Desigur, putem spune asta Linux Mai mult sigur(protejat) decât Windows. Securitate v Linuxîncorporat și nu înșurubat undeva pe lateral, așa cum este implementat în Windows. Securitate sisteme Linux acoperă zona de la nucleu la desktop, dar este posibil ca hackerii să vă dăuneze directorului de acasă (/ home).
Octetii dvs. de fotografii, videoclipuri de acasă, documente și date despre cardul de credit sau portofel sunt informațiile cele mai scumpe de pe un computer. Desigur, Linux nu este susceptibil la tot felul de viermi de Internet și viruși Windows. Dar atacatorii pot găsi o modalitate de a vă accesa datele din directorul de acasă.
Pregătirea vechiului computer sau HDDînainte de a vinde formatarea, credeți că va fi suficient? Există multe instrumente moderne de recuperare a datelor acolo. Un hacker vă poate recupera cu ușurință datele Hard disk, indiferent de sistemul de operare la care lucrați.
Cu privire la acest subiect, îmi amintesc experiența unei companii în răscumpărarea computerelor și discurilor uzate. Pe parcursul activităților lor, au dat verdictul că 90% dintre proprietarii anteriori ai computerelor lor nu au avut grijă de curățarea suporturilor de stocare înainte de vânzare. Și extrageau octeți de date foarte scrupuloși. Este chiar înfricoșător să ne imaginăm că undeva în coșurile de pe hard disk există informații pentru a intra în banca dvs. de internet sau în portofelul online.
Începeți cu elementele de bază ale securității Linux
Să trecem la elementele de bază (), care vor funcționa pentru aproape orice 
Distribuții Linux.
Să criptăm sistemul de fișiere în Linux pentru o securitate Linux mai completă
Parolele utilizatorului nu vor rezolva problema dacă doriți cu adevărat ca nimeni să nu vă poată citi directorul de acasă (/ home) sau o anumită dimensiune de octeți. Puteți face acest lucru, astfel încât nici măcar un utilizator cu privilegii de root mari să nu poată să-și bată nasul.
Ștergeți fișierele sensibile, astfel încât nimeni altcineva să nu le poată restabili
Dacă decideți să vindeți sau să donați computerul sau suportul de stocare, nu presupuneți că o simplă formatare vă va șterge definitiv fișierele. Puteți instala instrumentul de ștergere sigură în caseta Linux, care include utilitarul srm pentru a șterge în siguranță fișiere.
De asemenea, nu uitați de Kernel Linux firewall. Toate distribuțiile Linux includ lptables, care face parte din kernel. Lptables vă permite să filtrați pachetele de rețea. Desigur, puteți configura acest utilitar în terminal. Dar această metodă este dincolo de puterea multora, inclusiv a mea. Așa că m-am pregătit și am configurat la fel de ușor ca și când aș juca un joc.
La fel ca toate sistemele de operare, Linux tinde să acumuleze junk atunci când rulează diverse aplicații. Și aceasta nu este vina lui Linux, deoarece diverse aplicații, cum ar fi browsere, editoare de text și chiar playere video, nu funcționează la nivelul nucleului și acumulează fișiere temporare. Puteți instala utilitarul BleachBit pentru eliminarea universală a gunoiului.
Navigarea anonimă, ascunderea IP-ului dvs. este foarte importantă pentru securitatea identității dvs. sub Linux
În concluzie, vreau să vă povestesc despre navigarea anonimă pe web. Uneori se întâmplă că este necesar, ca și mine, când în secret de la soția mea vizitez site-uri cu conținut erotic. Bineînțeles că glumeam.
Va fi dificil pentru atacatori să vă ajungă dacă nu vă pot determina locația. Acoperim urmele cu o configurație simplă a două utilități care lucrează împreună numite privoxy și tor.
În opinia mea, respectarea și configurarea tuturor acestor reguli vă va proteja pe dvs. și computerul dvs. cu 90%.
P.S. Folosesc un cloud numit dropbox. Îmi păstrez în el articolele vechi și noi, nepublicate încă. Este convenabil să aveți acces la fișierele dvs. de oriunde din lume și de pe orice computer. Când scrieți articole pentru un site în editor de text, Îmi salvez documentele text cu o parolă și abia după aceea le încarc pe serverul dropbox. Nu trebuie să neglijați niciodată securitatea inutilă, care vă va juca doar în mâini.
Fără îndoială chiar acum sistemul instalat Linux este mult mai rezistent la diferite programe malware, spyware și hackeri decât aceleași Versiunea Windows... Cu toate acestea, majoritatea sistemelor Linux folosesc setări implicite care nu sunt în totalitate sigure.
