Protams, mēs to varam teikt Linux vairāk drošs(aizsargāts) nekā Windows. Drošība v Linux iebūvēts un nav pieskrūvēts kaut kur sānos, kā tas tiek ieviests sistēmā Windows. Drošība sistēmas Linux aptver apgabalu no kodola līdz darbvirsmai, taču, iespējams, hakeri kaitēs jūsu mājas direktorijai (/ home).
Jūsu fotoattēlu, mājas video, dokumentu un kredītkaršu vai seifa datu baiti ir visdārgākā informācija datorā. Protams, Linux nav uzņēmīgs pret visa veida interneta tārpiem un Windows vīrusiem. Bet uzbrucēji var atrast veidu, kā piekļūt jūsu datiem jūsu mājas direktorijā.
Sagatavojot veco datoru vai HDD vai pirms formatēšanas pārdošanas domājat, ka ar to pietiks? Tur ir daudz mūsdienīgu datu atkopšanas rīku. Hakeris var viegli atgūt jūsu datus no cietais disks neatkarīgi no OS, pie kuras strādājāt.
Par šo tēmu es atceros viena uzņēmuma pieredzi lietotu datoru un disku atpirkšanā. Savas darbības laikā viņi pieņēma spriedumu, ka 90% datoru iepriekšējo īpašnieku pirms pārdošanas nav pienācīgi parūpējušies par datu nesēju tīrīšanu. Un viņi ieguva ļoti skrupulozus datu baitus. Ir pat biedējoši iedomāties, ka kaut kur cietā diska tvertnēs ir informācija, kas jāievada jūsu internetbankā vai tiešsaistes makā.
Sāciet ar Linux drošības pamatiem
Sāksim līdz pamatiem (), kas derēs gandrīz jebkuram 
Linux izplatīšana.
Šifrēsim failu sistēmu Linux, lai iegūtu pilnīgāku Linux drošību
Lietotāju paroles neatrisinās problēmu, ja tiešām vēlaties, lai neviens nevarētu izlasīt jūsu mājas direktoriju (/ home) vai noteiktu baitu lielumu. To var izdarīt tā, lai pat lietotājs ar augstākajām root tiesībām nevarētu iebāzt degunu.
Izdzēsiet sensitīvos failus, lai neviens cits tos nevarētu atjaunot
Ja jūs nolemjat pārdot vai dāvināt savu datoru vai datu nesēju, nedomājiet, ka vienkārša formatēšana neatgriezeniski izdzēsīs jūsu failus. Jūs varat instalēt drošās dzēšanas rīku savā Linux kastē, kurā ietilpst utilīta srm failu drošai dzēšanai.
Tāpat neaizmirstiet par pieejamo Linux kodols ugunsmūris. Visos Linux izplatījumos ir iekļauta lptables, kas ir daļa no kodola. Lptables ļauj filtrēt tīkla paketes. Protams, jūs varat konfigurēt šo utilītu terminālī. Bet šī metode ir nespējīga daudziem, arī man. Tāpēc es izveidoju un izveidoju tik viegli, it kā spēlētu spēli.
Tāpat kā visas operētājsistēmas, Linux mēdz uzkrāt atkritumus, palaižot dažādas lietojumprogrammas. Un tā nav viņa Linux vaina, jo dažādas lietojumprogrammas, piemēram, pārlūkprogrammas, teksta redaktori un pat video atskaņotāji, nedarbojas kodola līmenī un uzkrāj pagaidu failus. Universālai atkritumu izvešanai varat instalēt utilītu BleachBit.
Anonīma sērfošana, IP slēpšana ir ļoti svarīga jūsu identitātes drošībai Linux
Noslēgumā es vēlos jums pastāstīt par anonīmu sērfošanu tīmeklī. Dažreiz gadās, ka tas ir nepieciešams, kā man, kad slepeni no sievas apmeklēju vietnes ar erotisku saturu. Protams, es jokoju.
Uzbrucējiem būs grūti ar jums sazināties, ja viņi nevarēs noteikt jūsu atrašanās vietu. Mēs pārklājam pēdas ar vienkāršu divu utilītu konfigurāciju, kas darbojas kopā, ko sauc par privoxy un tor.
Manuprāt, visu šo noteikumu ievērošana un konfigurēšana aizsargās jūs un jūsu datoru par 90%.
P.S. Es izmantoju mākoni, ko sauc par dropbox. Es tajā glabāju savus vecos un jaunos, vēl nepublicētos rakstus. Ir ērti piekļūt saviem failiem no jebkuras vietas pasaulē un no jebkura datora. Rakstot vietnes rakstus teksta redaktors, Es saglabāju savus teksta dokumentus ar paroli un tikai pēc tam augšupielādēju to dropbox serverī. Nekad nevajadzētu atstāt novārtā nevajadzīgu drošību, kas būs tikai jūsu rokās.
Bez šaubām, tikai tagad uzstādīta sistēma Linux ir daudz izturīgāks pret dažādām ļaunprātīgām programmatūrām, spiegprogrammatūrām un hakeriem nekā tas pats Windows versija... Tomēr lielākā daļa Linux sistēmu izmanto noklusējuma iestatījumus, kas pēc būtības nav pilnīgi droši.
