Menü
Bedava
giriş
ana  /  Sorunlar / Linux dosyalarına erişimi denetim. Sunucu Güvenlik Denetimi nasıl yapılır ve veri sızıntısı hakkında endişelenmeyin

Linux dosyalarına erişimi denetleme. Sunucu Güvenlik Denetimi nasıl yapılır ve veri sızıntısı hakkında endişelenmeyin

Bugünün makalesinde sizi tanıtacağız en İyi Linux Güvenlik Denetim Yardımcı Programları veya İngilizce konuşan meslektaşlarımız olarak - Sertleşen linux. Öyleyse, Madde'nin Linux-Systems Güvenliği ve Bilgi Güvenliği'nin açısından doğruluğunu yapılandırma değerlendirmesinin değerlendirilmesini kontrol eden makalenin konusu. Tabii ki, sadece programların bir incelemesini yapmayacağız, aynı zamanda kullanımlarına örnekler vereceğiz.

Güvenlik Denetimi Linux Kendi Kuvvetleri

Sistem yöneticilerinin önünde ve daha da çok daha fazla bilgi güvenliği denetçilerinin önünde, görevler genellikle korunan ana bilgisayar sayısını çok kısa sürede kontrol etmek için ortaya çıkar. Ve elbette, bu görevleri işletme segmentinde çözmek için, örneğin gibi özel araçlar vardır. Hepsinden eminim - OpenVAS OpenVAS motorundan Nessus veya Nexpase gibi ticari ürünlere okuyucuyuz. Ancak bu yazılım genellikle eski ve bu nedenle savunmasız yazılımı aramak ve ardından yama yönetimini çalıştırmak için kullanılır. Ek olarak, tüm güvenlik tarayıcıları yerleşik Linux işletim sistemi koruma mekanizmalarının ve diğer açık kaynaklı ürünlerin belirli özelliklerini dikkate almazlar. Eh, en az değil, değer, sorunun fiyatıdır, çünkü ücretli ürünler sadece bu iş altında bazı bütçeleri tahsis eden firmaları karşılayabilir.

Bu nedenle, sistem güvenliği seviyelerinin mevcut seviyesini teşhis edebilecek, potansiyel riskleri, örneğin çevrimiçi olan "Gereksiz hizmetler", örneğin çevrimiçi veya güvenli olmayan bir yapılandırma ve belirli durumlarda seçenekleri önermek için özel bir serbest yardımcı program kümesi olacaktır. Denetim sorunları tarafından bulunan sorunları düzeltmek için. Bu araçları kullanmanın bir başka avantajı, tipik çiftlik kontrol komut dosyalarını herhangi bir sayıdaki Linux sisteminden çoğaltabilmek ve günlükler ve bireysel raporlar biçiminde belgelenmiş bir test veritabanı oluşturabilmektir.

Linux Güvenlik Denetiminin Pratik Yönleri

Denetçinin gözüyle bakarsanız, test etme yaklaşımı iki türe ayrılabilir.

İlk - Bu, sözde uygunluk gerekliliklerine uygunluk, burada herhangi bir uluslararası standartta veya "en iyi uygulamada" öngörülen savunmanın zorunlu unsurlarının varlığı için kontrol edilir. Klasik Örnek - Ödeme BT Sistemleri için PCI DSS Gereksinimleri, SOX404, NIST-800 Serisi ,.

İkinci - Bu, "Güvenliği güçlendirmek için başka ne yapabilirim?" Sorusuna dayanarak tamamen rasyonel bir yaklaşımdır. Zorunlu bir gereksinim yok - sadece bilginiz, parlak bir kafa ve yetenekli eller. Örneğin, bu çekirdek versiyonunun ve / veya uygulama paketlerinin bir güncelleştirmesi, dahil edilmesi, Selinux forcing, Iptables Filevolt'u ayarlar.

İkinci yaklaşımla ilgili olan her şey, özel bir terim aramak için gelenekseldir. Linux sertleşmesi."Kaynak korumalı işletim sistemi (veya Co) temel olarak personel tarafından güçlendirmeyi amaçlayan eylemler" olarak başka ne tanımlanabilir. "

Uyum gerekliliklerine uygunluk, kural olarak, zorunlu denetim tipi PCI DSS veya diğer sertifikasyon denetiminin geçişine hazırlanırken kontrol edin. Sertleştirme bileşenine daha fazla dikkat edeceğiz. Tüm büyük satıcılar ürünleri için teklifler. Sertleştirme kuralları. - Tavsiye ve tavsiyeler içeren kılavuzlar, güvenliği nasıl güçlendirilir, düzenli güvenlik mekanizmaları ve yazılım özelliklerini dikkate alarak. Böylece, benzer rehberler kırmızı şapka, Debian, Oracle, Cisco'ya sahiptir.

Sertleştirme, sistemin (programın) güvenlik açığını ve yalnızca düzenli yardımcı programları veya koruma mekanizmalarını kullanarak bir kuralı azaltarak, sistemin (program) güvenlik sürecini belirten bir terimdir.

Bu arada, sertleştirme seçeneklerinin yapılandırılması hakkında zaten bir makaleye sahip olduk, ancak bu makalede ayar hakkındaydı. İlk önce sistemimizi uzmanlaşmış kamu hizmetleri yardımıyla kontrol ediyoruz, yani güvenliğin bir denetimini yapacağız, mevcut koruma seviyesini tahmin edeceğiz ve daha sonra bir ihtiyaç varsa, güvenlik seçeneğini önyükleyeceğiz. Peki ya da bir seçenek olarak: Sunucu zaten güvenlik açısından yapılandırılmışsa, araçlarımız bunu kontrol edebilecek ve hala yapabileceğinizi düşünüyor olabilir.