Unele distribuții Linux sunt concepute pentru a fi cât mai sigure posibil, dar au tendința de a fi foarte dificile pentru începători, în special experți în securitatea non-computer.
Ubuntu este cea mai populară distribuție Linux utilizată astăzi. Acest lucru se datorează multor factori, dintre care unul este că este cel mai ușor pentru utilizatorii începători. Acest lucru are propriul său laturi pozitive, dar și din acest motiv, există mai multe puncte slabe în sistem pe care dezvoltatorii le-au lăsat în urmă optând pentru ușurința utilizatorului. În acest articol, vom arunca o privire asupra modului în care se realizează configurația de securitate pe Ubuntu 16.04. Aceste setări nu sunt atât de complicate, dar vă vor ajuta să faceți sistemul mai rezistent la cele mai comune metode de atac.
Primul lucru pe care trebuie să-l știți este să vă mențineți sistemul actualizat în permanență și actualizat. Noi vulnerabilități în kernel și software sunt descoperite în mod constant, un exemplu este același Drity COW. Dezvoltatorii remediază aceste erori foarte repede, dar pentru a aplica aceste remedieri în sistemul dvs., trebuie să le actualizați în timp util.
O altă notă importantă este parola utilizatorului. Nu utilizați un utilizator fără o parolă. Dacă trebuie să partajați computerul cu alte persoane, creați cont nou ex. oaspete. Dar folosiți întotdeauna parole. Sala de operație Sistem Linux a fost inițial construit ca un sistem multi-utilizatori, având în vedere securitatea pentru toți utilizatorii, deci această oportunitate nu trebuie ratată. Dar acestea sunt toate sfaturile pe care probabil le cunoașteți deja, să ne uităm la câteva modalități cu adevărat utile de a crește securitatea Ubuntu.
1. Configurarea memoriei partajate
În mod implicit, întregul volum memorie partajată/ run / shm este citit / scris cu capacitatea de a rula programe. Aceasta este considerată o gaură de securitate și multe exploatări folosesc / run / shm pentru a ataca serviciile care rulează. Pentru majoritatea dispozitivelor desktop și în special a serverelor, se recomandă montarea acestui fișier în modul de citire numai. Pentru a face acest lucru, adăugați următoarea linie la / etc / fstab:
sudo vi / etc / fstab
none / run / shm implicit tmpfs, ro 0 0
Dar totuși, unele programe nu vor funcționa dacă / run / shm este doar în citire, unul dintre ele este Google Chrome... Dacă utilizați Google Chrome, atunci trebuie să păstrăm capacitatea de a scrie, dar putem împiedica executarea programelor, pentru aceasta adăugați următoarea linie în loc de cea sugerată mai sus:
none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Interzice su pentru non-administratori
Pe lângă contul dvs., Ubuntu are și un invitat Cont pe care îl puteți folosi pentru a partaja laptopul cu un prieten. Utilitarul su vă permite să rulați programe ca un alt utilizator. Acest lucru este foarte util în administrarea sistemului și este vital atunci când este aplicat corect. Dar, cu toate acestea, toți utilizatorii de Linux pot accesa acest utilitar, iar acest lucru este deja abuz. Pentru a refuza accesul contului de oaspeți la comanda su, executați:
sudo dpkg-statoverride --update - adăugați rădăcină sudo 4750 / bin / su
3. Protejați-vă directorul de acasă
Directorul de acasă implicit va fi accesibil tuturor utilizatorilor din sistem. Deci, dacă aveți un cont de invitat, acesta poate avea acces complet la toate fișierele și documentele dvs. personale. Dar îl puteți pune la dispoziția dvs. doar. Deschideți un terminal și rulați următoarea comandă:
chmod 0700 / acasă / nume de utilizator
Acesta stabilește drepturile în așa fel încât proprietarul folderului, adică să aveți acces la toate, iar ceilalți utilizatori nici măcar nu pot vedea conținutul. Alternativ, puteți seta 750 de permisiuni, care vor acorda acces de citire la folderul dvs. pentru utilizatorii din același grup cu dvs.:
chmod 0750 / acasă / nume de utilizator
Acum, securitatea Ubuntu 16.04, și în special datele dvs. personale, va fi puțin mai mare.
