015 -ben a biztonsági rések egész csoportját fedezték fel, amelyek lehetővé tették tetszőleges kód távoli végrehajtását a rendszeren. Ezek a CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 és CVE-2015-3829.
A támadónak csak egy MMS -t kellett küldenie egy sérülékeny okostelefonra egy speciálisan módosított médiafájllal, és teljes ellenőrzést kapott az eszköz felett, és képes volt adatokat írni és olvasni a memóriakártyáról. A sebezhetőséget az Android fejlesztői javították, de továbbra is eszközök milliói vannak sebezve.
5. A kernel nulla napi sebezhetősége
Ez egy helyi biztonsági rés, amely lehetővé teszi, hogy a jelenlegi felhasználót gyökeressé tegye a rendszer hibája miatt a memóriában tárolt kriptográfiai adatok kezelésében. 2016 februárjában fedezték fel, és a 3.8 -tól kezdődő összes kernelre kiterjedtek, ami azt jelenti, hogy a sérülékenység 4 éve létezik.
A hibát hackerek vagy rosszindulatú programok kihasználhatták szoftver hogy növeljék hatásköreiket a rendszerben, de nagyon gyorsan kijavították.
6. Sebezhetőség a MySQL -ben
Ez a biztonsági rés a CVE-2016-6662 kód volt, és a MySQL adatbázis-kiszolgáló összes elérhető verzióját (5.7.15, 5.6.33 és 5.5.52), az Oracle adatbázisokat, valamint a MariaDB és a PerconaDB klónokat érintette.
A támadók teljes hozzáférést kaphatnak a rendszerhez SQL lekérdezés egy kódot adtak át, amely lehetővé tette a my.conf saját verzióra történő cseréjét és a szerver újraindítását. Fellépésre is volt lehetőség rosszindulatú kód szuperfelhasználói jogokkal.
A MariaDB és a PerconaDB meglehetősen gyorsan kiadta a javításokat, az Oracle reagált, de sokkal később.
7. Shellshock
Ezt a sérülékenységet 2014 -ben fedezték fel, mielőtt 22 évig fennállt volna. A CVE-2014-6271 kódot és a Shellshock kódnevet kapta. Ez a sérülékenység súlyossága összehasonlítható a már ismert Heartbleed -vel. Ezt a Bash parancsértelmező hibája okozza, ami a legtöbb Linux disztribúció alapértelmezettje.
A Bash lehetővé teszi a környezeti változók deklarálását felhasználói hitelesítés nélkül, és együtt bármilyen parancsot futtathat bennük. Ez különösen veszélyes a legtöbb webhely által támogatott CGI -szkriptekben. Nem csak a szerverek sérülékenyek, hanem személyi számítógépek felhasználók, útválasztók és egyéb eszközök. Valójában a támadó bármilyen parancsot távolról végrehajthat; ez egy teljes értékű távirányító hitelesítés nélkül.
A Bash összes verziója érintett, beleértve a 4.3 -at is, bár a probléma felfedezése után a fejlesztők nagyon gyorsan kiadtak egy javítást.
8. Quadrooter
Ez az Android biztonsági réseinek egész sora, amelyeket 2016 augusztusában fedeztek fel. Megkapták a CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 kódokat. Több mint 900 millióan hibáznak Android -eszközök... A Qualcomm processzor ARM illesztőprogramjában minden sebezhetőséget megtaláltak, és mindegyik kihasználható gyökeret ereszteni hozzáférést a készülékhez.
A DirtyCOW -hoz hasonlóan itt sincs szüksége hitelesítő adatokra, csak telepítenie kell egy rosszindulatú alkalmazást, és képes lesz az összes adat megszerzésére és a támadónak való továbbítására.
9. Sebezhetőség az OpenJDK -ban
Ez egy nagyon súlyos linux 2016 sebezhetőség az OpenJDK Java gépen, CVE-2016-0636 kóddal, és minden Oracle Java SE 7 frissítést és 73. és 74. frissítést futtató felhasználót érint Windows, Solaris, Linux és Mac OS X rendszereken. Lehetővé teszi, hogy a támadó tetszőleges kódot hajtson végre a Java gépen kívül, ha egy speciális oldalt nyit meg a böngészőben a Java sérülékeny verziójával.
