LFCA: põhilised turvanõuanded Linuxi süsteemi kaitsmiseks - 17. osa


Nüüd elame rohkem kui kunagi varem maailmas, kus organisatsioone pommitavad pidevalt turvarikkumised, mille põhjuseks on ülitundlike ja konfidentsiaalsete andmete omandamine, mis on väga väärtuslik ja annab tohutut rahalist tasu.

See on pigem üllatav, et hoolimata potentsiaalselt laastava küberrünnaku ohu all kannatamise suurest riskist ei ole enamik ettevõtteid hästi ette valmistatud või jätavad punased lipud lihtsalt tähelepanuta, millel on sageli laastavad tagajärjed.

2016. aastal kannatas Equifax katastroofilises andmete rikkumises, kus mitmete turvakatkestuste tõttu varastati miljoneid väga konfidentsiaalseid klientide andmeid. Üksikasjalik aruanne näitas, et rikkumine oli välditav, kui Equifaxi turvameeskond oleks rakendanud õigeid turvameetmeid.

Tegelikult hoiatati mitu kuud enne rikkumist Equifaxi nende veebiportaalis võimaliku haavatavuse eest, mis kahjustaks nende turvalisust, kuid kahjuks jäeti hoiatus tõsiste tagajärgedega arvestamata. Paljud teised suured korporatsioonid on langenud rünnakute ohvriks, mis on iga hetkega järjest keerukam.

Me ei saa piisavalt rõhutada, kui oluline on teie Linuxi süsteemi turvalisus. Te ei pruugi olla tähelepanuväärne finantsasutus, mis on rikkumiste potentsiaalne sihtmärk, kuid see ei tähenda, et peaksite oma valvurit alt vedama.

Turvalisus peaks olema Linuxi serveri seadistamisel ülimalt tähtis, eriti kui see on ühendatud Internetiga ja sellele pääseb juurde kaugjuurdepääsu kaudu. Põhiliste turvaoskuste omamine on teie Linuxi serveri kaitsmisel hädavajalik.

Selles juhendis keskendume mõnele põhilisele turvameetmele, mida saate oma süsteemi kaitsmiseks sissetungijate eest võtta.

Küberrünnaku vektorid

Sissetungijad kasutavad teie Linuxi serverile juurdepääsu saamiseks mitmesuguseid ründetehnikaid. Enne kui tutvume mõningate meetmetega, mida saate oma süsteemi kaitsmiseks võtta, kasutagem mõnda levinumat rünnakuvektorit, mida häkker saab süsteemidesse imbuda.

Jõhker rünnak on rünnak, kus häkker kasutab katse-eksituse meetodil kasutaja sisselogimisandmete äraarvamiseks. Tavaliselt kasutab sissetungija automaatseid skripte, et pidevalt siseneda, kuni saadakse õige kasutajanime ja parooli kombinatsioon. Selline rünnak on kõige tõhusam kohtades, kus kasutatakse nõrku ja kergesti aimatavaid paroole.

Nagu varem viidatud, kujutavad nõrgad mandaadid, näiteks lühikesed ja kergesti ära arvatavad paroolid, näiteks password1234, teie süsteemile potentsiaalset ohtu. Mida lühem ja vähem keeruline parool on, seda suurem on tõenäosus, et teie süsteem on ohustatud.

Andmepüük on sotsiaalse inseneri tehnika, kus ründaja saadab ohvrile meili, mis näib olevat pärit seaduslikust asutusest või kelleltki, kellega te tunnete või kellega teete äri.

Tavaliselt sisaldab e-kiri juhiseid, mis õhutavad ohvrit tundlikku teavet avaldama või võivad sisaldada linki, mis suunab ta võltssaidile, mis kujutab endast ettevõtte saiti. Kui ohver üritab sisse logida, võtab ründaja nende volikirjad kinni.

Pahavara on pahatahtliku tarkvara lühend. See hõlmab paljusid alatuid rakendusi, nagu viirused, Trooja hobused, ussid ja lunavara, mis on loodud levima kiiresti ja hoiab ohvri süsteemi lunaraha eest pantvangi.

Sellised rünnakud võivad olla kurnavad ja halvata organisatsiooni äri. Mõnda pahavara saab süstida dokumentidesse, näiteks piltidesse, videotesse, Wordi või PowerPointi dokumentidesse, ja pakkida andmepüügi meilisõnumitesse.

DoS-rünnak on rünnak, mis piirab või mõjutab serveri või arvutisüsteemi kättesaadavust. Häkker ujutab serveri üle liikluse või pingipakettidega, mis muudavad serveri kasutajate jaoks pikaajaliseks kättesaamatuks.

DDoS (Distributed Denial of Service) rünnak on omamoodi DoS, mis kasutab mitut süsteemi, mis uputavad sihtmärgi liiklusega, mis muudab selle kättesaamatuks.

