LFCA — noderīgi padomi datu un Linux drošības nodrošināšanai — 18. daļa

Kopš izlaišanas deviņdesmito gadu sākumā Linux ir iemantojis tehnoloģiju kopienas apbrīnu, pateicoties tā stabilitātei, daudzpusībai, pielāgojamībai un lielai atvērtā pirmkoda izstrādātāju kopienai, kas strādā visu diennakti, lai nodrošinātu kļūdu labojumus un uzlabojumus. operētājsistēma. Kopumā Linux ir izvēles operētājsistēma publiskajiem mākoņiem, serveriem un superdatoriem, un gandrīz 75% no internetam pieejamo ražošanas serveru darbojas operētājsistēmā Linux.

Papildus internetam, Linux ir atradis ceļu uz digitālo pasauli un kopš tā laika nav mazinājies. Tas nodrošina plašu viedo sīkrīku klāstu, tostarp Android viedtālruņus, planšetdatorus, viedpulksteņus, viedos displejus un daudz ko citu.

Vai Linux ir tik drošs?

Linux ir slavens ar savu augstākā līmeņa drošību, un tas ir viens no iemesliem, kāpēc tā ir iecienīta izvēle uzņēmuma vidē. Bet šeit ir fakts, ka neviena operētājsistēma nav 100% droša. Daudzi lietotāji uzskata, ka Linux ir muļķīga operētājsistēma, kas ir maldīgs pieņēmums. Faktiski jebkura operētājsistēma ar interneta savienojumu ir uzņēmīga pret iespējamiem pārkāpumiem un ļaunprātīgas programmatūras uzbrukumiem.

Pirmajos gados Linux bija daudz mazāka uz tehnoloģijām orientēta demogrāfija, un risks ciest no ļaunprātīgas programmatūras uzbrukumiem bija neliels. Mūsdienās Linux nodrošina milzīgu interneta daļu, un tas ir veicinājis draudu ainavas pieaugumu. Ļaunprātīgas programmatūras uzbrukumu draudi ir reālāki nekā jebkad agrāk.

Lielisks piemērs ļaunprātīgas programmatūras uzbrukumam Linux sistēmām ir Erebus ransomware, failu šifrēšanas ļaunprātīga programmatūra, kas skāra gandrīz 153 Dienvidkorejas tīmekļa mitināšanas uzņēmuma NAYANA Linux serverus.

Šī iemesla dēļ ir saprātīgi vēl vairāk nostiprināt operētājsistēmu, lai sniegtu tai ļoti vēlamo drošību jūsu datu aizsardzībai.

Linux servera sacietēšanas padomi

Linux servera nodrošināšana nav tik sarežģīta, kā jūs varētu domāt. Mēs esam izveidojuši sarakstu ar labākajām drošības politikām, kas jums jāievieš, lai stiprinātu jūsu sistēmas drošību un saglabātu datu integritāti.

Sākotnējā Equifax pārkāpuma stadijā hakeri izmantoja plaši zināmu ievainojamību — Apache Struts — Equifax klientu sūdzību tīmekļa portālā.

Apache Struts ir atvērtā pirmkoda ietvars modernu un elegantu Java tīmekļa lietojumprogrammu izveidei, ko izstrādājis Apache Foundation. Fonds 2017. gada 7. martā izlaida ielāpu, lai novērstu ievainojamību, un izdeva attiecīgu paziņojumu.

Uzņēmums Equifax tika informēts par ievainojamību un ieteica labot savu lietojumprogrammu, taču diemžēl ievainojamība palika neizlabota līdz tā paša gada jūlijam, kad bija par vēlu. Uzbrucēji varēja piekļūt uzņēmuma tīklam un izfiltrēt miljoniem konfidenciālu klientu ierakstu no datu bāzēm. Kamēr Equifax uzzināja par notiekošo, bija pagājuši jau divi mēneši.

Tātad, ko mēs no tā varam mācīties?

Ļaunprātīgi lietotāji vai hakeri vienmēr pārbaudīs jūsu serverī iespējamās programmatūras ievainojamības, kuras pēc tam var izmantot, lai uzlauztu jūsu sistēmu. Lai būtu drošībā, vienmēr atjauniniet programmatūru uz tās pašreizējām versijām, lai lietotu ielāpus visām esošajām ievainojamībām.

Ja izmantojat Ubuntu vai Debian balstītas sistēmas, pirmais solis parasti ir atjaunināt pakotņu sarakstus vai krātuves, kā parādīts attēlā.

$ sudo apt update

Lai pārbaudītu visas pakotnes ar pieejamiem atjauninājumiem, palaidiet komandu:

$ sudo apt list --upgradable

Programmatūras lietojumprogrammu jaunināšana uz to pašreizējām versijām, kā parādīts attēlā:

$ sudo apt upgrade

Jūs varat savienot šos divus vienā komandā, kā parādīts attēlā.