Linux Güvenlik Denetim Araçları

Lynis - Denetim Sistemi Sertleştirme Testi

MacOS'ta Kurulum:

Testlerin başlatılması
Sistem Aracı ve Boot & Services grubundan test sonuçları
Çekirdek ve Hafıza ve Süreç Denetim Grubundan Test Sonuçları
Kullanıcı ve grup ve kimlik doğrulama grubundan yapılan test sonuçları

Denetim, Lynis'in yeni sürümünün mevcut olup olmadığını kontrol etmek için her zaman yararlıdır:

Denetçinin adını yerleştirmek istiyorsanız, test çalışması, sadece bir parametre ekleyin. :

sudo Lynis Denetim Sistemi - C - Denetçi Babası

Linux'un güvenlik denetiminin herhangi bir aşamasında, doğrulama işlemi devam edilebilir (Enter) veya zorla sonlandırılabilir (CTRL + C). Yapılan testlerin sonuçları, /var/log/lynis.log kataloğunda Lynis günlüğüne yazılacaktır. Kayıt dosyasının, yardımcı programın her bir sonraki başlatılmasının her seferinde üzerine yazılacağını unutmayın.

Devam eden bir temelde test etmek için, otomatik modda, -Cronjob tuşunu kullanarak Cron Zamanlayıcı'da ilgili bir iş atayabilirsiniz. Bu durumda, Lynis belirli bir şablonda (CONFIG) çalıştırır ve etkileşimli gereksiz mesajlar, sorular ve uyarılar göstermez. Tüm sonuçlar günlüğe kaydedilecektir. Örneğin, ayda bir kez varsayılan ayarlara sahip başlangıç \u200b\u200bkomut dosyası yardımcı programı:

#! / bin / sh

Denetçi \u003d "otomatik"

Tarih \u003d $ (tarih +% Y% M% d)

HOST \u003d $ (ana bilgisayar adı)

Log_dir \u003d "/ var / log / lynis"

Rapor \u003d "$ log_dir / Rapor - $ (ana bilgisayar). $ (Tarih) "

DATA \u003d "$ LOG_DIR / RAPOR - Veri - $ (Host). $ (Tarih). TXT "

cD / USR / Yerel / Lynis

. / Lynis - C-Auditor "$ (Denetçi" "-Cronjob\u003e $ (Rapor)

mV / VAR / LOG / Lynis - Rapor. DAT $ (veri)

# Son.

Bu komut dosyasını /etc/cron.monthly/lynis dizinine kaydedin. Günlükleri (/ usr / local / lynis ve / var / log / lynis) kaydetmek için yol eklemeyi unutmayın, aksi takdirde yanlış çalışmalar.

Aramak için mevcut tüm komutların bir listesini görebilirsiniz:

Yardımcı Program ile Çalışmak İçin Kısa Talimatlar:

adam lynis

Muayene sonuçları üzerindeki olası durumlar için seçenekler aşağıdaki listeyle sınırlıdır: Hiçbiri, zayıf, yapılır, bulundu, not_found, Tamam, Uyarı.


Çıktı durumuna bir örnek
Lynis'te bireysel testler

Uygulamada, yalnızca bazı özel testler yapmak gerekir. Örneğin, sunucunuz yalnızca posta sunucusu veya Apache işlevlerini gerçekleştirirse. Bunu yapmak için, -Tests parametresini kullanabiliriz. Komut sözdizimi şöyle görünüyor:

Ek olarak, Lynis işlevselliği bağımsız olarak eklenebilecek çeşitli eklemeleri genişletiyor ve mevcut dizine yeni koyabilirsiniz.

Tüm uyarılar (uyarılar) sonuçlardan sonra listelenir. Her biri uyarı metniyle başlar, ardından parantezlerin yanında, ürettiği testi gösterir. Aşağıdaki satır, elbette varsa, bir soruna bir çözüm sunar. Aslında, son satır, ayrıntıları görüntüleyebileceğiniz ve ek öneriler bulabileceğiniz URL'dir, sorunu nasıl ortadan kaldırır.


Tavsiyelerin Sonuçları Bulunan sorunları nasıl ortadan kaldırır?

Profiller

Kontrol denetimini kontrol eden profiller, / etc / Lynis dizininde bulunan uzantılı dosyalarda tanımlanmıştır. Varsayılan profil, tahmin edilebilir bir şekilde, default.prf olarak adlandırılır. Geliştiricilerin doğrudan düzenlenmesi tavsiye edilmez: Bir denetime girmek istediğiniz herhangi bir değişiklik, aynı dizinde bulunan Custom.PRF dosyasına eklemek daha iyidir.

Özel bir profil oluşturma ve düzenleme:

dokunma / etc / Lynis / Custom. prf.

sudo nano / etc / Lynis / Custom. prf.

Bu dosyada, Lynis denetimi dışında tutulması gereken bir test listesini tanımlayabilirsiniz. Örneğin:

  • Dosya-6310: bölümleri kontrol etmek;
  • Http-6622: nginx kurulum testi;
  • Http-6702: Apache kurulum testi.

Bazı belirli bir testi hariç tutmak için, atlama test direktifini kullanın ve Test Kimliğini belirtin. Örneğin, şöyle:

# Nginx yüklü mü?

atla - Test \u003d HTTP - 6622

# Apache yüklü mü?

atla - Test \u003d HTTP - 6702

Değerlendirme sertleştirme durumu

Tüm testlerin yürütülmesinin sonuçlarına göre, denetim programının her bir çıktısının sonunda (tekliflerin bölümünün hemen altında), şöyle görünecek bir bölüm bulacaksınız:

Lynis Güvenlik Tarama Detayları:

Sertleştirme Endeksi: 57 [############ .........]

Testler Performd: 216

Eklentiler Etkin: 0

Özet Sertleştirme Devleti

Numara ile ifade edilen bu sonuç, geçen testlerin sayısını ve sistemin güvenlik endeksinini gösterir. sertleştirme endeksi - Lynis'in genel sunucu güvenliği seviyesinin bir değerlendirmesini sağladığı son numara. Ve güvenlik endeksinin düzeltilmiş uyarıların sayısına ve yürütülen Lynis önerilerine bağlı olarak değiştiğini unutmamak çok önemlidir. Bu nedenle, bulunduğunuz sorunların düzeltmesinden sonra, Güvenlik Yeniden Denetimi tamamen farklı bir sayı gösterebilir!

