لائحة الطعام
مجاني
تحقق في
الرئيسية  /  مشاكل / تدقيق الوصول إلى ملفات Linux. كيفية إجراء مراجعة أمان الخادم ولا تقلق بشأن تسرب البيانات

تدقيق الوصول إلى ملفات Linux. كيفية إجراء مراجعة أمان الخادم ولا تقلق بشأن تسرب البيانات

في مقالة اليوم سنقدم لكم أفضل المرافق لمراجعة السلامة Linux أو كما يقول الزملاء الناطقة باللغة الإنجليزية - تصلب لينكسوبعد لذلك، فإن موضوع المقالة يتحقق مستوى أمان أنظمة Linux وتقييم تكوين صحة من وجهة نظر أمان المعلومات. بالطبع، لن نقوم باستعراض البرامج فحسب، بل تعطي أيضا أمثلة لاستخدامها.

مراجعة الأمن Linux القوة الخاصة

أمام مسؤولي النظام، وأكثر من ذلك أمام مراجعي حسابات أمن المعلومات، غالبا ما تنشأ المهام للتحقق من العدد المحمي من المضيفين في وقت قصير جدا. وبالطبع، لحل هذه المهام في قطاع المؤسسات هناك أدوات متخصصة، على سبيل المثال، مثل. أنا واثق من أن جميعهم - من محرك Openvas Openvas إلى المنتجات التجارية مثل Nessus أو Nexpose معروف بقارئنا. ولكن عادة ما يستخدم هذا البرنامج للبحث عن البرامج القديمة وبالتالي عرضة للخطر ثم قم بتشغيل إدارة التصحيح. بالإضافة إلى ذلك، لا تأخذ جميع ماسحات الضوئية الأمنية في الاعتبار بعض الميزات المحددة لآليات حماية نظام التشغيل Linux المضمنة وغيرها من المنتجات المصدر المفتوحة. حسنا، ليس بالأمر الأقل، القيمة هي سعر السؤال، لأن المنتجات المدفوعة لا يمكن أن تحمل الشركات التي تخصيص بعض الميزانيات بموجب هذا العمل.

لهذا السبب، ستكون مجموعة متخصصة من المرافق المجانية التي يمكنها تشخيص المستوى الحالي لمستويات أمان النظام، وتقييم المخاطر المحتملة، على سبيل المثال "الخدمات غير الضرورية"، وهي عبر الإنترنت، أو التكوين الافتراضي غير الآمن، وفي بعض الحالات، اقتراح خيارات لتصحيح المشاكل الموجودة عن طريق مشاكل التدقيق. ميزة أخرى لاستخدام هذه الأدوات هي أن تكون قادرا على نسخ البرامج النصية الفحص المزرعة النموذجية من أي عدد من أنظمة Linux وإنشاء قاعدة بيانات موثقة من الاختبارات في شكل سجلات وتقارير فردية.

الجوانب العملية لتدقيق أمان Linux

إذا نظرت إلى عيون المراجع، فيمكن تقسيم نهج الاختبار إلى نوعين.

أولا - هذا امتثالا لما يسمى بمتطلبات الامتثال، وهنا تحقق من وجود عناصر إلزامية للدفاع المنصوص عليه في أي معيار دولي أو "أفضل الممارسات". مثال كلاسيكي - متطلبات PCI DSS لأنظمة الدفع تكنولوجيا المعلومات، SOX404، سلسلة NIST-800،.

ثانية - هذا نهج عقلاني بحت على أساس السؤال "ماذا يمكنني أن أفعل لتعزيز الأمن؟". لا توجد متطلبات إلزامية - معرفتك فقط، رأس مشرق وأيدي ماهرة. على سبيل المثال، هذا تحديث لإصدار Kernel و / أو حزم التطبيقات، إدراج، Selinux Forcing، إعداد ملفات iptables fixt.

كل ما يتعلق بالنهج الثاني، معتادا للاتصال بمصطلح خاص. تصلب لينكس.ما يمكن تعريفه باسم "الإجراءات التي تهدف إلى تعزيز مستوى نظام التشغيل المحمي بمصدر (أو CO) بشكل رئيسي من قبل الموظفين."

الامتثال لمتطلبات الامتثال، كقاعدة عامة، تحقق عند التحضير لمرور نوع التدقيق الإلزامي PCI DSS أو مراجعة الشهادات الأخرى. سوف نولي المزيد من الاهتمام لعنصر تصلب. يقدم جميع البائعين الرئيسيين لمنتجاتهم. إرشادات تصلب. - المبادئ التوجيهية التي تحتوي على المشورة والتوصيات، وكيفية تعزيز الأمن، مع مراعاة آليات السلامة المنتظمة وفتحي البرمجيات. لذلك، أدلة مماثلة لها قبعة حمراء، دبيان، أوراكل، سيسكو.

تصلب المصطلح من عالم أمن المعلومات، الذي يدل على العملية الأمنية للنظام (البرنامج) من خلال تقليل عدم حصانةه، كقاعدة عامة، باستخدام مرافق أو آليات الحماية العادية حصريا.

بالمناسبة، كان لدينا بالفعل مقال حول تكوين خيارات تصلب، ولكن في هذه المقالة كان حول الإعداد. نتحقق أولا من نظامنا بمساعدة المرافق المتخصصة، أي أننا سنقوم بإجراء مراجعة للأمن، وسنقوم بتقدير المستوى الحالي للحماية، ثم قم بتشغيل الخيار الأمان هناك، إذا كانت هناك حاجة. حسنا، أو كخيار: إذا تم تكوين الخادم بالفعل من وجهة نظر الأمان، فستتمكن أدواتنا من التحقق من ذلك وقد تشير إلى أنه لا يزال بإمكانك القيام به.