$ sudo apt update && sudo apt upgrade

RHEL un CentOS jauniniet savas lietojumprogrammas, izpildot komandu:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Vēl viena piemērota iespēja ir iestatīt automātiskos CentOS/RHEL atjauninājumus.

Neskatoties uz atbalstu neskaitāmiem attāliem protokoliem, tādi mantotie pakalpojumi kā rlogin, telnet, TFTP un FTP var radīt lielas drošības problēmas jūsu sistēmai. Tie ir veci, novecojuši un nedroši protokoli, kuros dati tiek sūtīti vienkāršā tekstā. Ja tādi ir, apsveriet iespēju tos noņemt, kā parādīts attēlā.

Sistēmām, kuru pamatā ir Ubuntu/Debian, izpildiet:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Sistēmām, kuru pamatā ir RHEL/CentOS, izpildiet:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Kad esat noņēmis visus nedrošos pakalpojumus, ir svarīgi pārbaudīt serverī atvērtus portus un aizvērt visus neizmantotos portus, kurus hakeri var izmantot kā ieejas punktu.

Pieņemsim, ka vēlaties bloķēt UFW ugunsmūra portu 7070. Komanda tam būs šāda:

$ sudo ufw deny 7070/tcp

Pēc tam atkārtoti ielādējiet ugunsmūri, lai izmaiņas stātos spēkā.

$ sudo ufw reload

Ugunsmūrim palaidiet komandu:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Un atcerieties atkārtoti ielādēt ugunsmūri.

$ sudo firewall-cmd --reload

Pēc tam pārbaudiet ugunsmūra noteikumus, kā parādīts attēlā:

$ sudo firewall-cmd --list-all

SSH protokols ir attālais protokols, kas ļauj droši izveidot savienojumu ar ierīcēm tīklā. Lai gan tas tiek uzskatīts par drošu, ar noklusējuma iestatījumiem nepietiek, un ir jāveic daži papildu uzlabojumi, lai vēl vairāk atturētu ļaunprātīgos lietotājus no jūsu sistēmas pārkāpumiem.

Mums ir visaptverošs ceļvedis par SSH protokola nostiprināšanu. Šeit ir norādīti galvenie akcenti.

  • Konfigurējiet bezparoles SSH pieteikšanos un iespējojiet privātās/publiskās atslēgas autentifikāciju.
  • Atspējot SSH attālo saknes pieteikšanos.
  • Atspējojiet SSH pieteikšanos lietotājiem ar tukšām parolēm.
  • Pilnībā atspējojiet paroles autentifikāciju un pieturieties pie SSH privātās/publiskās atslēgas autentifikācijas.
  • Ierobežojiet piekļuvi noteiktiem SSH lietotājiem.
  • Konfigurējiet ierobežojumu paroles mēģinājumiem.

Fail2ban ir atvērtā pirmkoda ielaušanās novēršanas sistēma, kas aizsargā jūsu serveri no brutāla spēka uzbrukumiem. Tas aizsargā jūsu Linux sistēmu, aizliedzot IP, kas norāda uz ļaunprātīgu darbību, piemēram, pārāk daudziem pieteikšanās mēģinājumiem. No komplektācijas tas tiek piegādāts ar filtriem populāriem pakalpojumiem, piemēram, Apache tīmekļa serverim, vsftpd un SSH.

Mums ir ceļvedis, kā konfigurēt Fail2ban, lai vēl vairāk stiprinātu SSH protokolu.

Paroļu atkārtota izmantošana vai vāju un vienkāršu paroļu izmantošana ievērojami mazina jūsu sistēmas drošību. Jūs ieviešat paroles politiku, izmantojiet pam_cracklib, lai iestatītu vai konfigurētu paroles stipruma prasības.

Izmantojot PAM moduli, varat definēt paroles stiprumu, rediģējot failu /etc/pam.d/system-auth. Piemēram, varat iestatīt paroles sarežģītību un novērst paroļu atkārtotu izmantošanu.

Ja izmantojat vietni, vienmēr nodrošiniet sava domēna aizsardzību, izmantojot SSL/TLS sertifikātu, lai šifrētu datus, kas tiek apmainīti starp lietotāja pārlūkprogrammu un tīmekļa serveri.

Kad vietne ir šifrēta, apsveriet arī vāju šifrēšanas protokolu atspējošanu. Šīs rokasgrāmatas rakstīšanas laikā jaunākais protokols ir TLS 1.3, kas ir visizplatītākais un visplašāk izmantotais protokols. Agrākās versijas, piemēram, TLS 1.0, TLS 1.2 un SSLv1 līdz SSLv3, ir saistītas ar zināmām ievainojamībām.

[Jums varētu patikt arī: Kā iespējot TLS 1.3 Apache un Nginx]

Tas bija dažu darbību kopsavilkums, ko varat veikt, lai nodrošinātu datu drošību un privātumu savai Linux sistēmai.