Իհարկե, դա կարող ենք ասել Linuxավելին ապահով(պաշտպանված է), քան Windows- ը: Անվտանգություն v Linuxներկառուցված և ոչ թե կողքից ինչ-որ տեղ պտուտակված, քանի որ այն իրականացվում է Windows- ում: Անվտանգությունհամակարգերը Linuxընդգրկում է միջուկը մինչև աշխատասեղան, բայց հավանականությունը մեծ է, որ հաքերները վնասեն ձեր տնային գրացուցակին (/ տուն):
Ձեր բայթ լուսանկարները, տնային տեսանյութերը, փաստաթղթերը և վարկային քարտի կամ դրամապանակի տվյալները համակարգչի ամենաթանկ տեղեկատվությունն են: Անշուշտ, Linux- ը ենթակա չէ բոլոր տեսակի ինտերնետ ճիճուների և Windows վիրուսների: Բայց հարձակվողները կարող են ձեր տնային գրացուցակում ձեր տվյալներին մուտք գործելու միջոց գտնել:
Պատրաստում եք ձեր հին համակարգիչը կամ HDDՆախքան ֆորմատավորում վաճառելը, ըստ ձեզ, դա բավարար կլինի՞: Կան բազմաթիվ տոննա տվյալների վերականգնման գործիքներ: Հաքերը կարող է հեշտությամբ վերականգնել ձեր տվյալները կոշտ սկավառականկախ այն OS- ից, որի վրա աշխատում էիք:
Այս թեմայի շուրջ ես հիշում եմ մեկ ընկերության փորձը օգտագործված համակարգիչների և սկավառակների հետգնման հարցում: Իրենց գործունեության ընթացքում նրանք վճիռ կայացրեցին, որ իրենց համակարգիչների նախկին սեփականատերերի 90% -ը վաճառքից առաջ պատշաճ կերպով չեն հոգացել իրենց պահեստային միջոցների մաքրման մասին: Եվ նրանք արդյունահանում էին տվյալների շատ բծախնդիր բայթեր: Նույնիսկ սարսափելի է պատկերացնել, որ ինչ -որ տեղ ձեր կոշտ սկավառակի աղբարկղում կա տեղեկատվություն `մուտքագրելու ձեր ինտերնետային բանկը կամ առցանց դրամապանակը:
Սկսեք Linux- ի անվտանգության հիմունքներից
Եկեք անցնենք հիմնականին (), որը կգործի գրեթե ցանկացածի համար 
Linux բաշխումներ:
Եկեք ծածկագրենք ֆայլային համակարգը Linux- ում `Linux- ի ավելի ամբողջական անվտանգության համար
Օգտվողի գաղտնաբառերը չեն լուծի խնդիրը, եթե իսկապես ցանկանում եք, որ ոչ ոք չկարողանա կարդալ ձեր տնային գրացուցակը (/ տուն) կամ բայթերի որոշակի չափը: Դուք կարող եք դա անել այնպես, որ նույնիսկ ամենաբարձր արմատային արտոնություններ ունեցող օգտվողը չկարողանա քիթը ծակել:
Sensitiveնջել զգայուն ֆայլերը, որպեսզի ոչ ոք չկարողանա վերականգնել դրանք
Եթե որոշեք վաճառել կամ նվիրաբերել ձեր համակարգիչը կամ պահեստային միջոցը, մի կարծեք, որ պարզ ձևաչափումը ընդմիշտ կջնջի ձեր ֆայլերը: Դուք կարող եք տեղադրել անվտանգ ջնջման գործիքը ձեր Linux- ում, որը ներառում է ֆայլերի անվտանգ ջնջման srm ծրագիրը:
Բացի այդ, մի մոռացեք Linux միջուկ firewall: Linux- ի բոլոր բաշխումները ներառում են lptables, որը միջուկի մի մասն է: Lptables- ը թույլ է տալիս զտել ցանցի փաթեթները: Իհարկե, դուք կարող եք կարգավորել այս օգտակար ծրագիրը տերմինալում: Բայց այս մեթոդը շատերի, այդ թվում ՝ իմ ուժերից վեր է: Այսպիսով, ես ստեղծեցի և ստեղծեցի այնքան հեշտ, կարծես խաղ էի խաղում:
Ինչպես բոլոր օպերացիոն համակարգերը, այնպես էլ Linux- ը հակված է կուտակելու աղբը տարբեր ծրագրեր գործարկելիս: Եվ սա նրա Linux- ի մեղքը չէ, քանի որ տարբեր ծրագրեր, ինչպիսիք են զննարկիչները, տեքստային խմբագրիչները և նույնիսկ վիդեո նվագարկիչները, չեն աշխատում միջուկի մակարդակում և կուտակում են ժամանակավոր ֆայլեր: Աղբի համընդհանուր հեռացման համար կարող եք տեղադրել BleachBit կոմունալը:
Անանուն սերֆինգ, ձեր IP- ի թաքցնելը շատ կարևոր է Linux- ում ձեր ինքնության անվտանգության համար
Եզրափակելով, ես ուզում եմ ձեզ պատմել անանուն վեբ ճամփորդության մասին: Երբեմն պատահում է, որ դա անհրաժեշտ է, ինչպես ես եմ անում, երբ կնոջիցս գաղտնի այցելում եմ էրոտիկ բովանդակությամբ կայքեր: Իհարկե կատակ էի անում:
Հարձակվողների համար դժվար կլինի հասնել ձեզ, եթե նրանք չկարողանան որոշել ձեր գտնվելու վայրը: Մենք հետքերը ծածկում ենք միասին աշխատող երկու կոմունալ ծառայությունների պարզ կազմաձևով, որոնք կոչվում են privoxy և tor:
Իմ կարծիքով, այս բոլոր կանոններին հետևելը և կազմաձևելը կպաշտպանի ձեզ և ձեր համակարգչին 90%-ով:
Պ.Ս. Ես օգտագործում եմ ամպ, որը կոչվում է dropbox: Ես այնտեղ պահում եմ իմ հին ու նոր, դեռ չհրապարակված հոդվածները: Հարմար է ձեր ֆայլերին մուտք ունենալ աշխարհի ցանկացած վայրից և ցանկացած համակարգչից: Կայքի համար հոդվածներ գրելիս տեքստային խմբագիր, Ես պահում եմ իմ տեքստային փաստաթղթերը գաղտնաբառով և միայն դրանից հետո եմ այն վերբեռնում dropbox սերվերում: Երբեք չպետք է անտեսեք անհարկի անվտանգությունը, որը միայն կխաղա ձեր ձեռքերում:
Անկասկած, հենց հիմա տեղադրված համակարգ Linux- ը շատ ավելի դիմացկուն է տարբեր չարամիտ ծրագրերի, լրտեսող ծրագրերի և հաքերների նկատմամբ, քան նույնը Windows տարբերակ... Այնուամենայնիվ, Linux համակարգերի մեծամասնությունը օգտագործում է լռելյայն կարգավորումներ, որոնք իրենց բնույթով ամբողջությամբ ապահով չեն:
Linux- ի որոշ բաշխումներ նախագծված են հնարավորինս անվտանգ տուփից դուրս, բայց դրանք շատ դժվար են սկսնակների համար, հատկապես ոչ համակարգչային անվտանգության փորձագետների համար:
Ubuntu- ն այսօր օգտագործվող Linux- ի ամենահայտնի բաշխումն է: Դա պայմանավորված է բազմաթիվ գործոններով, որոնցից մեկն այն է, որ այն ամենահեշտն է սկսնակ օգտվողների համար: Սա ունի իր սեփականը դրական կողմեր, բայց նաև այս պատճառով, համակարգում կան մի քանի թույլ կողմեր, որոնք մշակողները թողել են ՝ ընտրելով օգտվողի բարեկամությունը: Այս հոդվածում մենք կանդրադառնանք, թե ինչպես է անվտանգության կարգավորումը կատարվում Ubuntu 16.04 -ում: Այս պարամետրերն այնքան էլ բարդ չեն, բայց դրանք կօգնեն ձեզ համակարգն ավելի դիմացկուն դարձնել հարձակման ամենատարածված մեթոդներին:
Առաջին բանը, որ դուք պետք է իմանաք, ձեր համակարգն անընդհատ թարմացված և արդիական պահելն է: Անընդհատ հայտնաբերվում են միջուկի և ծրագրակազմի նոր խոցելի կետեր, օրինակ ՝ նույն Drity COW- ն: Մշակողները շատ արագ շտկում են այդ սխալները, սակայն ձեր համակարգում այդ շտկումները կիրառելու համար հարկավոր է այն ժամանակին թարմացնել:
Մեկ այլ կարևոր նշում է օգտվողի գաղտնաբառը: Մի օգտագործեք օգտվող առանց գաղտնաբառի: Եթե Ձեզ անհրաժեշտ է կիսել ձեր համակարգիչը այլ մարդկանց հետ, ստեղծեք նոր հաշիվօրինակ հյուր. Բայց միշտ օգտագործեք գաղտնաբառեր: Գործում է Linux համակարգի սկզբանե կառուցվել է որպես բազմաօգտագործող համակարգ ՝ ապահովությունը հաշվի առնելով բոլոր օգտագործողների համար, ուստի այս հնարավորությունը չպետք է բաց թողնել: Բայց սրանք այն բոլոր խորհուրդներն են, որոնք դուք հավանաբար արդեն գիտեք: Եկեք նայենք ubuntu- ի անվտանգությունը բարձրացնելու իսկապես օգտակար եղանակներին:
1. Ընդհանուր հիշողության ստեղծում
Լռելյայն ՝ ամբողջ ծավալը ընդհանուր հիշողություն/ run / shm- ը կարդում / գրում է ծրագրեր գործարկելու ունակությամբ: Սա համարվում է անվտանգության անցք, և շատ շահագործումներ օգտագործում են / run / shm ՝ գործող ծառայությունների վրա հարձակվելու համար: Շատ աշխատասեղանների և հատկապես սերվերային սարքերի համար խորհուրդ է տրվում տեղադրել այս ֆայլը միայն կարդալու ռեժիմում: Դա անելու համար ավելացրեք հետևյալ տողը / etc / fstab- ին.
sudo vi / etc / fstab
none / run / shm tmpfs կանխադրված, ro 0 0
Այնուամենայնիվ, որոշ ծրագրեր չեն գործի, եթե / run / shm- ը միայն կարդալու համար է, դրանցից մեկն է Google Chrome... Եթե դուք օգտագործում եք Google Chrome- ը, ապա մենք պետք է պահպանենք գրելու ունակությունը, բայց կարող ենք կանխել ծրագրերի կատարումը, դրա համար վերը նշված տողի փոխարեն ավելացրեք հետևյալ տողը.
ոչ մեկը / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Արգելված է ոչ ադմինիստրատորների համար
Բացի ձեր հաշվից, Ubuntu- ն ունի նաև հյուր Հաշիվորը կարող եք օգտագործել ձեր նոութբուքը ընկերոջ հետ կիսելու համար: Su կոմունալը թույլ է տալիս ծրագրեր գործարկել որպես այլ օգտվող: Այն շատ օգտակար է համակարգի կառավարման մեջ և կենսական է ճիշտ կիրառման դեպքում: Բայց, այնուամենայնիվ, Linux- ի բոլոր օգտվողները կարող են մուտք գործել այս օգտակար ծառայություն, և դա արդեն չարաշահում է: Հյուրի հաշվի մուտքը su հրահանգին մերժելու համար գործարկեք.
sudo dpkg -statoverride -թարմացում -ավելացնել արմատ sudo 4750 / bin / su
3. Պաշտպանեք ձեր տան գրացուցակը
Ձեր կանխադրված տնային գրացուցակը հասանելի կլինի համակարգի յուրաքանչյուր օգտագործողի համար: Այսպիսով, եթե ունեք հյուրի հաշիվ, ապա հյուրը կարող է լիարժեք մուտք ունենալ ձեր բոլոր անձնական ֆայլերին և փաստաթղթերին: Բայց դուք կարող եք դա միայն ձեզ հասանելի դարձնել: Բացեք տերմինալը և գործարկեք հետևյալ հրամանը.
chmod 0700 / տուն / օգտվողի անուն
Այն իրավունքներն այնպես է սահմանում, որ թղթապանակի սեփականատերը, այսինքն ՝ դու ամեն ինչից մուտք ունես, իսկ մյուս օգտվողները նույնիսկ չեն կարող տեսնել բովանդակությունը: Այլապես, կարող եք սահմանել 750 թույլտվություն, որը ընթերցման հասանելիություն կտա ձեր թղթապանակին նույն խմբում գտնվող օգտվողների համար.
chmod 0750 / տուն / օգտվողի անուն
Այժմ Ubuntu 16.04- ի և հատկապես ձեր անձնական տվյալների անվտանգությունը մի փոքր ավելի բարձր կլինի:
4. Անջատեք SSH մուտքը որպես արմատ
Լռելյայն, Ubuntu- ում կարող եք SSH- ի համակարգ մտնել որպես գերօգտագործող: Թեև գաղտնաբառ եք դնում արմատային օգտվողի համար, բայց դա կարող է պոտենցիալ վտանգավոր լինել, քանի որ եթե գաղտնաբառը շատ պարզ է, հարձակվողը կարող է կոպտորեն ուժ կիրառել այն և լիովին վերահսկել համակարգիչը: Sshd ծառայությունը կարող է տեղադրված չլինել ձեր համակարգում: Գործողությունը ստուգելու համար.
