tabiki de diyebiliriz Linux daha fazla güvenli(korumalı) Windows'tan daha iyidir. Güvenlik v Linux Windows'ta uygulandığı gibi yerleşik ve yan tarafta bir yere vidalanmamış. Güvenlik sistemler Linuxçekirdekten masaüstüne kadar olan alanı kapsar, ancak bilgisayar korsanlarının ana dizininize (/ home) zarar verme olasılığı yüksektir.
Baytlarca fotoğraf, ev videosu, belge ve kredi kartı veya cüzdan verileriniz bir bilgisayardaki en pahalı bilgi parçalarıdır. Tabii ki, Linux her türlü İnternet solucanına ve Windows virüslerine karşı hassas değildir. Ancak saldırganlar, ana dizininizdeki verilerinize erişmenin bir yolunu bulabilir.
Eski bilgisayarınızı hazırlama veya HDD format satmadan önce sizce yeterli olur mu? Dışarıda tonlarca modern veri kurtarma aracı var. Bir bilgisayar korsanı verilerinizi kolayca kurtarabilir hard disküzerinde çalıştığınız işletim sisteminden bağımsız olarak.
Bu konuda, kullanılmış bilgisayarların ve disklerin geri alımında bir şirketin deneyimini hatırlıyorum. Faaliyetleri sırasında, bilgisayarlarının önceki sahiplerinin %90'ının satıştan önce depolama ortamlarını temizlemeye gereken özeni göstermediği kararını verdiler. Ve çok titiz veri baytları çıkarıyorlardı. Sabit diskinizin kutularında bir yerde İnternet bankanıza veya çevrimiçi cüzdanınıza girmek için bilgi olduğunu hayal etmek bile korkutucu.
Linux güvenliğinin temelleri ile başlayın
Hemen hemen her şey için işe yarayacak olan temellere () geçelim 
Linux dağıtımları.
Daha eksiksiz Linux güvenliği için dosya sistemini Linux'ta şifreleyelim
Gerçekten kimsenin ana dizininizi (/ home) veya belirli bir bayt boyutunu okumasını istemiyorsanız, kullanıcı şifreleri sorunu çözmeyecektir. Bunu, root yetkileri yüksek bir kullanıcının bile burnunu sokmaması için yapabilirsiniz.
Başka kimsenin geri yükleyememesi için hassas dosyaları silin
Bilgisayarınızı veya depolama ortamınızı satmaya veya bağışlamaya karar verirseniz, basit biçimlendirmenin dosyalarınızı kalıcı olarak sileceğini varsaymayın. Dosyaları güvenli bir şekilde silmek için srm yardımcı programını içeren güvenli silme aracını Linux'unuza yükleyebilirsiniz.
Ayrıca, hakkında unutma Linux çekirdeği güvenlik duvarı. Tüm Linux dağıtımları, çekirdeğin bir parçası olan lptable'ları içerir. Lptables, ağ paketlerini filtrelemenize olanak tanır. Tabii ki, bu yardımcı programı terminalde yapılandırabilirsiniz. Ancak bu yöntem, ben dahil birçok kişinin gücünün ötesindedir. Böylece bir oyun oynuyormuş gibi kolayca kurdum ve kurdum.
Tüm işletim sistemleri gibi, Linux da çeşitli uygulamaları çalıştırırken çöp biriktirme eğilimindedir. Tarayıcılar, metin düzenleyiciler ve hatta video oynatıcılar gibi çeşitli uygulamalar çekirdek düzeyinde çalışmadığından ve geçici dosyalar biriktirdiğinden, bu onun Linux hatası değildir. Evrensel çöp imhası için BleachBit yardımcı programını yükleyebilirsiniz.
Anonim gezinme, IP'nizi gizleme, Linux altında kimliğinizin güvenliği için çok önemlidir.
Sonuç olarak, size anonim web sörfünden bahsetmek istiyorum. Bazen, benim gibi, eşimden gizlice erotik içerikli siteleri ziyaret ettiğimde gerekli oluyor. Tabii ki şaka yapıyordum.
Konumunuzu belirleyemezlerse saldırganların size ulaşması zor olacaktır. İzleri, privoxy ve tor adı verilen, birlikte çalışan iki yardımcı programın basit bir yapılandırmasıyla kapatıyoruz.
Bence tüm bu kurallara uymak ve yapılandırmak sizi ve bilgisayarınızı %90 oranında koruyacaktır.
not Dropbox adlı bir bulut kullanıyorum. Eski ve yeni, henüz yayınlanmamış makalelerimi saklıyorum. Dosyalarınıza dünyanın herhangi bir yerinden ve herhangi bir bilgisayardan erişmeniz uygundur. Bir site için makaleler yazarken Metin düzeltici, metin belgelerimi bir şifre ile kaydederim ve ancak bundan sonra dropbox sunucusuna yüklerim. Sadece işinize yarayacak olan gereksiz güvenliği asla ihmal etmemelisiniz.
Şüphesiz şimdi kurulu sistem Linux, çeşitli kötü amaçlı yazılımlara, casus yazılımlara ve bilgisayar korsanlarına karşı aynı Windows sürümü... Ancak, çoğu Linux sistemi, doğası gereği tamamen güvenli olmayan varsayılan ayarları kullanır.
Bazı Linux dağıtımları, kutudan çıkar çıkmaz olabildiğince güvenli olacak şekilde tasarlanmıştır, ancak yeni başlayanlar, özellikle bilgisayar dışı güvenlik uzmanları için çok zor olma eğilimindedir.
