Samozrejme, že to môžeme povedať Linux viac bezpečné(chránené) ako Windows. Zabezpečenie v Linux vstavané a nie priskrutkované niekde na boku, ako je implementované v systéme Windows. Zabezpečenie systémy Linux pokrýva oblasť od jadra po pracovnú plochu, ale je pravdepodobné, že hackeri poškodia váš domovský adresár (/ home).
Vaše bajty fotografií, domácich videí, dokumentov a údajov o kreditnej karte alebo peňaženke sú najdrahšou informáciou v počítači. Linux samozrejme nie je citlivý na všetky druhy internetových červov a vírusov systému Windows. Útočníci však môžu nájsť spôsob, ako získať prístup k vašim údajom vo vašom domovskom adresári.
Príprava starého počítača resp HDD myslíte si, že pred predajom formátovania to bude stačiť? K dispozícii je mnoho moderných nástrojov na obnovu údajov. Hacker môže ľahko obnoviť vaše údaje z pevný disk bez ohľadu na operačný systém, na ktorom ste pracovali.
Na túto tému si pripomínam skúsenosti jednej spoločnosti s výkupom použitých počítačov a diskov. V rámci svojej činnosti vyniesli verdikt, že 90% predchádzajúcich majiteľov svojich počítačov sa pred predajom poriadne nestaralo o čistenie svojich pamäťových médií. A extrahovali veľmi dôsledné bajty údajov. Je dokonca desivé si predstaviť, že niekde v priehradkách na vašom pevnom disku sú informácie o zadaní vašej internetovej banky alebo online peňaženky.
Začnite so základmi zabezpečenia Linuxu
Prejdeme k základom (), ktoré budú fungovať takmer pre každého 
Distribúcie Linuxu.
Šifrujme súborový systém v Linuxe, aby sme zaistili úplnejšie zabezpečenie Linuxu
Používateľské heslá problém nevyriešia, ak skutočne chcete, aby nikto nemohol čítať váš domovský adresár (/ home) alebo určitú veľkosť bajtov. Môžete to urobiť tak, že ani používateľ s najvyššími oprávneniami typu root nebude môcť strkať nos.
Odstráňte citlivé súbory, aby ich nikto iný nemohol obnoviť
Ak sa rozhodnete predať alebo darovať svoj počítač alebo pamäťové médium, nepredpokladajte, že jednoduché formátovanie natrvalo odstráni vaše súbory. Do svojho Linuxu si môžete nainštalovať nástroj secure-delete, ktorý obsahuje nástroj srm na bezpečné odstraňovanie súborov.
Nezabudnite tiež na Linuxové jadro POŽARNE dvere. Všetky distribúcie Linuxu obsahujú lptables, ktorý je súčasťou jadra. Lptables vám umožňuje filtrovať sieťové pakety. Tento nástroj môžete samozrejme nakonfigurovať v termináli. Ale táto metóda je nad sily mnohých, vrátane mňa. Preto som nastavil a nastavil tak ľahko, ako keby som hral hru.
Rovnako ako všetky operačné systémy, Linux má tendenciu hromadiť nevyžiadanú poštu pri spustení rôznych aplikácií. A nie je to jeho chyba Linuxu, pretože rôzne aplikácie, ako sú prehliadače, textové editory a dokonca aj prehrávače videa, nefungujú na úrovni jadra a hromadia dočasné súbory. Môžete si nainštalovať nástroj BleachBit na univerzálne odstraňovanie odpadu.
Anonymné surfovanie, skrytie vašej IP adresy je veľmi dôležité pre zabezpečenie vašej identity v systéme Linux
Na záver vám chcem povedať o anonymnom surfovaní po webe. Niekedy sa stane, že je to nevyhnutné, rovnako ako ja, keď tajne od svojej manželky navštevujem stránky s erotickým obsahom. Samozrejme, žartoval som.
Pre útočníkov bude ťažké sa k vám dostať, ak nevedia určiť vašu polohu. Stopy pokrývame jednoduchou konfiguráciou dvoch obslužných programov, ktoré sa nazývajú privoxy a tor.
Podľa mňa dodržiavanie a konfigurácia všetkých týchto pravidiel ochráni vás a váš počítač na 90%.
P.S. Používam cloud nazývaný dropbox. Uchovávam v ňom svoje staré i nové, ešte nezverejnené články. Je pohodlné mať prístup k svojim súborom odkiaľkoľvek na svete a z akéhokoľvek počítača. Pri písaní článkov pre web v textový editor„Svoje textové dokumenty uložím s heslom a až potom ich nahrám na server schránky. Nikdy by ste nemali zanedbávať zbytočné zabezpečenie, ktoré vám bude hrať iba do karát.
Bezpochyby práve teraz nainštalovaný systém Linux je oveľa odolnejší voči rôznym malvérom, spywaru a hackerom ako ten istý Verzia Windows... Väčšina systémov Linux však používa predvolené nastavenia, ktoré nie sú svojou povahou úplne bezpečné.