4. Dezactivați autentificarea SSH ca root
În mod implicit, în Ubuntu, puteți introduce SSH în sistem ca superutilizator. Deși setați o parolă pentru utilizatorul root, aceasta poate fi potențial periculoasă, deoarece dacă parola este foarte simplă, un atacator poate să o forțeze brutal și să preia controlul complet asupra calculatorul. Este posibil ca serviciul sshd să nu fie instalat pe sistemul dvs. Pentru a verifica rularea:
Dacă primiți un mesaj refuzat de conexiune, înseamnă că nu este instalat niciun server SSH și puteți sări peste acest pas. Dar dacă este instalat, atunci trebuie configurat folosind fișierul de configurare / etc / ssh / sshd_config. Deschideți acest fișier și înlocuiți linia:
PermitRootLogin da
PermitRootLogin nr
Gata, acum va fi mai dificil să pătrundeți în sistemul dvs., dar configurația de securitate din Ubuntu 16.04 nu este încă completă.
5. Instalați paravanul de protecție
Poate că aveți instalat nu numai server ssh pe mașina dvs., ci și un serviciu de baze de date și server web apache sau nginx. Dacă aceasta computer de acasă atunci cel mai probabil nu ați dori ca altcineva să se poată conecta la site-ul sau baza de date locală. Pentru a preveni acest lucru, trebuie să instalați un firewall. Este recomandat să utilizați gufw pe Ubuntu, deoarece este conceput special pentru acest sistem.
Pentru a instala, rulați:
sudo apt instalează gufw
Apoi, trebuie să deschideți programul, să activați protecția și să blocați toate conexiunile primite. Permiteți doar porturile necesare pentru browser și altele programe celebre... Citiți mai multe în instrucțiuni.
6. Protecție împotriva atacurilor MITM
Esența unui atac MITM sau Man-in-the-Middle este că o altă persoană interceptează toate pachetele pe care le transmiteți către server, astfel încât să vă poată obține toate parolele și datele personale. Nu ne putem apăra împotriva tuturor atacurilor de acest fel, dar un tip de atacuri MITM - atac ARP - este destul de popular în rețelele publice locale. Utilizarea caracteristicilor Protocol ARP atacatorul se preface că este un router în fața computerului și îi trimiteți toate pachetele de date. Vă puteți proteja foarte ușor de acest lucru folosind utilitarul TuxCut.
Nu există niciun program în depozitele oficiale, deci pentru a-l instala trebuie să descărcați pachetul de pe GitHub:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Apoi instalați pachetul rezultat:
sudo apt install tuxcut_6.1_amd64.deb
Înainte de a începe programul, porniți serviciul:
sudo systemctl pornește tuxcutd
Fereastra principală a utilității arată astfel:
Adresele IP ale tuturor utilizatorilor conectați la rețea sunt afișate aici, precum și cele corespunzătoare fiecăruia dintre ei Adresa mac... Dacă bifați caseta de selectare Mod protecție, programul va proteja împotriva atacurilor ARP. Îl puteți folosi în rețele publice, cum ar fi Wi-Fi public, unde vă temeți pentru siguranța dvs.
concluzii
Ei bine, asta este, acum setarea de securitate pentru Ubuntu 16.04 este completă, iar sistemul dvs. este mult mai sigur. Am blocat cei mai comuni vectori de atac și metode de penetrare în sistemul folosit de hackeri. Dacă știți alte modalități utile de îmbunătățire a securității în Ubuntu, scrieți în comentarii!
Toti stim asta sistem de operare Linux este mult mai sigur decât Windows datorită arhitecturii sale și a unui sistem special de distribuție a accesului între utilizatori. Dar și programatorii sunt oameni, oricât ne-ar plăcea, și ei greșesc. Și din cauza acestor erori, apar găuri în sistem prin care atacatorii pot ocoli sistemele de protecție.
Aceste erori se numesc vulnerabilități, pot fi găsite în diverse programe și chiar în centrul sistemului, subminând securitatea acestuia. În ultimii ani, Linux a început să crească în popularitate, iar cercetătorii în domeniul securității acordă mai multă atenție sistemului. Din ce în ce mai multe vulnerabilități sunt descoperite și, datorită codului open source, pot fi eliminate foarte repede. În acest articol, vom arunca o privire asupra celor mai periculoase vulnerabilități Linux descoperite în ultimii ani.
Înainte de a trece la lista vulnerabilităților în sine, este important să înțelegeți ce sunt și ce sunt. După cum am spus, o vulnerabilitate este o eroare într-un program care permite utilizatorului să utilizeze un program într-un mod care nu a fost intenționat de către dezvoltatorul său.
Aceasta poate fi lipsa verificării corectitudinii datelor primite, verificarea sursei de date și, cel mai interesant, dimensiunea datelor. Cele mai periculoase vulnerabilități sunt cele care permit executarea unui cod arbitrar. V memorie cu acces aleator toate datele au o anumită dimensiune și programul este conceput pentru a scrie date de la un utilizator de o anumită dimensiune în memorie. Dacă utilizatorul transmite mai multe date, atunci ar trebui să arunce o eroare.