Ubuntu, günümüzde kullanılan en popüler Linux dağıtımıdır. Bu, birçok faktörden kaynaklanmaktadır; bunlardan biri, acemi kullanıcılar için en kolay olanıdır. Bu kendi olumlu yönler, ancak bu nedenle de, sistemde geliştiricilerin kullanıcı dostu olmayı tercih ederek geride bıraktığı birkaç zayıflık var. Bu yazımızda Ubuntu 16.04 üzerinde güvenlik konfigürasyonunun nasıl yapıldığına bir göz atacağız. Bu ayarlar o kadar karmaşık değildir, ancak sistemi en yaygın saldırı yöntemlerine karşı daha dayanıklı hale getirmenize yardımcı olacaktır.
Bilmeniz gereken ilk şey, sisteminizi sürekli güncel ve güncel tutmaktır. Çekirdek ve yazılımdaki yeni güvenlik açıkları sürekli olarak keşfedilir, bir örnek aynı Drity COW'dur. Geliştiriciler bu hataları çok hızlı bir şekilde düzeltirler, ancak bu düzeltmeleri sisteminize uygulamak için zamanında güncellemeniz gerekir.
Bir diğer önemli not ise kullanıcının şifresidir. Şifresiz kullanıcı kullanmayınız. Bilgisayarınızı başkalarıyla paylaşmanız gerekiyorsa, yeni hesapörneğin misafir. Ama her zaman şifre kullanın. Ameliyathane Linux sistemi başlangıçta tüm kullanıcılar için güvenlik düşünülerek çok kullanıcılı bir sistem olarak inşa edilmiştir, bu nedenle bu fırsat kaçırılmamalıdır. Ancak bunlar muhtemelen zaten bildiğiniz tüm ipuçları, hadi ubuntu'nun güvenliğini artırmanın gerçekten yararlı yollarına bakalım.
1. Paylaşılan hafızayı ayarlama
Varsayılan olarak, tüm cilt paylaşılan hafıza/ run / shm programları çalıştırabilme özelliği ile okunur / yazılır. Bu bir güvenlik açığı olarak kabul edilir ve birçok istismar, çalışan hizmetlere saldırmak için / run / shm kullanır. Çoğu masaüstü ve özellikle sunucu cihazları için bu dosyayı salt okunur modda bağlamanız önerilir. Bunu yapmak için / etc / fstab'a aşağıdaki satırı ekleyin:
sudo vi / etc / fstab
yok / çalıştır / shm tmpfs varsayılanları, ro 0 0
Ancak yine de / run / shm salt okunur ise bazı programlar çalışmayacaktır, bunlardan biri Google Chrome... Google Chrome kullanıyorsanız, yazma yeteneğini korumalıyız, ancak programların yürütülmesini önleyebiliriz, bunun için yukarıda önerilen satırın yerine aşağıdaki satırı ekleyin:
yok / çalıştır / shm tmpfs rw, noexec, nosuid, nodev 0 0
2. Yönetici olmayanlar için su yasakla
Hesabınıza ek olarak Ubuntu'nun bir de misafiri var. Hesap dizüstü bilgisayarınızı bir arkadaşınızla paylaşmak için kullanabilirsiniz. su yardımcı programı, programları farklı bir kullanıcı olarak çalıştırmanıza izin verir. Bu, sistem yönetiminde çok faydalıdır ve doğru uygulandığında hayati önem taşır. Ancak yine de, bu yardımcı programa tüm Linux kullanıcıları tarafından erişilebilir ve bu zaten kötüye kullanımdır. Konuk hesabının su komutuna erişimini reddetmek için şunu çalıştırın:
sudo dpkg-statoverride --update - kök sudo 4750 / bin / su ekle
3. Ana dizininizi koruyun
Varsayılan ana dizininize sistemdeki her kullanıcı erişebilir. Yani bir misafir hesabınız varsa, misafir tüm kişisel dosyalarınıza ve belgelerinize tam erişime sahip olabilir. Ancak bunu yalnızca sizin için kullanılabilir hale getirebilirsiniz. Bir terminal açın ve aşağıdaki komutu çalıştırın:
chmod 0700 / ana sayfa / kullanıcı adı
Klasörün sahibi, yani her şeye erişiminiz olacak ve diğer kullanıcılar içeriği göremeyecek şekilde hakları ayarlar. Alternatif olarak, sizinle aynı gruptaki kullanıcılar için klasörünüze okuma erişimi verecek 750 izin belirleyebilirsiniz:
chmod 0750 / ana sayfa / kullanıcı adı
Artık Ubuntu 16.04'ün güvenliği ve özellikle kişisel verileriniz biraz daha yüksek olacak.
4. SSH girişini kök olarak devre dışı bırakın
Varsayılan olarak, Ubuntu'da sisteme süper kullanıcı olarak SSH yapabilirsiniz. Kök kullanıcı için bir parola belirlemenize rağmen, bu potansiyel olarak tehlikeli olabilir çünkü parola çok basitse, bir saldırgan onu kaba kuvvet uygulayabilir ve tüm kontrolü ele geçirebilir. bilgisayar. sshd hizmeti sisteminize yüklenmemiş olabilir. Çalıştırmayı kontrol etmek için:
Bağlantı reddedildi mesajı alırsanız, bu hiçbir SSH sunucusunun kurulu olmadığı ve bu adımı atlayabileceğiniz anlamına gelir. Ancak kuruluysa, / etc / ssh / sshd_config yapılandırma dosyası kullanılarak yapılandırılması gerekir. Bu dosyayı açın ve satırı değiştirin:
PermitRootLogin evet
PermitRootGiriş no
Bitti, şimdi sisteminize ssh yapmak daha zor olacak, ancak ubuntu 16.04'teki güvenlik kurulumu henüz tamamlanmadı.