Niektoré distribúcie Linuxu sú navrhnuté tak, aby boli po vybalení čo najbezpečnejšie, ale pre nováčikov, najmä pre expertov na počítačovú bezpečnosť, bývajú veľmi náročné.
Ubuntu je v súčasnosti najpopulárnejšou distribúciou Linuxu. Je to spôsobené mnohými faktormi, jedným z nich je ten, že je pre začínajúcich používateľov najľahší. Toto má svoje pozitívne stránky, ale aj z tohto dôvodu existuje v systéme niekoľko slabých stránok, ktoré vývojári zanechali tým, že sa rozhodli pre užívateľskú prívetivosť. V tomto článku sa pozrieme na to, ako sa konfigurácia zabezpečenia vykonáva v Ubuntu 16.04. Tieto nastavenia nie sú také zložité, ale pomôžu vám zvýšiť odolnosť systému voči najbežnejším metódam útoku.
Prvá vec, ktorú musíte vedieť, je udržiavať váš systém neustále aktualizovaný a aktuálny. Neustále sa objavujú nové zraniteľnosti v jadre a softvéri, príkladom je rovnaká DRity COW. Vývojári tieto chyby opravujú veľmi rýchlo, ale aby ste mohli tieto opravy použiť vo svojom systéme, musíte ich včas aktualizovať.
Ďalšou dôležitou poznámkou je heslo používateľa. Nepoužívajte používateľa bez hesla. Ak potrebujete zdieľať svoj počítač s inými ľuďmi, vytvorte nový účet napr. hosť. Vždy však používajte heslá. Operačná sála Linuxový systém bol pôvodne postavený ako viacuživatelský systém s ohľadom na bezpečnosť pre všetkých používateľov, takže túto príležitosť by ste si nemali nechať ujsť. Ale to sú všetky tipy, ktoré už pravdepodobne poznáte, pozrime sa na niekoľko skutočne užitočných spôsobov, ako zvýšiť bezpečnosť ubuntu.
1. Nastavenie zdieľanej pamäte
Štandardne celý zväzok zdieľaná pamäť/ run / shm je čítanie / zápis s možnosťou spúšťania programov. Toto je považované za bezpečnostnú dieru a mnohé exploity používajú / run / shm na útok na spustené služby. Pre väčšinu stolných a najmä serverových zariadení sa odporúča pripojiť tento súbor v režime iba na čítanie. Za týmto účelom pridajte do súboru / etc / fstab nasledujúci riadok:
sudo vi / etc / fstab
žiadne / run / shm tmpfs predvolené, ro 0 0
Niektoré programy však nebudú fungovať, ak / run / shm je len na čítanie, jeden z nich je Google chrome... Ak používate prehliadač Google Chrome, musíme vám zachovať schopnosť písať, ale môžeme zabrániť spusteniu programov, preto namiesto toho, čo bolo navrhnuté vyššie, pridajte nasledujúci riadok:
žiadny / beh / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Zakázať su pre neadministrátorov
Okrem vášho účtu má Ubuntu aj hosťa Účet ktorý môžete použiť na zdieľanie prenosného počítača s priateľom. Obslužný program su vám umožňuje spúšťať programy ako iný používateľ. Je veľmi užitočný pri správe systému a pri správnom použití zásadný. Napriek tomu majú všetci používatelia Linuxu k tomuto nástroju prístup, a to je už zneužitie. Ak chcete odmietnuť prístup účtu hosťa k príkazu su, spustite:
sudo dpkg -statoverride --update -pridajte root sudo 4750 / bin / su
3. Chráňte svoj domovský adresár
Váš predvolený domovský adresár bude prístupný každému používateľovi v systéme. Ak teda máte účet hosťa, potom môže hosť získať úplný prístup ku všetkým vašim osobným súborom a dokumentom. Ale môžete ho sprístupniť iba vám. Otvorte terminál a spustite nasledujúci príkaz:
chmod 0700 / domov / používateľské meno
Nastavuje práva tak, aby vlastník priečinka, to znamená, že máte prístup ku všetkému, a ostatní používatelia nemohli obsah ani vidieť. Alternatívne môžete nastaviť 750 povolení, ktoré budú poskytovať prístup na čítanie do vášho priečinka používateľom v rovnakej skupine ako vy:
chmod 0750 / home / užívateľské meno
Teraz bude bezpečnosť Ubuntu 16.04, a najmä vašich osobných údajov, o niečo vyššia.