Dar dacă programatorul face o greșeală, datele vor suprascrie codul programului și procesorul va încerca să îl execute, creând astfel vulnerabilități de depășire a bufferului.
De asemenea, toate vulnerabilitățile pot fi împărțite în cele locale, care funcționează numai dacă hackerul are acces computer localși la distanță, atunci când există suficient acces prin Internet. Acum să trecem la lista vulnerabilităților.
1. VACĂ murdară
Primul pe lista noastră va fi o nouă vulnerabilitate descoperită în această toamnă. Numele Dirty COW înseamnă Copiere pe scriere. Eroarea apare în Sistemul de fișiereîn timp ce copiați în timp ce înregistrați. Aceasta este o vulnerabilitate locală care permite oricărui utilizator neprivilegiat să obțină acces complet la sistem.
Pe scurt, pentru a exploata vulnerabilitatea, aveți nevoie de două fișiere, unul poate fi scris în numele superutilizatorului, celălalt pentru noi. Începem să scriem date în fișierul nostru și citim din fișierul superutilizator de multe ori, după un anumit timp va veni momentul în care tampoanele ambelor fișiere se vor amesteca și utilizatorul va putea scrie date în fișier, a căror înregistrare este inaccesibil pentru el, deci vă puteți oferi drepturi de rădăcinăîn sistem.
Vulnerabilitatea a fost în nucleu timp de aproximativ 10 ani, dar după descoperirea sa a fost rapid eliminată, deși există încă milioane de dispozitive Andoid în care nucleul nu a fost actualizat și nu gândește și unde poate fi exploatată această vulnerabilitate. Vulnerabilitatea a primit codul CVE-2016-5195.
2. Vulnerabilitate Glibc
Vulnerabilitatea a primit codul CVE-2015-7547. Aceasta a fost una dintre cele mai discutate vulnerabilități open source. În februarie 2016, s-a dezvăluit că biblioteca Glibc are o vulnerabilitate foarte gravă care permite unui atacator să-și execute codul pe un sistem la distanță.
Este important să rețineți că Glibc este o implementare bibliotecă standard C și C ++, care sunt utilizate de majoritatea Programe Linux, inclusiv servicii și limbaje de programare precum PHP, Python, Perl.
A apărut o eroare în codul de analiză a răspunsului Serverele DNS... Astfel, vulnerabilitatea ar putea fi exploatată de hackeri, al căror DNS a fost accesat de mașini vulnerabile, precum și prin efectuarea unui atac MITM. Dar vulnerabilitatea a dat control deplin asupra sistemului.
Vulnerabilitatea se află în bibliotecă din 2008, dar după detectare, patch-urile au fost rapid eliberate.
3. Heartbleed
În 2014, a fost descoperită una dintre cele mai grave vulnerabilități la scară și consecințe. A fost cauzat de o eroare în modulul heartdead al OpenSSL, de unde și numele Heartbleed. Vulnerabilitatea le-a permis atacatorilor să obțină acces direct la 64 de kilobyți din memoria RAM a serverului, iar atacul a putut fi repetat până când a fost citită toată memoria.
În ciuda faptului că remedierea a fost lansată foarte repede, multe site-uri și aplicații au fost afectate. De fapt, toate site-urile care foloseau HTTPS pentru a proteja traficul erau vulnerabile. Atacatorii puteau obține parole de utilizator, datele lor personale și tot ce era în memorie în momentul atacului. Vulnerabilitatea a primit codul CVE-2014-0160.
4. Frica scenică
Dacă unei vulnerabilități i s-a dat un nume de cod, înseamnă în mod clar că merită atenție. Vulnerabilitatea Stagerfight nu face excepție. Adevărat, aceasta nu este într-adevăr o problemă cu Linux. Stagefright este o bibliotecă pentru gestionarea formatelor multimedia în Android.
Este implementat în C ++, ceea ce înseamnă că ocolește toate mecanismele de securitate Java. În 2015, a fost descoperit un întreg grup de vulnerabilități care permitea executarea de la distanță a codului arbitrar pe sistem. Acestea sunt CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 și CVE-2015-3829.
Atacatorul a trebuit doar să trimită MMS către un smartphone vulnerabil cu un fișier media special modificat și a primit control deplin asupra dispozitivului cu capacitatea de a scrie și citi date de pe cardul de memorie. Vulnerabilitatea a fost reparată de dezvoltatorii Android, dar încă milioane de dispozitive rămân vulnerabile.
