Veiligheid

Inleiding tot Linux Server Security Hardening

Inleiding tot Linux Server Security Hardening
Het beveiligen van uw Linux-server(s) is een moeilijke en tijdrovende taak voor systeembeheerders, maar het is noodzakelijk om de beveiliging van de server te versterken om deze te beschermen tegen aanvallers en Black Hat-hackers. U kunt uw server beveiligen door het systeem goed te configureren en zo min mogelijk software te installeren. Er zijn enkele tips die u kunnen helpen uw server te beveiligen tegen netwerk- en privilege-escalatie-aanvallen.

Upgrade je kernel

Verouderde kernel is altijd vatbaar voor verschillende netwerk- en privilege-escalatie-aanvallen. U kunt uw kernel dus bijwerken met geschikt in Debian of jammie in Fedora.

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Root Cron-taken uitschakelen

Cron-taken die worden uitgevoerd via een root- of een account met hoge privileges kunnen worden gebruikt als een manier om hoge privileges te verkrijgen door aanvallers. U kunt actieve cron-taken zien door:

$ ls /etc/cron*

Strikte firewallregels

U moet elke onnodige inkomende of uitgaande verbinding op ongebruikelijke poorten blokkeren. U kunt uw firewallregels bijwerken met by iptables. Iptables is een zeer flexibel en gemakkelijk te gebruiken hulpprogramma dat wordt gebruikt om inkomend of uitgaand verkeer te blokkeren of toe te staan. Om te installeren, schrijf

$ sudo apt-get install iptables

Hier is een voorbeeld om inkomende op de FTP-poort te blokkeren met iptables

$ iptables -A INPUT -p tcp --dport ftp -j DROP

Schakel onnodige services uit

Stop alle ongewenste services en daemons die op uw systeem worden uitgevoerd. U kunt actieve services weergeven met behulp van de volgende opdrachten:.

[e-mail beveiligd]:~$ service --status-all
[ + ]  acpid
[ - ]  alsa-utils
[ - ]  anacron
[ + ]  apache-htcacheclean
[ + ]  apache2
[ + ]  kleding
[ + ]  app
[ + ]  avahi-daemon
[ + ]  binfmt-support
[ + ]  bluetooth
[ - ]  cgroupfs-mount
 
... knip ..

OF met behulp van de volgende opdracht:

$ chkconfig --list | grep '3:aan'

Typ . om een ​​service te stoppen

$ sudo-service [SERVICE_NAME] stoppen

OF

$ sudo systemctl stop [SERVICE_NAME]

Controleren op backdoors en rootkits

Hulpprogramma's zoals rkhunter en chkrootkit kunnen worden gebruikt om bekende en onbekende backdoors en rootkits te detecteren. Ze verifiëren geïnstalleerde pakketten en configuraties om de systeembeveiliging te verifiëren. Schrijven om te installeren,

[e-mail beveiligd]:~$ sudo apt-get install rkhunter -y

Om uw systeem te scannen, typt u

[email protected]:~$ sudo rkhunter --check
[ Rootkit Hunter-versie 1.4.6 ]
 
Systeemopdrachten controleren..
 
'strings'-opdrachtcontroles uitvoeren
Commando 'strings' controleren                           [ OK ]
 
Controles 'gedeelde bibliotheken' uitvoeren
Controleren op vooraf geladen variabelen                    [ Geen gevonden ]
Controleren op vooraf geladen bibliotheken                     [ Geen gevonden ]
LD_LIBRARY_PATH-variabele controleren                    [ Niet gevonden ]
 
Controles van bestandseigenschappen uitvoeren
Controleren op vereisten                           [ OK ]
/usr/sbin/adduser                                    [ OK ]
/usr/sbin/chroot                                      [ OK ]
 
... knip ..

Luisterpoorten controleren

U moet controleren op luisterpoorten die niet worden gebruikt en deze uitschakelen. Om te controleren op open poorten, schrijf.

[e-mail beveiligd]:~$ sudo netstat -ulpnt
Actieve internetverbindingen (alleen servers)
Proto Recv-Q Send-Q Lokaal adres      Buitenlands adres   Staat      PID/programmanaam
tcp        0    0 127.0.0.1:6379        0.0.0.0:*        LUISTEREN     2136/redis-server 1
tcp        0    0 0.0.0.0:111           0.0.0.0:*        LUISTEREN     1273/rpcbind
tcp        0    0 127.0.0.1:5939        0.0.0.0:*        LUISTEREN     2989/teamviewerd
tcp        0    0 127.0.0.53:53         0.0.0.0:*        LUISTEREN     1287/systemd-resolv
tcp        0    0 0.0.0.0:22            0.0.0.0:*        LUISTEREN     1939/sshd
tcp        0    0 127.0.0.1:631         0.0.0.0:*        LUISTEREN     20042/cupsd
tcp        0    0 127.0.0.1:5432        0.0.0.0:*        LUISTEREN     1887/postgres
tcp        0    0 0.0.0.0:25            0.0.0.0:*        LUISTEREN     31259/master
... knip ..