Süper kullanıcı modundaki sistemdeki tüm manipülasyonlar yakın dikkat ve sorumluluk gerektirir. Sadece farkında olan eylemleri kendinden emin olun. Yedek kopya ve anlık görüntüleri yapmayı unutmayın.

Lunar - Bir UNIX Güvenlik Denetimi Aracı

CLI'den başlatma komutlarının örnekleri:


Tüm Launar fırlatma seçeneklerini görüntüle

Güvenlik denetim modunda Ayın başlatılması, yani sistemde değişiklik yapmadan:

Test numaralandırması:

Düzeltme modunda başlayın, yani sistemdeki değişiklikler:

Apache Web sunucusu için başlangıç \u200b\u200btestleri örneği

Nix Denetçi - Bir BDT Denetimi Daha Kolaylaştırıldı

Nix denetçi, Linux sistemlerinin güvenliğinin BDT göstergesinin gereklilikleri olup olmadığını kontrol etmek için başka bir komut dosyasıdır. Rhel, CentOS ve diğer RPM dağılımlarına odaklandı.

Geliştiriciler, Nix denetçisinin bu tür avantajlarını beyan eder:

  • tarama hızı - İşletim sisteminin temel kontrolünü yapmak için, 120 saniyenin altından az olabilir ve hemen bir rapor alırsınız;
  • doğruluk kontrolü - Nix denetçi çalışması, Centos ve Red Hat'ın dağılımlarının farklı versiyonlarında kontrol edilir;
  • Özelleştirilebilirlik - Programın belgelerine sahip kaynaklar GitHub'da uzanır, bu nedenle kod, işletim sisteminin türüne ve kontrol edilmesi gereken bir dizi sistem elemanına uygun olarak kolayca yapılandırılır;
  • kolay kullanım - Başlangıç \u200b\u200bkomut dosyasını çalıştırılabilir hale getirmek için yeterlidir ve zaten kontrol etmeye hazır.

Github depolama ile yardımcı programı indirmek için çalışmaların bir örneği ve komut dosyasının sonraki başlangıcı:

git Clone HTTPS: //github.com/xalfie/nix-Auditor.git.

cD Nix - Denetçi

chmod + x nixauditor

. / NixAuditor

NIX denetçisini başlattıktan sonra bilgi çıktısına bir örnek

Loki - Basit IOCA ve Olay Yanıt Tarayıcı

Loki Yardımcı Programı, Linux denetimi yapmak için tamamen klasik bir araç değildir, ancak hack izlerini bulmak, ancak kısmen denetim uygulamasına atfedilebilir.

Geliştiricilere göre, bu özellikler bize Loki - Basit IOC ve Olay Tepki Tarayıcı:

I. Hack Tespitini Tanımlamanın Dört Yolu:

  • dosya adları (tam dosya yolunun normal ifadesine uygunluk);
  • yARA Kurallarına uygun olarak kontrol edin (dosyaların içeriğinde Yara imzalarına uyumu arayın);
  • pus kontrolü ve analizi (taranan dosyaları Karma (MD5, SHA-1, SHA-256) ile bilinen kötü amaçlı dosyalarla karşılaştırılması);
  • geribildirim C2'yi kontrol etme (teknolojik bağlantının son noktalarını C2 IOC ile karşılaştırır).

II. Ek Çekler:

  • regin Dosya Sisteminin (-Reginfs) kontrol edilmesi;
  • sistem ve kullanıcı işlemlerinin anomalilerini kontrol etmek;
  • tarama ambalajsız SWF;
  • sam dökümünün doğrulanması;
  • doublePulsar'ı kontrol edin - arka kapı, dinleme portlarını 445 / TCP ve 3389 / TCP'yi ortaya çıkarmaya çalışın.

Programın hack gerçeğini nasıl belirlediğini hafifçe temas edin. Tipik özellikler (uzlaşma göstergeleri), bilgisayarın tehlikeye girdiğini (yani, hacklenmiş), şöyle olabilir:

  • kötü niyetli (virüsler, arkalar, şifreler vb.) Bilgisayarın yanı sıra hacker yardımcı programları (örneğin, ağı incelemek, güvenlik açıklarının çalışmasını, muhasebe verilerini);
  • anti-virüslü motor tarafından kötü amaçlı yazılım kodu olarak algılanmazsa, bilinmeyen yeni yöneticilerin ve diğer dosyaların ortaya çıkması;
  • anomalous ağ aktivitesi (uzak ana bilgisayarlara bağlantı, bilinmeyen programlar tarafından bağlantı noktalarını dinlemek için keşif);
  • disk cihazlarında (G / Ç) anormal aktivite ve daha fazla sistem kaynağı tüketimi (CPU, RAM, takas).

Kuruluma başlamadan önce, birden fazla bağımlı paketleri ayarlamanız gerekir. Bu Colorama (konsolda boyama satırları verir), psutil (işlemler kontrolü yardımcı programı) ve henüz takılı değilse, Yara paketi.

Öyleyse devam et. Kurulum (KALI Linux'ta varsayılan olarak önceden yüklenmiş olan Yara paketi önceden yüklenmiş):

cd loki /

python2 Loki - Gecikme. Py.

python2 Loki. PY - H.

Ubuntu / Debian'da kurulum:

sudo Apt - Yükle Yara Python - Yara Python - PIP Python - Setuptools Python - Dev Git

sudo Pip2 Yükleme - Yükseltme PIP

sudo pip2 yükleme - u setuptools

sudo pip2 psutil netaddr pylzma colorama yükle

git Clone https: //github.com/neo23x0/loki

cD / Ana Sayfa / İndir / Loki

python2 Loki - Gecikme. Py.

python2 Loki. PY - H.