5. Vulnerabilitatea de zi zero a nucleului
Aceasta este o vulnerabilitate locală care permite utilizatorului curent să fie ridicat la rădăcină din cauza unei erori în sistem la manipularea datelor criptografice ale nucleului stocate în memorie. A fost descoperit în februarie 2016 și acoperea toate nucleele începând cu 3.8, ceea ce înseamnă că vulnerabilitatea există de 4 ani.
Eroarea ar fi putut fi exploatată de hackeri sau malware software pentru a-și spori puterile în sistem, dar a fost foarte repede remediat.
6. Vulnerabilitate în MySQL
Această vulnerabilitate a fost codul CVE-2016-6662 și a afectat toate versiunile disponibile ale serverului de baze de date MySQL (5.7.15, 5.6.33 și 5.5.52), bazele de date Oracle și clonele MariaDB și PerconaDB.
Atacatorii ar putea avea acces complet la sistem prin intermediul Interogare SQL a fost transmis un cod care a permis înlocuirea my.conf cu propria versiune și repornirea serverului. A existat și o ocazie de a cânta cod rău intenționat cu drepturi de superutilizator.
MariaDB și PerconaDB au lansat patch-uri destul de repede, Oracle a reacționat, dar mult mai târziu.
7. Shellshock
Această vulnerabilitate a fost descoperită în 2014 înainte de a exista timp de 22 de ani. I s-a atribuit codul CVE-2014-6271 și numele de cod Shellshock. Această vulnerabilitate este comparabilă ca severitate cu deja cunoscutul Heartbleed. Este cauzat de o eroare în interpretorul de comandă Bash, care este implicit pentru majoritatea distribuțiilor Linux.
Bash vă permite să declarați variabile de mediu fără autentificarea utilizatorului și împreună puteți rula orice comandă în ele. Acest lucru este deosebit de periculos în scripturile CGI care sunt acceptate de majoritatea site-urilor. Nu numai serverele sunt vulnerabile, ci și calculatoare personale utilizatori, routere și alte dispozitive. De fapt, un atacator poate executa de la distanță orice comandă; aceasta este o telecomandă completă fără autentificare.
Toate versiunile Bash au fost afectate, inclusiv 4.3, deși după descoperirea problemei, dezvoltatorii au lansat o reparație foarte repede.
8. Quadrooter
Aceasta este o serie întreagă de vulnerabilități în Android care au fost descoperite în august 2016. Au primit codurile CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Peste 900 de milioane sunt supuse erorilor Dispozitive Android... Toate vulnerabilitățile au fost găsite în driverul ARM al procesorului Qualcomm și toate pot fi exploatate înrădăcinându-se acces la dispozitiv.
La fel ca DirtyCOW, nu aveți nevoie de niciun fel de acreditări aici, trebuie doar să instalați o aplicație rău intenționată și va putea să vă obțină toate datele și să le transfere către atacator.
9. Vulnerabilitate în OpenJDK
Aceasta este o vulnerabilitate linux 2016 foarte gravă în mașina OpenJDK Java cu codul CVE-2016-0636 și afectează toți utilizatorii care rulează Oracle Java SE 7 Update 97 și 8 Update 73 și 74 pentru Windows, Solaris, Linux și Mac OS X. vulnerabilitate Permite unui atacator să execute cod arbitrar în afara mașinii Java dacă deschideți o pagină specială într-un browser cu o versiune vulnerabilă a Java.
Acest lucru a permis unui atacator să aibă acces la parolele, datele personale și să ruleze programe pe computerul dvs. În toate versiunile Eroare Java a fost corectat foarte repede, există din 2013.
10. Vulnerabilitatea protocolului HTTP / 2
Aceasta este o serie întreagă de vulnerabilități care au fost descoperite în 2016 în protocolul HTTP / 2. Au primit codurile CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Toate implementările acestui protocol în Apache, Nginx Microsoft, Jetty și nghttp2 au fost afectate.
Toate le permit unui atacator să încetinească dramatic serverul web și să execute un atac de refuz de serviciu. De exemplu, una dintre erori a dus la posibilitatea de a trimite un mesaj mic, care a fost despachetat în gigabytes pe server. Bug-ul a fost rezolvat foarte repede și, prin urmare, nu a generat prea multe noutăți în comunitate.
Esti in siguranta?
În acest articol, am acoperit cele mai periculoase vulnerabilități Linux în 2016, 2015 și 2014. Cele mai multe dintre ele ar putea provoca daune grave sistemelor dacă nu ar fi remediate la timp. Datorită codului sursă deschisă, astfel de vulnerabilități Linux sunt detectate eficient și reparate rapid. Nu uitați să vă actualizați sistemul. Singura problemă rămâne cu Android. Unele dispozitive nu mai primesc actualizări și nu există încă nicio soluție la această problemă.