5. Güvenlik duvarını kurun
Belki de makinenizde yalnızca ssh sunucunuz değil, aynı zamanda bir veritabanı hizmetiniz ve apache web sunucusu veya nginx. Eğer bu ev bilgisayarı o zaman büyük olasılıkla başka birinin yerel sitenize veya veritabanınıza bağlanabilmesini istemezsiniz. Bunu önlemek için bir güvenlik duvarı yüklemeniz gerekir. Bu sistem için özel olarak tasarlandığından Ubuntu üzerinde gufw kullanılması tavsiye edilir.
Yüklemek için şunu çalıştırın:
sudo apt gufw yükleyin
Ardından programı açmanız, korumayı açmanız ve gelen tüm bağlantıları engellemeniz gerekir. Tarayıcı ve diğerleri için yalnızca gerekli bağlantı noktalarına izin ver ünlü programlar... Talimatlarda daha fazlasını okuyun.
6. MITM saldırılarına karşı koruma
Bir MITM veya Ortadaki Adam saldırısının özü, başka bir kişinin sunucuya ilettiğiniz tüm paketleri ele geçirmesi ve böylece tüm şifrelerinizi ve kişisel verilerinizi alabilmesidir. Bu tür tüm saldırılara karşı savunma yapamayız, ancak çeşitli MITM saldırıları - ARP saldırısı - halka açık yerel ağlarda oldukça popülerdir. özellikleri kullanma ARP protokolü saldırgan bilgisayarınızın önünde bir yönlendirici gibi davranır ve tüm veri paketlerinizi ona gönderirsiniz. TuxCut yardımcı programını kullanarak kendinizi bundan çok kolay koruyabilirsiniz.
Resmi depolarda herhangi bir program yoktur, bu yüzden yüklemek için paketi GitHub'dan indirmeniz gerekir:
wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb
Ardından ortaya çıkan paketi yükleyin:
sudo apt kurulum tuxcut_6.1_amd64.deb
Programı başlatmadan önce hizmetini başlatın:
sudo systemctl tuxcutd'ı başlat
Yardımcı programın ana penceresi şöyle görünür:
Ağa bağlı tüm kullanıcıların IP adresleri ve her birine karşılık gelen IP adresleri burada görüntülenir. Mac Adresi... Koruma Modu onay kutusunu işaretlerseniz, program ARP saldırılarına karşı koruma sağlayacaktır. Güvenliğinizden korktuğunuz, halka açık wifi gibi halka açık ağlarda kullanabilirsiniz.
sonuçlar
İşte bu kadar, şimdi Ubuntu 16.04 için güvenlik kurulumu tamamlandı ve sisteminiz çok daha güvenli. Bilgisayar korsanları tarafından kullanılan en yaygın saldırı vektörlerini ve sisteme sızma yöntemlerini engelledik. Ubuntu'da güvenliği artırmanın başka yararlı yollarını biliyorsanız, yorumları yazın!
Hepimiz bunu biliyoruz işletim sistemi Linux çok Windows'tan daha güvenli mimarisi ve kullanıcılar arasında özel bir erişim dağıtım sistemi nedeniyle. Ama programcılar da insandır, ne kadar seversek sevelim, onlar da yanılıyorlar. Ve bu hatalar nedeniyle, sistemde saldırganların koruma sistemlerini atlayabileceği delikler ortaya çıkıyor.
Bu hatalara zafiyet denir, çeşitli programlarda ve hatta sistemin tam merkezinde, güvenliğini baltalayarak bulunabilirler. Son yıllarda Linux'un popülaritesi artmaya başladı ve güvenlik araştırmacıları sisteme daha fazla dikkat ediyor. Gittikçe daha fazla güvenlik açığı keşfediliyor ve açık kaynak kodu sayesinde çok hızlı bir şekilde ortadan kaldırılabiliyor. Bu yazıda, son birkaç yılda keşfedilen en tehlikeli Linux güvenlik açıklarına bakacağız.
Güvenlik açıklarının listesine geçmeden önce, ne olduklarını ve ne olduklarını anlamak önemlidir. Dediğim gibi, güvenlik açığı, kullanıcının bir programı geliştiricisi tarafından amaçlanmayan bir şekilde kullanmasına izin veren bir programdaki bir hatadır.
Bu, alınan verilerin doğruluğu için doğrulama eksikliği, veri kaynağının doğrulanması ve en ilginç olanı, verilerin boyutu olabilir. En tehlikeli güvenlik açıkları, rastgele kod yürütülmesine izin veren güvenlik açıklarıdır. V rasgele erişim belleği tüm veriler belirli bir boyuttadır ve program, belirli bir boyuttaki bir kullanıcıdan belleğe veri yazmak için tasarlanmıştır. Kullanıcı daha fazla veri iletiyorsa, bir hata vermelidir.
Ancak programcı bir hata yaparsa, veriler program kodunun üzerine yazar ve işlemci onu çalıştırmaya çalışır, böylece arabellek taşması güvenlik açıkları oluşturur.
