LFCA - kasulikud näpunäited andmete ja Linuxi turvamiseks - 18. osa


Alates väljaandmisest üheksakümnendate alguses on Linux pälvinud tehnoloogiakogukonna imetluse tänu oma stabiilsusele, mitmekülgsusele, kohandatavusele ja suurele avatud lähtekoodiga arendajate kogukonnale, kes töötab ööpäevaringselt veaparanduste ja täiustuste pakkumisel. operatsioonisüsteem. Üldiselt on Linux avalike pilvede, serverite ja superarvutite jaoks valitud operatsioonisüsteem ning peaaegu 75% Interneti-põhistest tootmisserveritest töötab Linuxis.

Peale interneti toite on Linux leidnud tee digitaalsesse maailma ega ole sellest ajast alates raugenud. See annab suure hulga nutiseadmeid, sealhulgas Androidi nutitelefonid, tahvelarvutid, nutikellad, nutiekraanid ja palju muud.

Kas Linux on nii turvaline?

Linux on tuntud oma tipptasemel turvalisuse poolest ja see on üks põhjustest, miks ta teeb ettevõttekeskkondades lemmikvaliku. Kuid siin on fakt, et ükski operatsioonisüsteem pole 100% turvaline. Paljud kasutajad usuvad, et Linux on lollikindel operatsioonisüsteem, mis on vale oletus. Tegelikult on kõik Interneti-ühendusega opsüsteemid vastuvõtlikud potentsiaalsetele rikkumistele ja pahavara rünnakutele.

Algusaastatel oli Linuxil palju väiksem tehnikakeskne demograafia ja oht pahavara rünnakute all kannatada oli väike. Tänapäeval kasutab Linux tohutut osa internetist ja see on ohu maastiku kasvu edasi viinud. Pahavararünnakute oht on reaalsem kui kunagi varem.

Täiuslik näide pahavara rünnakust Linuxi süsteemidele on Erebusi lunavara, failide krüptimine pahavara, mis mõjutas Lõuna-Korea veebimajutusettevõtte NAYANA ligi 153 Linuxi serverit.

Sel põhjusel on mõistlik operatsioonisüsteemi veelgi karastada, et see oleks teie andmete kaitsmiseks soovitud turvalisus.

Linuxi serveri karastamise näpunäited

Teie Linuxi serveri turvamine pole nii keeruline, kui võite arvata. Oleme koostanud loetelu parimatest turbepoliitikatest, mida peate rakendama oma süsteemi turvalisuse tugevdamiseks ja andmete terviklikkuse säilitamiseks.

Equifaxi rikkumise algfaasis kasutasid häkkerid Equifaxi kliendikaebuste veebiportaalis laialt tuntud haavatavust - Apache Strutse.

Apache Struts on avatud lähtekoodiga raamistik kaasaegsete ja elegantsete Java-veebirakenduste loomiseks, mille on välja töötanud Apache Foundation. Fond avaldas haavatavuse parandamiseks plaastri 7. märtsil 2017 ja avaldas sellekohase avalduse.

Equifaxile teatati haavatavusest ja soovitati nende rakendus lappida, kuid kahjuks jäi haavatavus alles sama aasta juulini, kusjuures oli juba hilja. Ründajad said juurdepääsu ettevõtte võrgule ja andmebaasidest välja filtreerida miljoneid konfidentsiaalseid klientide kirjeid. Kui Equifax sai toimuvast tuule, oli juba kaks kuud möödas.

Mida me sellest siis õppida saame?

Pahatahtlikud kasutajad või häkkerid uurivad teie serveril alati võimalikke tarkvara nõrkusi, mida nad saavad seejärel teie süsteemi rikkumiseks kasutada. Turvalisuse tagamiseks värskendage oma tarkvara alati selle praegustele versioonidele, et olemasolevatele haavatavustele plaastrid rakendada.

Kui kasutate Ubuntu või Debiani põhiseid süsteeme, on esimene samm tavaliselt pakettide loendite või hoidlate värskendamine, nagu näidatud.

$ sudo apt update

Kõigi saadaolevate värskendustega pakettide kontrollimiseks käivitage käsk:

$ sudo apt list --upgradable

Uuendage tarkvararakendused nende praegustele versioonidele, nagu näidatud:

$ sudo apt upgrade

Saate need kaks ühendada ühes käsus, nagu näidatud.