Există o concepție greșită obișnuită că serverele Linux sunt cele mai sigure și protejate de intruziunile exterioare. Din păcate, acest lucru nu este cazul, securitatea oricărui server depinde de o serie de factori și măsuri pentru a-l asigura și practic nu depinde de sistemul de operare utilizat.
Am decis să începem o serie de articole dedicate securitatea retelei cu Ubuntu Server, deoarece soluțiile de pe această platformă sunt de mare interes pentru cititorii noștri și din moment ce mulți oameni cred că soluțiile Linux sunt în sine sigure.
În același timp, un router cu o adresă IP dedicată este un „gateway” către rețeaua locală și numai administratorul va stabili dacă aceste porți vor fi o barieră fiabilă sau se vor dovedi a fi o poartă dacha închisă cu un cui.
O altă concepție greșită obișnuită, raționamentul în stil: „dar cine are nevoie de ea, serverul nostru, nu avem nimic interesant”. Într-adevăr, este posibil ca rețeaua dvs. locală să nu prezinte niciun interes pentru infractorii cibernetici, dar pot folosi un server compromis pentru a trimite spam, atacuri pe alte servere, un proxy anonim, pe scurt, ca punct de plecare pentru faptele lor întunecate.
Și acest lucru este deja neplăcut și poate servi drept sursă de diverse probleme: de la furnizor la agențiile de aplicare a legii. Și despre răspândirea virușilor, furt și distrugere Informații importante de asemenea, nu merită uitat, precum și faptul că timpii morți ai întreprinderii duc la pierderi destul de tangibile.
În ciuda faptului că acest articol este despre Ubuntu Server, mai întâi ne vom uita la probleme generale securitate, care sunt la fel de relevante pentru orice platformă și sunt elementele de bază, fără a căror asimilare nu are sens să discutăm problema mai detaliat.
Unde începe siguranța?
Nu, securitatea nu începe cu un firewall, nu începe deloc cu hardware, securitatea începe cu utilizatorul. La urma urmei, la ce folosește cea mai tare ușă metalică instalată de cei mai buni specialiști dacă proprietarul lasă cheia sub covor?
Prin urmare, primul lucru pe care trebuie să-l faceți este să efectuați un audit de securitate. Nu vă lăsați intimidați de acest cuvânt, totul nu este atât de complicat: desenați un plan schematic de rețea pe care marcați zona sigură, zona potențială de pericol și zona cu pericol ridicat și, de asemenea, faceți o listă a utilizatorilor care au (ar trebui să aibă acces) ) la aceste zone.
Zona sigură ar trebui să includă resursele interne ale rețelei, accesul la care din exterior nu este disponibil și pentru care este permis nivel scăzut Securitate. Acestea pot fi stații de lucru, servere de fișiere etc. accesul dispozitivelor la care este limitat la rețeaua locală a întreprinderii.
Zona potențială de pericol include servere și dispozitive care nu au acces direct la rețeaua externă, dar ale căror servicii individuale sunt accesibile din exterior, de exemplu, serverele web și de mail situate în spatele firewall-ului, dar în același timp servesc cererile de la rețeaua externă.
Zona periculoasă ar trebui să includă dispozitive direct accesibile din exterior, în mod ideal ar trebui să fie un singur router.
Dacă este posibil, zona potențial periculoasă ar trebui mutată într-o subrețea separată - zona demilitarizată (DMZ), care este separată de rețeaua principală printr-un firewall suplimentar.
Dispozitivele din rețeaua locală ar trebui să aibă acces doar la serviciile din DMZ de care au nevoie, de exemplu SMTP, POP3, HTTP, alte conexiuni ar trebui blocate. Acest lucru vă va permite să izolați în mod fiabil un atacator sau malware care a exploatat o vulnerabilitate într-un serviciu separat, DMZ, refuzându-le accesul la rețeaua principală.
Din punct de vedere fizic, DMZ poate fi organizat instalând un firewall server / hardware separat sau adăugând o placă de rețea suplimentară la router, dar în acest din urmă caz, va trebui să acordați o atenție deosebită securității routerului. Dar, în orice caz, securizarea unui singur server este mult mai ușoară decât securizarea unui grup de servere.
Următorul pas ar trebui să fie analizarea listei utilizatorilor, indiferent dacă aceștia au nevoie de acces la DMZ și la router (cu excepția serviciilor publice), o atenție specială ar trebui acordată utilizatorilor care se conectează din exterior.
De obicei, acest lucru necesită un pas foarte nepopular - aplicarea unei politici de parolă. Toate parolele utilizatorilor care au acces la servicii critice și care se pot conecta din exterior trebuie să conțină cel puțin 6 caractere și să conțină, pe lângă litere mici, caractere din două categorii de trei: litere mari, cifre, caractere non-alfabetice.