Ayrıca, tüm güvenlik açıkları yalnızca bilgisayar korsanının erişime sahip olması durumunda çalışan yerel güvenlik açıklarına bölünebilir. yerel bilgisayar ve uzak, İnternet üzerinden yeterli erişim olduğunda. Şimdi güvenlik açıkları listesine geçelim.
1. Kirli İNEK
Listemizde ilk olarak bu sonbaharda keşfedilen yeni bir güvenlik açığı olacak. Dirty COW adı Yazmada Kopyalama anlamına gelir. Hata oluşur dosya sistemi kayıt sırasında kopyalarken. Bu, ayrıcalığı olmayan herhangi bir kullanıcının sisteme tam erişim elde etmesine izin veren yerel bir güvenlik açığıdır.
Kısacası, güvenlik açığından yararlanmak için iki dosyaya ihtiyacınız var, biri yalnızca süper kullanıcı adına, diğeri bizim için yazılabilir. Dosyamıza veri yazmaya ve birçok kez süper kullanıcı dosyasından okumaya başlıyoruz, belirli bir süre sonra her iki dosyanın arabelleklerinin karışacağı an gelecek ve kullanıcı, kaydı olan dosyaya veri yazabilecek. onun için erişilemez, bu yüzden kendine verebilirsin kök hakları sistemde.
Güvenlik açığı yaklaşık 10 yıldır çekirdekteydi ancak keşfedildikten sonra hızla ortadan kaldırıldı, buna rağmen hala çekirdeğin güncellenmediği ve düşünmediği milyonlarca Andoid cihazı ve bu güvenlik açığının nerelerde istismar edilebileceğini düşündü. Güvenlik açığı, CVE-2016-5195 kodunu aldı.
2. Glibc güvenlik açığı
Güvenlik açığı, CVE-2015-7547 kodunu aldı. Bu, açık kaynak güvenlik açıkları hakkında en çok konuşulanlardan biriydi. Şubat 2016'da, Glibc kitaplığının, bir saldırganın kodlarını uzak bir sistemde yürütmesine izin veren çok ciddi bir güvenlik açığına sahip olduğu ortaya çıktı.
Glibc'nin bir uygulama olduğuna dikkat etmek önemlidir. standart kitaplıkÇoğu kişi tarafından kullanılan C ve C++ Linux programları PHP, Python, Perl gibi hizmetler ve programlama dilleri dahil.
Yanıt ayrıştırma kodunda bir hata yapıldı DNS sunucuları... Böylece, güvenlik açığı, DNS'ye savunmasız makineler tarafından erişilen bilgisayar korsanlarının yanı sıra bir MITM saldırısı gerçekleştirerek kullanılabilir. Ancak güvenlik açığı, sistem üzerinde tam kontrol sağladı.
Güvenlik açığı 2008'den beri kütüphanedeydi, ancak tespit edildikten sonra yamalar hızla yayınlandı.
3. kalp kanaması
2014 yılında, ölçek ve etki açısından en ciddi güvenlik açıklarından biri keşfedildi. OpenSSL programının kalp ölü modülündeki bir hatadan kaynaklandı, dolayısıyla Heartbleed adı. Güvenlik açığı, saldırganların sunucunun RAM'inin 64 kilobaytına doğrudan erişim elde etmesine izin verdi ve tüm bellek okunana kadar saldırı tekrarlanabilir.
Düzeltmenin çok hızlı bir şekilde yayınlanmasına rağmen, birçok site ve uygulama etkilendi. Aslında, trafiği korumak için HTTPS kullanan tüm siteler savunmasızdı. Saldırganlar, kullanıcı şifrelerini, kişisel verilerini ve saldırı anında hafızada olan her şeyi alabilir. Güvenlik açığı, CVE-2014-0160 kodunu aldı.
4. Sahne korkusu
Bir güvenlik açığına kod adı verildiyse, bu açıkça dikkati hak ettiği anlamına gelir. Stagerfight güvenlik açığı bir istisna değildir. Doğru, bu gerçekten bir Linux sorunu değil. Stagefright, Android'de multimedya formatlarını işlemek için bir kitaplıktır.
C ++ ile uygulanır, bu da tüm Java güvenlik mekanizmalarını atladığı anlamına gelir. 2015 yılında, sistemde rastgele kodun uzaktan yürütülmesine izin veren bir dizi güvenlik açığı keşfedildi. Bunlar CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 ve CVE-2015-3829'dur.
Saldırganın, özel olarak değiştirilmiş bir medya dosyasıyla savunmasız bir akıllı telefona yalnızca MMS göndermesi gerekiyordu ve hafıza kartından veri yazma ve okuma yeteneği ile cihaz üzerinde tam kontrol elde etti. Güvenlik açığı Android geliştiricileri tarafından düzeltildi, ancak hala milyonlarca cihaz savunmasız durumda.
5. Çekirdek sıfır gün güvenlik açığı
Bu, bellekte depolanan çekirdek şifreleme verilerini işlemek için sistemdeki bir hata nedeniyle geçerli kullanıcının kök düzeyine yükseltilmesine olanak tanıyan yerel bir güvenlik açığıdır. Şubat 2016'da keşfedildi ve 3.8'den başlayarak tüm çekirdekleri kapsadı, bu da güvenlik açığının 4 yıldır var olduğu anlamına geliyor.
Hata, bilgisayar korsanları veya kötü amaçlı yazılımlar tarafından kullanılmış olabilir yazılım sistemdeki güçlerini artırmak için, ancak hızlı bir şekilde düzeltildi.
6. MySQL'deki Güvenlik Açığı
Bu güvenlik açığı CVE-2016-6662 koduydu ve MySQL veritabanı sunucusunun (5.7.15, 5.6.33 ve 5.55.52), Oracle veritabanlarının ve MariaDB ve PerconaDB klonlarının tüm kullanılabilir sürümlerini etkiledi.
Saldırganlar sisteme tam erişim sağlayabilirler. SQL sorgusu my.conf'un kendi sürümüyle değiştirilmesine ve sunucunun yeniden başlatılmasına izin veren bir kod iletildi. gerçekleştirme fırsatı da oldu. zararlı kod süper kullanıcı haklarına sahip.
MariaDB ve PerconaDB yamaları oldukça hızlı bir şekilde yayınladı, Oracle tepki gösterdi, ancak çok daha sonra.
7. Kabuk şoku
Bu güvenlik açığı 22 yıl önce 2014 yılında keşfedildi. Kendisine CVE-2014-6271 kodu ve Shellshock kod adı verildi. Bu güvenlik açığı, önem açısından zaten bilinen Heartbleed ile karşılaştırılabilir. Çoğu Linux dağıtımında varsayılan olan Bash komut yorumlayıcısındaki bir hatadan kaynaklanır.
Bash, kullanıcı kimlik doğrulaması olmadan ortam değişkenlerini bildirmenize izin verir ve birlikte, bunlarda herhangi bir komutu çalıştırabilirsiniz. Bu, çoğu site tarafından desteklenen CGI betiklerinde özellikle tehlikelidir. Yalnızca sunucular savunmasız değil, aynı zamanda kişisel bilgisayarlar kullanıcılar, yönlendiriciler ve diğer cihazlar. Aslında, bir saldırgan herhangi bir komutu uzaktan çalıştırabilir; bu, kimlik doğrulaması olmadan tam teşekküllü bir uzaktan kumandadır.
4.3 de dahil olmak üzere Bash'in tüm sürümleri etkilendi, ancak sorunun keşfedilmesinden sonra geliştiriciler çok hızlı bir şekilde bir düzeltme yayınladı.
8. Dört Köklü
Bu, Ağustos 2016'da keşfedilen bir dizi Android güvenlik açığıdır. CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503 kodlarını aldılar. 900 milyondan fazla hata var Android cihazlar... Tüm güvenlik açıkları Qualcomm işlemci ARM sürücüsünde bulundu ve tümü şu amaçlarla kullanılabilir: kök almak cihaza erişim.
DirtyCOW gibi, burada herhangi bir kimlik bilgisine ihtiyacınız yok, sadece kötü amaçlı bir uygulama yüklemeniz gerekiyor ve tüm verilerinizi alıp saldırgana aktarabilecek.
9. OpenJDK'daki Güvenlik Açığı
Bu, OpenJDK Java makinesinde CVE-2016-0636 kodlu çok ciddi bir linux 2016 güvenlik açığıdır ve Windows, Solaris, Linux ve Mac OS X için Oracle Java SE 7 Güncelleme 97 ve 8 Güncelleme 73 ve 74 çalıştıran tüm kullanıcıları etkiler. Bu güvenlik açığı Güvenlik açığı bulunan bir Java sürümüne sahip bir tarayıcıda özel bir sayfa açarsanız, saldırganın Java makinesi dışında rastgele kod yürütmesine izin verir.
Bu, bir saldırganın parolalarınıza, kişisel verilerinize erişmesine ve bilgisayarınızdaki programları çalıştırmasına izin verdi. Tüm sürümlerde Java hatasıçok hızlı bir şekilde düzeltildi, 2013'ten beri var.
10. HTTP / 2 protokolünün güvenlik açığı
Bu, 2016 yılında HTTP / 2 protokolünde keşfedilen bir dizi güvenlik açığıdır. CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544 kodlarını aldılar. Bu protokolün Apache, Nginx Microsoft, Jetty ve nghttp2'deki tüm uygulamaları etkilendi.
Bunların tümü, bir saldırganın web sunucusunu önemli ölçüde yavaşlatmasına ve bir hizmet reddi saldırısı gerçekleştirmesine izin verir. Örneğin, hatalardan biri, sunucuda gigabaytlara açılan küçük bir mesaj gönderme olasılığına yol açtı. Hata çok hızlı bir şekilde düzeltildi ve bu nedenle toplulukta çok fazla vızıltı oluşturmadı.
Güvende misin?
Bu yazıda 2016, 2015 ve 2014'teki en tehlikeli Linux güvenlik açıklarını ele aldık. Çoğu, zamanında düzeltilmediği takdirde sistemlere ciddi zararlar verebilir. Açık kaynak kodu sayesinde bu tür Linux güvenlik açıkları verimli bir şekilde algılanır ve hızlı bir şekilde giderilir. Sadece sisteminizi güncellemeyi unutmayın. Tek sorun Android'de kalıyor. Bazı cihazlar artık güncelleme almıyor ve bu soruna henüz bir çözüm yok.
Linux sunucularının en güvenli ve dışarıdan izinsiz girişlerden korunduğuna dair yaygın bir yanılgı vardır. Ne yazık ki, durum böyle değil, herhangi bir sunucunun güvenliği, onu sağlamak için bir dizi faktöre ve önleme bağlıdır ve pratik olarak kullanılan işletim sistemine bağlı değildir.
adanmış bir dizi makale başlatmaya karar verdik. ağ güvenliği Ubuntu Server ile, bu platformdaki çözümler okuyucularımızın büyük ilgisini çektiğinden ve birçok kişi Linux çözümlerinin kendi içinde güvenli olduğunu düşündüğünden.
Aynı zamanda, özel bir IP adresine sahip bir yönlendirici, yerel ağ için bir "ağ geçidi" dir ve bu kapıların güvenilir bir bariyer olup olmayacağını veya bir çivi ile kapatılmış bir kulübe kapısı olup olmayacağını yalnızca yönetici belirleyecektir.
Başka bir yaygın yanılgı, tarzda akıl yürütme: "ama kimin ihtiyacı var, sunucumuz, ilginç bir şeyimiz yok". Gerçekten de, yerel ağınız siber suçluların ilgisini çekmeyebilir, ancak istenmeyen posta göndermek, diğer sunuculara saldırılar, anonim bir proxy, kısacası karanlık eylemleri için bir başlangıç noktası olarak güvenliği ihlal edilmiş bir sunucu kullanabilirler.
Ve bu zaten tatsız ve çeşitli sorunların kaynağı olarak hizmet edebilir: sağlayıcıdan kolluk kuvvetlerine. Ve virüslerin yayılması, hırsızlık ve yıkım hakkında önemli bilgi ayrıca, işletmenin kesinti süresinin oldukça somut kayıplara yol açtığı gerçeğinin yanı sıra unutmaya değmez.
Bu makale Ubuntu Sunucusu ile ilgili olmasına rağmen, önce Genel Konular Herhangi bir platformla eşit derecede ilgili ve temel olan güvenlik, konuyu daha ayrıntılı olarak tartışmanın bir anlamı olmayan uzmanlaşmadan.
Güvenlik nerede başlar?
Hayır, güvenlik güvenlik duvarı ile başlamaz, donanım ile başlamaz, güvenlik kullanıcı ile başlar. Sonuçta, sahibi anahtarı halının altına bırakırsa, en iyi uzmanlar tarafından kurulan en havalı metal kapının kullanımı nedir?
Bu nedenle, yapmanız gereken ilk şey bir güvenlik denetimi yapmaktır. Bu kelimeden korkmayın, her şey o kadar zor değil: güvenli alanı, potansiyel tehlike alanını ve yüksek riskli alanı işaretlediğiniz şematik bir ağ planı çizin ve ayrıca sahip olması gereken (olması gereken) kullanıcıların bir listesini yapın. erişim) bu alanlara erişim.
Güvenli bölge, dışarıdan erişimi olmayan ve izin verilen ağın iç kaynaklarını içermelidir. düşük seviye güvenlik. Bunlar iş istasyonları, dosya sunucuları vb. olabilir. erişimi işletmenin yerel ağıyla sınırlı olan cihazlar.
Potansiyel tehlike bölgesi, harici ağa doğrudan erişimi olmayan, ancak bireysel hizmetlerine dışarıdan erişilebilen sunucuları ve cihazları içerir; örneğin, güvenlik duvarının arkasında bulunan web ve posta sunucuları, ancak aynı zamanda gelen isteklere hizmet eder. dış ağ.
Tehlikeli alan, dışarıdan doğrudan erişilebilen cihazları içermeli, ideal olarak bir yönlendirici olmalıdır.
Mümkünse, potansiyel olarak tehlikeli bölge, ana ağdan ek bir güvenlik duvarı ile ayrılan askerden arındırılmış bölge (DMZ) olan ayrı bir alt ağa taşınmalıdır.
Yerel ağdaki cihazlar yalnızca DMZ'de ihtiyaç duydukları hizmetlere erişebilmelidir, örneğin SMTP, POP3, HTTP, diğer bağlantılar engellenmelidir. Bu, ayrı bir hizmet olan DMZ'deki bir güvenlik açığından yararlanan bir saldırganı veya kötü amaçlı yazılımı ana ağa erişimini engelleyerek güvenilir bir şekilde izole etmenize olanak tanır.
Fiziksel olarak DMZ, ayrı bir sunucu/donanım güvenlik duvarı kurularak veya yönlendiriciye ek bir ağ kartı eklenerek düzenlenebilir, ancak ikinci durumda yönlendiricinin güvenliğine çok dikkat etmeniz gerekecektir. Ancak her durumda, tek bir sunucunun güvenliğini sağlamak, bir grup sunucunun güvenliğini sağlamaktan çok daha kolaydır.
Bir sonraki adım, hepsinin DMZ'ye ve yönlendiriciye (kamu hizmetleri hariç) erişime ihtiyacı olup olmadığını, kullanıcıların listesini analiz etmek olmalıdır, dışarıdan bağlanan kullanıcılara özel dikkat gösterilmelidir.
Tipik olarak, bu çok sevilmeyen bir adım gerektirir - bir şifre politikası uygulamak. Kritik hizmetlere erişimi olan ve dışarıdan bağlanabilen kullanıcıların tüm şifreleri en az 6 karakter içermeli ve küçük harflere ek olarak büyük harf, sayı, alfabetik olmayan karakterler olmak üzere iki kategoriden oluşan karakterleri içermelidir.
Ayrıca parola, kullanıcının oturum açma bilgilerini veya bir kısmını içermemeli, kullanıcıyla ilişkilendirilebilecek tarih ve adları içermemeli ve tercihen bir sözlük kelimesi olmamalıdır.
Her 30-40 günde bir şifre değiştirme pratiğine başlamak iyi bir fikirdir. Böyle bir politikanın kullanıcılar tarafından reddedilmesine neden olabileceği açıktır, ancak her zaman şunu hatırlamanız gerekir: 123 veya qwerty halının altına anahtar bırakmakla eşdeğerdir.
Sunucu güvenliği başka bir şey değildir.
Artık neyi ve neyden korumak istediğimize dair bir fikrimiz olduğuna göre, sunucunun kendisine geçelim. Tüm hizmetlerin ve hizmetlerin bir listesini yapın, ardından hepsinin bu sunucuda gerekli olup olmadığını veya bir yerden alınıp alınamayacağını düşünün.
Ne kadar az hizmet olursa, güvenliği sağlamak o kadar kolay olur, bir sunucudaki kritik bir güvenlik açığı nedeniyle bir sunucunun güvenliğinin ihlal edilme olasılığı o kadar az olur.
Hizmet veren hizmetleri yapılandırın yerel alan ağı(örn. kalamar) böylece yalnızca yerel arayüzden gelen istekleri kabul ederler. Harici olarak ne kadar az hizmet sağlanırsa o kadar iyidir.
Güvenlik konusunda iyi bir yardımcı, taranması gereken bir güvenlik açığı tarayıcısıdır. başlangıç aşaması sunucu. En ünlü ürünlerden biri olan XSpider 7.7'nin demo sürümünü kullandık.
Tarayıcı gösterileri açık portlar, çalışan hizmetin türünü ve başarılı olursa bunun güvenlik açıklarını belirlemeye çalışır. Gördüğünüz gibi, uygun şekilde yapılandırılmış bir sistem oldukça güvenlidir, ancak anahtarı halının altında bırakmamalısınız, yönlendiricide 1723 (VPN) ve 3389 (RDP, bir terminal sunucusuna yönlendirilen) açık bağlantı noktalarının varlığı iyidir bir şifre politikası düşünmek için bir neden.
Ayrı olarak, SSH güvenliği hakkında konuşmaya değer, bu hizmet genellikle yöneticiler tarafından uzaktan kumanda sunucudur ve siber suçlular için artan bir ilgidir. SSH ayarları bir dosyada saklanır / etc / ssh / sshd_config, aşağıda açıklanan tüm değişiklikler ona yapılır. Her şeyden önce, kök kullanıcı altında yetkilendirmeyi devre dışı bırakmalısınız, bunun için seçeneği ekleyin:
PermitRootGiriş no
Şimdi saldırganın sadece şifreyi değil, aynı zamanda oturum açmayı da tahmin etmesi gerekecek, ancak yine de süper kullanıcı şifresini bilmeyecek (umarız şifrenizle eşleşmez). Dışarıdan bağlanırken tüm idari görevler alttan yapılmalıdır. sudo ayrıcalıksız bir kullanıcı olarak giriş yaparak.
İzin verilen kullanıcıların listesini açıkça belirtmeye değer; bu durumda, aşağıdaki gibi kayıtları kullanabilirsiniz. [e-posta korumalı] bu, belirtilen kullanıcının yalnızca belirtilen ana bilgisayardan bağlanmasına izin verir. Örneğin, ivanov kullanıcısının evden bağlanmasına izin vermek için (IP 1.2.3.4), aşağıdaki girişi ekleyin:
Kullanıcıya İzin Ver [e-posta korumalı]
Ayrıca, kullanımdan kaldırılmış ve daha az kullanımına izin verme güvenli protokol SSH1, protokolün yalnızca ikinci sürümünün bunu yapmasına izin verir, Sonraki satır bakmak:
Protokol 2
Alınan tüm önlemlere rağmen, şifre tahminini önlemek için SSH ve diğer kamu hizmetlerine bağlanma girişimleri yine de olacaktır, yardımcı programı kullanın. fail2ban Bu, birkaç başarısız oturum açma girişiminden sonra kullanıcıyı otomatik olarak yasaklamanıza olanak tanır. Şu komutla yükleyebilirsiniz:
Sudo apt-get install fail2ban
Bu yardımcı program kurulumdan hemen sonra çalışmaya hazırdır, ancak bazı parametreleri hemen değiştirmenizi, bunun için dosyada değişiklik yapmanızı tavsiye ederiz. /etc/fail2ban/jail.conf... Varsayılan olarak, yalnızca SSH erişimi kontrol edilir ve yasaklama süresi 10 dakikadır (600 saniye), bizce aşağıdaki seçeneği değiştirerek bunu artırmaya değer:
Ban süresi = 6000
Ardından dosyada gezinin ve ilgili bölümün adından sonra parametreyi ayarlayarak sisteminizde çalışan servisler için bölümleri etkinleştirin. etkinleştirilmiş bir eyalette NSörneğin servis için proftpd Bunun gibi görünecek:
etkin = doğru
Bir diğer önemli parametre maxretry, maksimum bağlantı girişimi sayısından sorumludur. Ayarları değiştirdikten sonra hizmeti yeniden başlatmayı unutmayın:
Sudo /etc/init.d/fail2ban yeniden başlatma
Yardımcı programın günlüğünü şurada görebilirsiniz: /var/log/fail2ban.log.
2015'teki yıllık LinuxCon'da, GNU / Linux çekirdeği yaratıcısı Linus Torvalds, sistem güvenliği konusundaki görüşlerini paylaştı. Yetkili koruma ile belirli hataların varlığının etkisini azaltma gereğini vurguladı, böylece bir bileşen arızalanırsa bir sonraki katman sorunla örtüşür.
Bu yazıda, bu konuyu pratik bir bakış açısıyla ele almaya çalışacağız:
7. Güvenlik duvarlarını kurun
Son zamanlarda Linux sunucularına DDoS saldırılarına izin veren yeni bir güvenlik açığı vardı. 2012'nin sonunda 3.6 sürümü ile sistemin çekirdeğinde bir hata ortaya çıktı. Güvenlik açığı, bilgisayar korsanlarının indirme dosyalarına, web sayfalarına virüs enjekte etmesine ve Tor bağlantılarını açığa çıkarmasına olanak tanır ve hacklemek için çok fazla çaba gerektirmez - IP sahtekarlığı yöntemi işe yarayacaktır.Şifreli HTTPS veya SSH bağlantıları için maksimum zarar, bağlantıyı kesmektir, ancak bir saldırgan, aşağıdakiler de dahil olmak üzere korumasız trafiğe yeni içerik yerleştirebilir: kötü amaçlı yazılım... Bu tür saldırılara karşı korunmak için bir güvenlik duvarı uygundur.
Güvenlik Duvarı ile erişimi engelle
Güvenlik duvarı, istenmeyen saldırıları engellemek için en önemli araçlardan biridir. gelen trafik... Yalnızca gerçekten ihtiyacınız olan trafiğe izin vermenizi ve diğer her şeyi tamamen reddetmenizi öneririz.
Çoğu Linux dağıtımı, paket filtreleme için bir iptables denetleyicisine sahiptir. Genellikle onu kullanırlar deneyimli kullanıcılar, ve basitleştirilmiş yapılandırma için Debian / Ubuntu'da UFW yardımcı programlarını veya Fedora'da FirewallD'yi kullanabilirsiniz.
8. Gereksiz hizmetleri devre dışı bırakın
Virginia Üniversitesi'nden uzmanlar, kullanmadığınız tüm hizmetleri kapatmanızı tavsiye ediyor. Biraz arka plan süreçleri otomatik olarak yüklenecek ve sistem kapatılana kadar çalışacak şekilde ayarlanmıştır. Bu programları yapılandırmak için init betiklerini kontrol etmeniz gerekir. Servisler inetd veya xinetd üzerinden başlatılabilir.Sisteminiz inetd ile yapılandırıldıysa, /etc/inetd.conf dosyasında arka plandaki "arka plan programları" programlarının listesini düzenleyebilirsiniz; hizmetin yüklenmesini devre dışı bırakmak için, programın başına bir "#" işareti koymanız yeterlidir. satırı, yürütülebilir dosyadan bir yoruma dönüştürür.
Sistem xinetd kullanıyorsa, yapılandırması /etc/xinetd.d dizininde olacaktır. Her dizin dosyası, bu örnekte olduğu gibi devre dışı bırak = evet belirtilerek devre dışı bırakılabilen bir hizmeti tanımlar:
Servis parmağı (socket_type = akış bekle = kullanıcı yok = kimse sunucu = /usr/sbin/in.fingerd devre dışı = evet)
Ayrıca inetd veya xinetd tarafından yönetilmeyen kalıcı süreçleri kontrol etmeye değer. /etc/init.d veya /etc/inittab dizinlerinde başlangıç komut dosyalarını yapılandırabilirsiniz. Yapılan değişikliklerden sonra komutu root hesabı olarak çalıştırın.
/etc/rc.d/init.d/inet yeniden başlatma
9. Sunucuyu fiziksel olarak koruyun
ile saldırgan saldırılara karşı tam olarak savunma yapmak imkansızdır. fiziksel erişim sunucuya. Bu nedenle, sisteminizin bulunduğu odanın güvenliğini sağlamanız gerekir. Veri merkezleri, güvenliği ciddi bir şekilde izler, sunuculara erişimi kısıtlar, güvenlik kameraları kurar ve kalıcı güvenlik atar.Veri merkezine girmek için tüm ziyaretçilerin belirli kimlik doğrulama aşamalarından geçmesi gerekir. Ayrıca merkezin tüm alanlarında hareket sensörlerinin kullanılması şiddetle tavsiye edilir.
10. Sunucuyu yetkisiz erişime karşı koruyun
Yetkisiz bir erişim sistemi veya IDS, sistem yapılandırması ve dosyalar hakkında veri toplar ve ardından sisteme zararlı olup olmadıklarını belirlemek için bu verileri yeni değişikliklerle karşılaştırır.Örneğin, Tripwire ve Aide araçları aşağıdakilerin bir veritabanını toplar: sistem dosyaları ve onları bir dizi anahtarla koruyun. Psad, güvenlik duvarı raporlarını kullanarak şüpheli etkinlikleri izlemek için kullanılır.
Bro, ağı izlemek, şüpheli etkinlik modellerini izlemek, istatistik toplamak, sistem komutlarını yürütmek ve uyarılar oluşturmak için tasarlanmıştır. RKHunter, en yaygın olarak rootkit olan virüslere karşı koruma sağlamak için kullanılabilir. Bu yardımcı program, sisteminizde bilinen güvenlik açıklarını kontrol eder ve uygulamalardaki güvenli olmayan ayarları belirleyebilir.
