LFCA: pamata drošības padomi Linux sistēmas aizsardzībai — 17. daļa
Tagad vairāk nekā jebkad agrāk mēs dzīvojam pasaulē, kurā organizācijas pastāvīgi tiek bombardētas ar drošības pārkāpumiem, kuru pamatā ir ļoti sensitīvu un konfidenciālu datu iegūšana, kas ir ļoti vērtīgi un sniedz milzīgu finansiālu atlīdzību.
Tas ir diezgan pārsteidzoši, ka, neskatoties uz to, ka pastāv liels risks ciest no potenciāli postoša kiberuzbrukuma, vairums uzņēmumu nav pietiekami sagatavojušies vai vienkārši neievēro sarkanos karogus, bieži vien ar postošām sekām.
2016. gadā uzņēmums Equifax cieta no katastrofāla datu pārkāpuma, kurā pēc vairākām drošības pārtraukumiem tika nozagti miljoniem ļoti konfidenciālu klientu ierakstu. Detalizētā ziņojumā norādīts, ka pārkāpums bija novēršams, ja Equifax drošības komanda būtu veikusi pareizos drošības pasākumus.
Faktiski mēnešus pirms pārkāpuma Equifax tika brīdināts par iespējamu ievainojamību savā tīmekļa portālā, kas apdraudētu viņu drošību, taču diemžēl brīdinājums netika ņemts vērā ar smagām sekām. Daudzas citas lielas korporācijas ir kļuvušas par upuriem uzbrukumiem, kas ar katru brīdi kļūst arvien sarežģītāki.
Mēs nevaram pietiekami uzsvērt, cik ļoti svarīga ir jūsu Linux sistēmas drošība. Iespējams, ka jūs neesat augsta līmeņa finanšu iestāde, kas ir potenciāls pārkāpumu mērķis, taču tas nenozīmē, ka jums vajadzētu pielaist sevi.
Iestatot Linux serveri, jums vajadzētu pievērst uzmanību drošībai, it īpaši, ja tas būs savienots ar internetu un tam būs pieejams attālināts. Lai aizsargātu jūsu Linux serveri, ir būtiskas drošības pamatprasmes.
Šajā rokasgrāmatā mēs koncentrējamies uz dažiem pamata drošības pasākumiem, ko varat veikt, lai aizsargātu savu sistēmu no iebrucējiem.
Kiberuzbrukumu vektori
Iebrucēji izmantos dažādas uzbrukuma metodes, lai piekļūtu jūsu Linux serverim. Pirms iedziļināmies dažos pasākumos, ko varat veikt, lai aizsargātu savu sistēmu, izmantosim dažus izplatītākos uzbrukuma vektorus, ko hakeris var izmantot, lai iefiltrētos sistēmās.
Brutāla spēka uzbrukums ir uzbrukums, kurā hakeris izmanto izmēģinājumu un kļūdu, lai uzminētu lietotāja pieteikšanās akreditācijas datus. Parasti iebrucējs izmantos automatizētus skriptus, lai nepārtraukti iekļūtu, līdz tiek iegūta pareizā lietotājvārda un paroles kombinācija. Šis uzbrukuma veids ir visefektīvākais, ja tiek izmantotas vājas un viegli uzminējamas paroles.
Kā minēts iepriekš, vāji akreditācijas dati, piemēram, īsas un viegli uzminējamas paroles, piemēram, password1234, rada potenciālu risku jūsu sistēmai. Jo īsāka un mazāk sarežģīta ir parole, jo lielāka iespēja, ka sistēma tiks apdraudēta.
Pikšķerēšana ir sociālās inženierijas paņēmiens, kurā uzbrucējs nosūta upurim e-pasta ziņojumu, kas, šķiet, ir no likumīgas iestādes vai personas, kuru pazīstat vai ar kuru veicat darījumus.
Parasti e-pastā ir norādījumi, kas mudina upuri izpaust sensitīvu informāciju, vai var ietvert saiti, kas novirza uz viltotu vietni, kas tiek uzskatīta par uzņēmuma vietni. Kad upuris mēģina pieteikties, uzbrucējs tver viņa akreditācijas datus.
Ļaunprātīga programmatūra ir saīsinājums no ļaunprātīgas programmatūras. Tas ietver plašu ļaunprātīgu lietojumprogrammu klāstu, piemēram, vīrusus, Trojas zirgus, tārpus un izpirkuma programmatūru, kas ir paredzētas, lai ātri izplatītos un turētu upura sistēmu par ķīlnieku apmaiņā pret izpirkuma maksu.
Šādi uzbrukumi var būt novājinoši un var paralizēt organizācijas uzņēmējdarbību. Dažas ļaunprātīgas programmatūras var tikt ievadītas dokumentos, piemēram, attēlos, videoklipos, Word vai PowerPoint dokumentos, un iesaiņotas pikšķerēšanas e-pastā.
DoS uzbrukums ir uzbrukums, kas ierobežo vai ietekmē servera vai datorsistēmas pieejamību. Hakeris pārpludina serveri ar trafiku vai ping paketēm, kas ilgstoši padara serveri nepieejamu lietotājiem.
DDoS (Distributed Denial of Service) uzbrukums ir sava veida DoS, kurā tiek izmantotas vairākas sistēmas, kas pārpludina mērķi ar trafiku, kas padara to nepieejamu.