În plus, parola nu trebuie să includă datele de conectare ale utilizatorului sau o parte din aceasta, să nu conțină date și nume care să poată fi asociate cu utilizatorul și, de preferință, să nu fie un cuvânt din dicționar.
Este o idee bună să începeți o practică de schimbare a parolelor la fiecare 30-40 de zile. Este clar că o astfel de politică poate provoca respingerea de la utilizatori, dar ar trebui să vă amintiți întotdeauna că parolele de genul 123 sau qwerty sunt echivalente cu lăsarea unei chei sub covor.
Securitatea serverului nu este nimic mai mult.
Acum că avem o idee despre ce vrem să protejăm și de ce, să trecem la serverul însuși. Faceți o listă cu toate serviciile și serviciile, apoi gândiți-vă dacă sunt toate necesare pe acest server special sau dacă pot fi scoase undeva.
Cu cât sunt mai puține servicii, cu atât este mai ușor să se asigure securitatea, cu atât sunt mai puține șanse ca un server să fie compromis printr-o vulnerabilitate critică într-unul dintre ele.
Configurați serviciile care servesc rețea locală(de ex. calamar) astfel încât să accepte numai cereri de la interfața locală. Cu cât sunt mai puține servicii disponibile extern, cu atât mai bine.
Un bun ajutor în securitate este un scaner de vulnerabilități care ar trebui scanat în față Server. Am folosit o versiune demo a unuia dintre cele mai renumite produse - XSpider 7.7.
Scanner arată porturi deschise, încearcă să determine tipul serviciului care rulează și, dacă are succes, vulnerabilitățile pentru acesta. După cum puteți vedea, un sistem configurat corect este destul de sigur, dar nu ar trebui să lăsați cheia sub covor, prezența porturilor deschise 1723 (VPN) și 3389 (RDP, redirecționat către un server terminal) pe router este un lucru bun motiv pentru a vă gândi la o politică de parolă.
Separat, merită să vorbim despre securitatea SSH, acest serviciu este de obicei folosit de administratori pentru telecomandă server și prezintă un interes crescut pentru infractorii cibernetici. Setările SSH sunt stocate într-un fișier / etc / ssh / sshd_config, toate modificările descrise mai jos sunt aduse acestuia. În primul rând, ar trebui să dezactivați autorizarea sub utilizatorul root, pentru aceasta adăugați opțiunea:
PermitRootLogin nr
Acum, atacatorul va trebui să ghicească nu numai parola, ci și datele de conectare, în timp ce el nu va ști parola superutilizatorului (sperăm că nu se potrivește cu parola dvs.). Toate sarcinile administrative la conectarea din exterior trebuie efectuate de jos sudo conectându-vă ca utilizator neprivilegiat.
Merită să specificați în mod explicit lista utilizatorilor permiși; în acest caz, puteți utiliza înregistrări precum [e-mail protejat] care permite utilizatorului specificat să se conecteze numai de la gazda specificată. De exemplu, pentru a permite utilizatorului ivanov să se conecteze de acasă (IP 1.2.3.4), adăugați următoarea intrare:
Permiteți utilizatorului [e-mail protejat]
De asemenea, interziceți utilizarea de produse vechi și mai puțin protocol sigur SSH1, permițând doar a doua versiune a protocolului, să facă acest lucru, dă următoarea linie A se uita:
Protocolul 2
În ciuda tuturor măsurilor luate, încercările de conectare la SSH și la alte servicii publice vor fi în continuare pentru a preveni ghicirea parolei, utilizați utilitarul fail2ban, care vă permite să interziceți automat utilizatorul după mai multe încercări nereușite de autentificare. Puteți să-l instalați cu comanda:
Sudo apt-get install fail2ban
Acest utilitar este gata să funcționeze imediat după instalare, cu toate acestea, vă sfătuim să modificați imediat unii parametri, pentru aceasta, faceți modificări la fișier /etc/fail2ban/jail.conf... În mod implicit, doar accesul SSH este controlat, iar timpul de interzicere este de 10 minute (600 de secunde), în opinia noastră merită să-l mărim schimbând următoarea opțiune:
Bantime = 6000
Apoi derulați prin fișier și activați secțiunile pentru serviciile care rulează pe sistemul dvs. setând parametrul după numele secțiunii corespunzătoare activat intr-o stare Adevărat, de exemplu pentru service proftpd va arăta astfel:
enabled = adevărat
Un alt parametru important maxretry, care este responsabil pentru numărul maxim de încercări de conectare. După modificarea setărilor, nu uitați să reporniți serviciul:
Sudo /etc/init.d/fail2ban restart
Puteți vedea jurnalul utilitarului în /var/log/fail2ban.log.