Daži Linux izplatījumi ir veidoti tā, lai tie būtu pēc iespējas drošāki, taču iesācējiem, īpaši tiem, kas nav datorsistēmas eksperti, tie parasti ir ļoti grūti.
Mūsdienās populārākais Linux izplatījums ir Ubuntu. Tas ir saistīts ar daudziem faktoriem, no kuriem viens ir tas, ka iesācējiem tas ir visvieglāk. Tam ir savs pozitīvās puses, bet arī šī iemesla dēļ sistēmā ir vairāki trūkumi, kurus izstrādātāji atstāja, izvēloties lietotājam draudzīgumu. Šajā rakstā mēs apskatīsim, kā tiek veikta drošības konfigurācija Ubuntu 16.04. Šie iestatījumi nav tik sarežģīti, taču tie palīdzēs jums padarīt sistēmu izturīgāku pret visbiežāk izmantotajām uzbrukuma metodēm.
Pirmā lieta, kas jums jāzina, ir pastāvīgi atjaunināt un atjaunināt sistēmu. Pastāvīgi tiek atklātas jaunas kodola un programmatūras ievainojamības, piemēram, tas pats Drity COW. Izstrādātāji šīs kļūdas izlabo ļoti ātri, taču, lai šos labojumus lietotu savā sistēmā, jums tas ir jāatjaunina savlaicīgi.
Vēl viena svarīga piezīme ir lietotāja parole. Nelietojiet lietotāju bez paroles. Ja jums ir nepieciešams koplietot datoru ar citiem cilvēkiem, izveidojiet jauns konts piemēram, viesis. Bet vienmēr izmantojiet paroles. Darbojas Linux sistēma sākotnēji tika veidota kā daudzlietotāju sistēma, domājot par drošību visiem lietotājiem, tāpēc nevajadzētu palaist garām šo iespēju. Bet šie ir visi padomi, kurus jūs, iespējams, jau zināt, apskatīsim dažus patiešām noderīgus veidus, kā palielināt ubuntu drošību.
1. Koplietojamās atmiņas iestatīšana
Pēc noklusējuma viss apjoms kopīga atmiņa/ run / shm tiek lasīts / rakstīts ar iespēju palaist programmas. Tas tiek uzskatīts par drošības trūkumu, un daudzi izmanto, lai uzbruktu darbības pakalpojumiem, izmanto / run / shm. Lielākajai daļai galddatoru un jo īpaši servera ierīcēm šo failu ieteicams pievienot tikai lasīšanas režīmā. Lai to izdarītu, pievienojiet / etc / fstab šādu rindu:
sudo vi / etc / fstab
none / run / shm tmpfs noklusējumi, ro 0 0
Tomēr dažas programmas nedarbosies, ja / run / shm ir tikai lasāms, viena no tām ir Google hroms... Ja izmantojat pārlūkprogrammu Google Chrome, mums ir jāsaglabā rakstīšanas iespēja, taču mēs varam novērst programmu izpildi, lai pievienotu šādu rindiņu, nevis iepriekš ieteikto:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Aizliegt su ne administratoriem
Papildus jūsu kontam Ubuntu ir arī viesis Konts kuru varat izmantot, lai koplietotu savu klēpjdatoru ar draugu. Su utilīta ļauj palaist programmas kā cits lietotājs. Tas ir ļoti noderīgs sistēmas administrēšanā un ļoti svarīgs, ja to piemēro pareizi. Tomēr, neskatoties uz to, visi Linux lietotāji var piekļūt šai utilītai, un tā jau ir ļaunprātīga izmantošana. Lai liegtu viesu konta piekļuvi komandai su, palaidiet:
sudo dpkg -statoverride --update -pievienojiet sakni sudo 4750 / bin / su
3. Aizsargājiet savu mājas direktoriju
Jūsu noklusējuma mājas direktorijs būs pieejams ikvienam sistēmas lietotājam. Tātad, ja jums ir viesa konts, viesim var būt pilnīga piekļuve visiem jūsu personīgajiem failiem un dokumentiem. Bet jūs to varat darīt pieejamu tikai jums. Atveriet termināli un palaidiet šādu komandu:
chmod 0700 / home / lietotājvārds
Tas nosaka tiesības tā, ka mapes īpašnieks, tas ir, jums ir piekļuve visam, un citi lietotāji pat nevar redzēt saturu. Varat arī iestatīt 750 atļaujas, kas lietotājiem, kas atrodas tajā pašā grupā, piešķirs lasīšanas piekļuvi jūsu mapei:
chmod 0750 / home / lietotājvārds
Tagad Ubuntu 16.04 un jo īpaši jūsu personas datu drošība būs nedaudz augstāka.