Gebruik een IDS (Intrusion Testing System)

Gebruik een IDS om netwerklogboeken te controleren en kwaadaardige activiteiten te voorkomen. Er is een open source IDS Snort beschikbaar voor Linux. Je kunt het installeren door,

$ wget https://www.snuiven.org/downloads/snort/daq-2.0.6.teer.gz
$ wget https://www.snuiven.org/downloads/snort/snort-2.9.12.teer.gz
$ tar xvzf daq-2.0.6.teer.gz
$ cd daq-2.0.6
$ ./configure && make && sudo make install
$ tar xvzf snuiven-2.9.12.teer.gz
$ cd snuiven-2.9.12
$ ./configure --enable-sourcefire && make && sudo make install

Om het netwerkverkeer te controleren, typt u

[e-mail beveiligd]:~$ sudo snort
Wordt uitgevoerd in pakketdumpmodus
--== Snort initialiseren ==--
Uitvoerplug-ins initialiseren!
pcap DAQ geconfigureerd naar passief.
Netwerkverkeer ophalen van "tun0".
Ruwe IP4 decoderen
 
--== Initialisatie voltooid ==--
 
... knip ..

Logboekregistratie uitschakelen als root

Root fungeert als een gebruiker met volledige privileges, het heeft de macht om alles met het systeem te doen. In plaats daarvan moet u het gebruik van sudo afdwingen om administratieve opdrachten uit te voeren.

Bestanden zonder eigenaar verwijderen

Bestanden die eigendom zijn van geen enkele gebruiker of groep kunnen een beveiligingsrisico vormen. U moet naar deze bestanden zoeken en ze verwijderen of een juiste gebruiker een groep toewijzen. Om naar deze bestanden te zoeken, typt u

$ find /dir -xdev \( -nouser -o -nogroup \) -print

Gebruik SSH en sFTP

Gebruik voor bestandsoverdracht en beheer op afstand SSH en sFTP in plaats van telnet en andere onveilige, open en niet-versleutelde protocollen. Typ install om te installeren

$ sudo apt-get install vsftpd -y
$ sudo apt-get install openssh-server -y

Logboeken controleren

Installeer en configureer een hulpprogramma voor het analyseren van logboeken om systeemlogboeken en gebeurtenisgegevens regelmatig te controleren om verdachte activiteiten te voorkomen. Type

$ sudo apt-get install -y loganalyzer

Verwijder ongebruikte software

Installeer zo min mogelijk software om een ​​klein aanvalsoppervlak te behouden. Hoe meer software je hebt, hoe meer kans op aanvallen je hebt. Dus verwijder alle onnodige software van uw systeem. Om geïnstalleerde pakketten te zien, schrijf

$ dpkg --lijst
$ dpkg --info
$ apt-get-lijst [PACKAGE_NAME]

Een pakket verwijderen:

$ sudo apt-get remove [PACKAGE_NAME] -y
$ sudo apt-get clean

conclusie

Beveiliging van Linux-servers is erg belangrijk voor ondernemingen en bedrijven for. Het is een moeilijke en vermoeiende taak voor systeembeheerders. Sommige processen kunnen worden geautomatiseerd door een aantal geautomatiseerde hulpprogramma's zoals SELinux en andere vergelijkbare software. Door minimale software te behouden en ongebruikte services en poorten uit te schakelen, wordt ook het aanvalsoppervlak verkleind.

Spellen Strijd om Wesnoth Zelfstudie
Strijd om Wesnoth Zelfstudie
The Battle for Wesnoth is een van de meest populaire open source strategiespellen die je op dit moment kunt spelen. Dit spel is niet alleen al heel la...
Spellen 0 A.D. zelfstudie
0 A.D. zelfstudie
Van de vele strategiespellen die er zijn, 0 A.D. slaagt erin om op te vallen als een uitgebreide titel en een zeer diep, tactisch spel ondanks dat het...
Spellen Unity3D-zelfstudie
Unity3D-zelfstudie
Inleiding tot Unity 3D Unity 3D is een krachtige game-ontwikkelingsengine. Het is platformoverschrijdend, zodat je games voor mobiel, internet, deskto...