Ez lehetővé tette a támadó számára, hogy hozzáférjen a jelszavaihoz, személyes adataihoz, és futtasson programokat a számítógépén. Minden változatban Java hiba nagyon gyorsan kijavították, 2013 óta létezik.
10. A HTTP / 2 protokoll sérülékenysége
Ez a biztonsági rések egész sora, amelyeket 2016 -ban fedeztek fel a HTTP / 2 protokollban. Megkapták a CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 kódokat. A protokoll minden megvalósítását érintette az Apache, a Nginx Microsoft, a Jetty és az nghttp2.
Mindegyik lehetővé teszi a támadó számára, hogy drámaian lelassítsa a webszervert és végrehajtsa a szolgáltatásmegtagadási támadást. Például az egyik hiba egy kis üzenet küldésének lehetőségéhez vezetett, amelyet a szerveren gigabájtokba csomagoltak. A hiba nagyon gyorsan kijavításra került, ezért nem okozott sok ziccert a közösségben.
Biztonságban vagy?
Ebben a cikkben a legveszélyesebb Linux -biztonsági réseket ismertettük 2016 -ban, 2015 -ben és 2014 -ben. Legtöbbjük komoly károkat okozhat a rendszerekben, ha nem javítják időben. A nyílt forráskódnak köszönhetően az ilyen Linux sebezhetőségek hatékonyan észlelhetők és gyorsan kijavíthatók. Csak ne felejtse el frissíteni a rendszert. Az egyetlen probléma továbbra is az Androidon van. Egyes eszközök már nem kapnak frissítéseket, és erre a problémára még nincs megoldás.
Általános tévhit, hogy a Linux szerverek a legbiztonságosabbak és védettek a külső behatolásoktól. Sajnos ez nem így van, bármely szerver biztonsága számos tényezőtől és intézkedéstől függ, és gyakorlatilag nem függ az alkalmazott operációs rendszertől.
Úgy döntöttünk, hogy elindítunk egy cikksorozatot, amelynek szenteltük hálózati biztonság az Ubuntu Serverrel, mivel ezen a platformon a megoldások nagy érdeklődést mutatnak olvasóink számára, és mivel sokan azt gondolják, hogy a Linux megoldások önmagukban biztonságosak.
Ugyanakkor a dedikált IP -címmel rendelkező útválasztó "átjáró" a helyi hálózathoz, és csak az adminisztrátor határozza meg, hogy ezek a kapuk megbízható akadályok lesznek -e, vagy szögekkel lezárt dacha -kapuk lesznek.
Egy másik gyakori tévhit, érvelés a stílusban: "de kinek van szüksége rá, a szerverünk, nincs semmi érdekes." Valójában a helyi hálózat nem feltétlenül érdekli a támadókat, de kompromittált szervert használhatnak spam küldésére, más szerverek elleni támadásokra, anonim proxyra, röviden, sötét tetteik kiindulópontjaként.
Ez pedig már kellemetlen, és különféle problémák forrása lehet: a szolgáltatótól a bűnüldöző szervekig. És a vírusok terjedéséről, lopásról és pusztításról fontos információ azt sem érdemes elfelejteni, valamint azt, hogy a vállalkozás leállása egészen kézzelfogható veszteségekhez vezet.
Bár ez a cikk az Ubuntu Serverről szól, először megnézzük általános kérdések biztonság, amelyek minden platform számára egyformán relevánsak, és ezek az alapok, amelyek nélkül nincs értelme a kérdést részletesebben tárgyalni.
Hol kezdődik a biztonság?
Nem, a biztonság nem tűzfallal kezdődik, hardverrel egyáltalán nem, a biztonság a felhasználóval kezdődik. Végül is mi haszna a legjobb szakemberek által beszerelt legmenőbb fém ajtónak, ha a tulajdonos a kulcsot a szőnyeg alatt hagyja?
Ezért az első dolog, amit meg kell tennie, egy biztonsági audit elvégzése. Ne ijedjen meg ettől a szótól, minden nem olyan bonyolult: rajzoljon egy sematikus hálózati tervet, amelyen megjelöli a biztonságos területet, a potenciális veszélyes területet és a nagy veszélyt jelentő területet, és készítsen egy listát azokról a felhasználókról, akiknek (hozzáféréssel kell rendelkezniük) ) ezekre a területekre.