Blackarch Kurulumu:

sudo Pacman - s Yara Python2 - PIP Python2 - Yara

sudo pip2 psutil netaddr pylzma colorama yükle

git Clone https: //github.com/neo23x0/loki

cD / Ana Sayfa / İndir / Loki

python2 Loki - Gecikme. Py.

python2 Loki. PY - H.

Kullanım örneği

Bazı başlangıç \u200b\u200bseçenekleri:

İsteğe bağlı argümanlar:

H, - bu yardım mesajını göster ve çıkış

Bilginin Korunması, herhangi bir çevrimiçi iş için öncelikli bir konudur. Viral enfeksiyon ve dış saldırılar, bilgilere izinsiz erişimin yanı sıra, tüm bunlar büyük finansal ve itibar riskleri gerektirir. Bu nedenle, bir sunucu platformunu seçmek, işletme sahipleri her zaman kaynak güvenliği derecesi ile ilgilenmektedir.
Koruma sisteminin ne kadar iyi çalıştığını kontrol etmek için, içinde ve "delikler" ne kadar yetersiz olup olmadığını kontrol etmek için, en az ayda bir kez sunucu güvenlik denetimi yapmanız önerilir.

Sunucu güvenliği denetimine neler dahildir?

Hatta önemsiz güvenlik, ilk bakışta yanlış sunucunun kendisi veya eski yazılımı gibi, güvenlik için bir tehdit haline gelebilir. Denetim, zayıf koruma yerlerini tanımlamaya yardımcı olur ve enfeksiyon veya veri zimmeri meydana gelmeden önce onları ortadan kaldırmak için zamanında önlemler alır.
Sunucu Yöneticisi, yüklü yazılımı kontrol eder, en son güncellemelere uygunluğu, sunucu güvenliği ayarlarını değerlendirir ve böyle bir hatayı ortadan kaldırır ve ayrıca çalışan erişim hakları ayarlarının bir veya başka bir kaynağa uygunluğunu da analiz eder.

Sanal Sunucu Denetimini Kendi Ellerinizle Nasıl Harcayın

Windows veya Linux platformlarında sunucuların güvenliğini kontrol edin Her kullanıcının, bunun için programlamada özel bir bilgiye sahip olmak gerekli değildir.
Güvenlik Kontrolü birkaç aşamaya ayrılabilir:

Fiziksel erişim

Özel bir sunucu durumunda, üçüncü taraf sunucusuna fiziksel erişim varsayılan olarak sınırlıdır, bir veri merkezi sağlar. Ancak kullanıcı ayrıca BIOS'a erişmek için bir şifre kurabilir.

Güvenlik duvarı

Yazılım ve bağlantı noktalarının sürekli kontrolü için, Windows güvenlik duvarı uygun şekilde yapılandırılır ve etkindir. Linux için, Selinux sistemini erişimi kontrol etmek için kullanabilirsiniz. Ayrıca, bir donanım Fireroll Cisco ASA veya Fortinet FortiGate 60D'yi kiralayabiliriz.

Dosya sistemi

Güncellemeleri kontrol etme

Otomatik makbuz ve sunucudaki güncellemelerin kurulumunu yapılandırın.

Şifre politikası

Yerel güvenlik politikasını kullanarak Windows'u yükleyin, karmaşık şifrelerin gereksinimini, eylemlerinin teriminin yanı sıra, birkaç başarısız yetkilendirme veya boş şifreden sonra hesap kilitlenmesini gerektirir.

Günlüklerin kontrolü

Kritik altyapı segmentlerinin kaydını dahil edin ve düzenli olarak kontrol edin.

Ağ güvenliği

Düğümlerin ve güvenlik kanallarının segmentasyonu için, VPN ve VLAN'ın kullanılması önerilir.
Ayrıca standart ayarları değiştirmeli ve ağ ekipmanı hizmetlerinin bağlantı noktalarını iletmelisiniz.
Trafiği şifrelemek için IPsec servisini kullanabilirsiniz. Ve açık portları görüntülemek için - Netstat yardımcı programı.

Giriş kontrolu

Kritik dosyalara kullanıcı erişim hakları, misafir erişimini ve kullanıcıları boş bir şifreyle ayırın. Kullanılmayan rolleri ve uygulamaları sunucudaki bağlantısını kesin.

Destek olmak

Dosya yedekleme hizmetini kullanın, faydalı ve güvenilirdir. Yedekleme kopyalarını şifrelenmemiş saklamayın. Bizden bir sunucu kiralıyorsanız, yedeklemeler için bir yer seçebilirsiniz.

Veritabanlarına erişim

Eleştirel olarak önemli veritabanları farklı SQL sunucularında saklanmalıdır. Kullanıcının adına lansmanı minimum güçlerle veya önceden beyaz bir IP adres listesinden yapılandırmanız gerekir.

Antivirüs savunma

Sunucuyu Windows'ta çalıştırmak için, otomatik olarak güncellenen anti-virüs yazılımını yüklemek, ağ depolama tesislerine sahip kullanıcılara önerilir. Linux için, Anti-Virüs Kurulumu, sunucu güvenliği ve yetkisiz erişim kontrolünün düzenli izlenmesine tabi değildir. Bunu yapmak için, Tiger Utility yararlı olabilir.

Ayda bir kez böyle bir denetim, sunucu işleminin doğruluğunu doğrulayın, güvenlik açıklarını ortadan kaldırır ve ağ altyapısının güvenliğini izlemeye yardımcı olacaktır.

BT altyapısı güvenlik sorusu, her türlü iş için daha fazla önem taşımaktadır. 1-2 satıcı ile geniş bir şube ağı veya çevrimiçi mağaza içeren bir grup şirket olup olmadığı.
Her sunucu için, ana amacı siteler için barındırma sağlayacak olan, kullanıcı verilerinin korunmasını sağlama sorusunudur.
Şirketimiz Sunucu Güvenlik Denetim Hizmetini sunar.