أدوات مراجعة السلامة Linux

Lynis - اختبار صلابة نظام التدقيق

التثبيت على ماكوس:

تهيئة الاختبارات
نتائج الاختبار من مجموعة أدوات النظام والتمهيد
نتائج الاختبار من مجموعة التدقيق النواة والذاكرة والعملية
نتائج الاختبار من مجموعة المستخدم والمجموعة والمصادقة

التدقيق مفيد دائما للتحقق مما إذا كان الإصدار الجديد من Lynis متاح:

إذا كنت ترغب في وضع اسم المراجع، وتشغيل الاختبار، فما عليك سوى إضافة معلمة -Aditor :

sudo Lynis Audit System - C - Auditor Daddy

في أي مرحلة من مراحل مراجعة أمان Linux، قد تابع عملية التحقق (أدخل) أو إنهاء قسرا (CTRL + C). سيتم كتابة نتائج الاختبارات التي يؤديها في Lynis Log في كتالوج /var/log/lynis.log. لاحظ أنه سيتم الكتابة فوق ملف السجل في كل مرة تكون فيها الأداة المساعدة التالية.

لاختبار على أساس مستمر، في الوضع التلقائي، يمكنك تعيين مهمة مقابلة في جدولة Cron باستخدام مفتاح -Cronjob. في هذه الحالة، سيتم تشغيل Lynis على قالب محدد (CONFIG) ولن يعرض أي رسائل وأسئلة ومساؤلات تفاعلية غير ضرورية. سيتم حفظ جميع النتائج في السجل. على سبيل المثال، إليك الأداة المساعدة النصية لبدء التشغيل مع الإعدادات الافتراضية مرة واحدة في الشهر:

#! / بن / ش

مدقق الحسابات \u003d "الآلي"

التاريخ \u003d $ (تاريخ +٪ Y٪ M٪ D)

المضيف \u003d $ (اسم المضيف)

log_dir \u003d "/ var / log / lynis"

تقرير \u003d "$ log_dir / التقرير - $ (المضيف). $ (التاريخ) "

البيانات \u003d "$ log_dir / تقرير - البيانات - $ (المضيف). $ (التاريخ). رسالة قصيرة "

cD / USR / المحلية / Lynis

وبعد / Lynis - C--Auditor "$ (Auditor" "-Conjob\u003e $ (تقرير)

mV / var / log / lynis - تقرير. DAT $ (البيانات)

# نهاية.

احفظ هذا البرنامج النصي إلى دليل /etc/cron.monthly/lynis. ولا تنس أن تضيف مسارات لحفظ السجلات (/ USR / Lynis / Lynis و / var / log / Lynis)، وإلا يعمل بشكل غير صحيح.

يمكنك مشاهدة قائمة بجميع الأوامر المتاحة للاتصال:

إرشادات موجزة للعمل مع الأداة المساعدة:

رجل lynis.

خيارات الاحتياطات المحتملة في نتائج التفتيش تقتصر على القائمة التالية: لا شيء، ضعيف، تم، وجدت، not_found، موافق، تحذير.


مثال على حالة الإخراج
تشغيل الاختبارات الفردية في Lynis

في الممارسة العملية، من الضروري إجراء بعض الاختبارات المحددة فقط. على سبيل المثال، إذا كان الخادم الخاص بك يؤدي فقط خادم البريد أو وظائف Apache. للقيام بذلك، يمكننا استخدام المعلمة -Tests. يبدو بناء جملة الأوامر مثل هذا:

بالإضافة إلى ذلك، تقوم مدينة Lynis بتوسيع الإضافات المختلفة التي يمكن أن تضيف بشكل مستقل، ويمكنك وضع جديد في الدليل الحالي.

سيتم إدراج جميع التحذيرات (التحذيرات) بعد النتائج. كل يبدأ بنص التحذير، ثم جوار الأقواس تشير إلى الاختبار الذي ولدت ذلك. يقدم السطر التالي حلا للمشكلة إذا كان بالطبع موجود. على الحقيقة، الخط الأخير هو عنوان URL الذي يمكنك عرضه التفاصيل والعثور على توصيات إضافية، وكيفية القضاء على المشكلة.


اختتام التوصيات كيفية القضاء على المشاكل الموجودة

مظهر

يتم تعريف ملفات التعريف التي يتم تعريف المراجعة المراد فيها في الملفات التي تحتوي على ملحق .prf الموجود في دليل / إلخ / Lynis. يتم استدعاء ملف التعريف الافتراضي، بشكل متوقع، Default.prf. لا ينصح المطورين بتحريره مباشرة: أي تغييرات تريد الدخول فيها في مراجعة أفضل من الأفضل إضافة إلى ملف Custom.prf، الموجود في نفس الدليل.

إنشاء وتحرير ملف تعريف مخصص:

المس / إلخ / Lynis / مخصص. PRF.

sudo Nano / ETC / Lynis / مخصص. PRF.

في هذا الملف، يمكنك تحديد قائمة الاختبارات التي يجب استبعادها من تدقيق Lynis. على سبيل المثال:

  • FILE-6310: التحقق من الأقسام؛
  • HTTP-6622: اختبار تثبيت Nginx؛
  • HTTP-6702: اختبار تثبيت Apache.

لاستبعاد بعض الاختبار معين، استخدم توجيه اختبار التخطي وتحديد معرف الاختبار. على سبيل المثال، لذلك:

# هو مثبت nginx؟

تخطي - اختبار \u003d http - 6622

# هل تم تثبيت Apache؟

تخطي - اختبار \u003d http - 6702

حالة تصلب التقييم

وفقا لنتائج تنفيذ جميع الاختبارات في نهاية كل إخراج من الأداة المساعدة التدقيق (أسفل القسم فقط من المقترحات)، ستجد قسم سيبدو هكذا:

Lynis Security تفاصيل المسح:

مؤشر تصلب: 57 [############ .........

اختبارات الأداء: 216

تمكين الإضافات: 0

الدولة تصلب الدولة

هذه النتيجة، المعبر عنها، يدل على عدد الاختبارات التي تم تمريرها ومؤشر الأمان للنظام، وهذا هو مؤشر تصلب - الرقم النهائي الذي يقدمه Lynis تقييم المستوى العام لأمن الخادم. ومن المهم للغاية عدم نسيان أن مؤشر الأمن يختلف اعتمادا على عدد التحذيرات المصححة وتوصيات Lynis المنفذة. لذلك، بعد تصحيحات المشاكل الموجودة، يمكن إعادة التدقيق الأمني \u200b\u200bإظهار عدد مختلف تماما!