4. Atspējot SSH pieteikšanos kā root
Pēc noklusējuma Ubuntu jūs varat SSH ievadīt sistēmā kā superlietotāju. Lai gan jūs iestatāt paroli saknes lietotājam, tas var būt potenciāli bīstami, jo, ja parole ir ļoti vienkārša, uzbrucējs var to brutāli piespiest un pilnībā kontrolēt dators. Pakalpojums sshd var nebūt instalēts jūsu sistēmā. Lai pārbaudītu darbību:
Ja tiek parādīts ziņojums par savienojuma atteikumu, tas nozīmē, ka nav instalēts neviens SSH serveris, un jūs varat izlaist šo darbību. Bet, ja tas ir instalēts, tas jākonfigurē, izmantojot konfigurācijas failu / etc / ssh / sshd_config. Atveriet šo failu un nomainiet rindu:
PermitRootLogin jā
PermitRootLogin nr
Gatavs, tagad būs grūtāk ieiet sistēmā, bet drošības konfigurācija Ubuntu 16.04 vēl nav pabeigta.
5. Instalējiet ugunsmūri
Varbūt jūsu datorā ir instalēts ne tikai ssh serveris, bet arī datu bāzes pakalpojums un apache tīmekļa serveris vai nginx. Ja šis mājas dators tad, visticamāk, jūs nevēlaties, lai kāds cits varētu izveidot savienojumu ar jūsu vietējo vietni vai datu bāzi. Lai to novērstu, jums jāinstalē ugunsmūris. Ubuntu ieteicams izmantot gufw, jo tas ir īpaši izstrādāts šai sistēmai.
Lai instalētu, palaidiet:
sudo apt instalēt gufw
Tad jums ir jāatver programma, jāieslēdz aizsardzība un jābloķē visi ienākošie savienojumi. Atļaut tikai pārlūkam un citiem nepieciešamos portus slavenās programmas... Lasiet vairāk instrukcijās.
6. Aizsardzība pret MITM uzbrukumiem
MITM vai Man-in-the-Middle uzbrukuma būtība ir tāda, ka cita persona pārtver visas paketes, kuras pārsūtāt uz serveri, tādējādi var iegūt visas jūsu paroles un personas datus. Mēs nevaram aizstāvēties pret visiem šāda veida uzbrukumiem, taču MITM uzbrukumu veids - ARP uzbrukums - ir diezgan populārs publiskajos vietējos tīklos. Izmantojot funkcijas ARP protokols uzbrucējs izliekas par maršrutētāju jūsu datora priekšā, un jūs nosūtāt viņam visas savu datu paketes. Jūs varat ļoti viegli pasargāt sevi no tā, izmantojot utilītu TuxCut.
Oficiālajos krātuvēs nav programmas, tāpēc, lai to instalētu, pakete ir jālejupielādē no GitHub:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Pēc tam instalējiet iegūto pakotni:
sudo apt instalēt tuxcut_6.1_amd64.deb
Pirms programmas palaišanas sāciet tās pakalpojumu:
sudo systemctl sākt tuxcutd
Lietderības galvenais logs izskatās šādi:
Šeit tiek parādītas visu tīklam pieslēgto lietotāju IP adreses, kā arī katrai no tām atbilstošās MAC adrese... Ja atzīmējat izvēles rūtiņu Aizsardzības režīms, programma aizsargās pret ARP uzbrukumiem. Varat to izmantot publiskos tīklos, piemēram, publiskajā wifi, kur baidāties par savu drošību.
secinājumus
Nu tā, tagad Ubuntu 16.04 drošības iestatīšana ir pabeigta un jūsu sistēma ir daudz drošāka. Mēs esam bloķējuši visbiežāk sastopamos uzbrukumu pārnēsātājus un iekļūšanas metodes, ko izmanto hakeri. Ja jūs zināt citus noderīgus veidus, kā uzlabot Ubuntu drošību, rakstiet komentāros!
Mēs visi to zinām operētājsistēma Linux ir daudz drošāk nekā Windows tās arhitektūras un īpašās piekļuves sadales sistēmas starp lietotājiem dēļ. Bet arī programmētāji ir cilvēki, lai kā mums tas patiktu, viņi arī kļūdās. Un šo kļūdu dēļ sistēmā parādās caurumi, caur kuriem uzbrucēji var apiet aizsardzības sistēmas.
Šīs kļūdas sauc par ievainojamībām, tās var atrast dažādās programmās un pat pašā sistēmas kodolā, graujot tās drošību. Pēdējos gados Linux popularitāte ir sākusi pieaugt, un drošības pētnieki sistēmai pievērš lielāku uzmanību. Arvien vairāk tiek atklātas ievainojamības, un, pateicoties atvērtā pirmkoda kodam, tās var novērst ļoti ātri. Šajā rakstā mēs apskatīsim visbīstamākās Linux ievainojamības, kas atklātas pēdējo gadu laikā.
Pirms pāriet uz pašu ievainojamību sarakstu, ir svarīgi saprast, kas tie ir un kādi tie ir. Kā jau teicu, ievainojamība ir programmas kļūda, kas ļauj lietotājam izmantot programmu tā, kā to nebija paredzējis tās izstrādātājs.
Tas var būt saņemto datu pareizības pārbaudes trūkums, datu avota pārbaude un, pats interesantākais, datu lielums. Visbīstamākās ievainojamības ir tās, kas ļauj izpildīt patvaļīgu kodu. V brīvpiekļuves atmiņa visi dati ir noteikta izmēra, un programma ir paredzēta, lai ierakstītu datus no noteikta izmēra lietotāja atmiņā. Ja lietotājs pārsūta vairāk datu, tam vajadzētu radīt kļūdu.