Bu hizmet şunları içerir:

- Sunucuda kurulu yazılımın sürümlerinin analizi, bilinen güvenlik sorunlarından yoksun mevcut güncel sürümlere uygunluk için. Kural olarak, Web sunucuları için, aşağıdaki yazılımın topikal sürümü önemlidir: Posta sunucusu, bir Web sunucusu, önbellekleme Web sunucusu (varsa), bir programlama dili tercümanı (PHP gibi hangi sitelerde), FTP sunucusu , Web uygulamaları (bir veya başka bir sunucu ayarlarına ve veri çalışmasına basitleştirilmiş erişim sağlamak için);
- Web sunucusunun ayarlarının analizi, eşlik eden yazılımın ayarları güvenlik için temel gerekliliklere uygun olarak;
- İşletim sistemi ayarlarının analizi. Bu noktada, bir saldırganın sunucu üzerindeki kontrolü yakalaması için potansiyel fırsat ile ilişkili ana noktaların bir analizi vardır. Kural olarak, SSH sunucusu ayarları yazılı, sabit disk işlemi seçenekleri;
- Gizli bilgiler içeren temel dosyalara ve sistem klasörlerine erişim haklarının analizi. Kural olarak, bu ürün çerçevesinde, ana sistem klasörlerinin bir incelemesi, sunucu kontrol paneli dosyaları, yedekleme ile dizin, kullanıcı klasörlerinin hakları;
- tehlikeye girme şüphesi altında olan ve kötü amaçlı eylemler yapmak için davetsiz misafirler tarafından kullanılabilecek sunucuda, uzmanlarımız bunu kötü amaçlı programlardan temizlemek ve bu durumun tekrarlanmasını önleyen gerekli önlemleri yerine getirecektir;

Linux Sunucusu güvenliği, verilerinizi, fikri mülkiyetinizi ve krakerlerin elinden geçen zamanınızı korumak için çok önemlidir. Linux işletim sistemi, sistem yöneticisinden sorumludur. Bu yazıda, Linux işletim sisteminizle yapacak yirmi şeyin her zaman güvenli ve güvenli bir şekilde korunması için düşüneceğiz. Bu bir ev bilgisayarı ise, daha sonra güvenlik hakkında, belki de, çok endişelenmeniz mantıklı, güvenilir şifreler için yeterli olacak ve internetten bağlantı noktalarına erişimi yetecek kadar olacaktır. Ancak bir kamu sunucusu durumunda, korunmasını sağlamaya dikkat etmeye değer.

Bu talimatlar, CentOS, Red Hat veya Ubuntu, Debian ne kullandığınız önemli değil, herhangi bir dağıtım için uygundur.

1. İletişim Şifreleme

Ağ üzerinden iletilen tüm veriler izlemeye açıktır. Bu nedenle, iletilen verileri şifreler, anahtarlar veya sertifikalarla mümkün olduğu durumlarda şifrelemeniz gerekir.

Dosyaları aktarmak için SCP, SSH, RSYNC veya SFTP kullanın. Ayrıca, SHHFS gibi araçları kullanarak uzak bir dosya sistemi giriş dizininize de takabilirsiniz.

GnUPG, özel bir kişisel anahtar kullanarak verilerinizi şifrelemenizi ve kaydolmanıza olanak sağlar. Anahtarları yönetmek ve açık anahtarlara erişmek için fonksiyonlar da vardır.

Fugu, SFTP protokolünü kullanarak dosyaları iletmek için grafiksel bir araçtır. SFTP FTP'ye çok benzer, ancak tüm oturum burada şifrelenmiştir. Bu, açık formda şifrenin veya komutların iletilmediği anlamına gelir. Ve bu nedenle bu tür programlar üçüncü şahıslara daha az savunmasızdır. Ayrıca FileZilla'yı kullanabilirsiniz, bu, SSH / TLS ve SSH Dosya Aktarım Protokolü (SFTP) ile FTS desteğine sahip bir çapraz platform FTP istemcisidir.

OpenVPN - SSH şifreleme destekli verimli ve kolay bir VPN istemcisi.

2. ftp, telnet, rlogin ve rsh kullanmamayı deneyin

Çoğu ağda, kullanıcı adlarında, FTP, Telnet'ten olan şifreler, RSH komutları, paket analizörünü kullanarak aynı ağdan herkes tarafından yakalanabilir. Bu sorunun genel çözümü, her zamanki FTP'ye SSL veya TL'ler ekleyen OPENSSH, SFTP veya SFTP'yi kullanmaktır. NIS, RSH ve diğer eski hizmetleri kaldırmak için böyle bir komut yapın:

yum Silme Inetd Xinetd Ypserv TFTP-Sunucu Telnet-Sunucu RSH-servis

3. Yazılım sayısını azaltın

Tüm yüklü web servislerine gerçekten ihtiyacınız var mı? Bu programlardaki güvenlik açıklarından kaçınmak için gereksiz yazılım yüklememelisiniz. Yüklü programları izlemek ve tüm gereksizleri silmek için toplu yöneticinizi kullanın:

yUM listesi yüklü
$ yum listesi paketi
$ yum paketi kaldır

dpkg - liste.
$ dpkg - info paketi
$ Apt-get cikli paketi

4. bir makine - bir servis

Ayrı sunucularda veya sanal makinelerde farklı hizmetler çalıştırın. Bu, tehlikeye girebilecek hizmet sayısını sınırlar. Örneğin, bir saldırgan Apache'yi kesmekse, tüm sunucuya erişebilir. MySQL, e-posta sunucusu ve benzeri gibi hizmetler dahil. Bu yazılımı sanallaştırma için XEN veya OpenVz olarak kullanabilirsiniz.

