Çekirdekten ağa, 40 Linux sunucu güvenliğini artırma ipucu (bölüm 2)
Yukarıdan devam edin
21. Linux sisteminin bağımsız disk bölümü
İşletim sistemi dosyalarını kullanıcı dosyalarından ayırmak, sistemi daha güvenli hale getirir. Aşağıdaki dosya sistemlerinin farklı bölümlere kurulduğundan emin olun:
- / usr
- /ev
- / var ve / var / tmp
- / tmp
Apache ve FTP sunucusu kökleri için ayrı bölümler oluşturun. / Etc / fstab dosyasını düzenleyin ve aşağıdaki yapılandırma seçeneklerini eklediğinizden emin olun:
/ Dev / sda5 (ftp sunucusu kök dizini) üzerinde kullanıcı erişimini kısıtlamak için / etc / fstab dosyası örneği:
/ dev / sda5 / ftpdata ext3 varsayılanları, nosuid, nodev, noexec 1222. Disk kotası
Tüm kullanıcılar için disk kotalarını etkinleştirdiğinizden emin olun. Disk kotalarını uygulamak için aşağıdaki adımları kullanın:
23. Gerekmedikçe, normal koşullar altında IPv6'yı kapatmayın
İnternet Protokolü Sürüm 6 (IPv6), İnternet Protokolü Sürüm 4'e (IPv4) kıyasla daha fazla fayda sağlayan TCP / IP protokol paketinin yeni bir İnternet katmanı sağlar.
24. Gereksiz SUID ve SGID ikili dosyalarını devre dışı bırakın
SUID / SGID yürütülebilir dosyalarında güvenlik sorunları veya hataları olduğunda, tüm SUID / SGID bit etkin dosyalar kötüye kullanılabilir. Tüm yerel veya uzak kullanıcılar bu tür dosyaları kullanabilir. Find komutunu aşağıdaki gibi kullanın: Listelenen her dosyayı görüntüleyin. Ayrıntıları görmek için man sayfasını okuyun.
# Tüm ayarlanmış kullanıcı kimliği dosyalarını görün: bul / -perm +4000 # Tüm grup kimliği dosyalarını görün bul / -perm +2000 # Veya ikisini tek bir komutta birleştirin bul / \ (-perm -4000 -o -perm -2000 \) -print bul / -yol-kuru erik -o-tipi f -perm +6000 -ls
25: Linux sunucusunda Herkes Tarafından Yazılabilir dosya ayarı
Herkes, Herkes Tarafından Yazılabilir dosyayı değiştirebilir, bu da güvenlik sorunlarına neden olabilir. İlgili tüm dosyaları bulmak için aşağıdaki komutu kullanın:
bul / dir -xdev -type d \ (-perm -0002 -a! -perm -1000 \) -printTüm benzer dosyaları filtreleyin ve doğru kullanıcı ve grup izinlerini ayarlayın
26. Sahipsiz dosya
Herhangi bir kullanıcıya veya gruba ait olmayan dosyalar güvenlik sorunlarına neden olabilir. Bunları bulmak için aşağıdaki komutları kullanın, bu komutlar etkili kullanıcıya ve etkili gruba ait değildir.
find / dir -xdev \ (-nouser -o -nogroup \) -printBildirilen her dosyayı araştırın ve uygun kullanıcı ve gruplara atayın veya silin.
27. Merkezi doğrulama hizmetlerini kullanın
Merkezi bir kimlik doğrulama sistemi olmadan, kullanıcı kimlik doğrulama verileri tutarsız hale gelir ve sonuçta ortaya çıkan süresi dolan kimlik bilgileri ve unutulmuş hesaplar önce silinmelidir. Merkezi kimlik doğrulama hizmeti, Linux / UNIX hesaplarının ve kimlik doğrulama verilerinin merkezi denetimini korumanıza olanak tanır. Kimlik doğrulama verileri sunucular arasında senkronize tutulabilir. Merkezi kimlik doğrulama için NIS hizmetini kullanmayın. İstemci ve sunucu için OpenLDAP kullanmak daha güvenli olacaktır.
28. Kerberos
Kerberos, güvenli olmayan ağlar üzerinden iletilen veri paketlerini okuyabilmesi, değiştirebilmesi ve ekleyebilmesi koşuluyla, şifrelenmiş bir paylaşılan anahtar kullanarak güvenilir bir üçüncü taraf kimlik doğrulama hizmeti olarak kimlik doğrulaması gerçekleştirir. Kerberos, simetrik anahtar şifrelemesine dayanır ve bir anahtar dağıtım merkezi gerektirir. Uzaktan oturum açma, uzaktan çoğaltma, sistemler arasında güvenli dosya çoğaltma ve diğer yüksek riskli görevleri daha güvenli ve daha kontrol edilebilir hale getirmek için Kerberos'u kullanabilirsiniz. Bu nedenle, kullanıcılar ağ hizmetlerini doğrulamak için Kerberos'u kullandıklarında, ağ trafiğini izleyerek parola toplamaya çalışan yetkisiz kullanıcılar aslında engellenecektir.