$ sudo apt update && sudo apt upgrade

RHEL & CentOSi jaoks värskendage oma rakendusi, käivitades käsu:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Teine otstarbekas võimalus on seadistada CentOS/RHEL automaatsed värskendused.

Vaatamata arvukate kaugprotokollide toetamisele võivad sellised pärandteenused nagu rlogin, telnet, TFTP ja FTP teie süsteemile tohutuid turbeprobleeme tekitada. Need on vanad, aegunud ja ebaturvalised protokollid, kus andmed saadetakse lihttekstina. Kui need on olemas, kaaluge nende eemaldamist, nagu näidatud.

Ubuntu/Debiani põhiste süsteemide korral käivitage:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

RHEL/CentOS-põhiste süsteemide puhul tehke järgmist.

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Kui olete kõik ebaturvalised teenused eemaldanud, on oluline otsida oma serverist avatud sadamaid ja sulgeda kõik kasutamata sadamad, mida häkkerid võivad sisestuspunkti kasutada.

Oletame, et soovite blokeerida UFW tulemüüri porti 7070. Selle käsk on:

$ sudo ufw deny 7070/tcp

Seejärel laadige tulemüür uuesti, et muudatused jõustuksid.

$ sudo ufw reload

Firewalldi jaoks käivitage käsk:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Ja pidage meeles, et laadige tulemüür uuesti.

$ sudo firewall-cmd --reload

Seejärel kontrollige tulemüüri reegleid, nagu näidatud:

$ sudo firewall-cmd --list-all

SSH-protokoll on kaugprotokoll, mis võimaldab teil võrgus olevate seadmetega turvaliselt ühendust luua. Kuigi seda peetakse turvaliseks, ei ole vaikeseaded piisavad ja pahatahtlike kasutajate veelgi pidurdamiseks teie süsteemi rikkumisest on vaja täiendavaid muudatusi.

Meil on põhjalik juhend SSH-protokolli karastamiseks. Siin on peamised tipphetked.

  • Konfigureerige paroolita SSH sisselogimine ja lubage privaatse/avaliku võtme autentimine.
  • Keela SSH juurjuure sisselogimine.
  • Keelake tühjade paroolidega kasutajate SSH-i sisselogimised.
  • Keelake parooli autentimine täielikult ja järgige SSH-i privaatse/avaliku võtme autentimist.
  • Piirake juurdepääsu konkreetsetele SSH-i kasutajatele.
  • konfigureerige paroolikatsete limiit.

Fail2ban on avatud lähtekoodiga sissetungide vältimise süsteem, mis kaitseb teie serverit jõhkrate rünnakute eest. See kaitseb teie Linuxi süsteemi, keelates IP-d, mis näitavad pahatahtlikku tegevust, näiteks liiga palju sisselogimiskatseid. Pakendis on see koos populaarsete teenuste nagu Apache veebiserver, vsftpd ja SSH filtritega.

Meil on juhend Fail2bani konfigureerimiseks SSH-protokolli täiendavaks kindlustamiseks.

Paroolide taaskasutamine või nõrkade ja lihtsate paroolide kasutamine õõnestab oluliselt teie süsteemi turvalisust. Jõustate paroolipoliitika, kasutage parooli tugevusnõuete määramiseks või konfigureerimiseks pam_cracklibi.

PAM-mooduli abil saate parooli tugevuse määratleda faili /etc/pam.d/system-auth redigeerimisega. Näiteks saate määrata parooli keerukuse ja takistada paroolide taaskasutamist.

Kui kasutate veebisaiti, veenduge alati, et kasutajate brauseri ja veebiserveri vahel vahetatud andmete krüptimiseks peaksite oma domeeni turvama SSL/TLS-sertifikaadiga.

Kui olete oma saidi krüptinud, kaaluge ka nõrkade krüptimisprotokollide keelamist. Selle juhendi kirjutamise ajal on uusim protokoll TLS 1.3, mis on kõige levinum ja laialdasemalt kasutatav protokoll. Varasemad versioonid nagu TLS 1.0, TLS 1.2 ja SSLv1 kuni SSLv3 on seotud teadaolevate haavatavustega.

[Samuti võib teile meeldida: Kuidas lubada TLS 1.3 Apache'is ja Nginxis]

See oli kokkuvõte mõnest sammust, mida saate teha oma Linuxi süsteemi andmete turvalisuse ja privaatsuse tagamiseks.