Եթե կապից հրաժարվելու հաղորդագրություն եք ստանում, նշանակում է, որ SSH սերվեր տեղադրված չէ, և կարող եք բաց թողնել այս քայլը: Բայց եթե այն տեղադրված է, ապա այն պետք է կազմաձևվի ՝ օգտագործելով / etc / ssh / sshd_config կազմաձևման ֆայլը: Բացեք այս ֆայլը և փոխարինեք տողը.
PermitRootLogin այո
PermitRootLogin No.
Կատարված է, այժմ ավելի դժվար կլինի ներմուծել ձեր համակարգը, սակայն ubuntu 16.04- ում անվտանգության կարգավորումները դեռ ամբողջական չեն:
5. Տեղադրեք firewall- ը
Գուցե դուք ունեք ոչ միայն ssh սերվեր ձեր մեքենայի վրա, այլև տվյալների բազայի ծառայություն և apache վեբ սերվերկամ nginx. Եթե սա տնային համակարգիչապա ամենայն հավանականությամբ դուք չէիք ցանկանա, որ մեկ ուրիշը կարողանա միանալ ձեր տեղական կայքին կամ տվյալների բազային: Դա կանխելու համար հարկավոր է տեղադրել firewall: Խորհուրդ է տրվում օգտագործել gufw- ն Ubuntu- ում, քանի որ այն հատուկ նախագծված է այս համակարգի համար:
Տեղադրելու համար գործարկեք.
sudo apt տեղադրել gufw
Այնուհետեւ դուք պետք է բացեք ծրագիրը, միացրեք պաշտպանությունը եւ արգելափակեք բոլոր մուտքային կապերը: Թույլատրել միայն անհրաժեշտ նավահանգիստները դիտարկիչի և այլոց համար հայտնի ծրագրեր... Ավելին կարդացեք հրահանգներում:
6. Պաշտպանություն MITM հարձակումներից
MITM- ի կամ Man-in-the-Middle- ի հարձակման էությունն այն է, որ մեկ այլ անձ գաղտնալսում է այն բոլոր փաթեթները, որոնք դուք փոխանցում եք սերվերին, ուստի կարող է ստանալ ձեր բոլոր գաղտնաբառերն ու անձնական տվյալները: Մենք չենք կարող պաշտպանվել այս տեսակի բոլոր հարձակումներից, բայց MITM հարձակումների մի տեսակ ՝ ARP հարձակում, բավականին տարածված է հանրային տեղական ցանցերում: Օգտագործելով հնարավորություններ ARP արձանագրությունհարձակվողը ձևացնում է, թե երթուղիչ է ձեր համակարգչի դիմաց, և դուք նրան ուղարկում եք ձեր տվյալների բոլոր փաթեթները: Դուք կարող եք շատ հեշտությամբ պաշտպանվել ձեզանից ՝ օգտագործելով TuxCut կոմունալը:
Պաշտոնական պահոցներում ծրագիր չկա, ուստի այն տեղադրելու համար անհրաժեշտ է ներբեռնել փաթեթը GitHub- ից.
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Այնուհետև տեղադրեք ստացված փաթեթը.
sudo apt տեղադրել tuxcut_6.1_amd64.deb
Նախքան ծրագիրը սկսելը, սկսեք դրա ծառայությունը.
sudo systemctl սկսել tuxcutd
Կոմունալի հիմնական պատուհանը այսպիսին է.
Այստեղ ցուցադրվում են ցանցին միացած բոլոր օգտվողների IP հասցեները, ինչպես նաև դրանցից յուրաքանչյուրին համապատասխան MAC հասցեն... Եթե նշեք Պաշտպանության ռեժիմի վանդակը, ծրագիրը կպաշտպանի ARP հարձակումներից: Դուք կարող եք օգտագործել այն հանրային ցանցերում, օրինակ ՝ հանրային wifi- ում, որտեղ դուք վախենում եք ձեր անվտանգության համար:
եզրակացություններ
Դե, վերջ, Ubuntu 16.04- ի անվտանգության կարգավորումը ավարտված է, և ձեր համակարգը շատ ավելի ապահով է: Մենք արգելափակել ենք հաքերների կողմից օգտագործվող հարձակման ամենատարածված վեկտորները և համակարգ ներթափանցելու մեթոդները: Եթե գիտեք Ubuntu- ում անվտանգությունը բարելավելու այլ օգտակար եղանակներ, գրեք մեկնաբանություններում:
Մենք բոլորս դա գիտենք օպերացիոն համակարգ Linux- ը շատ է ավելի ապահով, քան Windows- ըշնորհիվ իր ճարտարապետության և օգտագործողների միջև մուտքի բաշխման հատուկ համակարգի: Բայց ծրագրավորողները նույնպես մարդիկ են, անկախ նրանից, թե ինչպես է դա մեզ դուր գալիս, նրանք նույնպես սխալվում են: Եվ այդ սխալների պատճառով համակարգում հայտնվում են անցքեր, որոնց միջոցով հարձակվողները կարող են շրջանցել պաշտպանական համակարգերը:
Այս սխալները կոչվում են խոցելիություններ, դրանք կարող են հայտնաբերվել տարբեր ծրագրերում և նույնիսկ համակարգի հենց առանցքում ՝ խաթարելով դրա անվտանգությունը: Վերջին տարիներին Linux- ը սկսել է աճել ժողովրդականությամբ, և անվտանգության հետազոտողները ավելի մեծ ուշադրություն են դարձնում համակարգին: Ավելի ու ավելի շատ խոցելիություններ են հայտնաբերվում, և բաց կոդի շնորհիվ դրանք կարող են շատ արագ վերացվել: Այս հոդվածում մենք կանդրադառնանք Linux- ի ամենավտանգավոր խոցելիություններին, որոնք հայտնաբերվել են վերջին մի քանի տարիների ընթացքում:
Նախքան բուն խոցելիությունների ցանկին անցնելը, կարևոր է հասկանալ, թե դրանք ինչ են և ինչ են: Ինչպես ասացի, խոցելիությունը ծրագրի սխալն է, որը թույլ է տալիս օգտվողին օգտագործել ծրագիրն այնպես, ինչպես նախատեսված չէր դրա մշակողի կողմից:
Դա կարող է լինել ստացված տվյալների ճշգրտության ստուգման բացակայությունը, տվյալների աղբյուրի ստուգումը և, ամենահետաքրքիրը, տվյալների չափը: Ամենավտանգավոր խոցելի են այնները, որոնք թույլ են տալիս կատարել կամայական կոդ: Վ պատահական մուտքի հիշողությունբոլոր տվյալները ունեն որոշակի չափ, և ծրագիրը նախատեսված է որոշակի չափի օգտագործողից տվյալներ գրելու համար: Եթե օգտագործողը ավելի շատ տվյալներ է փոխանցում, ապա այն պետք է սխալ թույլ տա:
Բայց եթե ծրագրավորողը սխալ է թույլ տալիս, տվյալները կգրեն ծրագրի ծածկագիրը, և պրոցեսորը կփորձի այն կատարել ՝ դրանով իսկ ստեղծելով բուֆերի արտահոսքի խոցելի տեղեր:
Բացի այդ, բոլոր խոցելիությունները կարելի է բաժանել տեղականի, որոնք աշխատում են միայն այն դեպքում, եթե հաքերը մուտք ունենա տեղական համակարգիչև հեռակա, երբ ինտերնետի միջոցով բավականաչափ հասանելիություն կա: Այժմ անցնենք խոցելիությունների ցանկին:
1. Կեղտոտ COW
Մեր ցուցակում առաջինը կլինի մի նոր խոցելիություն, որը հայտնաբերվել է այս աշնանը: Dirty COW անունը նշանակում է Copy on Write: Սխալը տեղի է ունենում ֆայլային համակարգձայնագրման ժամանակ պատճենելիս: Սա տեղական խոցելիություն է, որը թույլ է տալիս ցանկացած ոչ արտոնյալ օգտվողի լիարժեք մուտք գործել համակարգ:
Մի խոսքով, խոցելիությունը շահագործելու համար ձեզ հարկավոր է երկու ֆայլ, մեկը գրելի է միայն գերօգտագործողի անունից, մյուսը ՝ մեզ համար: Մենք սկսում ենք տվյալներ գրել մեր ֆայլում և կարդալ գերօգտագործողի ֆայլից, որոշակի ժամանակ անց կգա պահը, երբ երկու ֆայլերի բուֆերները կխառնվեն, և օգտվողը կկարողանա տվյալներ գրել ֆայլում, որի գրառումը նրա համար անհասանելի է, այնպես որ կարող ես ինքդ քեզ տալ արմատային իրավունքներհամակարգում:
Խոցելիությունը միջուկում էր մոտ 10 տարի, սակայն հայտնաբերումից հետո այն արագորեն վերացվեց, չնայած դեռ կան միլիոնավոր Andoid սարքեր, որոնցում միջուկը չի թարմացվել և չի մտածում, և որտեղ կարելի է օգտագործել այդ խոցելիությունը: Խոցելիությունը ստացել է CVE-2016-5195 ծածկագիրը:
2. Glibc խոցելիություն
Խոցելիությունը ստացել է CVE-2015-7547 ծածկագիրը: Սա բաց կոդով ամենախոսվածներից մեկն էր: 2016 թվականի փետրվարին պարզվեց, որ Glibc գրադարանը ունի շատ լուրջ խոցելիություն, որը թույլ է տալիս հարձակվողին կատարել իրենց ծածկագիրը հեռակա համակարգում:
Կարևոր է նշել, որ Glibc- ը իրականացում է ստանդարտ գրադարան C և C ++, որն օգտագործվում է շատերի կողմից Linux ծրագրեր, ներառյալ ծառայություններ և ծրագրավորման լեզուներ, ինչպիսիք են PHP- ը, Python- ը, Perl- ը:
Սխալ է թույլ տրվել արձագանքի վերլուծման կոդի մեջ DNS սերվերներ... Այսպիսով, խոցելիությունը կարող էր շահագործվել հաքերների կողմից, որոնց DNS- ին հասանելի էին խոցելի մեքենաները, ինչպես նաև MITM հարձակում կատարելով: Բայց խոցելիությունը համակարգի լիակատար վերահսկողություն տվեց:
Խոցելիությունը գրադարանում է 2008 թ. -ից, սակայն հայտնաբերումից հետո կարկատանները արագ արձակվեցին:
3. Սրտխառնոց
2014 -ին հայտնաբերվեց մասշտաբի և հետևանքների ամենալուրջ խոցելի կողմերից մեկը: Այն առաջացել է OpenSSL- ի heartdead մոդուլում տեղի ունեցած վրիպակի պատճառով, հետևաբար Heartbleed անվանումը: Խոցելիությունը հարձակվողներին թույլ տվեց անմիջական մուտք գործել սերվերի RAM- ի 64 կիլոբայթ, և հարձակումը կարող է կրկնվել մինչև ամբողջ հիշողության ընթերցումը:
Չնայած այն հանգամանքին, որ շտկումը թողարկվեց շատ արագ, շատ կայքեր և ծրագրեր տուժեցին: Իրականում, HTTPS օգտագործող բոլոր կայքերը երթևեկությունը պաշտպանելու համար խոցելի էին: Հարձակվողները կարող էին օգտվողների գաղտնաբառեր ստանալ, նրանց անձնական տվյալները և այն ամենը, ինչ հիշողության մեջ էր գտնվում հարձակման պահին: Խոցելիությունը ստացել է CVE-2014-0160 ծածկագիրը:
4. Բեմական պայքար
Եթե խոցելիությանը տրվում է կոդային անուն, ապա դա հստակ նշանակում է, որ այն արժանի է ուշադրության: Stagerfight խոցելիությունը բացառություն չէ: Trueիշտ է, սա իրականում Linux- ի խնդիր չէ: Stagefright- ը Android- ում մուլտիմեդիա ձևաչափերի մշակման գրադարան է:
Այն իրականացվում է C ++ - ում, ինչը նշանակում է, որ այն շրջանցում է Java- ի անվտանգության բոլոր մեխանիզմները: 2015 -ին հայտնաբերվել է խոցելիությունների մի ամբողջ խումբ, որը թույլ էր տալիս համակարգչում կատարել կամայական կոդի հեռակա կատարում: Սրանք են CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 և CVE-2015-3829:
Հարձակվողին մնում էր միայն MMS- ն ուղարկել խոցելի սմարթֆոնին ՝ հատուկ փոփոխված մեդիա ֆայլով, և նա ստացավ սարքի լիակատար վերահսկողություն ՝ հիշողության քարտից տվյալներ գրելու և կարդալու ունակությամբ: Խոցելիությունը շտկվել է Android ծրագրավորողների կողմից, սակայն միլիոնավոր սարքեր դեռևս խոցելի են մնում:
5. Միջուկի զրոյական օրվա խոցելիություն
