Upgrade je kernel
Verouderde kernel is altijd vatbaar voor verschillende netwerk- en privilege-escalatie-aanvallen. U kunt uw kernel dus bijwerken met geschikt in Debian of jammie in Fedora.
$ sudo apt-get update$ sudo apt-get dist-upgrade
Root Cron-taken uitschakelen
Cron-taken die worden uitgevoerd via een root- of een account met hoge privileges kunnen worden gebruikt als een manier om hoge privileges te verkrijgen door aanvallers. U kunt actieve cron-taken zien door:
$ ls /etc/cron*Strikte firewallregels
U moet elke onnodige inkomende of uitgaande verbinding op ongebruikelijke poorten blokkeren. U kunt uw firewallregels bijwerken met by iptables. Iptables is een zeer flexibel en gemakkelijk te gebruiken hulpprogramma dat wordt gebruikt om inkomend of uitgaand verkeer te blokkeren of toe te staan. Om te installeren, schrijf
$ sudo apt-get install iptablesHier is een voorbeeld om inkomende op de FTP-poort te blokkeren met iptables
$ iptables -A INPUT -p tcp --dport ftp -j DROPSchakel onnodige services uit
Stop alle ongewenste services en daemons die op uw systeem worden uitgevoerd. U kunt actieve services weergeven met behulp van de volgende opdrachten:.
[e-mail beveiligd]:~$ service --status-all[ + ] acpid
[ - ] alsa-utils
[ - ] anacron
[ + ] apache-htcacheclean
[ + ] apache2
[ + ] kleding
[ + ] app
[ + ] avahi-daemon
[ + ] binfmt-support
[ + ] bluetooth
[ - ] cgroupfs-mount
... knip ..
OF met behulp van de volgende opdracht:
$ chkconfig --list | grep '3:aan'Typ . om een service te stoppen
$ sudo-service [SERVICE_NAME] stoppenOF
$ sudo systemctl stop [SERVICE_NAME]Controleren op backdoors en rootkits
Hulpprogramma's zoals rkhunter en chkrootkit kunnen worden gebruikt om bekende en onbekende backdoors en rootkits te detecteren. Ze verifiëren geïnstalleerde pakketten en configuraties om de systeembeveiliging te verifiëren. Schrijven om te installeren,
[e-mail beveiligd]:~$ sudo apt-get install rkhunter -yOm uw systeem te scannen, typt u
[email protected]:~$ sudo rkhunter --check[ Rootkit Hunter-versie 1.4.6 ]
Systeemopdrachten controleren..
'strings'-opdrachtcontroles uitvoeren
Commando 'strings' controleren [ OK ]
Controles 'gedeelde bibliotheken' uitvoeren
Controleren op vooraf geladen variabelen [ Geen gevonden ]
Controleren op vooraf geladen bibliotheken [ Geen gevonden ]
LD_LIBRARY_PATH-variabele controleren [ Niet gevonden ]
Controles van bestandseigenschappen uitvoeren
Controleren op vereisten [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
... knip ..
Luisterpoorten controleren
U moet controleren op luisterpoorten die niet worden gebruikt en deze uitschakelen. Om te controleren op open poorten, schrijf.
[e-mail beveiligd]:~$ sudo netstat -ulpntActieve internetverbindingen (alleen servers)
Proto Recv-Q Send-Q Lokaal adres Buitenlands adres Staat PID/programmanaam
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LUISTEREN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* LUISTEREN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* LUISTEREN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* LUISTEREN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* LUISTEREN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LUISTEREN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LUISTEREN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* LUISTEREN 31259/master
... knip ..
Gebruik een IDS (Intrusion Testing System)
Gebruik een IDS om netwerklogboeken te controleren en kwaadaardige activiteiten te voorkomen. Er is een open source IDS Snort beschikbaar voor Linux. Je kunt het installeren door,
$ wget https://www.snuiven.org/downloads/snort/daq-2.0.6.teer.gz$ wget https://www.snuiven.org/downloads/snort/snort-2.9.12.teer.gz
$ tar xvzf daq-2.0.6.teer.gz
$ cd daq-2.0.6
$ ./configure && make && sudo make install
$ tar xvzf snuiven-2.9.12.teer.gz
$ cd snuiven-2.9.12
$ ./configure --enable-sourcefire && make && sudo make install
Om het netwerkverkeer te controleren, typt u
[e-mail beveiligd]:~$ sudo snortWordt uitgevoerd in pakketdumpmodus
--== Snort initialiseren ==--
Uitvoerplug-ins initialiseren!
pcap DAQ geconfigureerd naar passief.
Netwerkverkeer ophalen van "tun0".
Ruwe IP4 decoderen
--== Initialisatie voltooid ==--
... knip ..
Logboekregistratie uitschakelen als root
Root fungeert als een gebruiker met volledige privileges, het heeft de macht om alles met het systeem te doen. In plaats daarvan moet u het gebruik van sudo afdwingen om administratieve opdrachten uit te voeren.
Bestanden zonder eigenaar verwijderen
Bestanden die eigendom zijn van geen enkele gebruiker of groep kunnen een beveiligingsrisico vormen. U moet naar deze bestanden zoeken en ze verwijderen of een juiste gebruiker een groep toewijzen. Om naar deze bestanden te zoeken, typt u
$ find /dir -xdev \( -nouser -o -nogroup \) -printGebruik SSH en sFTP
Gebruik voor bestandsoverdracht en beheer op afstand SSH en sFTP in plaats van telnet en andere onveilige, open en niet-versleutelde protocollen. Typ install om te installeren
$ sudo apt-get install vsftpd -y$ sudo apt-get install openssh-server -y
Logboeken controleren
Installeer en configureer een hulpprogramma voor het analyseren van logboeken om systeemlogboeken en gebeurtenisgegevens regelmatig te controleren om verdachte activiteiten te voorkomen. Type
$ sudo apt-get install -y loganalyzerVerwijder ongebruikte software
Installeer zo min mogelijk software om een klein aanvalsoppervlak te behouden. Hoe meer software je hebt, hoe meer kans op aanvallen je hebt. Dus verwijder alle onnodige software van uw systeem. Om geïnstalleerde pakketten te zien, schrijf
$ dpkg --lijst$ dpkg --info
$ apt-get-lijst [PACKAGE_NAME]
Een pakket verwijderen:
$ sudo apt-get remove [PACKAGE_NAME] -y$ sudo apt-get clean
conclusie
Beveiliging van Linux-servers is erg belangrijk voor ondernemingen en bedrijven for. Het is een moeilijke en vermoeiende taak voor systeembeheerders. Sommige processen kunnen worden geautomatiseerd door een aantal geautomatiseerde hulpprogramma's zoals SELinux en andere vergelijkbare software. Door minimale software te behouden en ongebruikte services en poorten uit te schakelen, wordt ook het aanvalsoppervlak verkleind.