A biztonságos zónának tartalmaznia kell a hálózat azon belső erőforrásait, amelyekhez kívülről nem lehet hozzáférni, és amelyek számára megengedett alacsony szint Biztonság. Ezek lehetnek munkaállomások, fájlszerverek stb. olyan eszközök, amelyekhez a vállalkozás helyi hálózatára van korlátozva.
A potenciális veszélyzónába azok a szerverek és eszközök tartoznak, amelyek nem rendelkeznek közvetlen hozzáféréssel a külső hálózathoz, de amelyek egyedi szolgáltatásai kívülről érhetők el, például a tűzfal mögött elhelyezkedő web- és levelezőszerverek, de ugyanakkor kiszolgálják a a külső hálózat.
A veszélyes területnek kívülről közvetlenül hozzáférhető eszközöket kell tartalmaznia, ideális esetben egy útválasztónak kell lennie.
Ha lehetséges, a potenciálisan veszélyes zónát külön alhálózatba kell helyezni - a demilitarizált zónába (DMZ), amelyet egy további tűzfal választ el a főhálózattól.
A helyi hálózaton lévő eszközöknek csak azokhoz a szolgáltatásokhoz kell hozzáférniük a DMZ -ben, amelyekre szükségük van, például SMTP, POP3, HTTP, más kapcsolatokat le kell tiltani. Ez megbízhatóan elkülöníti a támadót vagy rosszindulatú programot, amely kihasználta a biztonsági rést egy külön szolgáltatásban, a DMZ -ben azáltal, hogy megtagadta tőlük a hozzáférést a fő hálózathoz.
Fizikailag a DMZ megszervezhető külön szerver / hardver tűzfal telepítésével vagy egy további hálózati kártya hozzáadásával az útválasztóhoz, de ez utóbbi esetben fokozottan figyelnie kell az útválasztó biztonságára. De mindenesetre egyetlen szerver védelme sokkal könnyebb, mint egy szervercsoport.
A következő lépés a felhasználók listájának elemzése, függetlenül attól, hogy mindannyian hozzáférnek -e a DMZ -hez és az útválasztóhoz (kivéve a közszolgáltatásokat), különös figyelmet kell fordítani a kívülről csatlakozó felhasználókra.
Általában ez egy nagyon népszerűtlen lépést igényel - a jelszószabályzat érvényesítését. A kritikus szolgáltatásokhoz hozzáférő és kívülről csatlakozni tudó felhasználók minden jelszavának legalább 6 karaktert kell tartalmaznia, és a kisbetűn kívül két három kategóriás karaktert is tartalmaznia kell: nagybetűket, számokat, nem betűket.
Ezenkívül a jelszó nem tartalmazhatja a felhasználó bejelentkezését vagy annak egy részét, nem tartalmazhat dátumokat és neveket, amelyek a felhasználóhoz társíthatók, és lehetőleg ne legyen szótári szó.
Érdemes 30-40 naponta cserélni a jelszavakat. Nyilvánvaló, hogy egy ilyen házirend elutasítást okozhat a felhasználók körében, de mindig emlékezzen arra, hogy a jelszavak, mint a 123 vagy qwerty egyenlő azzal, hogy kulcsot hagynak a szőnyeg alatt.
A szerver biztonsága nem más.
Most, hogy van elképzelésünk arról, hogy mit és mit akarunk védeni, térjünk át magára a szerverre. Készítsen listát az összes szolgáltatásról és szolgáltatásról, majd gondolja át, hogy szükség van -e ezekre a szerverekre, vagy kivehető -e valahová.
Minél kevesebb szolgáltatás, annál könnyebb biztosítani a biztonságot, annál kisebb az esélye annak, hogy valamelyik szerver veszélybe kerül egy kritikus biztonsági rés miatt.
Állítsa be a kiszolgáló szolgáltatásokat helyi hálózat(pl. tintahal), hogy csak a helyi felületről érkező kéréseket fogadják el. Minél kevesebb külső szolgáltatás érhető el, annál jobb.
A biztonsági segítségnyújtás jó segítője a sebezhetőségi szkenner, amelyet ellenőrizni kell eleje szerver. Az egyik leghíresebb termék - az XSpider 7.7 - demo verzióját használtuk.