La LinuxCon anual în 2015, creatorul kernel-ului GNU / Linux Linus Torvalds și-a împărtășit opiniile despre securitatea sistemului. El a subliniat necesitatea de a atenua efectul prezenței anumitor bug-uri cu protecție competentă, astfel încât, dacă o componentă nu funcționează corect, următorul strat se suprapune peste problema.
În acest articol, vom încerca să abordăm acest subiect dintr-un punct de vedere practic:
7. Instalați firewall-uri
Recent, a existat o nouă vulnerabilitate care permite atacurile DDoS pe serverele Linux. O eroare în nucleul sistemului a apărut cu versiunea 3.6 la sfârșitul anului 2012. Vulnerabilitatea permite hackerilor să injecteze viruși în fișiere de descărcare, pagini web și să expună conexiuni Tor, iar hacking-ul nu necesită mult efort - falsificarea IP va funcționa.Vătămarea maximă pentru conexiunile HTTPS sau SSH criptate este întreruperea conexiunii, dar un atacator poate plasa conținut nou în trafic neprotejat, inclusiv malware... Pentru a proteja împotriva unor astfel de atacuri, este adecvat un firewall.
Blocați accesul cu Firewall
Firewall-ul este unul dintre cele mai importante instrumente pentru blocarea nedorite trafic de intrare... Vă recomandăm să permiteți doar traficul de care aveți cu adevărat nevoie și să respingeți în totalitate orice altceva.
Majoritatea distribuțiilor Linux au un controler iptables pentru filtrarea pachetelor. De obicei, îl folosesc utilizatori cu experiență, și pentru configurare simplificată, puteți utiliza utilitățile UFW în Debian / Ubuntu sau FirewallD în Fedora.
8. Dezactivați serviciile inutile
Experții de la Universitatea din Virginia vă recomandă să dezactivați toate serviciile pe care nu le utilizați. niste procesele de fond sunt setate să se încarce automat și să ruleze până când sistemul este oprit. Pentru a configura aceste programe, trebuie să verificați scripturile init. Serviciile pot fi pornite prin inetd sau xinetd.Dacă sistemul dvs. este configurat prin inetd, atunci în fișierul /etc/inetd.conf puteți edita lista programelor de fundal „daemons”; pentru a dezactiva încărcarea serviciului, trebuie doar să puneți un semn „#” la începutul linie, transformându-l din executabil într-un comentariu.
Dacă sistemul utilizează xinetd, atunci configurația acestuia va fi în directorul /etc/xinetd.d. Fiecare fișier director definește un serviciu care poate fi dezactivat specificând disable = yes, ca în acest exemplu:
Degetul de serviciu (socket_type = stream wait = fără utilizator = nimeni server = /usr/sbin/in.fingerd disable = da)
De asemenea, merită să verificați dacă există procese persistente care nu sunt gestionate de inetd sau xinetd. Puteți configura scripturile de pornire în directorele /etc/init.d sau / etc / inittab. După modificările efectuate, rulați comanda ca cont root.
/etc/rc.d/init.d/inet restart
9. Protejați serverul fizic
Este imposibil să vă apărați complet împotriva atacurilor atacatorilor cu acces fizic la server. Prin urmare, este necesar să asigurați camera în care este situat sistemul dvs. Centrele de date monitorizează serios securitatea, restricționează accesul la servere, instalează camere de securitate și atribuie securitate permanentă.Pentru a intra în centrul de date, toți vizitatorii trebuie să parcurgă anumite etape de autentificare. De asemenea, este foarte recomandat să folosiți senzori de mișcare în toate zonele centrului.
10. Protejați serverul de accesul neautorizat
Un sistem de acces neautorizat sau IDS colectează date despre configurația sistemului și fișiere și apoi compară aceste date cu noile modificări pentru a determina dacă sunt dăunătoare sistemului.De exemplu, instrumentele Tripwire și Aide colectează o bază de date de fișiere de sistemși protejați-le cu un set de chei. Psad este utilizat pentru a urmări activitatea suspectă utilizând rapoarte firewall.
Bro este conceput pentru a monitoriza rețeaua, a urmări tiparele suspecte de activitate, a colecta statistici, a executa comenzi de sistem și a genera alerte. RKHunter poate fi folosit pentru a proteja împotriva virușilor, cel mai frecvent rootkit-uri. Acest utilitar verifică sistemul dvs. pentru vulnerabilități cunoscute și poate identifica setări nesigure în aplicații.