4. Zakážte prihlásenie SSH ako root
V systéme Ubuntu môžete v systéme Ubuntu štandardne používať SSH ako superužívateľa. Aj keď nastavíte heslo pre používateľa root, môže to byť potenciálne nebezpečné, pretože ak je heslo veľmi jednoduché, útočník ho môže brutálne vynútiť a prevziať nad ním úplnú kontrolu. počítač. Služba sshd nemusí byť nainštalovaná vo vašom systéme. Ak chcete skontrolovať beh:
Ak dostanete správu o odmietnutí pripojenia, znamená to, že nie je nainštalovaný žiadny server SSH a tento krok môžete preskočiť. Ak je však nainštalovaný, musí byť nakonfigurovaný pomocou konfiguračného súboru / etc / ssh / sshd_config. Otvorte tento súbor a nahraďte riadok:
PermitRootLogin áno
PermitRootLogin č
Hotovo, teraz bude ssh do vášho systému ťažšie, ale konfigurácia zabezpečenia v ubuntu 16.04 ešte nie je dokončená.
5. Nainštalujte bránu firewall
Pravdepodobne máte na počítači nainštalovaný nielen server ssh, ale aj databázovú službu a webový server apache alebo nginx. Ak toto domáci počítač potom s najväčšou pravdepodobnosťou nebudete chcieť, aby sa k vášmu miestnemu webu alebo databáze mohol pripojiť niekto iný. Aby ste tomu zabránili, musíte si nainštalovať firewall. Odporúča sa používať gufw na Ubuntu, pretože je navrhnutý špeciálne pre tento systém.
Ak chcete nainštalovať, spustite:
sudo apt install gufw
Potom musíte otvoriť program, zapnúť ochranu a zablokovať všetky prichádzajúce pripojenia. Pre prehliadač a ďalšie povoľte iba nevyhnutné porty slávne programy... Prečítajte si viac v návode.
6. Ochrana pred útokmi MITM
Podstatou útoku MITM alebo Man-in-the-Middle je, že iná osoba zachytí všetky pakety, ktoré prenášate na server, a tak môže získať všetky vaše heslá a osobné údaje. Nemôžeme sa brániť proti všetkým útokom tohto druhu, ale typ útokov MITM - útok ARP - je vo verejných miestnych sieťach veľmi populárny. Používanie funkcií Protokol ARPútočník pred vašim počítačom predstiera, že je router a vy mu pošlete všetky svoje dátové pakety. Pred týmto sa môžete veľmi ľahko chrániť pomocou pomôcky TuxCut.
V oficiálnych úložiskách nie je žiadny program, takže na jeho nainštalovanie si musíte stiahnuť balík z GitHub:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Potom nainštalujte výsledný balík:
sudo apt install tuxcut_6.1_amd64.deb
Pred spustením programu spustite jeho službu:
sudo systemctl start tuxcutd
Hlavné okno obslužného programu vyzerá takto:
Tu sa zobrazujú IP adresy všetkých používateľov pripojených k sieti a tiež zodpovedajúce každému z nich Mac adresa... Ak začiarknete políčko Režim ochrany, program bude chrániť pred útokmi ARP. Môžete ho použiť vo verejných sieťach, ako je verejná wifi, kde sa bojíte o svoju bezpečnosť.
závery
To je všetko, teraz je nastavenie zabezpečenia pre Ubuntu 16.04 dokončené a váš systém je oveľa bezpečnejší. Zablokovali sme najbežnejšie útočné vektory a metódy prieniku používané hackermi. Ak poznáte ďalšie užitočné spôsoby, ako zlepšiť zabezpečenie v Ubuntu, napíšte do komentárov!
Všetci to vieme operačný systém Linux je veľa bezpečnejšie ako Windows vďaka svojej architektúre a špeciálnemu systému distribúcie prístupu medzi používateľov. Ale programátori sú tiež ľudia, bez ohľadu na to, ako sa nám to páči, tiež sa mýlia. A kvôli týmto chybám sa v systéme objavujú diery, ktorými útočníci môžu obísť ochranné systémy.
Tieto chyby sa nazývajú zraniteľné miesta, nachádzajú sa v rôznych programoch a dokonca aj v úplnom jadre systému, čím narúšajú jeho bezpečnosť. Linux je v posledných rokoch stále obľúbenejší a výskumní pracovníci v oblasti bezpečnosti systému venujú väčšiu pozornosť. Odhaľuje sa stále viac zraniteľností a vďaka otvorenému zdrojovému kódu sa dajú veľmi rýchlo odstrániť. V tomto článku sa pozrieme na najnebezpečnejšie zraniteľnosti Linuxu, ktoré boli objavené za posledných niekoľko rokov.
Predtým, ako prejdeme k samotnému zoznamu zraniteľností, je dôležité porozumieť tomu, čo sú a čím sú. Ako som už povedal, zraniteľnosť je chyba v programe, ktorá umožňuje používateľovi používať program spôsobom, ktorý jeho vývojár nezamýšľal.
Môže to byť nedostatočné overenie správnosti prijatých údajov, overenie zdroja údajov a, čo je najzaujímavejšie, veľkosť údajov. Najnebezpečnejšie zraniteľnosti sú tie, ktoré umožňujú spustenie ľubovoľného kódu. V. Náhodný vstup do pamäťe všetky údaje majú určitú veľkosť a program je navrhnutý tak, aby zapisoval údaje od používateľa určitej veľkosti do pamäte. Ak používateľ prenesie viac údajov, malo by dôjsť k chybe.