A szkenner mutatja nyitott portok, megpróbálja meghatározni a futó szolgáltatás típusát, és ha sikeres, akkor a biztonsági réseket. Mint látható, a megfelelően konfigurált rendszer meglehetősen biztonságos, de nem szabad a kulcsot a szőnyeg alatt hagyni, az 1723 (VPN) és a 3389 (RDP, terminálkiszolgálóra továbbított) nyitott portok jelenléte az útválasztón jó ok arra, hogy a jelszó -házirenden gondolkodjon.
Külön érdemes beszélni az SSH biztonságról, ezt a szolgáltatást általában a rendszergazdák használják távirányító szerver, és fokozott érdeklődést mutat a kiberbűnözők iránt. Az SSH beállításokat egy fájl tárolja / etc / ssh / sshd_config, az alábbiakban leírt összes módosítás végrehajtásra kerül. Először is tiltsa le a jogosultságot a root felhasználó alatt, ehhez adja hozzá a lehetőséget:
PermitRootLogin sz
A támadónak nemcsak a jelszót kell kitalálnia, hanem a bejelentkezést is, miközben továbbra sem fogja tudni a superuser jelszót (reméljük, hogy nem egyezik a jelszavával). Minden adminisztrációs feladatot, amikor kívülről csatlakozik, alulról kell elvégezni sudo jogosulatlan felhasználóként bejelentkezve.
Érdemes kifejezetten megadni az engedélyezett felhasználók listáját, miközben használhat olyan rekordokat, mint a [e -mail védett] amely lehetővé teszi a megadott felhasználó számára, hogy csak a megadott hosztról csatlakozzon. Például, hogy lehetővé tegye az ivanov felhasználó számára, hogy otthonról csatlakozzon (IP 1.2.3.4), adja hozzá a következő bejegyzést:
AllowUser [e -mail védett]
Szintén tiltsa az elavult és a kevésbé használható eszközök használatát biztonságos protokoll Az SSH1, amely csak a protokoll második verzióját teszi lehetővé, adja meg következő sor nézni:
2. jegyzőkönyv
A megtett intézkedések ellenére az SSH -hoz és más közszolgáltatásokhoz való kapcsolódási kísérletek továbbra is a jelszó kitalálásának megakadályozása érdekében történnek, használja a segédprogramot fail2ban, amely lehetővé teszi a felhasználó automatikus kitiltását több sikertelen bejelentkezési kísérlet után. Telepítheti a következő paranccsal:
Sudo apt-get install fail2ban
Ez a segédprogram azonnal telepítés után készen áll a munkára, azonban azt tanácsoljuk, hogy azonnal változtasson meg néhány paramétert, ehhez hajtsa végre a fájl módosítását /etc/fail2ban/jail.conf... Alapértelmezés szerint csak az SSH -hozzáférés van szabályozva, és a kitiltási idő 10 perc (600 másodperc), véleményünk szerint érdemes növelni a következő lehetőség megváltoztatásával:
Bantime = 6000
Ezután görgesse végig a fájlt, és engedélyezze a rendszeren futó szolgáltatások szakaszát a paraméter beállításával a megfelelő szakasz neve után engedélyezve Egy államban igaz például a szervizhez proftpdígy fog kinézni:
engedélyezett = igaz
Egy másik fontos paraméter maxretry, amely felelős a csatlakozási kísérletek maximális számáért. A beállítások módosítása után ne felejtse el újraindítani a szolgáltatást:
Sudo /etc/init.d/fail2ban újraindítás
Itt láthatja a segédprogram naplóját /var/log/fail2ban.log.
A 2015 -ös éves LinuxCon konferencián Linus Torvalds, a GNU / Linux kernel létrehozója elmondta véleményét a rendszer biztonságáról. Hangsúlyozta, hogy bizonyos hibák jelenlétének hatását megfelelő védelemmel kell enyhíteni, hogy ha az egyik komponens meghibásodik, a következő réteg átfedje a problémát.