Սա տեղական խոցելիություն է, որը թույլ է տալիս ընթացիկ օգտագործողին արմատախիլ անել `հիշողության մեջ պահված միջուկային ծածկագրային տվյալների մշակման համակարգում տեղի ունեցած սխալի պատճառով: Այն հայտնաբերվել է 2016 -ի փետրվարին և ծածկել է բոլոր միջուկները ՝ սկսած 3.8 -ից, ինչը նշանակում է, որ խոցելիությունը գոյություն ունի 4 տարի:
Սխալը կարող էր շահարկվել հաքերների կամ չարամիտ ծրագրերի կողմից ծրագրային ապահովումհամակարգում իրենց լիազորությունները մեծացնելու համար, բայց շատ արագ ամրագրվեց:
6. Խոցելիություն MySQL- ում
Այս խոցելիությունը CVE-2016-6662 ծածկագիրն էր և ազդում էր MySQL տվյալների բազայի սերվերի (5.7.15, 5.6.33 և 5.5.52) բոլոր հասանելի տարբերակների, Oracle տվյալների շտեմարանների և MariaDB և PerconaDB կլոնների վրա:
Հարձակվողները կարող են լիարժեք մուտք գործել համակարգին միջոցով SQL հարցումընդունվեց մի կոդ, որը թույլ էր տալիս my.conf- ը փոխարինել իր սեփական տարբերակով և վերագործարկել սերվերը: Հնարավորություն կար նաև հանդես գալու վնասակար ծածկագիրգերօգտագործողի իրավունքներով:
MariaDB- ն և PerconaDB- ն բավականին արագ թողարկեցին կարկատանները, Oracle- ը արձագանքեց, բայց շատ ավելի ուշ:
7. Shellshock
Այս խոցելիությունը հայտնաբերվել է 2014 -ին ՝ դեռ 22 տարի գոյություն ունենալուց առաջ: Նրան տրվել է CVE-2014-6271 ծածկագիրը և Shellshock ծածկագիրը: Այս խոցելիությունը իր խստությամբ համեմատելի է արդեն հայտնի Heartbleed- ի հետ: Այն առաջանում է Bash հրամանի թարգմանչի վրիպակի պատճառով, որը լռելյայն Linux- ի բաշխումների մեծամասնության համար է:
Bash- ը թույլ է տալիս հայտարարելու միջավայրի փոփոխականներ ՝ առանց օգտվողի վավերացման, և միասին կարող եք գործարկել դրանցում ցանկացած հրաման: Սա հատկապես վտանգավոր է CGI սցենարներում, որոնք ապահովվում են կայքերի մեծ մասի կողմից: Ոչ միայն սերվերներն են խոցելի, այլև անհատական համակարգիչներօգտվողներ, երթուղիչներ և այլ սարքեր: Փաստորեն, հարձակվողը կարող է հեռակա կարգով կատարել ցանկացած հրաման, սա լիարժեք հեռակառավարիչ է ՝ առանց վավերացման:
Bash- ի բոլոր տարբերակները տուժել են, ներառյալ 4.3 -ը, չնայած խնդրի հայտնաբերումից հետո մշակողները շատ արագ թողարկում են շտկում:
8. Quadrooter
Սա Android- ի խոցելիությունների մի ամբողջ շարք է, որոնք հայտնաբերվել են 2016 թվականի օգոստոսին: Նրանք ստացել են CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 ծածկագրերը: Ավելի քան 900 միլիոնը ենթակա են սխալի Android սարքեր... Բոլոր խոցելի կողմերը հայտնաբերվել են Qualcomm պրոցեսոր ARM վարորդի մեջ և բոլորը կարող են օգտագործվել արմատավորվելըմուտք դեպի սարքը:
DirtyCOW- ի պես, այստեղ ձեզ ոչ մի հավատարմագրում պետք չէ, պարզապես անհրաժեշտ է տեղադրել վնասակար ծրագիր, որը կկարողանա ստանալ ձեր բոլոր տվյալները և դրանք փոխանցել հարձակվողին:
9. Խոցելիություն OpenJDK- ում
Սա շատ լուրջ linux 2016 խոցելիություն է OpenJDK Java մեքենայում CVE-2016-0636 կոդով և ազդում է բոլոր օգտվողների վրա, որոնք աշխատում են Oracle Java SE 7 Update 97 և 8 Update 73 և 74 Windows- ի, Solaris- ի, Linux- ի և Mac OS X- ի համար: Թույլ է տալիս հարձակվողին կատարել կամայական ծածկագիր Java մեքենայից դուրս, եթե Java- ի խոցելի տարբերակով բրաուզերում բացեք հատուկ էջ:
Սա թույլ տվեց հարձակվողին մուտք գործել ձեր գաղտնաբառերը, անձնական տվյալները և գործարկել ծրագրեր ձեր համակարգչում: Բոլոր տարբերակներում Java սխալշատ արագ շտկվեց, այն գոյություն ունի 2013 թվականից:
10. HTTP / 2 արձանագրության խոցելիությունը
Սա խոցելիությունների մի ամբողջ շարք է, որոնք հայտնաբերվել են 2016 թվականին HTTP / 2 արձանագրության մեջ: Նրանք ստացել են CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 ծածկագրերը: Այս արձանագրության բոլոր իրականացումները Apache- ում, Nginx Microsoft- ում, Jetty- ում և nghttp2- ում ազդել են:
Դրանք բոլորը հարձակվողին թույլ են տալիս կտրուկ դանդաղեցնել վեբ սերվերը և կատարել ծառայության մերժման հարձակում: Օրինակ, սխալներից մեկը հանգեցրեց փոքր հաղորդագրություն ուղարկելու հնարավորությանը, որը բացված էր գիգաբայթերի վրա սերվերի վրա: Սխալը շտկվեց շատ արագ և, հետևաբար, մեծ աղմուկ չառաջացրեց համայնքում:
Ապահով եք
Այս հոդվածում մենք լուսաբանել ենք Linux- ի ամենավտանգավոր խոցելիությունները 2016, 2015 և 2014 թվականներին: Նրանցից շատերը կարող են լուրջ վնաս հասցնել համակարգերին, եթե դրանք ժամանակին չկարգավորվեն: Բաց կոդի շնորհիվ Linux- ի նման խոցելի կողմերը արդյունավետորեն հայտնաբերվում և արագ շտկվում են: Պարզապես հիշեք, որ թարմացնեք ձեր համակարգը: Միակ խնդիրը մնում է Android- ի հետ: Որոշ սարքեր այլևս չեն ստանում թարմացումներ, և այս խնդրի լուծում դեռ չկա:
Սովորական թյուր կարծիք կա, որ Linux սերվերներն ամենաանվտանգն ու պաշտպանված են դրսից ներխուժումներից: Unfortunatelyավոք, դա այդպես չէ, ցանկացած սերվերի անվտանգությունը կախված է այն ապահովելու մի շարք գործոններից և միջոցներից և գործնականում կախված չէ օգտագործվող օպերացիոն համակարգից:
Մենք որոշեցինք սկսել հոդվածների շարք `նվիրված ցանցի անվտանգություն Ubuntu Server- ի հետ, քանի որ այս հարթակում լուծումները մեծ հետաքրքրություն են ներկայացնում մեր ընթերցողների համար, և քանի որ շատերը կարծում են, որ Linux լուծումներն ինքնին անվտանգ են:
Միևնույն ժամանակ, հատուկ IP հասցեով երթուղիչը տեղական ցանցի «դարպաս» է, և միայն ադմինիստրատորը կորոշի, թե արդյոք այդ դարպասները կլինեն հուսալի պատնեշ, թե՞ մեխանիկական փակ դարպասի դարպաս:
Մեկ այլ տարածված սխալ պատկերացում ՝ ոճով պատճառաբանելով. «Բայց ո՞ւմ է դա պետք, մեր սերվեր, մենք ոչ մի հետաքրքիր բան չունենք»: Իրոք, ձեր տեղական ցանցը կարող է որևէ հետաքրքրություն չառնել հարձակվողների համար, սակայն նրանք կարող են վնասված սերվերի միջոցով սպամ, այլ սերվերների վրա հարձակումներ ուղարկել, անանուն վստահված անձ, կարճ ասած, որպես իրենց մութ գործերի ելակետ:
Եվ սա արդեն տհաճ է և կարող է ծառայել որպես տարբեր խնդիրների աղբյուր ՝ մատակարարից մինչև իրավապահ մարմիններ: Իսկ վիրուսների տարածման, գողության ու ոչնչացման մասին կարեւոր տեղեկություններդա նույնպես չարժե մոռանալ, ինչպես նաև այն, որ ձեռնարկության խափանման ժամանակը հանգեցնում է բավականին շոշափելի կորուստների:
Չնայած այս հոդվածը Ubuntu Server- ի մասին է, նախ մենք կանդրադառնանք ընդհանուր հարցերանվտանգություն, որոնք հավասարապես տեղին են ցանկացած հարթակի համար և հանդիսանում են հիմունքները, առանց որոնց անիմաստ է հարցը ավելի մանրամասն քննարկելը:
Որտեղի՞ց է սկսվում անվտանգությունը:
Ոչ, անվտանգությունը չի սկսվում firewall- ից, այն ընդհանրապես չի սկսվում ապարատային սարքավորումներով, անվտանգությունը սկսվում է օգտագործողից: Ի վերջո, ի՞նչ օգուտ ունի լավագույն մասնագետների կողմից տեղադրված ամենաթեժ մետաղյա դուռը, եթե սեփականատերը բանալին թողնում է գորգի տակ:
Հետևաբար, առաջին բանը, որ դուք պետք է անեք, անվտանգության աուդիտ անցկացնելն է: Մի վախեցեք այս բառից, ամեն ինչ այնքան էլ դժվար չէ. Գծեք ցանցի սխեմատիկ ծրագիր, որի վրա նշեք անվտանգ տարածքը, հավանական վտանգի տարածքը և բարձր վտանգի տարածքը, ինչպես նաև կազմեք այն օգտագործողների ցուցակը, ովքեր ունեն ( պետք է հասանելիություն ունենա) այդ տարածքներին:
Անվտանգ գոտին պետք է ներառի ցանցի ներքին ռեսուրսները, որոնց դրսից մուտք չկա, և որոնց համար դա թույլատրելի է ցածր մակարդականվտանգություն: Դրանք կարող են լինել աշխատանքային կայաններ, ֆայլերի սերվերներ և այլն: սարքեր, որոնց հասանելիությունը սահմանափակվում է ձեռնարկության տեղական ցանցով:
Պոտենցիալ վտանգի գոտին ներառում է սերվերներ և սարքեր, որոնք չունեն անմիջական մուտք դեպի արտաքին ցանց, բայց որոնց առանձին ծառայությունները հասանելի են դրսից, օրինակ ՝ վեբ և փոստի սերվերները, որոնք գտնվում են firewall- ի հետևում, բայց միևնույն ժամանակ սպասարկում են արտաքին ցանց:
Վտանգավոր տարածքը պետք է ներառի արտաքինից անմիջականորեն հասանելի սարքեր, իդեալական դեպքում այն պետք է լինի մեկ երթուղիչ:
Հնարավորության դեպքում պոտենցիալ վտանգավոր գոտին պետք է տեղափոխվի առանձին ենթացանց `ապառազմականացված գոտի (DMZ), որը հիմնական ցանցից առանձնացված է լրացուցիչ firewall- ով:
Տեղական ցանցի սարքերը պետք է հասանելի լինեն միայն DMZ- ի իրենց անհրաժեշտ ծառայություններին, օրինակ ՝ SMTP, POP3, HTTP, այլ կապեր պետք է արգելափակվեն: Սա թույլ կտա ձեզ հուսալիորեն մեկուսացնել հարձակվողին կամ չարամիտ ծրագրին, որը խոցելիություն է օգտագործել առանձին ծառայության ՝ DMZ- ի միջոցով ՝ մերժելով նրանց մուտքը հիմնական ցանց:
Ֆիզիկապես, DMZ- ը կարող է կազմակերպվել ՝ տեղադրելով առանձին սերվեր / ապարատային firewall կամ երթուղիչին լրացուցիչ ցանցային քարտ ավելացնելով, սակայն վերջին դեպքում դուք ստիպված կլինեք մեծ ուշադրություն դարձնել երթուղիչի անվտանգությանը: Բայց ամեն դեպքում, մեկ սերվերի ապահովումը շատ ավելի հեշտ է, քան սերվերների խմբի ապահովումը:
Հաջորդ քայլը պետք է լինի օգտվողների ցանկի վերլուծությունը, անկախ այն բանից, թե արդյոք նրանց բոլորին անհրաժեշտ է մուտք դեպի DMZ և երթուղիչ (բացառությամբ հանրային ծառայությունների), հատուկ ուշադրություն պետք է դարձնել դրսից միացող օգտվողներին:
Սովորաբար, դա պահանջում է շատ ոչ հանրաճանաչ քայլ ՝ գաղտնաբառի քաղաքականության կիրառում: Բոլոր այն օգտվողների գաղտնաբառերը, ովքեր ունեն հասանելիություն կրիտիկական ծառայություններից և ովքեր կարող են միանալ դրսից, պետք է պարունակեն առնվազն 6 նիշ և պարունակեն, բացի փոքրատառերից, երեք կատեգորիայի երեք նիշ ՝ մեծատառ, թվեր, ոչ այբբենական նիշեր:
Բացի այդ, գաղտնաբառը չպետք է պարունակի օգտվողի անունը կամ դրա մի մասը, չպետք է պարունակի ամսաթվեր և անուններ, որոնք կարող են կապված լինել օգտվողի հետ և, ցանկալի է, բառարանի բառ չլինել:
Լավ գաղափար է գաղտնաբառերը փոխելու պրակտիկա սկսել ամեն 30-40 օրը մեկ: Հասկանալի է, որ նման քաղաքականությունը կարող է մերժում առաջացնել օգտվողների կողմից, սակայն միշտ պետք է հիշել, որ գաղտնաբառերը նման են 123 կամ qwertyհամարժեք են բանալին գորգի տակ թողնելուն:
Սերվերի անվտանգությունն այլ բան չէ:
Այժմ, երբ մենք գաղափար ունենք, թե ինչ ենք ուզում պաշտպանել և ինչից, եկեք անցնենք բուն սերվերին: Կազմեք բոլոր ծառայությունների և ծառայությունների ցանկը, այնուհետև մտածեք ՝ արդյոք դրանք բոլորը անհրաժեշտ են այս սերվերի վրա, թե՞ դրանք ինչ -որ տեղ կարող են հանվել:
Որքան քիչ ծառայություններ լինեն, այնքան ավելի հեշտ է ապահովել անվտանգությունը, այնքան քիչ հավանական է, որ սերվերը վտանգվի դրանցից որևէ մեկի խոցելիության պատճառով:
Կարգավորեք սպասարկող ծառայությունները տեղական ցանց(օրինակ ՝ կաղամար), որպեսզի նրանք ընդունեն միայն տեղական ինտերֆեյսի խնդրանքները: Որքան քիչ լինեն արտաքին ծառայությունները, այնքան լավ:
Անվտանգության լավ օգնականը խոցելիության սկանն է, որը պետք է սկանավորվի դիմային մասսերվեր. Մենք օգտագործեցինք ամենահայտնի ապրանքներից մեկի ՝ XSpider 7.7 -ի դեմո տարբերակը:
Սկաները ցույց է տալիս բաց նավահանգիստներ, փորձում է որոշել գործարկվող ծառայության տեսակը և, հաջողության դեպքում, դրա համար թույլ կողմերը: Ինչպես տեսնում եք, ճիշտ կազմաձևված համակարգը բավականին անվտանգ է, բայց չպետք է բանալին գորգի տակ թողնել, երթուղղիչի վրա 1723 (VPN) և 3389 (RDP, փոխանցված տերմինալային սերվեր) բաց նավահանգիստների առկայությունը լավ է: գաղտնաբառի քաղաքականության մասին մտածելու պատճառ:
Առանձին, արժե խոսել SSH անվտանգության մասին, այս ծառայությունը սովորաբար օգտագործում են ադմինիստրատորները Հեռակառավարման վահանակսերվեր և մեծ հետաքրքրություն է ներկայացնում կիբերհանցագործների համար: SSH- ի կարգավորումները պահվում են ֆայլում / etc / ssh / sshd_config, ստորև նկարագրված բոլոր փոփոխությունները կատարվում են դրանում: Առաջին հերթին, դուք պետք է անջատեք թույլտվությունը արմատային օգտվողի ներքո, դրա համար ավելացրեք տարբերակը.
PermitRootLogin No.
Այժմ հարձակվողը պետք է կռահի ոչ միայն գաղտնաբառը, այլև մուտքը, մինչդեռ նա դեռ չգիտի գերօգտագործողի գաղտնաբառը (հուսով ենք, որ այն չի համընկնում ձեր գաղտնաբառի հետ): Բոլոր ադմինիստրատիվ խնդիրները դրսից միանալիս պետք է կատարվեն տակից sudoմուտք գործելով որպես անպաշտպան օգտվող:
Արժե հստակորեն նշել թույլատրված օգտվողների ցանկը. Այս դեպքում կարող եք օգտագործել այնպիսի գրառումներ, ինչպիսիք են [էլփոստը պաշտպանված է] որը թույլ է տալիս նշված օգտագործողին միանալ միայն նշված հոսթից: Օրինակ, ivanov օգտագործողին թույլատրել միանալ տնից (IP 1.2.3.4), ավելացրեք հետևյալ գրառումը.
Թույլատրել օգտվողին [էլփոստը պաշտպանված է]
Արգելել նաև հնացած և ավելի քիչ օգտագործումը ապահով արձանագրություն SSH1- ը, որը թույլ է տալիս արձանագրության միայն երկրորդ տարբերակը, դա անել, տալ հաջորդ տողնայել:
Արձանագրություն 2
Չնայած ձեռնարկված բոլոր միջոցառումներին, SSH- ին և այլ հանրային ծառայություններին միանալու փորձերը դեռ կլինեն, որպեսզի կանխեն գաղտնաբառի գուշակությունը, օգտագործեք օգտակար ծրագիրը fail2ban, որը թույլ է տալիս ավտոմատ կերպով արգելել օգտվողին մուտքի մի քանի անհաջող փորձերից հետո: Դուք կարող եք տեղադրել այն հրամանով.
Sudo apt-get install fail2ban
Այս օգտակար ծրագիրը պատրաստ է աշխատել տեղադրումից անմիջապես հետո, սակայն, խորհուրդ ենք տալիս անմիջապես փոխել որոշ պարամետրեր, դրա համար փոփոխություններ կատարել ֆայլում /etc/fail2ban/jail.conf... Լռելյայն, վերահսկվում է միայն SSH մուտքը, և արգելքի ժամանակը 10 րոպե (600 վայրկյան) է, մեր կարծիքով, արժե այն ավելացնել ՝ փոխելով հետևյալ տարբերակը.
Bantime = 6000
Այնուհետև ոլորեք ֆայլով և միացրեք ձեր համակարգում գործող ծառայությունների բաժինները ՝ համապատասխան բաժնի անունից հետո պարամետր սահմանելով միացված էնահանգում ճիշտ, օրինակ ՝ ծառայության համար proftpdայն այսպիսի տեսք կունենա.
միացված է = ճշմարիտ
Մեկ այլ կարևոր պարամետր մաքսիմալություն, որը պատասխանատու է միացման առավելագույն թվով փորձերի համար: Պարամետրերը փոխելուց հետո մի մոռացեք վերագործարկել ծառայությունը.