5. Linux çekirdeğini ve güncel tutun

Güvenlik yamalarının kullanımı, Linux sunucu güvenliğinin çok önemli bir parçasıdır. İşletim sistemi, sistemi güncellemek için tüm araçları sağlar ve yeni sürümlerle güncellenir. Tüm güvenlik güncellemeleri en kısa sürede uygulanmalıdır. Burada ayrıca paket yöneticinizi de kullanmanız gerekir. Örneğin:

Veya Debian Tabanlı Sistemler için:

sudo apt güncelleme && sudo apt yükseltme

Yeni güvenlik güncellemelerinin kullanılabilirliği hakkında e-posta göndermek için size bildirimleri göndermek için kırmızı şapka veya Fedora'yı yapılandırabilirsiniz. Ayrıca CRON üzerinden otomatik güncellemeyi de yapılandırabilir veya sistemi güncelleme ihtiyacını bildirmek için Debian'daki Aptcron'u kullanabilirsiniz.

6. Linux'taki güvenlik uzantılarını kullanın

Linux işletim sistemi, hatalı yapılandırmaya veya kötü amaçlı programlara karşı korumak için kullanılabilecek çeşitli güvenlik yamaları ile birlikte gelir. Ancak, bu kadar ek erişim kontrol sistemlerini Selinux veya AppArrmor olarak kullanabilirsiniz.

Selinux, Linux çekirdeği için çeşitli güvenlik politikaları sağlar. Roller kullanarak herhangi bir sistem kaynağına erişimi kontrol etmek mümkündür. Sadece program, rolü yapmanıza olanak sağlayan ve hatta süper kullanıcı kuralı erişebilecek. Selinux, Linux güvenlik sisteminin çok artmasıdır, çünkü buradaki kök bile olağan kullanıcı olarak kabul edilir. Ayrı bir makalede açıklanan hakkında daha fazla bilgi edinin.

7. Kullanıcı Hesapları ve Güvenilir Şifreler

Kullanıcı hesaplarını oluşturmak ve sürdürmek için UserAdd ve UserMod komutlarını kullanın. İyi ve güçlü bir şifreye sahip olduğunuzdan emin olun, tercihen özel karakterlerin veya sayıların bulunması gereken farklı kayıtlarda en az sekiz karakter içermesi gerekir. Örneğin, yedi harf ve bir karakter veya rakamdan 8 karakter. Sunucuda zayıf kullanıcı şifrelerini bulmak için Ripper gibi araçları kullanın.

8. Şifreleri zaman zaman değiştirin.

Değişim komutu, zorunlu şifre değişikliğinin görevinden önceki gün sayısını belirlemenizi sağlar. Bu bilgi, kullanıcının değiştirmesi gereken anı belirlemek için sistem tarafından kullanılır. Bu ayarlar /etc/login.defs içindedir. Şifre yaşlanmasını devre dışı bırakmak için aşağıdaki komutu girin:

change -L user_ ad

Şifrenin raf ömrü hakkında bilgi almak için komutu girin:

Ayrıca / etc / gölge dosyasında her şeyi manuel olarak yapılandırabilirsiniz:

(Kullanıcı şifresi): (Son seçim):(Maximum_Dain): (minimum_dney): (Bir uyarı):(devre dışı bırakmak):(Kürek çekmek):

  • Minimum gün - Parola değişiklikleri arasındaki minimum aralık, yani, kullanıcının şifreyi ne sıklıkta değiştirebileceğidir.
  • Maksimum günler - Şifre kaç gün uygun olacaktır, bu süreden sonra kullanıcı şifreyi değiştirmek zorunda kalır.
  • Bir uyarı - Kullanıcının şifreyi değiştirmesi gerektiği konusunda uyarılacağından sonraki gün sayısı.
  • Kürek çekmek) - 1 Ocak 1970'ten itibaren hesap tamamen devre dışı bırakıldığında gün sayısı.

cHAGE -M 60 -M 7 -W 7 user_ ad

Kullanıcıların eski şifreleri kullanmalarını yasaklamak, aksi takdirde, aksi takdirde tüm çabaları şifreleri zorla değiştirme girişimlerine sahip tüm çabaları sıfıra düşürülecektir.

9. Başarısız olmayan giriş denemelerinden sonra hesaplar

Linux işletim sisteminde, kullanıcılara girmek için başarısız girişimleri görüntülemek için Faillog komutunu kullanabilirsiniz. Ayrıca onunla, başarısız giriş girişimlerinin sınırını ayarlayabilirsiniz. Başarısız giriş girişimleri ile ilgili tüm bilgiler / var / log / faillog dosyasında saklanır. Bunu izlemek için:

Ve belirli bir hesap için kayıt deneme sınırını ayarlamak için kullanın:

faillog -R -U kullanıcısı

Passwd komutunu kullanarak da hesapları manuel olarak engelleyebilir veya açabilirsiniz. Kullanımı engellemek için:

passwd -L kullanıcısı.

Ve kilidini açmak için:

passwd -u kullanıcısı

Sistemdeki boş şifrelerle hesap olup olmadığını kontrol etmek de arzu edilir. Bunu yapmak için:

aWK -F: "($ 2 \u003d\u003d" ") (baskı)" / etc / gölge

Ayrıca bir gruba veya kimliğe sahip kullanıcının yok olup olmadığını kontrol edin. Böyle bir kullanıcı yalnızca bir olmalıdır ve bu kök. Bu komutu kontrol edebilirsiniz:

aWK -F: "(3 $ \u003d\u003d" 0 ") (baskı)" / etc / passwd

Sadece bir satır olmalı:

kök: X: 0: 0: Kök: / root: / bin / bash

Diğerleri varsa - onları çıkarın. Kullanıcılar, özellikle de zayıf şifreleri - Linux'ta güvenliği kırabilecek en savunmasız şeylerden biri.

10. Süperüzör için girişi ayırın

Linux güvenlik sistemini kaydetmek için, Oturum Aç'ı kullanıcının kökünündeki asla kullanmayın. Gerekli otoriteyi almak ve SuperUser adına istediğiniz komutu çalıştırmak için sudo kullanabilirsiniz. Bu komut, Superuser şifresini diğer yöneticilere açıklamamasına izin verir ve ayrıca izleme araçları, kısıtlamalar ve izleme işlemlerini de içerir.