جميع التلاعب مع النظام في وضع Superuser تتطلب اهتماما وثيقا وزيادة المسؤولية. أداء فقط الإجراءات التي تدركها واثقة. لا تنس أن تجعل نسخ احتياطية ولقطات.

Lunar - أداة تدقيق الأمن UNIX

أمثلة على إطلاق أوامر من CLI:


عرض جميع خيارات إطلاق Launar

إطلاق Lunar في وضع مراجعة الأمن، وهذا هو دون إجراء تغييرات على النظام:

اختبار التعداد:

ابدأ في وضع الإصلاح، أي التغييرات في النظام:

مثال على اختبارات البدء لخادم Apache Web

مراجع NIX - مراجعة رابطة الدول المستقلة أسهل

يقوم مراجع NIX هو برنامج نصي آخر للتحقق مما إذا كانت أمان أنظمة Linux هو متطلبات مؤشر CIS. ركز على Rhel، Centos وغيرها من توزيعات RPM.

يعلن المطورون هذه المزايا من مراجع الحسابات NIX:

  • مسح السرعة - إجراء الاختيار الأساسي لنظام التشغيل، يمكنك أقل من 120 ثانية وتتلقى تقريرا فورا؛
  • تحقق الدقة - يتم فحص عمل المراجع Nix على إصدارات مختلفة من توزيعات Centos وقبعة حمراء؛
  • التخصيص - مصادر مع توثيق البرنامج تكمن على جيثب، لذلك يتم تكوين التعليمات البرمجية بسهولة وفقا لنوع نظام التشغيل ومجموعة من عناصر النظام التي يجب فحصها؛
  • سهل الاستخدام - يكفي لجعل برنامج تشغيل البرنامج النصي قابل للتنفيذ، وهو جاهز بالفعل للتحقق.

مثال على تنفيذ الأوامر لتنزيل الأداة المساعدة مع تخزين Github وبدء البرنامج النصي اللاحق:

جيت استنساخ https: //github.com/xalfie/nix-aiditor.git.

cD NIX - المراجع

chmod + x nixauditor

وبعد / nixauditor.

مثال على إخراج المعلومات بعد إطلاق المراجع NIX

Loki - ماسح استجابة IOCA والحادث بسيطة

لا تعد الأداة المساعدة Loki أداة كلاسيكية تماما لإجراء تدقيق Linux، لكنها رائعة لإيجاد آثار القرصنة، وهي، ولكن جزئيا يمكن أن تعزى إلى ممارسة التدقيق.

وفقا للمطورين، تعطينا هذه الميزات لنا لوكي - ماسحة استجابة IOC وبسيطة

1. أربع طرق لتحديد القرصنة:

  • أسماء الملفات (الامتثال للتعبير العادي عن مسار الملف الكامل)؛
  • تحقق وفقا لقواعد Yara (البحث عن الامتثال لتوقيعات Yara على محتويات الملفات والعمليات)؛
  • تحقق وتحليل الضباب (مقارنة الملفات الممسوحة ضوئيا مع التجزئة (MD5، Sha-1، SHA-256) ملفات ضارة معروفة)؛
  • التحقق من ردود الفعل C2 (يقارن النقاط النهائية للاتصال التكنولوجي مع C2 IOC).

II. الشيكات الإضافية:

  • التحقق من نظام ملف Regin (عبر -ReGinfs)؛
  • التحقق من الشاذة من عمليات النظام والمستخدم؛
  • مسح SWF غير المفكضة؛
  • التحقق من تفريغ سام؛
  • تحقق من DoublePulsar - محاولة الكشف عن الممر الخلفي، ومنافذ الاستماع 445 / TCP و 3389 / TCP.

لمس قليلا كيف يحدد البرنامج حقيقة القرصنة. الميزات النموذجية (مؤشرات التسوية)، والتي تشهد أن الكمبيوتر كان للخطر (أي اختراق)، قد يكون:

  • المظهر الموجود على كمبيوتر الخبيثة (الفيروسات، الخلفيات، والكراه، وما إلى ذلك)، بالإضافة إلى مرافق المتسللين (على سبيل المثال، لدراسة الشبكة، تشغيل نقاط الضعف، البيانات المحاسبية)؛
  • ظهور المديرين التنفيذيين الجدد غير معروفين وغيرها من الملفات، حتى لو لم يتم اكتشافهم بواسطة محرك مكافحة الفيروسات كبرمجيات ضارة؛
  • نشاط شبكة الشذوذ (الاتصال بالمضيفين عن بعد، اكتشاف الاستماع إلى المنافذ بواسطة برامج غير معروفة وغيرها)؛
  • نشاط الشذوذ على أجهزة القرص (I / O) وزيادة استهلاك موارد النظام (وحدة المعالجة المركزية، ذاكرة الوصول العشوائي، المبادلة).

قبل بدء التثبيت، تحتاج إلى ضبط حزم متعددة تعتمد. هذه Colorame (يعطي صفوف التلوين في وحدة التحكم)، PSUTIL (العمليات التحقق من الأداة المساعدة)، وإذا لم تكن مثبتة، حزمة Yara.

لذلك، المضي قدما. التثبيت في (تثبيت حزمة Yara مثبتة مسبقا، والتي تم تثبيتها بالفعل بشكل افتراضي في Kali Linux):

cD Loki /

python2 Loki - الترقية. السنة التحضيرية

python2 loki. Py - H.

التثبيت في أوبونتو / دبيان:

sudo Apt - احصل على تثبيت Yara Python - Yara Python - Pip Python - Setuptools Python - Dev Git

تثبيت Sudo PIP2 - ترقية PIP

sudo Pip2 تثبيت - U Setuptools

sudo pip2 تثبيت psutil netaddr pylzma colorama

جيت استنساخ https: //github.com/neo23x0/loki

cD / الرئيسية / تنزيل / Loki

python2 Loki - الترقية. السنة التحضيرية

python2 loki. Py - H.

التثبيت في Blackarch:

sudo Pacman - S Yara Python2 - Pip Python2 - Yara

sudo pip2 تثبيت psutil netaddr pylzma colorama

جيت استنساخ https: //github.com/neo23x0/loki

cD / الرئيسية / تنزيل / Loki

python2 Loki - الترقية. السنة التحضيرية

python2 loki. Py - H.

مثال على الاستخدام

بعض خيارات بدء التشغيل:

حجج اختيارية:

H، - المساعدة في إظهار رسالة المساعدة هذه والخروج

حماية المعلومات هي مشكلة ذات أولوية لأي عمل تجاري عبر الإنترنت. العدوى الفيروسية والهجمات الخارجية، وكذلك الوصول غير المصرح به إلى المعلومات - كل هذا يستلزم مخاطر مالية ومسائية كبيرة. لذلك، يختار اختيار منصة الخادم، وأصحاب الأعمال مهتمون دائما بدرجة أمن الموارد.
ولتحقق من مدى جودة نظام الحماية، ما إذا كانت لا توجد نقاط ضعف فيها و "الثقوب"، على الأقل مرة واحدة في الشهر، يوصى بإجراء مراجعة أمان الخادم.

ما هو مدرج في مراجعة أمان الخادم

حتى الأمن غير القانوني، والوهلة الأولى، مثل الخادم الخطأ نفسه أو البرامج القديمة يمكن أن تصبح تهديدا للأمن. يساعد التدقيق في تحديد أماكن الحماية الضعيفة وتأخذ تدابير في الوقت المناسب للقضاء عليها قبل حدوث اختلاس الإصابة أو البيانات.
يتحقق مسؤول الخادم البرامج المثبتة، والامتثال له آخر التحديثات، ويقيم إعدادات أمان الخادم وإلغاء الأخطاء إذا كان هناك مثل هذا، وكذلك يحلل أيضا مطابقة إعدادات حقوق الوصول إلى الموظفين أو موارد أخرى.

كيفية قضاء مراجعة خادم الظاهري بأيديك

تحقق من أمان الخوادم على منصات Windows أو Linux يمكن لكل مستخدم، لذلك ليس من الضروري أن يكون لديك معرفة خاصة في البرمجة.
يمكن تقسيم الشيك الأمني \u200b\u200bإلى عدة مراحل:

الوصول المادي

في حالة وجود خادم مخصص، فإن الوصول المادي إلى خادم الطرف الثالث محدود بشكل افتراضي، فهو يوفر مركز بيانات. ولكن يمكن للمستخدم أيضا تثبيت كلمة مرور للوصول إلى BIOS.

جدار الحماية

للتحكم المستمر في البرامج والمنافذ، يتم تكوين جدار حماية Windows بشكل صحيح وتمكينه. بالنسبة إلى Linux، يمكنك استخدام نظام Selinux للتحكم في الوصول. أيضا، يمكننا استئجار الأجهزة Fireroll Cisco ASA أو Fortinet FortiGate 60D.

نظام الملفات

البحث عن تحديثات

تكوين الاستلام التلقائي وتركيب التحديثات على الخادم.

سياسة كلمة المرور

يتطلب تثبيت Windows باستخدام سياسة الأمان المحلية متطلبات كلمات المرور المعقدة ومصطلح عملها، بالإضافة إلى قفل الحساب بعد عدة تفويض غير ناجح أو كلمة مرور فارغة.

السيطرة على سجلات

قم بتضمين تسجيل شرائح البنية التحتية الحرجة وتحقق منها بانتظام.

أمن الشبكة

بالنسبة تجزئة العقد والقنوات الأمنية، يوصى باستخدام VPN و VLAN.
يجب عليك أيضا تغيير الإعدادات القياسية وإعادة توجيه منافذ خدمات معدات الشبكة.
يمكنك استخدام خدمة IPSec لتنشيط حركة المرور. وعرض المنافذ المفتوحة - الأداة المساعدة Netstat.

صلاحية التحكم صلاحية الدخول

حقوق الوصول إلى المستخدمين REMIST في الملفات الحرجة، وفصل الوصول الضيف والمستخدمين بكلمة مرور فارغة. افصل الأدوار والتطبيقات غير المستخدمة على الخادم.

دعم

استخدم خدمة النسخ الاحتياطي للملف، فهي مفيدة وموثوقة. لا تخزن نسخ احتياطية غير مشفرة. إذا قمت بتأجير خادم منا، يمكنك اختيار مكان للنسخ الاحتياطية.

الوصول إلى قواعد البيانات

يجب تخزين قواعد البيانات ذات أهمية شديدة على خوادم SQL مختلفة. تحتاج إلى تكوين الإطلاق نيابة عن المستخدم مع الحد الأدنى من الصلاحيات أو من قائمة بيضاء محددة من عناوين IP.

الدفاع مكافحة الفيروسات

لتشغيل الخادم على Windows، يوصى بتثبيت برنامج مكافحة الفيروسات المحدث تلقائيا عند المستخدمين الذين لديهم مرافق تخزين الشبكة. بالنسبة لنظام التشغيل Linux، لا يتطلب تثبيت مكافحة الفيروسات عرضا للرصد المنتظم لأمن الخادم والتحكم في الوصول غير المصرح به. للقيام بذلك، يمكن أن تكون أداة النمر مفيدة.

مثل هذه التدقيق ستساعد مرة واحدة في الشهر على التحقق من صحة عملية الخادم، والقضاء على نقاط الضعف ومراقبة أمان البنية التحتية للشبكة.

السؤال الأمني \u200b\u200bللبنية التحتية لتكنولوجيا المعلومات هو بأهمية أكبر لأي نوع من الأعمال. سواء كانت مجموعة من الشركات مع شبكة فرعية واسعة النطاق أو متجر عبر الإنترنت مع البائعين 1-2.
لكل خادم، فإن الغرض الرئيسي منه لتوفير استضافة المواقع حادة سؤال ضمان حماية بيانات المستخدم.
تقدم شركتنا خدمة مراجعة أمان الخادم.

تتضمن هذه الخدمة:

- تحليل إصدارات البرنامج المثبتة على الخادم، للامتثال للإصدارات الحالية الحالية خالية من مشكلات السلامة المعروفة. كقاعدة عامة، لخوادم الويب، فإن النسخة الموضعية للبرنامج التالي مهم: خادم البريد، خادم ويب، وخادم الويب التخزين المؤقت (إذا كان موجودا)، ومترجم لغة البرمجة (على المواقع، مثل PHP)، خادم FTP ، تطبيقات الويب (لضمان الوصول المبسطة إلى إعدادات خادم واحد أو آخر)؛
- تحليل إعدادات خادم الويب وإعدادات البرامج المصاحبة للامتثال للمتطلبات الأساسية للأمان؛
- تحليل إعدادات نظام التشغيل. في هذه المرحلة، هناك تحليل النقاط الرئيسية المرتبطة بالفرصة المحتملة لمهاجما لالتقاط السيطرة على الخادم. كقاعدة عامة، يتم إدراج إعدادات خادم SSH، وخيارات تشغيل القرص الثابت؛
- تحليل حقوق الوصول إلى الملفات الأساسية ومجلدات النظام التي تحتوي على معلومات سرية. كقاعدة عامة، في إطار هذا البند، هناك فحص لمجلدات النظام الرئيسية، ملفات لوحة تحكم الخادم، دليل مع النسخ الاحتياطية، حقوق مجلدات المستخدم؛
- على الخادم قيد الشك في أنه يتعرض للخطر، ويمكن استخدامه من قبل المتسللين لجعل الإجراءات الضارة، سيؤدي المتخصصون لدينا إلى التدابير اللازمة لتنظيفها من البرامج الخبيثة، ومنع تكرار هذا الوضع؛

إن أمان خادم Linux مهم للغاية لحماية بياناتك والملكية الفكرية، وكذلك الوقت من أيدي المفرقعات. نظام التشغيل Linux مسؤول عن مسؤول النظام. في هذه المقالة، سننظر في عشرين نوعا ما يجب القيام به باستخدام نظام التشغيل Linux الخاص بك بحيث يكون آمنا دائما وحمايتا بشكل آمن. إذا كان هذا جهاز كمبيوتر منزلي، فبودا عن الأمان، ربما لا معنى له بالقلق كثيرا، فسيكون ذلك كافيا لكلمات مرور موثوقة وإغلاق الوصول إلى المنافذ من الإنترنت. ولكن في حالة خادم عام، يستحق الاهتمام بضمان حمايته.

هذه التعليمات مناسبة لأي توزيع، بغض النظر عن ما تستخدمه في Centos أو Hat Red Hat أو Ubuntu، Debian.

1. تشفير الاتصالات

جميع البيانات المرسلة عبر الشبكة مفتوحة للمراقبة. لذلك، تحتاج إلى تشفير البيانات المرسلة، حيث من الممكن مع كلمات المرور أو المفاتيح أو الشهادات.

استخدم SCP أو SSH أو RSYNC أو SFTP لنقل الملفات. يمكنك أيضا تثبيت نظام ملفات عن بعد إلى دليل منزلك باستخدام أدوات مثل Shhfs.

يتيح لك Gnupg تشفير البيانات الخاصة بك وتسجيلها باستخدام مفتاح شخصي خاص. هناك أيضا وظائف لإدارة المفاتيح والوصول إلى المفاتيح المفتوحة.

Fugu هي أداة رسومية لإرسال الملفات باستخدام بروتوكول SFTP. يشبه SFTP بروتوكول نقل الملفات، ولكن يتم تشفير الجلسة بأكملها هنا. هذا يعني أنه لا يتم إرسال كلمات مرور أو أوامر في النموذج المفتوح. وبالتالي فإن هذه البرامج أقل عرضة للأطراف الثالثة. يمكنك أيضا استخدام FileZilla، وهذا هو عميل FTP عبر منصة مع دعم FTS عبر بروتوكول نقل الملفات SSH / TLS و SSH (SFTP).

OpenVPN - عميل VPN فعال وسهل مع دعم تشفير SSH.

2. حاول ألا تستخدم FTP، Telnet، Rlogin و RSH

في معظم الشبكات وأسماء المستخدمين وكلمات المرور من FTP و Telnet، يمكن اعتراض أوامر RSH من قبل أي شخص من نفس الشبكة باستخدام محلل الحزمة. الحل الشامل لهذه المشكلة هو استخدام Openssh أو SFTP أو SFTP، مما يضيف SSL أو TLS إلى FTP المعتاد. قم بإجراء هذا الأمر لإزالة NIS و RSH وغيرها من الخدمات التي عفا عليها الزمن:

يمحو YUM INETD XINETD YPSERV TFTP-Server Telnet-Server RSH - خدمة

3. تقليل عدد البرامج

هل تحتاج حقا إلى جميع خدمات الويب المثبتة؟ يجب عدم تثبيت برنامج غير ضروري لتجنب نقاط الضعف في هذه البرامج. استخدم مدير الدفعات الخاص بك لمشاهدة البرامج المثبتة وحذف الكل غير ضروري:

قائمة YUM المثبتة
حزمة قائمة $ YUM
$ يم إزالة الحزمة

dPKG - القائمة.
حزمة DPKG - bpkg
$ apt- احصل على إزالة الحزمة

4. آلة واحدة - خدمة واحدة

قم بتشغيل خدمات مختلفة على خوادم منفصلة أو آلات افتراضية. هذا يحد من عدد الخدمات التي يمكن أن تتعرض للخطر. على سبيل المثال، إذا كان يمكن للمهاجم أن يختار اباتشي، فسيتم الوصول إلى الخادم بأكمله. بما في ذلك خدمات مثل MySQL، خادم البريد الإلكتروني وهلم جرا. يمكنك استخدام هذا البرنامج مثل Xen أو OpenVZ للمحاكاة الافتراضية.

5. الحفاظ على نواة لينكس وحتى الآن

يعد استخدام بقع الأمان جزءا مهما جدا من أمان خادم Linux. يوفر نظام التشغيل جميع الأدوات للحفاظ على النظام محدثا وتحديثات الإصدارات الجديدة. يجب تطبيق جميع التحديثات الأمنية في أقرب وقت ممكن. هنا تحتاج أيضا إلى استخدام مدير الحزمة الخاص بك. على سبيل المثال:

أو بالنسبة للنظم القائمة على دبيان:

تحديث Sudo Apt && Sudo Apt

يمكنك تكوين القبعة الحمراء أو Fedora لإرسال الإشعارات إليك للبريد الإلكتروني حول توفر تحديثات الأمان الجديدة. يمكنك أيضا تكوين التحديث التلقائي عبر Cron، أو يمكنك استخدام AptCron في Debian لإعلام الحاجة إلى تحديث النظام.

6. استخدام ملحقات الأمن في لينكس

يأتي نظام التشغيل Linux مع بقع مختلفة من الأمان التي يمكن استخدامها للحماية من التكوين غير الصحيح أو البرامج الضارة. ولكن يمكنك أيضا استخدام مثل هذه الأنظمة الإضافية للتحكم في الوصول للتطبيقات مثل Selinux أو Apparmor.

يوفر Selinux سياسات أمان مختلفة لنواة Linux. من الممكن التحكم في الوصول إلى أي موارد نظام باستخدام الأدوار. فقط البرنامج، يمكن للدور الذي يسمح لك بذلك وحتى قاعدة Superuser يمكن الوصول إليها. Selinux زيادة بكثير نظام أمان Linux، حيث أن الجذر هنا يعتبر المستخدم المعتاد. اقرأ المزيد عن الموصوف في مقال منفصل.

7. حسابات المستخدمين وكلمات المرور الموثوقة

استخدم أوامر UserADD و Usermod لإنشاء وحفظ حسابات المستخدمين. تأكد من أن لديك كلمة مرور جيدة وقوية، يجب أن تحتوي على ثمانية أحرف على الأقل، ويفضل أن تكون في سجل مختلف، من بينها يجب العثور على أحرف أو أرقام خاصة. على سبيل المثال، 8 أحرف، منها سبعة أحرف وحرف واحد أو رقم واحد. استخدم أدوات مثل John The Ripper للعثور على كلمات مرور مستخدم ضعيفة على الخادم، بالإضافة إلى تكوين pam_cracklib.so لضمان امتثال سياسة كلمة المرور.

8. تغيير كلمات المرور من وقت لآخر.

يتيح لك الأمر التغيير تحديد عدد الأيام قبل تغيير كلمة المرور القسرية. يتم استخدام هذه المعلومات من قبل النظام لتحديد اللحظة التي يجب على المستخدم تغييرها. هذه الإعدادات موجودة في /etc/login.defs. لتعطيل الشيخوخة كلمة المرور، أدخل الأمر التالي:

تغيير -l user_name.

للحصول على معلومات حول العمر الافتراضي لكلمة المرور، أدخل الأمر:

يمكنك أيضا تكوين كل شيء يدويا في ملف / إلخ / ظل:

(المستخدم): (كلمة المرور): (الاختيار الأخير):(MAVICTALD_DAIN): (الحد الأدنى_DNEY): (تحذير):(إلغاء تنشيط):(صف):

  • الحد الأدنى اليوم - الفاصل الدنيا بين تغييرات كلمة المرور، أي كم يمكن للمستخدم تغيير كلمة المرور.
  • أقصى أيام - كم يوما ستكون كلمة المرور مناسبة، بعد هذه الفترة، سيتم إجبار المستخدم على تغيير كلمة المرور.
  • تحذير - عدد الأيام التي سيتم بها حذر المستخدم من أنه يحتاج إلى تغيير كلمة المرور.
  • صف) - عدد الأيام من 1 يناير 1970 عندما يتم تعطيل الحساب بالكامل.

chage -M 60 -M 7 -W 7 اسم المستخدم

من المستحسن أيضا حظر المستخدمين استخدام كلمات المرور القديمة، وإلا سيتم تخفيض جميع الجهود التي تبذلها محاولات لجعلها تغيير كلمات المرور قسرا إلى الصفر.

9. حظر الحسابات بعد محاولات الإدخال غير الناجح

في نظام التشغيل Linux، يمكنك استخدام أمر FAILLOG لعرض محاولات غير ناجحة لإدخال المستخدمين. أيضا مع ذلك، يمكنك ضبط حد محاولات الإدخال غير الناجح. يتم تخزين جميع المعلومات حول محاولات الإدخال غير الناجح في ملف / var / log / faillog. لمشاهدته

ولتعيين حد محاولة التسجيل لحساب معين، استخدم:

fAILLOG -R -U المستخدم

يمكنك أيضا حظر الحسابات أو فتحها يدويا باستخدام أمر PASSWD. لمنع الاستخدام:

passwd -l المستخدم.

وفتح:

passwd -u المستخدم.

من المرغوب فيه أيضا التحقق مما إذا كانت هناك حسابات في النظام مع كلمات مرور فارغة. للقيام بذلك، اتبع:

aWK -F: "($ 2 \u003d\u003d" ") (طباعة)" / إلخ / الظل

تحقق أيضا من عدم وجود مستخدمين مع مجموعة أو معرف 0. يجب أن يكون هذا المستخدم واحد فقط، وهذا جذر. يمكنك التحقق من هذا الأمر:

aWK -F: "($ 3 \u003d\u003d" 0 ") (طباعة)" / إلخ / Passwd

يجب أن يكون هناك سطر واحد فقط:

الجذر: X: 0: 0: الجذر: / الجذر: / بن / باش

إذا كان هناك آخرون - أزلهم. المستخدمين، وخاصة كلمات المرور ضعيفة - واحدة من أكثر الأشياء ضعفا يمكن أن تكسر السلامة في لينكس.

10. افصل المدخلات للمخطأ

لحفظ نظام أمان Linux لا يستخدم أبدا تسجيل الدخول في جذر المستخدم. يمكنك استخدام SUDO للحصول على السلطة اللازمة وتشغيل الأمر المرغوب نيابة عن المشرق. يتيح هذا الأمر عدم الكشف عن كلمة مرور Superuser إلى مدراء آخر، كما يحتوي على أدوات المراقبة والقيود وتتبع الإجراءات.

11. خادم السلامة المادية

يجب أن يتضمن أمان خادم Linux الأمن المادي. يجب أن تحد من الوصول المادي إلى وحدة تحكم الخادم. تكوين BIOS بحيث لا يتم دعم الحمل من الوسائط الخارجية، مثل DVD، CD، USB. قم أيضا بتثبيت كلمة مرور BIOS و Grub Bootloader لحماية معلماتها.

12. تعطيل الخدمات غير الضرورية

تعطيل جميع الخدمات وغير المستخدمة والشياطين. أيضا، لا تنسى إزالة هذه الخدمات من التلقيح التلقائي. يمكنك مشاهدة قائمة بجميع الخدمات النشطة في أنظمة HET RED مع فريق:

chkconfig - قائمة |. Grep "3: on"

لإيقاف الخدمة، استخدم:

خدمة وقف الخدمة
$ chkconfig الخدمة

ابحث عن جميع المنافذ المفتوحة:

يمكن القيام بذلك باستخدام ماسح ضوئي NMAP:

nMAP -ST -O LocalHost

استخدم iPtables لإغلاق جميع المنافذ التي لا يجب أن تكون متاحة من الشبكة. أو إيقاف الخدمات غير الضرورية كما هو موضح أعلاه.

13. إزالة خادم X

X Server على كمبيوتر الخادم - الشيء اختياري تماما. لا تحتاج إلى تشغيل بيئة رسمية على Apache أو خادم البريد الإلكتروني المحدد. حذف هذا البرنامج لزيادة السلامة والأداء.

14. تكوين iptables.

iPTables هو برنامج للمساحة للمستخدم لتكوين البرامج الثابتة NetFilter. يسمح لك بتصفية جميع حركة المرور والسماح لأنواع معينة فقط من حركة المرور. استخدم أيضا TCPWrappers - نظام ACL لتصفية الوصول إلى الإنترنت. يمكنك منع العديد من أنواع الهجمات DOS باستخدام iPtables. أمان الشبكة في Linux هو نقطة مهمة للغاية للأمن العام للنظام.

15. ضبط النواة

في ملف /etc/sysctl.conf، يتم تخزين إعدادات kernel، والتي يتم تحميلها واستخدامها أثناء بدء تشغيل النظام.

تمكين Execshshield Scakfer تجاوز:

kernel.exec-shield \u003d 1
kernel.randomize_va_space \u003d 1.

تمكين حماية IP متابعة:

net.ipv4.conf.all.rp_filter \u003d 1.

تعطيل إعادة توجيه عنوان IP:

net.ipv4.conf.all.accept_source_route \u003d 0.

تتجاهل طلبات البث:

net.ipv4.icmp_echo_ignoreore_broadcasts \u003d 1.
net.ipv4.icmp_ignore_bogus_error_messages \u003d 1.

loggy جميع الحزم وهمية:

net.ipv4.conf.all.log_martians \u003d 1.

16. حرك القرص الثابت إلى الأقسام

إن فصل القرص الثابت إلى الأقسام اعتمادا على وجهة الملفات يحسن أمان نظام التشغيل Linux. يوصى بإجراء أقسام فردية لهذه الدلائل:

  • / منزل، بيت.
  • / فار و / var / tmp

اجعل أقسام منفصلة لدليل الجذر من خوادم Apache و FTP. افتح ملف / ETC / FSAB ووضع خيارات خاصة للأقسام المطلوبة:

  • noExec. - لا تفي بأي برامج أو ملفات قابلة للتنفيذ على هذا القسم، يسمح فقط البرامج النصية.
  • العدف - لا تحل الأجهزة الرمزية أو الخاصة على هذا القسم.
  • nosuid. - لا تسمح بوصول SUID / SGID إلى البرامج من هذا القسم.

17. استخدم حد مساحة القرص

حد مساحة القرص المتاحة للمستخدمين. للقيام بذلك، قم بإنشاء حصة قرص في / etc / fstab، وإعادة تحميل أنظمة الملفات وإنشاء قاعدة بيانات حصة القرص. هذا سيزيد من الأمن في لينكس.

18. تعطيل IPv6.

ستحل بروتوكول الإنترنت IPv6 Internet يستبدل IPv4 المستخدمة بالفعل في المستقبل. ولكن في الوقت الحالي، لا توجد أدوات تتيح لك التحقق من أمان الشبكة بناء على IPv6. تتيح العديد من توزيعات Linux بروتوكول IPv6 الافتراضي. يمكن للمتسللين إرسال حركة المرور والمسؤولين غير المرغوب فيها لن يتمكنوا من تتبع ذلك. لذلك إذا كانت هذه الخدمة لا تحتاج إلى إيقاف تشغيلها.

19. تعطيل ثنائيات SUID و SGID غير المستخدمة

جميع الملفات القابلة للتنفيذ التي يتم تشغيل علم SUID أو SGID على ما يحتمل أن تكون خطرة. هذه العلامة تعني أن البرنامج سيتم تنفيذه بحقوق الخارق. وهذا يعني أنه إذا كان هناك بعض الضعف أو الأخطاء في البرنامج، فإن المستخدم المحلي أو البعيد يمكنه استخدام هذا الملف. ابحث عن كل هذه الملفات باستخدام الأمر التالي:

البحث / -perm +4000

ابحث عن الملفات مع مجموعة علم SGID:

البحث / -perm +2000

أو الجمع بين كل هذا في نفس الأمر:

find / \\ (- PERM -4000 -O -O -PPERM -2000 \\) -Print
$ Find / -Path -Prune -O -Type F -Perm +6000 -ls

سيتعين عليك الدراسة بالتفصيل كل ملف تم العثور عليه لفهم مقدار مطلوب الملف.

20. الملفات العامة

ومن المستحسن أيضا العثور على الملفات التي يمكن أن تغير جميع المستخدمين في النظام. للقيام بذلك، استخدم الأمر التالي:

find / dirxdev -type d \\ (- perm -0002 -a! -perm -1000 \\) -

تحتاج الآن إلى التحقق مما إذا كانت الحقوق محددة بشكل صحيح للمجموعة ومالك كل ملف ولا يتحمل التهديدات الأمنية.

من المستحسن أيضا العثور على جميع الملفات التي لا تنتمي إلى أي شخص:

find / dir -xdev \\ (- نوش - -O -GOUP \\) -Print

21. استخدم نظام المصادقة المركزية

بدون نظام مصادقة مركزية، تصبح بيانات المستخدم متناقضة، والتي يمكن أن تؤدي إلى بيانات اعتماد قديمة، ونسيان الحسابات التي كان يجب إزالتها منذ فترة طويلة. ستتيح لك الخدمة المركزية الحفاظ على التحكم في بيانات بيانات الحسابات والمصادقة على أنظمة Linux و UNIX المختلفة. يمكنك مزامنة بيانات المصادقة بين الخوادم. ولكن لا تستخدم خدمة NIS، فمن الأفضل أن ننظر نحو تفتح DAP.

أحد التطبيقات المثيرة للاهتمام لهذا النظام هو Kerberos. يسمح لك بمصادقة المستخدمين الذين يستخدمون مفتاح سري، في الشبكات حيث يمكن اعتراض الحزم وتعديلها. يستخدم Kerberos مفتاحا متماثلا لتشفير البيانات ويتطلب مركز إدارة رئيسي لعمله. يمكنك تكوين تسجيل الدخول عن بعد، والنسخ عن بعد، ونسخ الملفات الآمنة بين الأنظمة والمهام الأخرى، مع مستوى عال من الأمان.

22. قطع الأشجار والتدقيق

تكوين التسجيل والمراجعة لجمع والحفاظ على جميع محاولات الإدخال غير الناجحة ومحاولات القرصنة. بشكل افتراضي، جميع السجلات أو على الأقل معظمها موجودة في / var / log / المجلد. اقرأ المزيد عن ما يقولون بعضهم، تحدثنا في مقال منفصل.

يمكنك مشاهدة سجلات باستخدام هذه الأدوات المساعدة كجلود أو تسجيل الدخول. إنهم يبسطون إلى حد كبير سجلات القراءة. يمكنك عرض الملف بأكمله، ولكن فقط الأحداث التي تهتم بها، بالإضافة إلى إرسال إشعار بنفسك لعنوان البريد الإلكتروني.

شاهد النظام باستخدام خدمة Auditd. يكتب البرنامج على القرص كل أحداث التدقيق الذي تهتم به. يتم تخزين جميع إعدادات التدقيق في ملف /etc/Audit.rules عند بدء تشغيل الخدمة، اقرأ الخدمة جميع القواعد من هذا الملف. يمكنك فتحه وتكوين كل شيء تحتاجه أو استخدام أداة مساعدة منفصلة - AuditCTL. يمكنك تكوين مثل هذه اللحظات:

  • بدء النظام وإيقاف الأحداث
  • تاريخ ووقت الأحداث
  • أحداث مخصصة (على سبيل المثال، الوصول إلى ملف معين)
  • نوع الحدث (التحرير، الوصول، حذف، التسجيل، التحديث، إلخ)
  • حظا سعيدا أو الفشل عند تنفيذ حدث
  • سجل إعدادات الأحداث تغيير الإعدادات
  • سجل التغييرات للمستخدمين والمجموعات
  • تغيير ملف المراقبة

23. حماية خادم openssh

السماح فقط باستخدام البروتوكول 2:

تعطيل تسجيل الدخول نيابة عن Superuser:

24. تثبيت معرفات

يحاول نظام المعرفات أو نظام الكشف عن التسلل اكتشاف النشاط الضار المشبوه، مثل هجوم DOS، أو مسح المنافذ أو حتى محاولات اختراق الكمبيوتر عن طريق مراقبة حركة مرور الشبكة.

ممارسة جيدة - نشر مثل هذا البرنامج، قبل أن يصبح النظام متاحا من الإنترنت. يمكنك ضبط المساعد، فهو اختبأ (المعرفات القائمة على المضيف) والتي يمكنها التحكم في جميع جوانب الجهاز الداخلي لنظامك.

Snort هو البرنامج للكشف عن محاولات التسلل من الشبكة. إنه قادر على أداء وحزم التسجيل وتحليل حركة مرور الشبكة في الوقت الفعلي.

25. حماية الملفات والدلائل الخاصة بك.

يحتوي Linux على وسيلة ممتازة للحماية ضد الوصول غير المصرح به إلى الملفات. ومع ذلك، لا تعني الأذونات التي تم تعيينها بواسطة Linux ونظام الملفات أي شيء عندما يكون لدى المهاجم الوصول الفعلي إلى الكمبيوتر ويمكنه ببساطة توصيل القرص الصلب للكمبيوتر بنظام آخر لنسخ بياناتك. ولكن يمكنك بسهولة حماية ملفاتك باستخدام التشفير:

  • استخدم GPG لتنفير وفك تشفير ملف الملف
  • يمكنك أيضا حماية الملفات باستخدام Openssl
  • يتم تنفيذ تشفير الكتالوج باستخدام Ecryptfs
  • TrueCrypt - أداة مجانية لأقراص التشفير في Windows و Linux

الاستنتاجات

الآن سيتم توسيع أمان Linux على جهاز الكمبيوتر الخاص بك كثيرا. لا تنسى وضع كلمات مرور معقدة ومن وقت لآخر. اكتب الأداة المفضلة لديك في التعليقات لضمان أمان النظام.