Bet, ja programmētājs kļūdās, dati pārrakstīs programmas kodu un procesors mēģinās to izpildīt, tādējādi radot bufera pārpildes ievainojamību.
Tāpat visas ievainojamības var iedalīt vietējās, kas darbojas tikai tad, ja hakeris var piekļūt vietējais dators un attālināti, ja ir pietiekama piekļuve, izmantojot internetu. Tagad pāriesim pie ievainojamību saraksta.
1. Netīra govs
Vispirms mūsu sarakstā būs jauna ievainojamība, kas tika atklāta šoruden. Nosaukums Dirty COW apzīmē Copy on Write. Kļūda rodas failu sistēma kopēšanas laikā ierakstīšanas laikā. Šī ir vietēja ievainojamība, kas jebkuram priviliģētam lietotājam ļauj pilnībā piekļūt sistēmai.
Īsāk sakot, lai izmantotu ievainojamību, jums ir nepieciešami divi faili, no kuriem viens ir rakstāms tikai virslietotāja vārdā, otrs - mums. Mēs sākam ierakstīt datus savā failā un daudzkārt lasīt no superlietotāja faila, pēc noteikta laika pienāks brīdis, kad abu failu buferi sajauksies un lietotājs varēs ierakstīt failā datus, kuru ieraksts ir viņam nepieejama, tāpēc jūs varat dot sevi saknes tiesības sistēmā.
Ievainojamība bija kodolā apmēram 10 gadus, taču pēc tās atklāšanas tā tika ātri novērsta, lai gan joprojām ir miljoniem Andoid ierīču, kurās kodols nav atjaunināts un nedomā un kur šo ievainojamību var izmantot. Ievainojamība saņēma kodu CVE-2016-5195.
2. Glibc ievainojamība
Ievainojamība saņēma kodu CVE-2015-7547. Šī bija viena no visvairāk runātajām atvērtā koda ievainojamībām. 2016. gada februārī tika atklāts, ka Glibc bibliotēkai ir ļoti nopietna ievainojamība, kas ļauj uzbrucējam izpildīt savu kodu attālā sistēmā.
Ir svarīgi atzīmēt, ka Glibc ir ieviešana standarta bibliotēka C un C ++, ko izmanto lielākā daļa Linux programmas, ieskaitot pakalpojumus un programmēšanas valodas, piemēram, PHP, Python, Perl.
Atbildes parsēšanas kodā radās kļūda DNS serveri... Tādējādi ievainojamību varētu izmantot hakeri, kuru DNS piekļūst neaizsargātas mašīnas, kā arī veicot MITM uzbrukumu. Bet ievainojamība deva pilnīgu kontroli pār sistēmu.
Ievainojamība bibliotēkā ir kopš 2008. gada, taču pēc atklāšanas ielāpi tika ātri atbrīvoti.
3. Sirdis
2014. gadā tika atklāta viena no nopietnākajām ievainojamībām pēc mēroga un ietekmes. To izraisīja kļūda OpenSSL programmas sirdsklauves modulī, līdz ar to nosaukums Heartbleed. Ievainojamība ļāva uzbrucējiem iegūt tiešu piekļuvi 64 kilobaitiem servera RAM, un uzbrukumu varēja atkārtot, līdz tika nolasīta visa atmiņa.
Neskatoties uz to, ka labojums tika izlaists ļoti ātri, tika ietekmētas daudzas vietnes un lietojumprogrammas. Faktiski visas vietnes, kas izmanto HTTPS, lai aizsargātu datplūsmu, bija neaizsargātas. Uzbrucēji varēja iegūt lietotāju paroles, viņu personas datus un visu, kas bija atmiņā uzbrukuma brīdī. Ievainojamība saņēma kodu CVE-2014-0160.
4. Skatuves bailes
Ja ievainojamībai tiek piešķirts koda nosaukums, tas skaidri nozīmē, ka tai ir jāpievērš uzmanība. Stagerfight ievainojamība nav izņēmums. Tiesa, tā nav īsti Linux problēma. Stagefright ir bibliotēka multivides formātu apstrādei operētājsistēmā Android.
Tas ir ieviests C ++, kas nozīmē, ka tas apiet visus Java drošības mehānismus. 2015. gadā tika atklāta vāja ievainojamību grupa, kas ļāva sistēmā patvaļīgu kodu izpildīt attālināti. Tie ir CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 un CVE-2015-3829.
Uzbrucējam bija tikai jānosūta MMS uz neaizsargātu viedtālruni ar īpaši modificētu multivides failu, un viņš saņēma pilnīgu kontroli pār ierīci ar iespēju rakstīt un lasīt datus no atmiņas kartes. Ievainojamību novērsa Android izstrādātāji, taču joprojām miljoniem ierīču joprojām ir neaizsargātas.
5. Kodola nulles dienas ievainojamība
Šī ir lokāla ievainojamība, kas ļauj pašreizējam lietotājam paaugstināt saknes, jo sistēmā radās kļūda atmiņā saglabāto kodola kriptogrāfijas datu apstrādē. Tas tika atklāts 2016. gada februārī un aptvēra visus kodolus, sākot no 3.8, kas nozīmē, ka ievainojamība pastāv jau 4 gadus.