Ebben a cikkben megpróbáljuk gyakorlati szempontból lefedni ezt a témát:
7. Telepítsen tűzfalakat
A közelmúltban egy új biztonsági rés történt, amely lehetővé tette a DDoS támadásokat a Linux szervereken. A rendszer kerneljében egy hiba jelent meg a 3.6 -os verzióval 2012 végén. A biztonsági rés lehetővé teszi, hogy a hackerek vírusokat juttassanak a letöltött fájlokba, weboldalakba, és feltárják a Tor -kapcsolatokat, és nem sok erőfeszítést igényel a feltörés - az IP -hamisítási módszer működni fog.A titkosított HTTPS vagy SSH kapcsolatok legnagyobb kárt okozhatnak a kapcsolat megszakításában, de a támadó új tartalmat helyezhet el a nem védett forgalomban, beleértve rosszindulatú... Az ilyen támadások elleni védelem érdekében tűzfal alkalmas.
Blokkolja a hozzáférést a tűzfallal
A tűzfal az egyik legfontosabb eszköz a nem kívánt blokkolására bejövő forgalom... Javasoljuk, hogy csak azt a forgalmat engedélyezze, amire valóban szüksége van, és minden mást teljesen tagadjon le.
A legtöbb Linux disztribúció rendelkezik iptables vezérlővel a csomagszűréshez. Általában használják tapasztalt felhasználók, és az egyszerűsített konfiguráció érdekében használhatja az UFW segédprogramokat a Debian / Ubuntu vagy a FirewallD alkalmazásban a Fedorában.
8. Tiltsa le a szükségtelen szolgáltatásokat
A Virginiai Egyetem szakértői azt javasolják, hogy kapcsoljon ki minden olyan szolgáltatást, amelyet nem használ. Néhány háttérfolyamatok automatikus betöltésre van állítva, és addig fut, amíg a rendszer le nem áll. Ezen programok konfigurálásához ellenőrizze az init parancsfájlokat. A szolgáltatások indíthatók az inetd vagy az xinetd segítségével.Ha a rendszer az inetd segítségével van konfigurálva, akkor az /etc/inetd.conf fájlban szerkesztheti a háttérben futó "démon" programok listáját; a szolgáltatás betöltésének letiltásához csak tegyen egy "#" jelet a sort, a végrehajthatóból megjegyzéssé változtatva.
Ha a rendszer az xinetd -t használja, akkor annak konfigurációja az /etc/xinetd.d könyvtárban lesz. Minden könyvtárfájl definiál egy szolgáltatást, amely letiltható a disable = yes megadásával, például ebben a példában:
Szolgáltatás ujja (socket_type = stream wait = nincs felhasználó = senki kiszolgáló = /usr/sbin/in.fingerd disable = yes)
Érdemes ellenőrizni azokat a tartós folyamatokat is, amelyeket nem az inetd vagy az xinetd kezel. Az indítási parancsfájlokat az /etc/init.d vagy / etc / inittab könyvtárakban konfigurálhatja. A módosítások után futtassa a parancsot root fiókként.
/etc/rc.d/init.d/inet restart
9. Védje fizikailag a szervert
Lehetetlen teljesen védekezni a támadó támadások ellen fizikai hozzáférés a szerverhez. Ezért biztosítani kell a helyiséget, ahol a rendszer található. Az adatközpontok komolyan figyelik a biztonságot, korlátozzák a kiszolgálókhoz való hozzáférést, biztonsági kamerákat telepítenek és állandó biztonságot rendelnek hozzá.Az adatközpontba való belépéshez minden látogatónak át kell esnie a hitelesítés bizonyos szakaszain. Emellett erősen ajánlott a mozgásérzékelők használata a központ minden területén.
10. Védje a szervert az illetéktelen hozzáféréstől
Egy jogosulatlan hozzáférési rendszer vagy IDS adatokat gyűjt a rendszer konfigurációjáról és fájljairól, majd összehasonlítja ezeket az adatokat új módosításokkal annak megállapítása érdekében, hogy károsak -e a rendszerre.Például a Tripwire és az Aide eszközök adatbázisokat gyűjtenek rendszerfájlokés kulccsal védje meg őket. A Psad a gyanús tevékenységek nyomon követésére szolgál tűzfaljelentések segítségével.
A Bro célja a hálózat figyelése, a gyanús tevékenységi minták követése, statisztikák gyűjtése, rendszerparancsok végrehajtása és riasztások generálása. Az RKHunter védelmet nyújt a vírusok, leggyakrabban rootkitek ellen. Ez a segédprogram ellenőrzi a rendszerben az ismert biztonsági réseket, és képes azonosítani az alkalmazások nem biztonságos beállításait.