11. Fiziksel Güvenlik Sunucusu

Linux sunucu güvenliği fiziksel güvenliği içermelidir. Fiziksel erişimi sunucu konsoluna sınırlamanız gerekir. BIOS'u yapılandırın, böylece yük, DVD, CD, USB gibi harici ortamlardan desteklenmez. Ayrıca, parametrelerini korumak için BIOS şifresini ve Grub önyükleyicisini de takın.

12. Gereksiz hizmetleri devre dışı bırakın

Kullanılmayan tüm hizmetleri ve şeytanları devre dışı bırakın. Ayrıca, bu hizmetleri otomatikleştirmeyi kaldırmayı unutmayın. Kırmızı şapka sistemlerinde bir ekibe sahip tüm aktif hizmetlerin bir listesini görebilirsiniz:

chkconfig - liste | GREP "3: Açık"

Servisi kapatmak için kullanın:

servis Durdurma Hizmeti
$ Chkconfig servisi kapalı

Tüm açık bağlantı noktalarını bulun:

Aynı, bir NMAP tarayıcı kullanılarak yapılabilir:

nmap -st -o localhost

Ağdan erişilememesi gereken tüm bağlantı noktalarını kapatmak için iPtables kullanın. Veya yukarıda açıklandığı gibi gereksiz hizmetleri durdurun.

13. X sunucusunu kaldırın

Sunucu bilgisayarındaki X sunucusu - Şey tamamen isteğe bağlıdır. Seçilen bir Apache veya e-posta sunucusunda grafik ortamı yapmanız gerekmez. Güvenliği ve performansı artırmak için bu yazılımı silin.

14. İPTBablar Yapılandırma

İPTables, NetFilter ürün yazılımını yapılandırmak için bir kullanıcı alanı programıdır. Tüm trafiği filtrelemenizi ve yalnızca belirli trafik türlerine izin vermenizi sağlar. Ayrıca İnternet erişimi filtrelemek için TCPWRappers - ACL sistemi kullanın. İPTTables kullanarak birçok DOS saldırısını önleyebilirsiniz. Linux'taki ağ güvenliği, sistemin genel güvenliğinin çok önemli bir noktasıdır.

15. Çekirdeği ayarlayın

/Etc/sysctl.conf dosyasında, çekirdek ayarları, sistem başlangıcında yüklenir ve kullanılabilir.

ExecShield Tampon Taşmasını Etkinleştir:

kernel.exec-Shield \u003d 1
Kernel.Randomize_va_space \u003d 1.

IP takip korumasını etkinleştir:

net.ipv4.conf.all.rp_filter \u003d 1.

IP adres yönlendirmesini devre dışı bırakın:

net.ipv4.conf.all.Accept_source_route \u003d 0.

Yayın isteklerini yoksay:

net.ipv4.icmp_echo_ignore_broadcasts \u003d 1.
net.IPV4.ICMP_IGNORE_BOGUS_ERROR_MESSESS \u003d 1.

Lojgy Tüm Sahte Paketler:

net.ipv4.conf.all.log_martians \u003d 1.

16. Sabit diski bölümlere kaydırın

Sabit diskin dosyaların varış noktasına bağlı olarak bölümlere ayrılması, Linux işletim sisteminin güvenliğini arttırır. Bu tür dizinler için bireysel bölümler yapmanız önerilir:

  • / Ev.
  • / Var ve / var / tmp

Apache ve FTP sunucularının kök dizinleri için ayrı bölümler yapın. / Etc / fstab dosyasını açın ve istediğiniz bölümler için özel seçenekleri ayarlayın:

  • noexec. - Bu bölümdeki herhangi bir program veya yürütülebilir dosyayı yerine getirmeyin, yalnızca komut dosyalarına izin verilir.
  • nodev - Bu bölümdeki sembolik veya özel cihazları çözmeyin.
  • nosuid. - Bu bölümdeki programlara suid / SGID erişimine izin vermeyin.

17. Disk alanı sınırını kullanın

Kullanıcılar için mevcut disk alanını sınırlayın. Bunu yapmak için / etc / fstab'da bir disk kotası oluşturun, dosya sistemlerini yeniden monte edin ve bir disk kotası veritabanı oluşturun. Bu, Linux'taki güvenliği artıracaktır.

18. IPv6'yı devre dışı bırakın.

Internet IPv6 internet protokolü, gelecekte kullanılan IPv4'ün yerini alacaktır. Ancak şu anda, IPv6'yı temel alan ağ güvenliğini kontrol etmenizi sağlayan hiçbir araç yoktur. Birçok Linux dağıtımı varsayılan IPv6 protokolüne izin verir. Bilgisayar korsanları istenmeyen trafik gönderebilir ve yöneticiler onu takip edemeyecektir. Öyleyse bu hizmet, kapatmanız gerekmezse.

19. Kullanılmayan suid ve SGID ikili dosyalarını devre dışı bırakın

SUID veya SGID bayrağının potansiyel olarak tehlikeli olduğu tüm çalıştırılabilir dosyalar. Bu bayrak, programın Süper kullanıcı haklarıyla gerçekleştirileceği anlamına gelir. Ve bu, programdaki bazı güvenlik açığı veya hatalar varsa, yerel veya uzak kullanıcının bu dosyayı kullanabileceği anlamına gelir. Aşağıdaki komutu kullanarak tüm bu dosyaları bulun:

bul / -Perm +4000

SGID bayrağı ayarlı dosyaları bulun:

bul / -Perm +2000

Veya tüm bunları aynı komutta birleştirin:

bul / \\ (- Perm -4000 -O -O -PERM -2000 \\) -Print
$ Bul /--Path -prune -o -type f -Perm +6000 -LS

Bir dosyanın ne kadar gerekli olduğunu anlamak için her dosyada detaylı olarak incelemeniz gerekecektir.