Kļūdu varēja izmantot hakeri vai ļaunprātīga programmatūra programmatūru lai uzlabotu savas pilnvaras sistēmā, taču tas tika ātri novērsts.
6. Neaizsargātība MySQL
Šī ievainojamība bija kods CVE-2016-6662 un skāra visas pieejamās MySQL datu bāzes servera versijas (5.7.15, 5.6.33 un 5.5.52), Oracle datu bāzes un MariaDB un PerconaDB klonus.
Uzbrucēji varēja iegūt pilnīgu piekļuvi sistēmai, izmantojot SQL vaicājums tika nodots kods, kas ļāva aizstāt my.conf ar savu versiju un restartēt serveri. Bija arī iespēja uzstāties ļaunprātīgs kods ar superlietotāja tiesībām.
MariaDB un PerconaDB diezgan ātri izlaida ielāpus, Oracle reaģēja, bet daudz vēlāk.
7. Shellshock
Šī ievainojamība tika atklāta 2014. gadā, pirms tā pastāvēja 22 gadus. Viņai tika piešķirts CVE-2014-6271 kods un koda nosaukums Shellshock. Šī ievainojamība pēc smaguma pakāpes ir salīdzināma ar jau zināmo Heartbleed. To izraisa Bash komandu tulka kļūda, kas ir noklusējuma lielākajā daļā Linux izplatījumu.
Bash ļauj deklarēt vides mainīgos bez lietotāja autentifikācijas, un kopā varat tajos izpildīt jebkuru komandu. Tas ir īpaši bīstami CGI skriptos, kurus atbalsta lielākā daļa vietņu. Ne tikai serveri ir neaizsargāti, bet arī personālie datori lietotājiem, maršrutētājiem un citām ierīcēm. Faktiski uzbrucējs var attālināti izpildīt jebkuru komandu; šī ir pilnvērtīga tālvadības pults bez autentifikācijas.
Tika ietekmētas visas Bash versijas, ieskaitot 4.3, lai gan pēc problēmas atklāšanas izstrādātāji ļoti ātri izlaida labojumu.
8. Kvadrotājs
Šī ir vesela virkne Android ievainojamību, kas tika atklātas 2016. gada augustā. Viņi saņēma kodus CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Vairāk nekā 900 miljoni ir pakļauti kļūdām Android ierīces... Visas ievainojamības ir atrastas Qualcomm procesora ARM draiverī, un tās visas var izmantot saknes iegūšana piekļuve ierīcei.
Tāpat kā DirtyCOW, jums šeit nav nepieciešami nekādi akreditācijas dati, jums vienkārši jāinstalē ļaunprātīga lietojumprogramma, un tā varēs iegūt visus jūsu datus un pārsūtīt tos uzbrucējam.
9. Ievainojamība OpenJDK
Šī ir ļoti nopietna Linux 2016 ievainojamība OpenJDK Java mašīnā ar kodu CVE-2016-0636 un ietekmē visus lietotājus, kas izmanto Oracle Java SE 7 atjauninājumu 97 un 8 atjauninājumu 73 un 74 operētājsistēmām Windows, Solaris, Linux un Mac OS X. Šī ievainojamība Ļauj uzbrucējam izpildīt patvaļīgu kodu ārpus Java mašīnas, ja pārlūkprogrammā atverat īpašu lapu ar neaizsargātu Java versiju.
Tas ļāva uzbrucējam piekļūt jūsu parolēm, personas datiem un datorā palaist programmas. Visās versijās Java kļūda tika ļoti ātri izlabota, tā pastāv kopš 2013. gada.
10. HTTP / 2 protokola ievainojamība
Šī ir vesela virkne ievainojamību, kas tika atklātas 2016. gadā HTTP / 2 protokolā. Viņi saņēma kodus CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Tika skartas visas šī protokola ieviešanas Apache, Nginx Microsoft, Jetty un nghttp2.
Visi no tiem ļauj uzbrucējam dramatiski palēnināt tīmekļa servera darbību un veikt uzbrukumu pakalpojuma noraidīšanai. Piemēram, viena no kļūdām radīja iespēju nosūtīt nelielu ziņojumu, kas serverī tika izpakots gigabaitos. Kļūda tika novērsta ļoti ātri, un tāpēc sabiedrībā tas neradīja daudz buzz.
Vai esat drošībā?
Šajā rakstā mēs esam apskatījuši visbīstamākās Linux ievainojamības 2016., 2015. un 2014. gadā. Lielākā daļa no tām var nodarīt nopietnus bojājumus sistēmām, ja tās netiek savlaicīgi novērstas. Pateicoties atvērtā pirmkoda kodam, šādas Linux ievainojamības tiek efektīvi atklātas un ātri novērstas. Vienkārši atcerieties atjaunināt savu sistēmu. Vienīgā problēma paliek ar Android. Dažas ierīces vairs nesaņem atjauninājumus, un šai problēmai vēl nav risinājuma.
Pastāv izplatīts nepareizs uzskats, ka Linux serveri ir visdrošākie un aizsargāti pret ārēju ielaušanos. Diemžēl tas tā nav, jebkura servera drošība ir atkarīga no vairākiem faktoriem un pasākumiem tā nodrošināšanai un praktiski nav atkarīga no izmantotās operētājsistēmas.