Sudo /etc/init.d/fail2ban վերագործարկում
Կոմունալ ծառայությունների մատյանը կարող եք տեսնել այնտեղ /var/log/fail2ban.log.
2015 թվականին ամենամյա LinuxCon- ում GNU / Linux միջուկի ստեղծող Լինուս Թորվալդսը կիսվեց համակարգի անվտանգության վերաբերյալ իր տեսակետներով: Նա ընդգծեց իրավասու պաշտպանվածությամբ որոշակի վրիպակների առկայության հետևանքների մեղմացման անհրաժեշտությունը, որպեսզի եթե բաղադրիչներից մեկը անսարք լինի, հաջորդ շերտը համընկնի խնդրի հետ:
Այս հոդվածում մենք կփորձենք լուսաբանել այս թեման գործնական տեսանկյունից.
7. Տեղադրեք firewalls
Վերջերս հայտնվեց նոր խոցելիություն, որը թույլ էր տալիս DDoS հարձակումներ գործել Linux սերվերների վրա: Համակարգի միջուկի սխալը հայտնվեց 3.6 տարբերակով 2012 թվականի վերջին: Խոցելիությունը թույլ է տալիս հաքերներին վիրուսներ ներարկել ներբեռնվող ֆայլերի, վեբ էջերի մեջ և բացահայտել Tor միացումները, և կոտրելու համար մեծ ջանքեր չեն պահանջվում. IP- ի կեղծման մեթոդը կգործի:Կոդավորված HTTPS կամ SSH կապերի առավելագույն վնասը կապի ընդհատումն է, սակայն հարձակվողը կարող է նոր բովանդակություն տեղադրել անպաշտպան երթևեկության մեջ, ներառյալ չարամիտ ծրագիր... Նման հարձակումներից պաշտպանվելու համար firewall- ը հարմար է:
Արգելափակել մուտքը Firewall- ով
Firewall- ը անցանկալի միջոցների արգելափակման ամենակարևոր գործիքներից մեկն է մուտքային տրաֆիկ... Մենք խորհուրդ ենք տալիս թույլատրել միայն ձեզ իսկապես անհրաժեշտ երթևեկը և ամբողջովին մերժել մնացած ամեն ինչ:
Linux- ի բաշխումներից շատերն ունեն iptables վերահսկիչ `փաթեթների զտման համար: Սովորաբար նրանք օգտագործում են այն փորձառու օգտվողներ, և պարզեցված կազմաձևման համար կարող եք օգտագործել UFW կոմունալ ծառայությունները Debian / Ubuntu կամ FirewallD Fedora- ում:
8. Անջատեք ավելորդ ծառայությունները
Վիրջինիայի համալսարանի փորձագետները խորհուրդ են տալիս անջատել բոլոր այն ծառայությունները, որոնք չեք օգտագործում: Մի քանի ֆոնային գործընթացներդրված են ինքնաբեռնման և աշխատելու մինչև համակարգի անջատումը: Այս ծրագրերը կազմաձևելու համար դուք պետք է ստուգեք սկզբնական սկրիպտները: Servicesառայությունները կարող են սկսվել inetd կամ xinetd միջոցով:Եթե ձեր համակարգը կազմաձևված է inetd- ի միջոցով, ապա /etc/inetd.conf ֆայլում կարող եք խմբագրել ֆոնային «դևեր» ծրագրերի ցանկը. Ծառայության բեռնումն անջատելու համար պարզապես նշեք «#» նշանը սկզբի սկզբում տող ՝ այն գործարկվողից վերածելով մեկնաբանության:
Եթե համակարգը օգտագործում է xinetd, ապա դրա կազմաձևումը կլինի /etc/xinetd.d գրացուցակում: Յուրաքանչյուր գրացուցակի ֆայլ սահմանում է մի ծառայություն, որը կարող է անջատվել ՝ նշելով անջատել = այո, ինչպես այս օրինակում.
Serviceառայության մատը (socket_type = հոսքի սպասում = օգտվող չկա = ոչ մեկի սերվեր = /usr/sbin/in.fingerd անջատել = այո)
Արժե նաև ստուգել համառ գործընթացների համար, որոնք չեն կառավարվում inetd- ով կամ xinetd- ով: Դուք կարող եք կարգավորել գործարկման սկրիպտները /etc/init.d կամ / etc / inittab գրացուցակներում: Կատարված փոփոխություններից հետո գործարկեք հրամանը որպես հիմնական հաշիվ:
/etc/rc.d/init.d/inet վերագործարկեք
9. Պաշտպանեք սերվերը ֆիզիկապես
Հարձակվողների հարձակումներից լիարժեք պաշտպանվել հնարավոր չէ ֆիզիկական հասանելիությունսերվերին: Հետեւաբար, անհրաժեշտ է ապահովել այն սենյակը, որտեղ գտնվում է ձեր համակարգը: Տվյալների կենտրոնները լրջորեն վերահսկում են անվտանգությունը, սահմանափակում սերվերների հասանելիությունը, տեղադրում անվտանգության տեսախցիկներ և նշանակում մշտական անվտանգություն:Տվյալների կենտրոն մուտք գործելու համար բոլոր այցելուները պետք է անցնեն նույնականացման որոշակի փուլեր: Նաև խիստ խորհուրդ է տրվում օգտագործել շարժման տվիչներ կենտրոնի բոլոր տարածքներում:
10. Պաշտպանեք սերվերին չարտոնված մուտքից
Չարտոնված մուտքի համակարգը կամ IDS- ն հավաքում են համակարգի կազմաձևման և ֆայլերի վերաբերյալ տվյալներ, այնուհետև դրանք համեմատում են նոր փոփոխությունների հետ ՝ որոշելու համար, թե դրանք վնասակար են համակարգի համար:Օրինակ, Tripwire և Aide գործիքները հավաքում են տվյալների բազա համակարգի ֆայլերև պաշտպանեք դրանք մի շարք բանալիներով: Psad- ն օգտագործվում է կասկածելի գործունեությունը հետևելու համար ՝ օգտագործելով firewall- ի զեկույցները:
Bro- ն նախատեսված է ցանցը վերահսկելու, գործունեության կասկածելի օրինաչափություններին հետևելու, վիճակագրություն հավաքելու, համակարգի հրամաններ կատարելու և ահազանգեր ստեղծելու համար: RKHunter- ը կարող է օգտագործվել վիրուսներից, առավել հաճախ ՝ rootkits- ից պաշտպանվելու համար: Այս օգտակար ծառայությունը ստուգում է ձեր համակարգը հայտնի խոցելիության համար և կարող է նույնականացնել ծրագրերի անապահով կարգավորումները:
