Menu
Jest wolny
Zameldować się
główny  /  Problemy / Audyt dostęp do plików Linux. Jak prowadzić audyt bezpieczeństwa serwera i nie martw się o wyciek danych

Audyt dostęp do plików Linux. Jak prowadzić audyt bezpieczeństwa serwera i nie martw się o wyciek danych

W dzisiejszym artykule przedstawimy Cię najlepsze narzędzia audytu bezpieczeństwa Linuksa lub jak mówi nasze angielskojęzyczne koledzy - Hartowanie Linuksa.. Tak więc tematem artykułu sprawdzającego poziom bezpieczeństwa systemów Linux i oceny konfiguracji poprawności z punktu widzenia bezpieczeństwa informacji. Oczywiście, nie tylko dokonujemy przeglądu programów, ale także podaj przykłady ich użycia.

Bezpieczeństwo Audyt Linux Własna siła

Przed administratorami systemu, a jeszcze bardziej przed baworami bezpieczeństwa informacji, zadania często pojawiają się, aby sprawdzić chronioną liczbę gospodarzy w bardzo krótkim czasie. Oczywiście, aby rozwiązać te zadania w segmencie przedsiębiorstwa, na przykład specjalistyczne narzędzia, na przykład takie jak. Jestem przekonany, że wszystkie z nich - z silnika Openvas OpenVAS do produktów komercyjnych, takich jak Nessus lub Nexpospe, są znane naszym czytnikowi. Ale to oprogramowanie jest zwykle używane do wyszukiwania nieaktualnego i zatem wrażliwego oprogramowania, a następnie uruchomienie zarządzania poprawek. Ponadto nie wszystkie skanery bezpieczeństwa uwzględniają pewne konkretne cechy wbudowanego mechanizmów ochrony Linux OS i innych produktów open source. Cóż, zwłaszcza wartość jest ceną pytania, ponieważ płatne produkty mogą sobie pozwolić tylko spółki, które przydzielają niektóre budżety w ramach tego biznesu.

Dlatego będzie to wyspecjalizowany zestaw wolnych narzędzi, które mogą zdiagnozować obecny poziom poziomów bezpieczeństwa systemu, oceniać potencjalne ryzyko, na przykład "niepotrzebne usługi", które są online, lub niebezpieczne domyślne konfiguracja, aw niektórych przypadkach, aby zaproponować opcje do korygowania problemów znalezionych przez problemy z kontrolą. Kolejną zaletą przy użyciu tych narzędzi jest móc replikować typowe farme sprawdzać skrypty z dowolnej liczby systemów Linux i utworzyć udokumentowaną bazę danych testów w postaci dzienników i poszczególnych raportów.

Praktyczne aspekty audytu bezpieczeństwa Linux

Jeśli spojrzysz oczami audytora, podejście do testowania można podzielić na dwa typy.

Pierwszy - Jest to zgodność z tak zwanymi wymaganiami zgodności, jest tutaj sprawdzana, aby obecność obowiązkowych elementów obrony określonej w dowolnej standardzie międzynarodowej lub "najlepszej praktyce". Klasyczny przykład - Wymagania PCI DSS dotyczące płatności Systemy IT, SOx404, serii NIST-800 ,.

druga - Jest to czysto racjonalne podejście oparte na pytaniu "Co jeszcze mogę zrobić, aby wzmocnić bezpieczeństwo?". Nie ma obowiązkowych wymagań - tylko twoja wiedza, jasna głowa i umiejętne ręce. Na przykład jest to aktualizacja wersji jądra i / lub pakietów aplikacji, włączenia, SELINUX Forcing, ustawienie Iptables Fivevolt.

Wszystko, co odnosi się do drugiego podejścia, jest zwyczajowo nazwać specjalny termin. Hartowanie Linux.Co jeszcze można zdefiniować jako "działania mające na celu wzmocnienie poziomu chronionego systemu OS (lub CO) głównie przez pracowników."

Zgodność z wymogami zgodności, z reguły, sprawdź przy przygotowywaniu się do przejścia obowiązkowego audytu PCI DSS lub innego audytu certyfikacji. Zwrócimy większą uwagę na komponent hartowania. Wszyscy główni dostawcy oferują swoje produkty. Wytyczne utwardzające. - Wytyczne zawierające porady i zalecenia, jak wzmocnić bezpieczeństwo, biorąc pod uwagę regularne mechanizmy bezpieczeństwa i specyfikę oprogramowania. Podobnie, podobne przewodniki mają czerwony kapelusz, Debian, Oracle, Cisco.

Hartowanie jest terminem od świata bezpieczeństwa informacji, które oznacza proces bezpieczeństwa systemu (program), zmniejszając jego podatność i, z reguły, przy użyciu wyłącznie regularnych narzędzi lub mechanizmów ochrony.

Nawiasem mówiąc, kiedykolwiek mieliśmy już artykuł o konfigurowaniu opcji utwardzania, ale w tym artykule dotyczyło ustawienia. Najpierw sprawdzamy nasz system za pomocą wyspecjalizowanych mediów, czyli, będziemy przeprowadzić audyt bezpieczeństwa, oszacujemy obecny poziom ochrony, a następnie uruchomić tam opcję zabezpieczeń, jeśli istnieje potrzeba. Cóż, lub jako opcja: Jeśli serwer jest już skonfigurowany z punktu widzenia bezpieczeństwa, nasze narzędzia będą mogły je sprawdzić i mogą sugerować, że nadal możesz to zrobić.

Narzędzia audytu bezpieczeństwa Linux

Lynis - badania utwardzania systemu Audytu

Instalacja na MacOS:

Inicjalizacja testów
Wyniki testu z narzędzia systemowego i grupy Boot & Services
Wyniki testów z grupy Audytu jądra i pamięci i procesu
Wyniki testu z grupy użytkowników i grupy i grupy uwierzytelniającej

Audyt jest zawsze przydatny do sprawdzenia, czy dostępna jest nowa wersja Lynis:

Jeśli chcesz umieścić nazwę audytora, uruchomienie testowania, po prostu dodaj parametr -Auditor :

sudo Lynis Audyt System - C - Audytor Daddy

Na każdym etapie audytu bezpieczeństwa Linuksa proces weryfikacji może być kontynuowany (ENTER) lub przymusowy zakończony (Ctrl + C). Wyniki przeprowadzonych testów zostaną zapisane w Lynis Logowanie w katalogu /var/log/lynis.log. Zauważ, że plik dziennika zostanie nadpisany za każdym razem, gdy narzędzie jest następne uruchomienie.

Do testowania na bieżąco, w trybie automatycznym, możesz przypisać odpowiednie zadanie w harmonogramie CRON za pomocą klawisza -Cronjob. W tym przypadku Lynis uruchomi się na określonym szablonie (Config) i nie wyświetli żadnych interaktywnych niepotrzebnych wiadomości, pytań i ostrzeżeń. Wszystkie wyniki zostaną zapisane w dzienniku. Na przykład tutaj jest narzędzie skryptu startowego z ustawieniami domyślnymi raz w miesiącu:

#! / bin / sh

Audytor \u003d "Zautomatyzowany"

Data \u003d $ (data +% y% m% d)

Host \u003d $ (nazwa hosta)

Log_dir \u003d "/ var / log / lynis"

Raport \u003d "$ log_dir / raport - $ (host). $ (Data) "

Data \u003d "$ Log_dir / Report - Data - $ (Host). $ (Data). TEKST "

cD / USR / LOKALNY / LYNIS

. / Lynis - C -Auditor "$ (audytor" "-Cronjob\u003e $ (raport)

mV / VAR / LOG / LYNIS - Raport. DAT $ (DATA)

# Koniec.

Zapisz ten skrypt do katalogu /etc/cron.monthly/lynis. I nie zapomnij dodawać ścieżek, aby zapisać dzienniki (/ usr / Local / Lynis i / Var / Log / Lynis), w przeciwnym razie nieprawidłowa praca.

Możesz zobaczyć listę wszystkich poleceń dostępnych do połączenia:

Krótkie instrukcje pracy z użytecznością:

człowiek lynis.

Opcje dla możliwych statusów na wynikach kontroli są ograniczone do następującej listy: Żaden, słaby, zrobiony, znaleziony, nie_found, ok, ostrzeżenie.


Przykład statusu wyjścia
Uruchamianie poszczególnych testów w Lynis

W praktyce konieczne jest przeprowadzenie tylko niektórych konkretnych testów. Na przykład, jeśli serwer wykonuje tylko serwer pocztowy lub funkcje Apache. Aby to zrobić, możemy użyć parametru -tests. Składnia polecenia wygląda tak:

Ponadto funkcjonalność Lynis rozszerza różne dodatki, które mogą być dodawane niezależnie, a można umieścić nowy w istniejącym katalogu.

Wszystkie ostrzeżenia (ostrzeżenia) będą wymienione po wyników. Każdy zaczyna się od tekstu ostrzeżenia, następnie obok wsporników wskazują test, który go wygenerował. Poniższa linia oferuje rozwiązanie problemu, jeśli jest oczywiście istnieje. W rzeczywistości ostatnia linia jest adresem URL, dla którego można wyświetlić szczegóły i znaleźć dodatkowe zalecenia, jak wyeliminować problem.


Zawarcie zaleceń, jak wyeliminować znalezione problemy

Profile

Profile, że kontrola kontroli są zdefiniowane w plikach z rozszerzeniem .prf znajduje się w katalogu / etc / Lynis. Domyślny profil nazywa się przewidywalnie domyślnie.prf. Deweloperzy nie zaleca się edycji go bezpośrednio: Wszelkie zmiany, które chcesz wprowadzić do audytu, lepiej dodać do pliku Custom.prf, znajduje się w tym samym katalogu.

Utwórz i edytuj profil niestandardowy:

dotknij / etc / Lynis / Custom. prf.

sudo nano / etc / lynis / zwyczaj. prf.

W tym pliku możesz zdefiniować listę testów, które należy wykluczyć z audytu Lynis. Na przykład:

  • Plik-6310: Sprawdzanie sekcji;
  • HTTP-6622: Test instalacyjny Nginx;
  • HTTP-6702: Test instalacji Apache.

Aby wykluczyć jakiś konkretny test, użyj dyrektywy pomijającej i określić identyfikator testowy. Na przykład:

# Jest zainstalowany Nginx?

pomiń - Test \u003d http - 6622

# Jest zainstalowany apache?

skip - Test \u003d http - 6702

Ocena stan utwardzania

Zgodnie z wynikami wykonania wszystkich testów na końcu każdego wyjścia narzędzia audytu (tuż poniżej sekcji propozycji) znajdziesz sekcję, która będzie wyglądać taka:

Szczegóły skanowania zabezpieczeń Lynis:

Indeks hartowania: 57 [############ .........]

Testy Wykonawcy: 216

Wtyczki włączone: 0

Streszczenie stan hartowania

Ten wynik, wyrażony przez numer, pokazuje liczbę minionych testów i indeks bezpieczeństwa systemu, to jest indeks hartowania - Ostateczny numer, przez który Lynis daje ocenę ogólnego poziomu zabezpieczeń serwera. I bardzo ważne jest, aby nie zapominać, że wskaźnik bezpieczeństwa różni się w zależności od liczby skorygowanych ostrzeżeń i wykonanych zaleceń Lynis. Dlatego, po poprawkach znalezionych problemów ponowna kontrola bezpieczeństwa może pokazać zupełnie inną liczbę!

Wszystkie manipulacje z systemem w trybie superużytkownika wymagają bliskiej uwagi i zwiększonej odpowiedzialności. Wykonaj tylko działania, które są świadome, których są pewni siebie. Nie zapomnij dokonywać kopii zapasowych i migawek.

Lunar - narzędzie do kontroli bezpieczeństwa UNIX

Przykłady uruchamiania poleceń z CLI:


Wyświetl wszystkie opcje uruchamiania Launar

Uruchamianie Księżycowego trybu Bezpieczeństwa bez zmian w systemie:

Wyliczanie testowe:

Zacznij w trybie Fix, tj. zmiany w systemie:

Przykład testów początkowych dla serwera WWW Apache

Audytor NIX - Audyt CIS ułatwił

Audytor NIX jest kolejnym skryptem, aby sprawdzić, czy bezpieczeństwo systemów Linux jest wymaganiami wskaźnika CIS. Koncentruje się na dystrybucjach RHEL, Centos i innych obr./min.

Deweloperzy deklarują takie zalety audytora NIX:

  • prędkość skanowania - Aby przeprowadzić podstawową kontrolę systemu operacyjnego, możesz mniej niż 120 sekund i natychmiast otrzymać raport;
  • sprawdzanie dokładności - Praca audytora NIX jest sprawdzana w różnych wersjach rozkładów centosów i czerwonego kapelusza;
  • konfigurowalność - Źródła z dokumentacją programu leżą na Github, więc kod jest łatwo skonfigurowany zgodnie z typem systemu operacyjnego i zestawu elementów systemu, które muszą być sprawdzone;
  • Łatwe użycie - Wystarczy wykonać wykonywalne skrypt początkowy i jest już gotowy do sprawdzenia.

Przykład wykonania poleceń do pobierania narzędzia z magazynem Githuba i kolejnym rozpoczęciem skryptu:

git Clone HTTPS: //Github.com/xalfie/nix-auditor.git.

cD NIX - Audytor

chmod + x nixauditor

. / Nixauditor.

Przykład danych wyjściowych po uruchomieniu audytora NIX

Loki - prosty skaner odpowiedzi IOCA i incydent

Narzędzie Loki nie jest całkowicie klasycznym narzędziem prowadzenia audytu Linuksa, ale jest to świetne do znalezienia śladów hakowania, co jest, ale częściowo można przypisać praktyce audytu.

Według programistów, takie funkcje dają nam Loki - proste skaner odpowiedzi IOC i incydent:

I. Cztery sposoby zidentyfikowania hakowania:

  • nazwy plików (zgodność z regularnym wyrazem pełnej ścieżki plików);
  • sprawdzanie zgodnie z zasadami Yara (poszukiwanie zgodności z podpisami Yara w treści pamięci plików i procesów);
  • sprawdź i analiza mgły (porównywanie zeskanowanych plików za pomocą Hash (MD5, Sha-1, Sha-256) znane złośliwe pliki);
  • sprawdzanie sprzężenia zwrotnego C2 (porównuje końcowe punkty połączenia technologicznego z C2 IOC).

II. Dodatkowe czeki:

  • sprawdzanie systemu plików reginów (ponad -Reginffs);
  • sprawdzanie anomalii procesów systemowych i użytkowników;
  • skanowanie rozpakowane SWF;
  • weryfikacja wysypiska Sam;
  • sprawdź DoublePulsar - próba ujawnienia backdoor, porty słuchania 445 / TCP i 3389 / TCP.

Nieco dotykaj, w jaki sposób program określa fakt hakowania. Typowe cechy (wskaźniki kompromisu), zeznawanie, że komputer został zagrożony (to jest hacked), może być:

  • wygląd na komputerze złośliwych (wirusów, backdorów, kryptorów itd.), a także narzędzia hakerskie (na przykład, aby zbadać sieć, działanie luk, dane księgowe);
  • pojawienie się nieznanych nowych dyrektorów i innych plików, nawet jeśli nie są wykrywane przez silnik antywirusowy jako kod złośliwego oprogramowania;
  • anomalna aktywność sieci (połączenie z zdalnymi gospodarzami, odkrycie do słuchania portów przez nieznane programy i inne);
  • anomalna aktywność na urządzeniach (I / O) i zwiększenie zużycia zasobów systemu (CPU, RAM, swap).

Przed rozpoczęciem instalacji musisz dostosować wiele pakietów zależnych. Ta kolorama (daje rzędy kolorystyczne w konsoli), Psutil (Process Checkument Utility) i, jeśli jeszcze nie jest zainstalowany, pakiet Yara.

Więc postępuj. Instalacja w (wstępnie zainstalowany pakiet Yara, który jest już zainstalowany domyślnie w KALI Linux):

cD Loki /

python2 Loki - aktualizacja. Py.

python2 Loki. PY - H.

Instalacja w Ubuntu / Debianie:

sudo apt - Uzyskaj instalację Yara Python - Yara Python - Pip Python - Setuptools Python - Dev Git

sudo Pip2 Install - Upgrade Pip

sudo Pip2 Install - U Ustawienia

sudo Pip2 Zainstaluj Psutil Netaddr Pylzma Colorama

git Clone HTTPS: //Github.com/neo23x0/loki

cD / Home / Pobierz / Loki

python2 Loki - aktualizacja. Py.

python2 Loki. PY - H.

Instalacja w Blackarch:

sudo pacman - S Yara Python2 - Pip Python2 - Yara

sudo Pip2 Zainstaluj Psutil Netaddr Pylzma Colorama

git Clone HTTPS: //Github.com/neo23x0/loki

cD / Home / Pobierz / Loki

python2 Loki - aktualizacja. Py.

python2 Loki. PY - H.

Przykład użycia

Niektóre opcje uruchamiania:

opcjonalne argumenty:

H, - Pomóż pokazać tę wiadomość pomocy i wyjść

Ochrona informacji jest kwestią priorytetowej dla każdego biznesu online. Infekcje wirusowe i ataki zewnętrzne, a także nieautoryzowany dostęp do informacji - wszystko to pociąga za sobą duże ryzyko finansowe i reputacyjne. Dlatego wybór platformy serwerowej, właściciele firm zawsze interesują się stopniem bezpieczeństwa zasobów.
I sprawdzić, jak dobrze działa system ochrony, czy nie ma w nim luki, a "otwory", co najmniej raz w miesiącu zaleca się prowadzenie audytu bezpieczeństwa serwera.

Co jest zawarte w audycie Security Server

Nawet nieznaczne bezpieczeństwo, na pierwszy rzut oka, takie jak niewłaściwy sam serwer lub przestarzały oprogramowanie może stać się zagrożeniem dla bezpieczeństwa. Audyt pomaga zidentyfikować słabe miejsca ochrony i podejmowanie terminowych środków w celu wyeliminowania ich przed wystąpieniem infekcji lub defraudacji danych.
Administrator serwera sprawdza zainstalowane oprogramowanie, jego zgodność z najnowszymi aktualizacjami, ocenia ustawienia zabezpieczeń serwera i eliminuje błędy, jeśli są takie, a także analizuje zgodność ustawień praw dostępu do pracowników do jednego lub innych zasobów.

Jak spędzić audyt wirtualnego serwera z własnymi rękami

Sprawdź bezpieczeństwo serwerów na platformach Windows lub Linux, może każdy użytkownik, ponieważ nie jest to konieczne, aby mieć specjalną wiedzę w programowaniu.
Kontrola bezpieczeństwa może być podzielona na kilka etapów:

Fizyczny dostęp

W przypadku serwera dedykowanego, fizyczny dostęp do serwera trzecich jest domyślnie ograniczony, zapewnia centrum danych. Ale użytkownik może dodatkowo zainstalować hasło, aby uzyskać dostęp do BIOS.

Firewall.

W celu ciągłej kontroli oprogramowania i portów Firewall Windows jest prawidłowo skonfigurowany i włączony. W systemie Linux można użyć systemu SELINUX do sterowania dostępem. Możemy również wynająć sprzętową fireroll Cisco Asa lub Fortinet Fortiate 60D.

System plików

sprawdzanie aktualizacji

Skonfiguruj automatyczne odbiór i montaż aktualizacji na serwerze.

Polityka haseł

Zainstaluj system Windows za pomocą lokalnej polityki bezpieczeństwa wymaga wymogu złożonych haseł, terminu ich działania, a także blokady konta po kilku nieudanych autoryzacji lub pustym hasła.

Kontrola dzienników.

Uwzględnij rejestrowanie dla segmentów infrastruktury krytycznej i regularnie je sprawdzić.

Bezpieczeństwo sieci

W celu segmentacji węzłów i kanałów bezpieczeństwa zaleca się stosowanie VPN i VLAN.
Powinieneś również zmienić ustawienia standardowe i przekazywać porty usług urządzeń sieciowych.
Możesz użyć usługi IPSec do szyfrowania ruchu. I przeglądać otwarte porty - narzędzie NetStat.

Kontrola dostępu

Remist Użytkownicy Dostęp do plików krytycznych, odłącz dostęp do gościa i użytkowników z pustym hasłem. Odłączyć niewykorzystane role i aplikacje na serwerze.

Utworzyć kopię zapasową

Użyj usługi kopii zapasowej pliku, jest korzystne i niezawodne. Nie przechowuj kopii zapasowych niezaszyfrowanych. Jeśli wynajmujesz od nas serwer, możesz wybrać miejsce do kopii zapasowych.

Dostęp do baz danych

Crytycznie ważne bazy danych powinny być przechowywane na różnych serwerach SQL. Musisz skonfigurować uruchomienie w imieniu użytkownika przy minimalnych mocy lub z prefiksu białej listy adresów IP.

Obrona antywirusowa.

Aby obsługiwać serwer w systemie Windows, instalacja automatycznego aktualizacji oprogramowania antywirusowego jest zalecane, gdy użytkownicy z magazynami sieciowymi. W systemie Linux instalacja antywirusowa nie jest wymagana podlegająca regularnym monitorowaniu bezpieczeństwa serwera i nieautoryzowanej kontroli dostępu. Aby to zrobić, narzędzie Tiger może być przydatne.

Taki audyt raz w miesiącu pomoże weryfikować poprawność operacji serwera, wyeliminować luki i monitorować bezpieczeństwo infrastruktury sieciowej.

Pytanie bezpieczeństwa infrastruktury IT ma większe znaczenie dla każdego rodzaju działalności. Niezależnie od tego, czy grupa firm z rozbudowaną siecią branżową lub sklepem internetowym z 1-2 sprzedawcami.
Dla każdego serwera głównym celem, którego należy dostarczenie hostingu dla witryn, jest ostra kwestia zapewnienia ochrony danych użytkownika.
Nasza firma oferuje usługę audytu bezpieczeństwa serwera.

Ta usługa obejmuje:

- Analiza wersji oprogramowania zainstalowanego na serwerze, za zgodność z aktualnymi wersjami bieżącymi pozbawionymi dobrze znanymi problemami bezpieczeństwa. Z reguły, dla serwerów internetowych, najważniejsza wersja następującego oprogramowania: serwer poczty, serwer internetowy, serwer WWW (jeśli jest obecny), tłumacz języka programowania (na których witrynach, takich jak PHP), serwer FTP , aplikacje internetowe (aby zapewnić uproszczony dostęp do jednego lub innych ustawień serwera i pracy danych);
- Analiza ustawień serwera WWW, ustawienia oprogramowania towarzyszącego dla zgodności z podstawowymi wymaganiami bezpieczeństwa;
- Analiza ustawień systemu operacyjnego. W tym momencie istnieje analiza głównych punktów związanych z potencjalną okazją dla atakującego do przechwytywania kontroli nad serwerem. Z reguły ustawienia serwera SSH są wpisane, opcje działania dysku twardego;
- Analiza praw dostępu do podstawowych plików i folderów systemowych zawierających poufne informacje. Z reguły, w ramach tego elementu, istnieje kontrola głównych folderów systemowych, plików panelu sterowania serwera, katalogu z kopią zapasowymi, prawami do folderów użytkownika;
- na serwerze, który jest pod wpływem podejrzenia, że \u200b\u200bjest to zagrożone, i może być wykorzystywane przez intruzów do podejmowania szkodliwych działań, nasi specjaliści spełniają niezbędne środki w celu wyczyścić go przed złośliwymi programami i zapobiegają powtarzaniu tej sytuacji;

Bezpieczeństwo serwera Linux jest bardzo ważne, aby chronić dane, własność intelektualną, a także czas z rąk krakersów. System operacyjny Linux jest odpowiedzialny za administrator systemu. W tym artykule rozważymy dwadzieścia rzeczy do zrobienia z systemem operacyjnym Linux, aby zawsze był bezpieczny i bezpiecznie chroniony. Jeśli jest to komputer domowy, być może bezpieczeństwo, być może nie ma sensu się martwić tak bardzo, wystarczy na niezawodne hasła i zamykanie dostępu do portów z Internetu. Ale w przypadku serwera publicznego warto zwrócić uwagę na zapewnienie jej ochrony.

Te instrukcje nadają się do dowolnej dystrybucji, bez względu na to, czego używasz Centos, Czerwony kapelusz lub Ubuntu, Debiana.

1. Szyfrowanie komunikacyjne.

Wszystkie dane przesyłane przez sieć są otwarte na monitorowanie. Dlatego musisz szyfrować przesyłane dane, gdzie jest to możliwe z hasłami, klucze lub certyfikatów.

Użyj SCP, SSH, RsyNC lub SFTP do przesyłania plików. Możesz także zamontować zdalny system plików do katalogu domowego za pomocą narzędzi takich jak SHHFS.

Gnupg umożliwia szyfrowanie i zarejestrowanie danych za pomocą specjalnego klucza osobistego. Istnieją również funkcje do zarządzania klucze i dostęp do otwartych kluczy.

FUGU to graficzne narzędzie do przesyłania plików za pomocą protokołu SFTP. SFTP jest bardzo podobny do FTP, ale cała sesja jest tu zaszyfrowana. Oznacza to, że żadne hasła ani polecenia są przesyłane w formularzu otwartym. Dlatego takie programy są mniej podatne na osoby trzecie. Możesz także użyć FileZilla, jest to klient FTP Cross-Platform z obsługą FTS przez protokół SSH / TLS i SSH (SFTP).

OpenVPN - wydajny i łatwy klient VPN z obsługą szyfrowania SSH.

2. Spróbuj nie używać FTP, Telnet, Rlogin i RSH

W większości sieci nazwy użytkowników, hasła z FTP, Telnet, polecenia RSH mogą być przechwytywane przez każdego z tej samej sieci za pomocą analizatora pakietu. Ogólnym rozwiązaniem tego problemu jest użycie OpenSSH, SFTP lub SFTP, które dodaje SSL lub TLS do zwykłego FTP. Wykonaj takie polecenie, aby usunąć NIS, RSH i inne przestarzałe usługi:

yum Erase Inetd Xinetd Ypserv TFTP-Server Telnet-Server RSH-Serve

3. Zmniejsz liczbę oprogramowania

Czy naprawdę potrzebujesz wszystkich zainstalowanych usług internetowych? Nie należy instalować niepotrzebnego oprogramowania, aby uniknąć luki w tych programach. Użyj swojego menedżera batch, aby oglądać zainstalowane programy i usunąć wszystkie niepotrzebne:

zainstalowana lista mniam.
Pakiet listy $ yum
$ Yum usuń pakiet

dpkg - lista.
$ dpkg - pakiet
$ Apt-pobierz pakiet usuń

4. Jedna maszyna - jedna usługa

Uruchom różne usługi na oddzielnych serwerach lub maszynach wirtualnych. Ogranicza to liczbę usług, które mogą być zagrożone. Na przykład, jeśli atakujący może włamać się do apache, uzyskasz dostęp do całego serwera. W tym usługi, takie jak MySQL, serwer e-mail i tak dalej. Możesz użyć takiego oprogramowania jako Xen lub OpenVZ do wirtualizacji.

5. Utrzymuj jądro Linuksa i na bieżąco

Wykorzystanie poprawek bezpieczeństwa jest bardzo ważną częścią bezpieczeństwa serwera Linux. System operacyjny zapewnia wszystkie narzędzia do konserwacji aktualizacji systemu i aktualizuje nowe wersje. Wszystkie aktualizacje zabezpieczeń powinny być stosowane jak najszybciej. Tutaj również musisz użyć swojego menedżera pakietów. Na przykład:

Lub do systemów opartych na Debianie:

sudo APT Update && sudo APT Uaktualnienie

Możesz skonfigurować czerwony kapelusz lub fedora, aby wysłać Ci powiadomienia do wiadomości e-mail o dostępności nowych aktualizacji zabezpieczeń. Możesz także skonfigurować automatyczną aktualizację przez Cron lub można użyć aptcron w Debianie, aby powiadomić potrzebę aktualizacji systemu.

6. Użyj rozszerzeń bezpieczeństwa w systemie Linuksa

System operacyjny Linux jest wyposażony w różne poprawki zabezpieczeń, które można wykorzystać do ochrony przed nieprawidłową konfiguracją lub szkodliwymi programami. Ale można również użyć takich dodatkowych systemów kontroli dostępu do aplikacji jako SELINUX lub Apparrmor.

SELINUX zapewnia różne zasady bezpieczeństwa dla jądra Linuksa. Możliwe jest kontrolowanie dostępu do dowolnych zasobów systemowych za pomocą ról. Tylko program, którego rola pozwala na wykonanie, a nawet zasady superużytkownika. SELINUX jest znacznie zwiększając system bezpieczeństwa Linux, ponieważ nawet root tutaj jest uważany za zwykły użytkownik. Czytaj więcej o opisanym w oddzielnym artykule.

7. Konta użytkowników i niezawodne hasła

Użyj poleceń Useradd i Usermod, aby utworzyć i utrzymywać konta użytkowników. Upewnij się, że masz dobre i silne hasło, musi zawierać co najmniej osiem znaków, korzystnie w innym rejestracji, wśród których należy znaleźć znaki specjalne lub cyfry. Na przykład, 8 znaków, z których siedem liter i jednego znaku lub cyfry. Użyj narzędzi takich jak John Ripper, aby znaleźć słabe hasła użytkownika na serwerze, a także skonfigurować PAM_Cracklib.so, aby zapewnić zgodność z polityką hasłem.

8. Od czasu do czasu zmień hasła.

Polecenie zmiany umożliwia określenie liczby dni przed obowiązkiem wymuszonej zmiany hasła. Informacje te są używane przez system, aby określić moment, w którym użytkownik musi go zmienić. Te ustawienia znajdują się w /etc/login.defs. Aby wyłączyć starzenie hasła, wprowadź następujące polecenie:

zmień -l_name_name.

Aby uzyskać informacje o okresie przechowywania hasła, wprowadź polecenie:

Możesz także skonfigurować wszystko ręcznie w pliku / etc / cienia:

(Hasło użytkownika): (Ostatni wybór):(Maksymalny_Dain): (Minimum_dney): (Ostrzeżenie):(dezaktywować):(Rząd):

  • Minimalny dzień - minimalny interwał między zmianami hasła, czyli, jak często użytkownik może zmienić hasło.
  • Maksymalne dni - Ile dni będzie odpowiednie hasło, po tym okresie użytkownik zostanie zmuszony do zmiany hasła.
  • Ostrzeżenie - Liczba dni, po których użytkownik zostanie ostrzeżony, że musi zmienić hasło.
  • Rząd) - Liczba dni od 1 stycznia 1970 r., Kiedy konto jest całkowicie wyłączone.

chAGE -M 60-M 7-W 7 User_name

Pożądane jest również, aby zabronić użytkownikom używać starych haseł, w przeciwnym razie wszystkie wysiłki z próbami udostępniania ich siłą zmiany haseł zostaną zredukowane do zera.

9. Blokuj konta po nieudanych próbach wejściowych

W systemie operacyjnym Linux można użyć komendy Faillog, aby wyświetlić nieudane próby wprowadzenia użytkowników. Również z nim możesz ustawić limit nieudanych prób wejściowych. Wszystkie informacje o nieudanych prób wejściowych są przechowywane w pliku / Var / Log / Faillog. Oglądać to typ:

I ustawić limit próby rejestrowania dla określonego konta, użyj:

faillog -R -U użytkownik

Możesz także ręcznie blokować lub odblokować konta za pomocą polecenia passwd. Aby zablokować użycie:

passwd -l użytkownik.

I odblokować:

passwd -u user.

Pożądane jest również sprawdzenie, czy istnieją konta w systemie z pustymi hasłami. Aby to zrobić, wykonaj:

awk -f: "(2 $ \u003d\u003d" ") (Drukuj)" / etc / Cień

Sprawdź także, czy nie ma użytkowników z grupą lub ID 0. taki użytkownik musi być tylko jeden, a to jest root. Możesz sprawdzić za pomocą tego polecenia:

awk -f: "($ 3 \u003d\u003d" 0 ") (Drukuj)" / etc / passwd

Musi być tylko jedna linia:

root: x: 0: 0: ROOT: / ROOT: / BIN / Bash

Jeśli są inne - usuń je. Użytkownicy, zwłaszcza ich słabe hasła - jedna z najbardziej wrażliwych rzeczy, które mogą złamać bezpieczeństwo w Linuksie.

10. Odłącz wejście dla superużytkownika

Aby zapisać system bezpieczeństwa Linux Nigdy nie używaj logowania w korzeniu użytkownika. Możesz użyć sudo, aby uzyskać niezbędny organ i uruchomić żądane polecenie w imieniu superużytkownika. Polecenie to pozwala na nie ujawnienie hasła superużytkownika do innych administratorów, a także zawiera narzędzia monitorujące, ograniczenia i działania śledzenia.

11. Serwer bezpieczeństwa fizycznego

Bezpieczeństwo serwera Linux powinno zawierać bezpieczeństwo fizyczne. Musisz ograniczyć fizyczny dostęp do konsoli serwera. Skonfiguruj BIOS, aby obciążenie nie jest obsługiwane z zewnętrznych mediów, takich jak DVD, CD, USB. Zainstaluj również hasło BIOS i program Bootloader, aby chronić swoje parametry.

12. Wyłącz niepotrzebne usługi

Wyłącz wszystkie niewykorzystane usługi i demony. Nie zapomnij również usunąć tych usług z Autoload. Możesz zobaczyć listę wszystkich aktywnych usług w systemach czerwonych kapeluszowych z zespołem:

chkconfig - lista |. Grep "3: na"

Aby wyłączyć usługę, użyj:

usługa Stop Service.
Usługa $ chkcconfig

Znajdź wszystkie otwarte porty:

To samo można zrobić za pomocą skanera NMAP:

nmap -st -o localhost

Użyj iptables do zamykania wszystkich portów, które nie powinny być dostępne w sieci. Lub zatrzymaj niepotrzebne usługi, jak opisano powyżej.

13. Usuń X Server

X Serwer na komputerze serwera - rzecz jest całkowicie opcjonalna. Nie musisz prowadzić środowiska graficznego na wybranym serwerze Apache lub e-mail. Usuń to oprogramowanie, aby zwiększyć bezpieczeństwo i wydajność.

14. Skonfiguruj iptables.

iptables to program przestrzeni użytkownika, aby skonfigurować oprogramowanie układowe Netfilter. Umożliwia filtrowanie całego ruchu i zezwolenie tylko na pewne typy ruchu. Używaj również systemu TCPWRappers - ACL do filtrowania dostępu do Internetu. Możesz zapobiec wielu rodzajom ataków DOS za pomocą iptables. Bezpieczeństwo sieci w systemie Linux jest bardzo ważnym punktem ogólnego bezpieczeństwa systemu.

15. Dostosuj jądro

W pliku /etc/sysctl.conf Plik ustawienia jądra są przechowywane, które są ładowane i używane podczas uruchamiania systemu.

Włącz przepełnienie buforu ExhShield:

kernel.exec-Shield \u003d 1
jerl.randomize_va_space \u003d 1.

Włącz IP Obserwuj ochronę:

net.ipv4.conf.all.rp_filter \u003d 1.

Wyłącz przekierowanie adresu IP:

net.ipv4.conf.all.accept_source_route \u003d 0.

Ignoruj \u200b\u200bżądania transmisji:

net.ipv4.icmp_echo_ignore_broadcasts \u003d 1.
net.ipv4.icmp_ignore_bogus_error_messages \u003d 1.

Loggy Wszystkie fałszywe pakiety:

net.ipv4.conf.all.log_martians \u003d 1.

16. Przesuń dysk twardy do sekcji

Oddzielenie dysku twardego do sekcji w zależności od miejsca przeznaczenia plików poprawia bezpieczeństwo systemu operacyjnego Linux. Zaleca się, aby poszczególne sekcje dla takich katalogów:

  • / Dom.
  • / Var i / var / tmp

Dokonaj oddzielnych partycji dla katalogów głównych serwerów Apache i FTP. Otwórz plik / etc / fstab i ustaw specjalne opcje dla żądanych sekcji:

  • noexec. - Nie spełniaj żadnych programów ani plików wykonywalnych w tej sekcji, dozwolone są tylko skrypty.
  • nODEV. - Nie rozwiązywaj symbolicznych lub specjalnych urządzeń w tej sekcji.
  • nosuid - Nie zezwalaj na dostęp do SUID / SGID do programów z tej sekcji.

17. Użyj limitu miejsca na dysku

Ogranicz dostępny miejsce na dysku dla użytkowników. Aby to zrobić, utwórz kwotę dysku w / etc / fstab, ponownie pokonuj systemy plików i utwórz bazę danych limitów dysku. Zwiększy to bezpieczeństwo w Linuksie.

18. Wyłącz IPv6.

Internet IPv6 Internet Protocol zastąpi IPv4 już używany w przyszłości. Ale w tej chwili nie ma narzędzi, które umożliwiają sprawdzenie bezpieczeństwa sieci w oparciu o IPv6. Wiele dystrybucji Linuksa umożliwia domyślnym protokołowi IPv6. Hakerzy mogą wysłać niechciany ruch i administratorzy nie będą mogli go śledzić. Więc jeśli ta usługa nie musisz go wyłączać.

19. Wyłącz niewykorzystane suidowe i sgidowe binary

Wszystkie pliki wykonywalne, dla których flaga SUID lub SGID jest włączona potencjalnie niebezpieczna. Flaga ta oznacza, że \u200b\u200bprogram zostanie wykonany z prawami Superusera. Oznacza to, że jeśli istnieje pewna luka lub błąd w programie, użytkownik lokalny lub zdalny może użyć tego pliku. Znajdź wszystkie takie pliki za pomocą następującego polecenia:

znajdź / -Porm +4000

Znajdź pliki z zestawem flagi SGID:

znajdź / -Porm +2000

Lub połącz to wszystko w tym samym poleceniu:

znajdź / (- Perm -4000 -O -Perm -2000)-Print
$ Find /-path -prune -o -type ferm +6000 -ls

Będziesz musiał szczegółowo studiować każdy plik, który znalazł, aby zrozumieć, ile plik jest potrzebny.

20. Pliki publiczne

Wskazane jest również znalezienie plików, które mogą zmienić wszystkich użytkowników w systemie. Aby to zrobić, użyj następującego polecenia:

znajdź / DirXDev -Type D (- Perm -0002 -a! -Perm -1000)

Teraz musisz sprawdzić, czy prawa są ustawione prawidłowo dla grupy i właściciela tego pliku i nie ponosi zagrożeń bezpieczeństwa.

Pożądane jest również znalezienie wszystkich plików, które nie należą do nikogo:

znajdź / Dir -XDev \\ (- Nouter -o -nogroup)-Print

21. Użyj scentralizowanego systemu uwierzytelniania

Bez scentralizowanego systemu uwierzytelniania dane użytkownika stają się sprzeczne, co może prowadzić do przestarzałych poświadczeń i zapomnienia kont, które powinny zostać usunięte dawno temu. Scentralizowana usługa pozwoli Ci utrzymać kontrolę nad kontami i dane uwierzytelniające na różnych systemach Linux i UNIX. Możesz zsynchronizować dane uwierzytelniające między serwerami. Ale nie używaj usługi NIS, lepiej wyglądać na otwarte DAP.

Jednym z interesujących wdrożeń takiego systemu jest Kerberos. Umożliwia uwierzytelnianie użytkowników za pomocą tajnego klucza w sieciach, w których można przechwycić i modyfikować pakiety. Kerberos używa symetrycznego klucza do szyfrowania danych i wymaga kluczowego centrum zarządzania jego pracą. Możesz skonfigurować zdalne logowanie, zdalne kopiowanie, bezpieczne kopiowanie plików między systemami a innymi zadaniami, o wysokim poziomie bezpieczeństwa.

22. Rejestrowanie i audyt

Skonfiguruj rejestrowanie i audyt, aby zebrać i utrzymywać wszystkie nieudane próby wejścia i prób hakerskich. Domyślnie wszystkie dzienniki lub przynajmniej większość z nich znajdują się w / var / Log / folder. Przeczytaj więcej o tym, co mówią, rozmawialiśmy w oddzielnym artykule.

Możesz oglądać dzienniki za pomocą takich narzędzi jako logwatch lub logcheck. Ułatwiają kłody czytania. Możesz zobaczyć cały plik, ale tylko wydarzenia, które są zainteresowane, a także wysłać do powiadomienia na adres e-mail.

Obejrzyj system za pomocą usługi Auditd. Program pisze na płycie wszystkie wydarzenia audytu, które jesteś zainteresowany. Wszystkie ustawienia audytu są przechowywane w pliku /etc/audit.rules, gdy usługa uruchomi się, usługa przeczytała wszystkie reguły z tego pliku. Możesz go otworzyć i skonfigurować wszystko, czego potrzebujesz lub użyjesz oddzielnego narzędzia - AUDITCTL. Możesz skonfigurować takie chwile:

  • Uruchomienie systemu i zdarzenia
  • Data i godzina wydarzeń
  • Niestandardowe zdarzenia (na przykład dostęp do określonego pliku)
  • Typ zdarzenia (edycja, dostęp, usuwanie, nagrywanie, aktualizacja itp.)
  • Powodzenia lub niepowodzenie podczas wykonywania wydarzenia
  • Nagraj ustawienia zdarzeń Zmień ustawienia
  • Zapisz zmiany użytkowników i grup
  • Monitorowanie zmian plików.

23. Ochrona serwera OpenSSH

Zezwalaj na zastosowanie protokołu 2:

Wyłącz login w imieniu superużytkownika:

24. Zainstaluj IDS.

Identyfikatory lub system wykrywania włamań stara się wykryć podejrzaną, złośliwą aktywność, takie jak atak DOS, porty skanujące lub nawet próby włamania komputera przez monitorowanie ruchu sieciowego.

Dobre praktyki - wdrażanie takiego oprogramowania, zanim system będzie dostępny w Internecie. Można ustawić AID, to jest HIDS (IDS oparte na hoście), które mogą sterować wszystkimi aspektami wewnętrznego urządzenia systemu.

Snort to oprogramowanie do wykrywania prób włamań z sieci. Jest w stanie wykonywać i rejestrować pakiety i analizować ruch sieci w czasie rzeczywistym.

25. Chroń swoje pliki i katalogi.

Linux ma doskonałe środki ochrony przed nieautoryzowanym dostępem do plików. Jednak uprawnienia ustawione przez Linuksa i system plików nie oznaczają niczego, gdy atakujący ma fizyczny dostęp do komputera i może po prostu połączyć dysk twardy komputera do innego systemu, aby skopiować dane. Ale możesz łatwo chronić swoje pliki za pomocą szyfrowania:

  • Użyj GPG do szyfrowania i deszyfrowania pliku pliku
  • Możesz także chronić pliki za pomocą openssl
  • Szyfrowanie katalogu jest wykonywane za pomocą ECRYPTFS
  • TrueCrypt - Darmowe narzędzie do dysków szyfrowania w systemie Windows i Linux

wnioski

Teraz bezpieczeństwo Linuksa na komputerze będzie dużo powiększone. Nie zapomnij umieścić złożonych haseł i od czasu do czasu. Wpisz swoje ulubione narzędzie w komentarzach, aby zapewnić bezpieczeństwo systemu.