Mēs nolēmām sākt rakstu sēriju, kas veltīta tīkla drošība ar Ubuntu Server, jo šīs platformas risinājumi mūsu lasītājus ļoti interesē un daudzi cilvēki domā, ka Linux risinājumi paši par sevi ir droši.
Tajā pašā laikā maršrutētājs ar īpašu IP adresi ir "vārteja" uz vietējo tīklu, un tikai administrators noteiks, vai šie vārti būs uzticama barjera vai izrādīsies ar naglu aizvērti vasarnīcas vārti.
Vēl viens izplatīts nepareizs priekšstats, spriešana stilā: "bet kam tas vajadzīgs, mūsu serverim, mums nav nekā interesanta." Patiešām, jūsu vietējais tīkls var neinteresēt uzbrucējus, taču viņi var izmantot apdraudētu serveri, lai nosūtītu surogātpastu, uzbrukumus citiem serveriem, anonīmu starpniekserveri, īsāk sakot, kā sākumpunktu viņu tumšajiem darbiem.
Un tas jau ir nepatīkami un var kalpot kā dažādu problēmu avots: no pakalpojumu sniedzēja līdz tiesībaizsardzības iestādēm. Un par vīrusu izplatīšanos, zādzībām un iznīcināšanu svarīga informācija to arī nav vērts aizmirst, kā arī to, ka uzņēmuma dīkstāve rada diezgan taustāmus zaudējumus.
Neskatoties uz to, ka šis raksts ir par Ubuntu serveri, vispirms mēs apskatīsim vispārīgi jautājumi drošību, kas vienlīdz attiecas uz jebkuru platformu un ir pamati, bez kuriem nav jēgas sīkāk apspriest šo jautājumu.
Kur sākas drošība?
Nē, drošība nesākas ar ugunsmūri, vispār nesākas ar aparatūru, drošība sākas ar lietotāju. Galu galā, kāda jēga no labākajām speciālistu uzstādītajām metāla durvīm, ja īpašnieks atstāj atslēgu zem paklāja?
Tāpēc pirmā lieta, kas jums jādara, ir veikt drošības auditu. Nebaidieties no šī vārda, viss nav tik grūti: uzzīmējiet tīkla shematisko plānu, kurā atzīmējat drošo zonu, potenciālo bīstamo zonu un paaugstinātas bīstamības zonu, kā arī izveidojiet to lietotāju sarakstu, kuriem ir ( jābūt pieejamai) šīm zonām.
Drošā zonā jāiekļauj tīkla iekšējie resursi, kuriem nav piekļuves no ārpuses un kuriem tas ir atļauts zems līmenis drošība. Tās var būt darbstacijas, failu serveri utt. ierīces, kurām var piekļūt tikai uzņēmuma vietējais tīkls.
Potenciālā bīstamā zona ietver serverus un ierīces, kurām nav tiešas piekļuves ārējam tīklam, bet kuru individuālie pakalpojumi ir pieejami no ārpuses, piemēram, tīmekļa un pasta serveri, kas atrodas aiz ugunsmūra, bet vienlaikus apkalpo pieprasījumus no ārējais tīkls.
Bīstamajā zonā jāiekļauj ierīces, kas ir tieši pieejamas no ārpuses, ideālā gadījumā tam vajadzētu būt vienam maršrutētājam.
Ja iespējams, potenciāli bīstamā zona jāpārvieto uz atsevišķu apakštīklu - demilitarizēto zonu (DMZ), kuru no galvenā tīkla atdala papildu ugunsmūris.
Vietējā tīkla ierīcēm vajadzētu būt pieejamai tikai tiem DMZ pakalpojumiem, kas tiem nepieciešami, piemēram, SMTP, POP3, HTTP, citi savienojumi ir jābloķē. Tas droši izolēs uzbrucēju vai ļaunprātīgu programmatūru, kas izmantoja ievainojamību atsevišķā pakalpojumā DMZ, liedzot tiem piekļuvi galvenajam tīklam.
Fiziski DMZ var organizēt, instalējot atsevišķu servera / aparatūras ugunsmūri vai pievienojot maršrutētājam papildu tīkla karti, taču pēdējā gadījumā jums būs jāpievērš liela uzmanība maršrutētāja drošībai. Bet jebkurā gadījumā viena servera nodrošināšana ir daudz vienkāršāka nekā serveru grupas nodrošināšana.
Nākamajā solī vajadzētu analizēt lietotāju sarakstu, neatkarīgi no tā, vai viņiem visiem ir nepieciešama piekļuve DMZ un maršrutētājam (izņemot sabiedriskos pakalpojumus), īpaša uzmanība jāpievērš lietotājiem, kas savieno no ārpuses.
Parasti tas prasa ļoti nepopulāru soli - paroles politikas ieviešanu. Visās to lietotāju parolēs, kurām ir piekļuve svarīgiem pakalpojumiem un kuri var izveidot savienojumu no ārpuses, ir jābūt vismaz 6 rakstzīmēm, un tajos papildus mazajiem burtiem ir divu kategoriju trīs rakstzīmes: lielie burti, cipari, bez alfabēta rakstzīmes.
Turklāt parole nedrīkst ietvert lietotājvārdu vai tā daļu, nesatur datumus un vārdus, kurus var saistīt ar lietotāju, un vēlams, lai tie nebūtu vārdnīcas vārdi.
Ieteicams sākt paroļu maiņas praksi ik pēc 30–40 dienām. Ir skaidrs, ka šāda politika var izraisīt lietotāju noraidīšanu, taču jums vienmēr jāatceras, ka paroles, piemēram, patīk 123 vai qwerty ir līdzvērtīgi atslēgas atstāšanai zem paklāja.
Servera drošība nav nekas vairāk.
Tagad, kad mums ir priekšstats par to, ko vēlamies aizsargāt un no kā, pāriesim pie paša servera. Izveidojiet visu pakalpojumu un pakalpojumu sarakstu, pēc tam padomājiet, vai tie visi ir nepieciešami šajā serverī, vai arī tos var kaut kur izņemt.
Jo mazāk pakalpojumu, jo vieglāk ir nodrošināt drošību, jo mazāka iespēja, ka kādā no tiem kritiska ievainojamība var tikt apdraudēta serverim.
Konfigurējiet kalpojošos pakalpojumus vietējais tīkls(piemēram, kalmārus), lai viņi pieņemtu tikai vietējā interfeisa pieprasījumus. Jo mazāk ārēji pieejamu pakalpojumu, jo labāk.
Labs palīgs drošības jomā ir neaizsargātības skeneris, kas būtu jāpārbauda priekšgals serveris. Mēs izmantojām viena no slavenākajiem produktiem - XSpider 7.7 - demo versiju.
Skeneris rāda atvērtas ostas, mēģina noteikt darbības pakalpojuma veidu un, ja tas izdodas, tā ievainojamību. Kā redzat, pareizi konfigurēta sistēma ir diezgan droša, taču jums nevajadzētu atstāt atslēgu zem paklāja, atvērtu portu 1723 (VPN) un 3389 (RDP, pārsūtīts uz termināļa serveri) klātbūtne maršrutētājā ir laba iemesls domāt par paroles politiku.
Atsevišķi ir vērts runāt par SSH drošību, parasti šo pakalpojumu izmanto administratori tālvadība serveri, un tas interesē kibernoziedzniekus. SSH iestatījumi tiek saglabāti failā / etc / ssh / sshd_config, tiek veiktas visas tālāk aprakstītās izmaiņas. Pirmkārt, jums vajadzētu atspējot autorizāciju root lietotājam, lai pievienotu šo opciju:
PermitRootLogin nr
Tagad uzbrucējam būs jāuzmin ne tikai parole, bet arī pieteikšanās vārds, kamēr viņš joprojām nezinās virslietotāja paroli (mēs ceram, ka tā neatbilst jūsu parolei). Visi administratīvie uzdevumi, pieslēdzoties no ārpuses, jāveic no apakšas sudo piesakoties kā priviliģēts lietotājs.
Ir vērts skaidri norādīt atļauto lietotāju sarakstu, bet jūs varat izmantot tādus ierakstus kā [e -pasts aizsargāts] kas ļauj norādītajam lietotājam izveidot savienojumu tikai no norādītā resursdatora. Piemēram, lai ļautu lietotājam ivanov izveidot savienojumu no mājām (IP 1.2.3.4), pievienojiet šādu ierakstu:
AllowUser [e -pasts aizsargāts]
Tāpat aizliegt izmantot novecojušus un mazākus drošs protokols SSH1, ļaujot to izdarīt tikai otrajai protokola versijai, dodiet nākamā rinda skatīties:
2. protokols
Neskatoties uz visiem veiktajiem pasākumiem, mēģinājumi izveidot savienojumu ar SSH un citiem sabiedriskajiem pakalpojumiem joprojām tiks veikti, lai novērstu paroles uzminēšanu, izmantojiet utilītu fail2ban, kas ļauj automātiski aizliegt lietotāju pēc vairākiem neveiksmīgiem pieteikšanās mēģinājumiem. To var instalēt ar komandu:
Sudo apt-get instalēt fail2ban
Šī utilīta ir gatava darbam tūlīt pēc instalēšanas, tomēr mēs iesakām nekavējoties mainīt dažus parametrus, lai to izdarītu, /etc/fail2ban/jail.conf... Pēc noklusējuma tiek kontrolēta tikai SSH piekļuve un aizlieguma laiks ir 10 minūtes (600 sekundes), mūsuprāt, ir vērts to palielināt, mainot šādu opciju:
Bantime = 6000
Pēc tam ritiniet failu un iespējojiet sadaļas pakalpojumiem, kas darbojas jūsu sistēmā, iestatot parametru aiz atbilstošās sadaļas nosaukuma iespējots stāvoklī taisnība, piemēram, par pakalpojumu proftpd tas izskatīsies šādi:
iespējots = taisnība
Vēl viens svarīgs parametrs maks, kas ir atbildīgs par maksimālo savienojuma mēģinājumu skaitu. Pēc iestatījumu maiņas neaizmirstiet restartēt pakalpojumu:
Sudo /etc/init.d/fail2ban restart
Jūs varat redzēt utilītas žurnālu /var/log/fail2ban.log.
Ikgadējā LinuxCon 2015. gadā GNU / Linux kodola radītājs Linus Torvalds dalījās savos uzskatos par sistēmas drošību. Viņš uzsvēra nepieciešamību mazināt dažu kļūdu klātbūtnes ietekmi ar kompetentu aizsardzību, lai, ja viena komponenta darbības traucējumi, nākamais slānis pārklātu problēmu.
Šajā rakstā mēs centīsimies aplūkot šo tēmu no praktiskā viedokļa:
7. Uzstādiet ugunsmūrus
Nesen parādījās jauna ievainojamība, kas ļāva DDoS uzbrukumiem Linux serveriem. Kļūda sistēmas kodolā parādījās ar versiju 3.6 2012. gada beigās. Neaizsargātība ļauj hakeriem ievadīt vīrusus lejupielādējamos failos, tīmekļa lapās un atklāt Tor savienojumus, un uzlaušanai nav vajadzīgas lielas pūles - IP viltošanas metode darbosies.Maksimālais kaitējums šifrētiem HTTPS vai SSH savienojumiem ir savienojuma pārtraukšana, bet uzbrucējs var ievietot jaunu saturu neaizsargātā datplūsmā, tostarp ļaunprātīga programmatūra... Lai aizsargātu pret šādiem uzbrukumiem, ir piemērots ugunsmūris.
Bloķējiet piekļuvi, izmantojot ugunsmūri
Ugunsmūris ir viens no svarīgākajiem līdzekļiem nevēlamu bloķēšanai ienākošā satiksme... Mēs iesakām atļaut tikai to satiksmi, kas jums patiešām nepieciešama, un pilnībā noraidīt visu pārējo.
Lielākajai daļai Linux izplatījumu ir iptables kontrolieris pakešu filtrēšanai. Parasti viņi to izmanto pieredzējuši lietotāji un vienkāršotai konfigurācijai varat izmantot UFW utilītas Debian / Ubuntu vai FirewallD Fedora.
8. Atspējot nevajadzīgos pakalpojumus
Virdžīnijas Universitātes eksperti iesaka izslēgt visus pakalpojumus, kurus neizmantojat. Daži fona procesi ir iestatīta automātiskā ielāde un darbojas, līdz sistēma tiek izslēgta. Lai konfigurētu šīs programmas, jums jāpārbauda init skripti. Pakalpojumus var sākt, izmantojot inetd vai xinetd.Ja jūsu sistēma ir konfigurēta, izmantojot inetd, tad failā /etc/inetd.conf varat rediģēt fona "dēmonu" programmu sarakstu; lai atspējotu pakalpojuma ielādi, vienkārši ievietojiet "#" zīmi programmas sākumā rindu, pārvēršot to no izpildāmā par komentāru.
Ja sistēma izmanto xinetd, tad tās konfigurācija būs direktorijā /etc/xinetd.d. Katrs direktorija fails definē pakalpojumu, kuru var atspējot, norādot disable = yes, kā šajā piemērā:
Pakalpojuma pirksts (ligzdas_tips = straumes gaidīšana = bez lietotāja = neviens serveris = /usr/sbin/in.fingerd disable = jā)
Ir arī vērts pārbaudīt, vai nav noturīgu procesu, kurus nepārvalda inetd vai xinetd. Startēšanas skriptus var konfigurēt direktorijos /etc/init.d vai / etc / inittab. Pēc veiktajām izmaiņām palaidiet komandu kā root kontu.
/etc/rc.d/init.d/inet restart
9. Aizsargājiet serveri fiziski
Nav iespējams pilnībā aizsargāties pret uzbrucēju uzbrukumiem ar fiziska piekļuve uz serveri. Tāpēc ir nepieciešams nodrošināt telpu, kurā atrodas jūsu sistēma. Datu centri nopietni uzrauga drošību, ierobežo piekļuvi serveriem, uzstāda drošības kameras un piešķir pastāvīgu drošību.Lai ieietu datu centrā, visiem apmeklētājiem jāiziet noteiktas autentifikācijas stadijas. Ir arī ļoti ieteicams izmantot kustības sensorus visās centra vietās.
10. Aizsargājiet serveri no nesankcionētas piekļuves
Neatļautas piekļuves sistēma vai IDS apkopo datus par sistēmas konfigurāciju un failiem un pēc tam salīdzina šos datus ar jaunām izmaiņām, lai noteiktu, vai tie nav kaitīgi sistēmai.Piemēram, rīki Tripwire un Aide apkopo datu bāzi sistēmas failus un aizsargājiet tos ar atslēgu komplektu. Psad tiek izmantots, lai izsekotu aizdomīgām darbībām, izmantojot ugunsmūra ziņojumus.
Bro ir paredzēts tīkla uzraudzībai, izsekot aizdomīgiem darbības modeļiem, vākt statistiku, izpildīt sistēmas komandas un ģenerēt brīdinājumus. RKHunter var izmantot, lai aizsargātu pret vīrusiem, visbiežāk rootkitiem. Šī utilīta pārbauda jūsu sistēmā zināmās ievainojamības un var identificēt nedrošus iestatījumus lietojumprogrammās.