Struktureeritud päringukeele lühend SQL on keel, mida kasutatakse andmebaasidega suhtlemiseks. See võimaldab kasutajatel andmebaasis kirjeid luua, kustutada ja värskendada. Paljud serverid salvestavad andmeid relatsioonandmebaasidesse, mis kasutavad SQL-i andmebaasiga suhtlemiseks.

SQL-i süstimisrünnak kasutab ära teadaolevat SQL-i haavatavust, mis sunnib serverit avaldama tundlikku andmebaasiteavet, mida ta muidu ei teeks, pahatahtliku SQL-koodi sisestamisega. See kujutab endast tohutut riski, kui andmebaas salvestab isikut tuvastavat teavet, näiteks krediitkaardinumbrid, sotsiaalkindlustuse numbrid ja paroolid.

Tavaliselt lühendatult MITM tähendab rünnaku keskel ründaja pealtkuulamist kahe punkti vahel eesmärgiga pealt kuulata või muuta kahe osapoole vahelist liiklust. Eesmärk on ohvri järele luurata, andmeid rikkuda või tundlikku teavet varastada.

Põhilised näpunäited Linuxi serveri turvamiseks

Olles uurinud potentsiaalseid väravaid, mida ründaja saab teie süsteemi rikkumiseks kasutada, vaatame üle mõned põhimeetmed, mida saate oma süsteemi kaitsmiseks rakendada.

Teie serveri füüsilisele asukohale ja turvalisusele ei mõelda kuigi palju. Kui aga kavatsete oma serveri kasutada kohapealses keskkonnas, alustaksite tavaliselt seda.

Oluline on tagada, et teie server on andmekeskuses turvaliselt turvatud, toide, üleliigne Interneti-ühendus ja piisav jahutus. Juurdepääs andmekeskusele peaks olema piiratud ainult volitatud töötajatega.

Kui server on seadistatud, tuleb kõigepealt uuendada hoidlaid ja rakendustarkvarapakette järgmiselt. Paketi värskendamine parandab kõik lüngad, mis võivad esineda rakenduste olemasolevates versioonides.

Ubuntu/Debiani distributsioonide jaoks:

$ sudo apt update -y
$ sudo apt upgrade -y

RHEL/CentOS jaotuste jaoks:

$ sudo yum upgrade -y

Tulemüür on rakendus, mis filtreerib sissetulevat ja väljaminevat liiklust. Peate installima tugeva tulemüüri, näiteks UFW tulemüüri ja lubama sellel lubada ainult nõutavaid teenuseid ja neile vastavaid porte.

Näiteks võite selle installida Ubuntu käsuga:

$ sudo apt install ufw

Pärast installimist lubage see järgmiselt:

$ sudo ufw enable

Sellise teenuse nagu HTTPS lubamiseks käivitage käsk;

$ sudo ufw allow https

Teise võimalusena võite lubada selle vastava pordi, mis on 443.

$ sudo ufw allow 443/tcp

Seejärel laadige muudatuste jõustumiseks uuesti.

$ sudo ufw reload

Tulemüüri oleku kontrollimiseks, sealhulgas lubatud teenused ja avatud pordid, käivitage

$ sudo ufw status

Lisaks kaaluge tulemüüri kasutamata või mittevajalike teenuste ja pordide väljalülitamist. Mitme pordi olemasolu, mida ei kasutata, suurendab rünnakumaastikku.

SSH vaikesätted pole turvalised ja seetõttu on vaja mõningaid muudatusi teha. Jõustage kindlasti järgmised seaded:

  • Keelake juurkasutaja kaugsisselogimise kaudu.
  • Lubage paroolideta SSH-autentimine SSH-i avalike/privaatsete võtmete abil.

Esimese punkti jaoks muutke faili/etc/ssh/sshd_config ja muutke järgmisi parameetreid, et need ilmuksid nagu näidatud.

PermitRootLogin no

Kui keelate juurkasutajal kaugsisselogimise, looge tavakasutaja ja määrake sudoõigused. Näiteks.

$ sudo adduser user 
$ sudo usermod -aG sudo user 

Paroolita autentimise lubamiseks minge esmalt teise Linuxi arvutisse - eelistatavalt oma arvutisse ja genereerige SSH-võtmepaar.

$ ssh-keygen

Seejärel kopeerige avalik võti oma serverisse

$ ssh-copy-id [email 

Pärast sisselogimist keelake parooli autentimine, muutes faili/etc/ssh/sshd_config ja muutes näidatud parameetrit.

PasswordAuthentication no

Ärge unustage oma ssh-privaatvõtit, kuna see on ainus võimalus, mida saate sisse logida. Hoidke seda turvaliselt ja soovitavalt varundage see pilves.

Lõpuks taaskäivitage SSH muudatuste elluviimiseks

$ sudo systemctl restart sshd

Arenevate küberohtudega maailmas peaks turvalisus olema Linuxi serveri seadistamisel esmatähtis. Selles juhendis oleme välja toonud mõned peamised turvameetmed, mida saate oma serveri kindlustamiseks võtta. Järgmises teemas käsitleme põhjalikumalt ja uurime täiendavaid samme, mida saate oma serveri karastamiseks teha.