Strukturētās vaicājumu valodas akronīms, SQL ir valoda, ko izmanto saziņai ar datu bāzēm. Tas ļauj lietotājiem izveidot, dzēst un atjaunināt ierakstus datu bāzē. Daudzi serveri glabā datus relāciju datu bāzēs, kas izmanto SQL, lai mijiedarbotos ar datu bāzi.
SQL injekcijas uzbrukums izmanto zināmu SQL ievainojamību, kas liek serverim izpaust sensitīvu datu bāzes informāciju, ko tas citādi nevarētu, ievadot ļaunprātīgu SQL kodu. Tas rada milzīgu risku, ja datu bāzē tiek glabāta personu identificējoša informācija, piemēram, kredītkaršu numuri, sociālās apdrošināšanas numuri un paroles.
Parasti saīsināts kā MITM, uzbrukums vidū, kurā uzbrucējs pārtver informāciju starp diviem punktiem, lai noklausītos vai mainītu satiksmi starp abām pusēm. Mērķis ir izspiegot upuri, sabojāt datus vai nozagt sensitīvu informāciju.
Pamata padomi Linux servera aizsardzībai
Apskatot iespējamās vārtejas, ko uzbrucējs var izmantot, lai uzlauztu jūsu sistēmu, apskatīsim dažus pamata pasākumus, ko varat veikt, lai aizsargātu savu sistēmu.
Nav daudz domāts par jūsu servera fizisko atrašanās vietu un drošību, tomēr, ja jūsu serveris būs lokālā vidē, tas parasti ir tas, kur sākt.
Ir svarīgi nodrošināt, lai jūsu serveris būtu droši aizsargāts datu centrā ar rezerves barošanu, lieku interneta savienojumu un pietiekamu dzesēšanu. Piekļuve datu centram būtu jāierobežo tikai pilnvarotam personālam.
Kad serveris ir iestatīts, pirmais solis, kas jāveic, ir repozitoriju un lietojumprogrammatūras pakotņu atjaunināšana, kā norādīts tālāk. Pakotnes atjaunināšana novērš visas nepilnības, kas varētu būt esošajās lietojumprogrammu versijās.
Ubuntu/Debian izplatījumiem:
$ sudo apt update -y $ sudo apt upgrade -y
RHEL/CentOS izplatīšanai:
$ sudo yum upgrade -y
Ugunsmūris ir lietojumprogramma, kas filtrē ienākošo un izejošo trafiku. Jums ir jāinstalē spēcīgs ugunsmūris, piemēram, UFW ugunsmūris, un jāiespējo tas, lai tas atļautu tikai nepieciešamos pakalpojumus un tiem atbilstošos portus.
Piemēram, varat to instalēt Ubuntu, izmantojot komandu:
$ sudo apt install ufw
Kad tas ir instalēts, iespējojiet to šādi:
$ sudo ufw enable
Lai atļautu pakalpojumu, piemēram, HTTPS, palaidiet komandu;
$ sudo ufw allow https
Varat arī atļaut tai atbilstošo portu, kas ir 443.
$ sudo ufw allow 443/tcp
Pēc tam atkārtoti ielādējiet, lai izmaiņas stātos spēkā.
$ sudo ufw reload
Lai pārbaudītu ugunsmūra statusu, tostarp atļautos pakalpojumus un atvērtos portus, palaidiet
$ sudo ufw status
Turklāt apsveriet iespēju izslēgt visus neizmantotos vai nevajadzīgos pakalpojumus un ugunsmūra portus. Ja ir vairāki porti, kas netiek izmantoti, tas tikai palielina uzbrukuma ainavu.
Noklusējuma SSH iestatījumi nav droši, tāpēc ir nepieciešami daži pielāgojumi. Noteikti izpildiet tālāk norādītos iestatījumus.
- Atspējojiet root lietotāja attālo pieteikšanos.
- Iespējojiet bezparoles SSH autentifikāciju, izmantojot SSH publiskās/privātās atslēgas.
Pirmajā punktā rediģējiet /etc/ssh/sshd_config failu un modificējiet tālāk norādītos parametrus, lai tie tiktu parādīti, kā parādīts attēlā.
PermitRootLogin no
Kad esat atspējojis root lietotāja attālināto pieteikšanos, izveidojiet parastu lietotāju un piešķiriet sudo privilēģijas. Piemēram.
$ sudo adduser user $ sudo usermod -aG sudo user
Lai iespējotu bezparoles autentifikāciju, vispirms pārejiet uz citu Linux datoru, vēlams, savu datoru un ģenerējiet SSH atslēgu pāri.
$ ssh-keygen
Pēc tam kopējiet publisko atslēgu savā serverī
$ ssh-copy-id [email
Kad esat pieteicies, noteikti atspējojiet paroles autentifikāciju, rediģējot /etc/ssh/sshd_config failu un modificējot parādīto parametru.
PasswordAuthentication no
Uzmanieties, lai nepazaudētu savu ssh privāto atslēgu, jo tas ir vienīgais veids, ko varat izmantot, lai pieteiktos. Glabājiet to drošībā un, vēlams, dublējiet to mākonī.
Visbeidzot, restartējiet SSH, lai veiktu izmaiņas
$ sudo systemctl restart sshd
Pasaulē, kurā attīstās kiberdraudi, drošībai ir jābūt augstai prioritātei, uzsākot sava Linux servera iestatīšanu. Šajā rokasgrāmatā mēs esam uzsvēruši dažus pamata drošības pasākumus, ko varat veikt, lai stiprinātu savu serveri. Nākamajā tēmā mēs iedziļināsimies un apskatīsim papildu darbības, kuras varat veikt, lai nostiprinātu savu serveri.