Ak však programátor urobí chybu, údaje prepíšu kód programu a procesor sa ho pokúsi vykonať, čím sa vytvoria zraniteľné miesta pri pretečení vyrovnávacej pamäte.
Všetky zraniteľnosti je tiež možné rozdeliť na miestne, ktoré fungujú iba vtedy, ak k nim má prístup hacker miestny počítač a vzdialený, keď je k dispozícii dostatočný prístup cez internet. Teraz prejdeme k zoznamu zraniteľností.
1. Špinavá KRAVA
Prvá v našom zozname bude čerstvá zraniteľnosť, ktorá bola objavená túto jeseň. Názov Dirty COW znamená Kopírovať pri zápise. Chyba sa vyskytuje v systém súborov počas kopírovania počas záznamu. Toto je lokálna zraniteľnosť, ktorá umožňuje každému neprivilegovanému používateľovi získať úplný prístup do systému.
Stručne povedané, na využitie zraniteľnosti potrebujete dva súbory, jeden je zapisovateľný iba v mene superužívateľa a druhý pre nás. Začneme zapisovať údaje do nášho súboru a čítať ich zo súboru superužívateľa mnohokrát, po určitom čase príde okamih, kedy sa vyrovnávacie pamäte oboch súborov zmiešajú a používateľ bude môcť do súboru zapísať údaje, ktorých záznam je pre neho nedostupný, takže si môžete dať koreňové práva v systéme.
Zraniteľnosť bola v jadre asi 10 rokov, ale po jej odhalení bola rýchlo odstránená, aj keď stále existujú milióny zariadení Andoid, v ktorých jadro nebolo aktualizované a nerozmýšľa a kde je možné túto zraniteľnosť zneužiť. Zraniteľnosť dostala kód CVE-2016-5195.
2. Glibc zraniteľnosť
Zraniteľnosť dostala kód CVE-2015-7547. Toto bola jedna z najviac hovorených o zraniteľnostiach open source. Vo februári 2016 sa ukázalo, že knižnica Glibc má veľmi vážnu zraniteľnosť, ktorá útočníkovi umožňuje spustiť svoj kód na vzdialenom systéme.
Je dôležité poznamenať, že Glibc je implementácia štandardná knižnica C a C ++, ktorý používa väčšina Programy Linux, vrátane služieb a programovacích jazykov ako PHP, Python, Perl.
V kóde analýzy syntaktickej odpovede sa vyskytla chyba Servery DNS... Zraniteľnosť by teda mohli využiť hackeri, ku ktorým DNS mali prístup zraniteľné počítače, ako aj vykonaním útoku MITM. Táto zraniteľnosť však poskytla plnú kontrolu nad systémom.
Zraniteľnosť je v knižnici od roku 2008, ale po odhalení boli záplaty rýchlo uvoľnené.
3. Srdečne
V roku 2014 bola objavená jedna z najzávažnejších zraniteľností z hľadiska rozsahu a následkov. Spôsobila to chyba v hlavnom module OpenSSL, odtiaľ pochádza názov Heartbleed. Táto zraniteľnosť umožnila útočníkom získať priamy prístup k 64 kilobajtom pamäte RAM servera a útok sa mohol opakovať, kým sa neprečíta všetka pamäť.
Napriek tomu, že oprava bola vydaná veľmi rýchlo, ovplyvnilo to mnoho webov a aplikácií. V skutočnosti boli zraniteľné všetky stránky, ktoré na ochranu prenosu používajú protokol HTTPS. Útočníci mohli získať používateľské heslá, ich osobné údaje a všetko, čo bolo v čase útoku v pamäti. Zraniteľnosť dostala kód CVE-2014-0160.
4. Správca scén
Ak zraniteľnosť dostala kódové označenie, znamená to, že si zaslúži pozornosť. Zraniteľnosť Stagerfight nie je výnimkou. Je pravda, že to nie je problém Linuxu. Stagefright je knižnica na spracovanie multimediálnych formátov v systéme Android.
Je implementovaný v jazyku C ++, čo znamená, že obchádza všetky mechanizmy zabezpečenia Java. V roku 2015 bola objavená celá skupina zraniteľností, ktoré umožňovali vzdialené spustenie ľubovoľného kódu v systéme. Ide o CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 a CVE-2015-3829.
Útočníkovi stačilo odoslať MMS zraniteľnému smartfónu so špeciálne upraveným mediálnym súborom a získal úplnú kontrolu nad zariadením s možnosťou zápisu a čítania údajov z pamäťovej karty. Túto zraniteľnosť opravili vývojári systému Android, ale milióny zariadení stále zostávajú zraniteľné.
5. Zraniteľnosť jadra nultého dňa
Toto je lokálna zraniteľnosť, ktorá umožňuje súčasnému používateľovi byť povýšený na root kvôli chybe v systéme pri spracovaní kryptografických údajov jadra uložených v pamäti. Bol objavený vo februári 2016 a od 3.8 pokrýval všetky jadrá, čo znamená, že zraniteľnosť existuje 4 roky.
Chybu mohli zneužiť hackeri alebo škodlivý softvér softvér zvýšiť svoje právomoci v systéme, ale bol veľmi rýchlo opravený.
6. Zraniteľnosť v MySQL
Táto chyba zabezpečenia bola kód CVE-2016-6662 a ovplyvnila všetky dostupné verzie databázového servera MySQL (5.7.15, 5.6.33 a 5.5.52), databáz Oracle a klonov MariaDB a PerconaDB.
Útočníci by mohli získať úplný prístup k systému prostredníctvom Dotaz SQL bol odovzdaný kód, ktorý umožňoval nahradenie súboru my.conf vlastnou verziou a reštartovanie servera. Bola tu aj príležitosť vystúpiť škodlivý kód s právami superužívateľa.
MariaDB a PerconaDB vydali záplaty pomerne rýchlo, Oracle reagoval, ale oveľa neskôr.
7. Shellshock
Táto zraniteľnosť bola objavená v roku 2014 predtým, ako existovala 22 rokov. Bol jej priradený kód CVE-2014-6271 a kódové označenie Shellshock. Táto zraniteľnosť je závažnosťou porovnateľná s už známym Heartbleedom. Je to spôsobené chybou v prekladači príkazov Bash, ktorá je predvolená pre väčšinu distribúcií Linuxu.
Bash vám umožňuje deklarovať premenné prostredia bez autentifikácie používateľa a spoločne v nich môžete spustiť ľubovoľný príkaz. To je obzvlášť nebezpečné v skriptoch CGI, ktoré podporuje väčšina stránok. Zraniteľné sú nielen servery, ale aj osobné počítače používateľov, smerovačov a ďalších zariadení. V skutočnosti môže útočník na diaľku vykonať ľubovoľný príkaz; toto je plnohodnotné diaľkové ovládanie bez autentifikácie.
Ovplyvnené boli všetky verzie Bash, vrátane 4.3, aj keď po odhalení problému vývojári vydali opravu veľmi rýchlo.
8. Quadrooter
Toto je celý rad zraniteľností systému Android, ktoré boli objavené v auguste 2016. Dostali kódy CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Viac ako 900 miliónov je vystavených chybám Zariadenia s Androidom... Všetky zraniteľnosti boli nájdené v ovládači ARM procesora Qualcomm a na všetky sa dá použiť zakorenenie prístup k zariadeniu.
Rovnako ako DirtyCOW, ani tu nepotrebujete žiadne poverenia, stačí si nainštalovať škodlivú aplikáciu a bude schopná získať všetky vaše údaje a preniesť ich na útočníka.
9. Zraniteľnosť v OpenJDK
Toto je veľmi vážna zraniteľnosť Linuxu 2016 na stroji OpenJDK Java s kódom CVE-2016-0636 a týka sa všetkých používateľov, ktorí používajú Oracle Java SE 7 Update 97 a 8 Update 73 a 74 pre Windows, Solaris, Linux a Mac OS X. Táto zraniteľnosť Umožňuje útočníkovi spustiť ľubovoľný kód mimo počítača Java, ak v prehliadači so zraniteľnou verziou Java otvoríte špeciálnu stránku.
Útočníkovi to umožnilo získať prístup k vašim heslám, osobným údajom a spúšťať programy vo vašom počítači. Vo všetkých verziách Chyba Java bol veľmi rýchlo opravený, existuje od roku 2013.
10. Zraniteľnosť protokolu HTTP / 2
Ide o celú sériu zraniteľností, ktoré boli odhalené v roku 2016 v protokole HTTP / 2. Dostali kódy CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Ovplyvnené boli všetky implementácie tohto protokolu v Apache, Nginx Microsoft, Jetty a nghttp2.
Všetky z nich umožňujú útočníkovi drasticky spomaliť webový server a vykonať útok odmietnutia služby. Jedna z chýb napríklad viedla k možnosti odoslania malej správy, ktorá bola na serveri rozbalená do gigabajtov. Chyba bola opravená veľmi rýchlo, a preto v komunite nevyvolala veľa hluku.
Si v bezpečí?
V tomto článku sme sa zaoberali najnebezpečnejšími chybami systému Linux v rokoch 2016, 2015 a 2014. Väčšina z nich by mohla spôsobiť vážne poškodenie systémov, ak by neboli včas opravené. Vďaka otvorenému zdrojovému kódu sú tieto chyby systému Linux efektívne detegované a rýchlo opravené. Nezabudnite aktualizovať svoj systém. Jediný problém zostáva s Androidom. Niektoré zariadenia už nedostávajú aktualizácie a na tento problém zatiaľ neexistuje riešenie.
Existuje mylná predstava, že servery Linux sú najbezpečnejšie a chránené pred prienikmi zvonku. Žiaľ, nie je tomu tak, bezpečnosť akéhokoľvek servera závisí od mnohých faktorov a opatrení na jeho zabezpečenie a prakticky nezávisí od použitého operačného systému.
Rozhodli sme sa začať sériu článkov venovaných zabezpečenie siete so serverom Ubuntu, pretože riešenia na tejto platforme sú pre našich čitateľov veľmi zaujímavé a pretože si veľa ľudí myslí, že riešenia Linux sú samy osebe bezpečné.
Router s vyhradenou IP adresou je zároveň „bránou“ do miestnej siete a iba správca určí, či tieto brány budú spoľahlivou bariérou alebo sa z nich stane brána dacha uzavretá klincom.
Ďalší bežný omyl, zdôvodnenie v štýle: „ale kto to potrebuje, náš server, nemáme nič zaujímavé.“ Vaša miestna sieť útočníkov skutočne nemusí zaujímať, ale môžu použiť napadnutý server na odosielanie nevyžiadanej pošty, útoky na iné servery, skrátene ako anonymný server, ako východiskový bod pre svoje temné skutky.
A to je už nepríjemné a môže to slúžiť ako zdroj rôznych problémov: od poskytovateľa až po orgány činné v trestnom konaní. A o šírení vírusov, krádežiach a ničení dôležitá informácia tiež nestojí za to zabudnúť, rovnako ako skutočnosť, že prestoje podniku vedú k celkom citeľným stratám.
Aj keď je tento článok o serveri Ubuntu, najskôr sa pozrieme na všeobecné problémy bezpečnosť, ktoré sú rovnako dôležité pre každú platformu a sú základmi, bez ktorých nemá zmysel diskutovať o tejto záležitosti podrobnejšie.
Kde začína bezpečnosť?
Nie, zabezpečenie sa nezačína bránou firewall, už vôbec nie od hardvéru, zabezpečenie začína od používateľa. Koniec koncov, na čo slúžia najchladnejšie kovové dvere nainštalované najlepšími špecialistami, ak majiteľ nechá kľúč pod kobercom?
Prvá vec, ktorú by ste mali urobiť, je preto vykonať bezpečnostný audit. Nenechajte sa týmto slovom zastrašiť, všetko nie je také ťažké: nakreslite schematický plán siete, na ktorom označíte bezpečnú oblasť, potenciálnu nebezpečnú oblasť a oblasť s vysokým nebezpečenstvom, a tiež si vytvorte zoznam používateľov, ktorí majú ( by mali mať prístup) do týchto oblastí.
Bezpečná zóna by mala zahŕňať vnútorné zdroje siete, do ktorých nie je prístup zvonku a pre ktoré je to povolené nízky level bezpečnosť. Môžu to byť pracovné stanice, súborové servery atď. prístup k zariadeniam, ktoré sú obmedzené na miestnu sieť podniku.
Potenciálna nebezpečná zóna zahŕňa servery a zariadenia, ktoré nemajú priamy prístup k externej sieti, ale ktorých jednotlivé služby sú prístupné zvonku, napríklad webové a poštové servery umiestnené za bránou firewall, ale súčasne obsluhujúce požiadavky od externú sieť.
Nebezpečná oblasť by mala zahŕňať zariadenia priamo prístupné zvonku, v ideálnom prípade by to mal byť jeden smerovač.
Pokiaľ je to možné, potenciálne nebezpečná zóna by mala byť presunutá do samostatnej podsiete - demilitarizovanej zóny (DMZ), ktorá je oddelená od hlavnej siete prídavným firewallom.
Zariadenia v miestnej sieti by mali mať prístup iba k tým službám v DMZ, ktoré potrebujú, napríklad SMTP, POP3, HTTP, ostatné pripojenia by mali byť blokované. To spoľahlivo izoluje útočníka alebo škodlivý softvér, ktorý zneužíva zraniteľnosť v samostatnej službe DMZ, a to tak, že im odoprieme prístup do hlavnej siete.
Fyzicky môže byť DMZ organizovaný inštaláciou samostatného serverového / hardvérového firewallu alebo pridaním ďalšej sieťovej karty k smerovaču, ale v druhom prípade budete musieť venovať veľkú pozornosť bezpečnosti smerovača. V každom prípade je však zabezpečenie jedného servera oveľa jednoduchšie ako zabezpečenie skupiny serverov.
Ďalším krokom by mala byť analýza zoznamu používateľov, či už všetci potrebujú prístup k DMZ a k smerovaču (s výnimkou verejných služieb), osobitná pozornosť by sa mala venovať používateľom, ktorí sa pripájajú zvonku.
Spravidla to vyžaduje veľmi nepopulárny krok - vynútenie zásady hesla. Všetky heslá používateľov, ktorí majú prístup k dôležitým službám a ktorí sa môžu pripájať zvonku, musia obsahovať najmenej 6 znakov a okrem malých písmen obsahovať aj znaky dvoch troch kategórií: veľké písmená, číslice a neabecedné znaky.
Heslo by navyše nemalo obsahovať používateľské meno ani jeho časť, nemalo by obsahovať dátumy a mená, ktoré je možné priradiť používateľovi, a pokiaľ možno, nemalo by ísť o slovník.
Je vhodné začať s praxou zmeny hesiel každých 30-40 dní. Je zrejmé, že takáto politika môže spôsobiť odmietnutie zo strany používateľov, ale vždy by ste mali pamätať na to, že sa heslám páči 123 alebo qwerty sa rovnajú ponechaniu kľúča pod kobercom.
Zabezpečenie servera nie je nič iné.
Teraz, keď máme predstavu o tom, čo chceme chrániť a pred čím, prejdeme k samotnému serveru. Vytvorte si zoznam všetkých služieb a služieb a potom premýšľajte, či sú všetky potrebné na tomto serveri, alebo ich môžete niekde vziať.
Čím menej služieb, tým jednoduchšie je zaistenie bezpečnosti, čím menšia je pravdepodobnosť ohrozenia servera v dôsledku kritickej zraniteľnosti jednej z nich.
Konfigurujte služby, ktoré slúžia miestna sieť(napr. chobotnice) tak, aby akceptovali iba požiadavky z lokálneho rozhrania. Čím menej externe dostupných služieb, tým lepšie.
Dobrým pomocníkom v zabezpečení je skener zraniteľnosti, ktorý by mal byť skontrolovaný predný koniec server. Použili sme demo verziu jedného z najznámejších produktov - XSpider 7.7.
Skener zobrazuje otvorené porty, sa pokúsi určiť typ spustenej služby a v prípade úspechu jej zraniteľnosti. Ako vidíte, správne nakonfigurovaný systém je celkom bezpečný, ale nemali by ste nechať kľúč pod kobercom, prítomnosť otvorených portov 1723 (VPN) a 3389 (RDP, presmerovaných na terminálový server) na smerovači je dobrá dôvod premýšľať o politike hesiel.
Samostatne stojí za to hovoriť o zabezpečení SSH, túto službu zvyčajne používajú správcovia diaľkové ovládanie server a je predmetom zvýšeného záujmu počítačových zločincov. Nastavenia SSH sú uložené v súbore / etc / ssh / sshd_config, vykonajú sa v ňom všetky nižšie popísané zmeny. Najprv by ste mali zakázať autorizáciu pod užívateľom root, preto pridajte možnosť:
PermitRootLogin č
Útočník teraz bude musieť uhádnuť nielen heslo, ale aj prihlasovacie meno, pričom heslo superužívateľa ešte nebude vedieť (dúfame, že sa nezhoduje s vašim heslom). Všetky administratívne úlohy pri pripájaní zvonku by mali byť vykonávané zospodu sudo prihlásením sa ako neprivilegovaný užívateľ.
Je vhodné explicitne špecifikovať zoznam povolených používateľov, pričom môžete použiť záznamy ako [chránené e -mailom] ktorý umožňuje zadanému používateľovi pripojiť sa iba zo zadaného hostiteľa. Ak napríklad chcete umožniť používateľovi ivanov pripojiť sa z domu (IP 1.2.3.4), pridajte nasledujúci záznam:
AllowUser [chránené e -mailom]
Tiež zakázať používanie zastaraných a menej zabezpečený protokol SSH1, ktorý to umožňuje iba druhej verzii protokolu, dajte ďalší riadok pozrieť sa:
Protokol 2
Napriek všetkým prijatým opatreniam budú pokusy o pripojenie k SSH a iným verejným službám stále prebiehať, aby sa zabránilo hádaniu hesiel, použite obslužný program fail2ban, čo vám umožňuje automaticky zablokovať používateľa po niekoľkých neúspešných pokusoch o prihlásenie. Môžete ho nainštalovať pomocou príkazu:
Sudo apt-get install fail2ban
Tento nástroj je pripravený pracovať ihneď po inštalácii, odporúčame vám však okamžite zmeniť niektoré parametre, preto vykonajte zmeny v súbore. /etc/fail2ban/jail.conf... V predvolenom nastavení je riadený iba prístup SSH a doba zákazu je 10 minút (600 sekúnd), podľa nášho názoru stojí za to ho zvýšiť zmenou nasledujúcej možnosti:
Bantime = 6000
Potom posuňte súbor a povoľte sekcie pre služby bežiace vo vašom systéme nastavením parametra za názvom príslušnej sekcie povolené v stave pravda napríklad za službu proftpd bude to vyzerať takto:
enabled = true
Ďalší dôležitý parameter maxretry, ktorý je zodpovedný za maximálny počet pokusov o pripojenie. Po zmene nastavení nezabudnite reštartovať službu:
Sudo /etc/init.d/fail2ban reštart
Denník pomôcky môžete vidieť v /var/log/fail2ban.log.
Na výročnom LinuxCone v roku 2015 sa tvorca jadra GNU / Linux Linus Torvalds podelil o svoje názory na bezpečnosť systému. Zdôraznil potrebu zmierniť účinok prítomnosti určitých chýb pomocou kompetentnej ochrany, aby v prípade poruchy jednej zložky ďalšia vrstva prekrýva problém.
V tomto článku sa pokúsime pokryť túto tému z praktického hľadiska:
7. Nainštalujte brány firewall
Nedávno tu bola nová zraniteľnosť, ktorá umožňuje útoky DDoS na servery Linux. Koncom roku 2012 sa vo verzii 3.6 objavila chyba v jadre systému. Zraniteľnosť umožňuje hackerom vložiť vírusy do sťahovaných súborov, webových stránok a odhaliť pripojenia Tor a hackovanie nevyžaduje veľa úsilia - spoofing IP bude fungovať.Maximálne poškodenie šifrovaných pripojení HTTPS alebo SSH je prerušenie pripojenia, ale útočník môže umiestniť nový obsah do nechránenej prevádzky, vrátane malware... Na ochranu pred takýmito útokmi je vhodný firewall.
Blokovať prístup pomocou brány firewall
Firewall je jedným z najdôležitejších nástrojov na blokovanie nechcených prichádzajúca doprava... Odporúčame vám povoliť iba návštevnosť, ktorú skutočne potrebujete, a všetko ostatné úplne odmietnuť.
Väčšina distribúcií Linuxu má radič iptables na filtrovanie paketov. Obvykle to používajú skúsení užívatelia, a pre zjednodušenú konfiguráciu môžete použiť nástroje UFW v Debiane / Ubuntu alebo FirewallD vo Fedore.
8. Zakážte nepotrebné služby
Odborníci z University of Virginia odporúčajú vypnúť všetky služby, ktoré nepoužívate. Niektorí procesy na pozadí sú nastavené na automatické načítanie a bežia, kým sa systém nevypne. Ak chcete konfigurovať tieto programy, musíte skontrolovať inicializačné skripty. Služby je možné začať prostredníctvom inetd alebo xinetd.Ak je váš systém nakonfigurovaný pomocou inetd, potom v súbore /etc/inetd.conf môžete upraviť zoznam programov „démonov“ na pozadí; ak chcete zakázať načítanie služby, stačí na začiatok súboru vložiť znak „#“ riadok, pričom sa tento súbor zmení zo spustiteľného súboru na komentár.
Ak systém používa xinetd, jeho konfigurácia bude v adresári /etc/xinetd.d. Každý súbor adresára definuje službu, ktorú je možné zakázať zadaním disable = yes, ako v tomto prípade:
Servisný prst (socket_type = čakanie streamu = žiadny používateľ = nikto server = /usr/sbin/in.fingerd zakázať = áno)
Tiež stojí za to skontrolovať trvalé procesy, ktoré nie sú spravované pomocou inetd alebo xinetd. Spúšťacie skripty môžete nakonfigurovať v adresároch /etc/init.d alebo / etc / inittab. Po vykonaní zmien spustite príkaz ako root účet.
/etc/rc.d/init.d/inet reštartujte
9. Chráňte server fyzicky
Nie je možné úplne sa brániť pred útokmi útočníkov pomocou fyzický prístup na server. Preto je potrebné zabezpečiť miestnosť, kde sa nachádza váš systém. Dátové centrá vážne monitorujú zabezpečenie, obmedzujú prístup na servery, inštalujú bezpečnostné kamery a priraďujú trvalé zabezpečenie.Na vstup do dátového centra musia všetci návštevníci prejsť určitými fázami autentifikácie. Tiež sa dôrazne odporúča používať snímače pohybu vo všetkých oblastiach centra.
10. Chráňte server pred neoprávneným prístupom
Systém neoprávneného prístupu alebo IDS zhromažďuje údaje o konfigurácii systému a súboroch a potom ich porovnáva s novými zmenami, aby určil, či nie sú pre systém škodlivé.Napríklad nástroje Tripwire a Aide zhromažďujú databázu systémové súbory a ochráňte ich pomocou sady kľúčov. Psad sa používa na sledovanie podozrivých aktivít pomocou správ brány firewall.
Bro je navrhnutý tak, aby monitoroval sieť, sledoval podozrivé vzorce činnosti, zbieral štatistiky, vykonával systémové príkazy a generoval upozornenia. RKHunter je možné použiť na ochranu pred vírusmi, najčastejšie rootkity. Tento pomocný program kontroluje váš systém, či neobsahuje známe chyby, a dokáže identifikovať nebezpečné nastavenia v aplikáciách.