20. Genel Dosyalar

Ayrıca, sistemdeki tüm kullanıcıları değiştirebilecek dosyaları bulmanız da tavsiye edilir. Bunu yapmak için aşağıdaki komutu kullanın:

bul / DirxDev -Type D \\ (- Perm -0002 -a! -Perm -1000 \\) -Print

Artık, hakların grup için doğru şekilde ayarlanıp ayarlanmadığını ve her dosyanın sahibi olup olmadığını kontrol etmeniz ve güvenlik tehditlerini yerine getirmez.

Aynı zamanda kimseye ait olmayan tüm dosyaları bulmak da arzu edilir:

bul / dir -xdev \\ (- Nouser -o -NoGroup \\) -Print

21. Merkezi kimlik doğrulama sistemini kullanın

Merkezi bir kimlik doğrulama sistemi olmadan, kullanıcı verileri çelişkilidir, bu da eski kimlik bilgilerine yol açabilir ve uzun zaman önce kaldırılması gereken hesapları unutmak. Merkezi hizmet, farklı Linux ve UNIX sistemlerinde hesaplar üzerinde kontrol ve kimlik doğrulama veri verilerini korumanıza izin verecektir. Kimlik doğrulama verilerini sunucular arasında senkronize edebilirsiniz. Ancak NIS servisini kullanmayın, açık DAP'a doğru bakmak daha iyidir.

Böyle bir sistemin ilginç uygulamalarından biri Kerberos'dur. Kullanıcıların, paketlerin önlenebileceği ve değiştirilebileceği ağlarda gizli bir anahtar kullanarak kimlik doğrulamanızı sağlar. Kerberos, verileri şifrelemek için simetrik bir anahtar kullanır ve çalışmaları için bir anahtar yönetim merkezi gerektirir. Uzaktan giriş yapmayı, uzaktan kopyalamayı, sistemler ile diğer görevler arasındaki dosyaları yüksek düzeyde bir güvenlik ile yapılandırabilirsiniz.

22. Günlükleme ve Denetim

Başarısız olan tüm giriş girişimlerini ve hackleme girişimlerini toplamak ve korumak için kayıt ve denetim yapılandırın. Varsayılan olarak, tüm günlükleri veya en azından çoğu / var / log / klasöründedir. Kesin dedikleri hakkında daha fazla bilgi edinin, ayrı bir makalede konuştuk.

Günlükleri, bu tür yardımcı programları kullanarak logo veya lojcheck olarak izleyebilirsiniz. Okuma günlüklerini büyük ölçüde basitleştirirler. Tüm dosyayı göremezsiniz, ancak yalnızca ilgilendiğiniz olayları, ayrıca e-posta adresine bir bildirim gönderin.

AUDITD servisini kullanarak sistemi izleyin. Program, diske, ilgilendiğiniz denetimin tüm olaylarını yazar. Tüm denetim ayarları /etc/audit.Rules dosyasında depolanır. Servis başladığında, servis tüm kuralları bu dosyadan okur. Açabilir ve ihtiyacınız olarak her şeyi yapılandırabilir veya ayrı bir yardımcı program kullanabilirsiniz - AUDITCTCTL. Bu tür anları yapılandırabilirsiniz:

  • Sistem başlatma ve kapatma olayları
  • Olayların tarihi ve saati
  • Özel olaylar (örneğin, belirli bir dosyaya erişim)
  • Olay Türü (Düzenleme, Erişim, Sil, Kayıt, Güncelleme vb.)
  • Bir etkinlik yürütürken iyi şanslar veya başarısızlık
  • Etkinlik ayarlarını kaydedin Ayarları değiştir
  • Kullanıcıların ve grupların değişikliklerini kaydetme
  • Dosya değişikliklerini izleme

23. OpenSSH sunucusunu koruyun

Sadece Protokol 2 kullanımına izin verin:

Superuser adına girişi devre dışı bırakın:

24. IDS'yi yükleyin

IDS veya izinsiz giriş algılama sistemi, DOS saldırısı, tarama portları veya hatta ağ trafiğini izleyerek bilgisayarı kırma girişimleri gibi şüpheli, kötü amaçlı aktiviteleri tespit etmeye çalışır.

İyi uygulama - Sistem internetten temin edilmeden önce bu yazılımı dağıtın. AIDE'i ayarlayabilirsiniz, sisteminizin dahili cihazının tüm yönlerini kontrol edebilecek HIDS (ana bilgisayar tabanlı kimlikler).

Snort, ağdan izinsiz giriş denemelerini tespit etmek için bir yazılımdır. Paketleri gerçekleştirebilir ve kaydedebilir ve gerçek zamanlı ağ trafiğini analiz edebilir.

25. Dosyalarınızı ve dizinlerinizi koruyun.

Linux, dosyalara yetkisiz erişime karşı mükemmel koruma araçlarına sahiptir. Bununla birlikte, Linux ve dosya sistemi tarafından belirlenen izinler, saldırganın bilgisayara fiziksel olarak erişildiğinde hiçbir şey ifade etmiyor ve verilerinizi kopyalamak için bilgisayarın bir sabit sürücüsünü başka bir sisteme bağlayabilir. Ancak, şifreleme kullanarak dosyalarınızı kolayca koruyabilirsiniz:

  • Dosya dosyasını şifrelemek ve şifresini çözmek için GPG kullanın.
  • OpenSSL kullanarak dosyaları da koruyabilirsiniz.
  • Katalog Şifreleme ECLYPTFS kullanılarak gerçekleştirilir.
  • TrueCrypt - Windows ve Linux'ta Şifreleme Diskleri İçin Ücretsiz Aracı

sonuç

Şimdi bilgisayarınızda Linux güvenliği çok büyütülecek. Karmaşık şifreleri ve zaman zaman koymayı unutmayın. Sistemin güvenliğini sağlamak için en sevdiğiniz aracı yorumlarda yazın.