29. Kayıtlar ve denetimler
Tüm hacker saldırılarını ve program kırma girişimlerini toplamak için günlük kaydını ve denetimi yapılandırmanız gerekir. Varsayılan olarak syslog, verileri / var / log / dizininde depolar. Bu ayrıca, sisteminizi çeşitli saldırılara maruz bırakabilecek yazılım yapılandırma hatalarını bulmak için de yararlıdır.
30. Şüpheli günlük bilgilerini izlemek için Logwatch / Logcheck kullanın
Günlüğü okumak için logwatch komutunu (logcheck) kullanın. Bu araçlar, günlük okumayı daha kolay hale getirir. Ayrıca syslog'daki anormal öğeleri e-posta yoluyla ayrıntılı olarak bildirebilirsiniz.
31. Denetim Sistemi Muhasebesi
Sistem denetimi için sağlanmıştır. Denetim kayıtlarının diske yazılmasından sorumludur. Başlatma sırasında, bu arka plan programı /etc/audit.rules içindeki kuralları okuyacaktır. /Etc/audit.rules dosyasını açabilir ve denetim dosyası günlüğünün konumunu ve diğer seçenekleri ayarlamak gibi değişiklikler yapabilirsiniz.
32. Güvenli OpenSSH sunucusu
Uzaktan oturum açma ve uzaktan dosya aktarımı için SSH protokolünün kullanılması önerilir. Ancak ssh birçok saldırıya açıktır.
33. Yetkisiz giriş algılama sistemi kurun ve kullanın
Ağ İzinsiz Giriş Tespit Sistemi (NIDS), hizmet reddi saldırıları, bağlantı noktası tarama ve hatta bilgisayarları hackleme girişimleri gibi ağ trafiğini izleyerek kötü niyetli etkinlikleri tespit etmeye çalışan bir saldırı tespit sistemidir.
Sistem üretim ortamı çevrimiçi olmadan önce bütünlük denetimi yazılımının devreye alınması iyi bir uygulamadır. Mümkünse, AIDE yazılımı, sistem herhangi bir ağa bağlanmadan önce kurulabilir. AIDE, bilgisayar sisteminin içini izleyip analiz edebilen, ana bilgisayar tabanlı bir saldırı tespit sistemidir (HIDS).
34. USB / firewire / yıldırım cihazlarını devre dışı bırakın
Linux sistemindeki USB cihazını devre dışı bırakmak için aşağıdaki komutu girin:
# echostall usb-storage / bin / true ' > > /etc/modprobe.d/disable-usb-storage.confFirewire ve Thunderbolt modülleri aynı şekilde devre dışı bırakılabilir. Tamamlandıktan sonra, kullanıcılar hassas verileri USB cihazlarına hızlı bir şekilde kopyalayamaz veya Linux tabanlı sistemlere kötü amaçlı yazılım / virüs veya arka kapılar yükleyemez.
# echo "blacklist firewire-core" > > /etc/modprobe.d/firewire.conf # echo "kara listeye yıldırım" > > /etc/modprobe.d/thunderbolt.conf35. Şu anda kullanımda olmayan hizmetleri devre dışı bırakın
Şu anda kullanılmayan hizmetleri devre dışı bırakmak için service command / systemctl komutunu kullanabilirsiniz: Örneğin, Nginx hizmetini geçici olarak kullanmıyorsanız, devre dışı bırakabilirsiniz:
$ sudo systemctl durdurma hizmeti $ sudo systemctl devre dışı bırakma hizmeti $ sudo systemctl stop nginx $ sudo systemctl nginx'i devre dışı bırak
36. fail2ban / denyhost'u IDS olarak kullanın (izinsiz giriş algılama sistemini kurun)
Fail2ban ve denyhost, başarısız oturum açma girişimleri için günlük dosyalarını tarar ve kötü amaçlı işaretler gösteren IP adreslerini engeller.
Fail2ban'ı yükle:
$ sudo apt-get install fail2ban veya $ sudo yum yükleme fail2banYapılandırma dosyasını gerektiği gibi düzenleyin:
$ sudo vi /etc/fail2ban/jail.confHizmeti yeniden başlatın:
$ sudo systemctl yeniden fail2ban.service37. Security Harden Apache / PHP / Nginx Sunucusu
Httpd.conf dosyasını düzenleyin ve aşağıdaki içeriği ekleyin:
ServerTokens Prod Sunucu İmzası Kapalı İzlemeyi Etkinleştir Kapalı Seçenekler all -Indexes Başlık her zaman ayarlanmamış X-Powered-ByLinux'ta httpd / apache2 sunucusunu yeniden başlatın ve çalıştırın:
$ sudo systemctl apache2.service'i yeniden başlatveya
$ sudo systemctl yeniden httpd.serviceMod_security, RHEL / CentOS sunucusuna yüklenmeli ve etkinleştirilmelidir.
38. Dosyaları, dizinleri ve e-postaları koruyun
Linux, yetkisiz veri erişimi için koruma sağlar. Dosya izinleri ve MAC, verilere yetkisiz erişimi engelleyebilir. Ancak, saldırganın bilgisayara fiziksel erişimi varsa ve hassas verileri kopyalamak ve analiz etmek için bilgisayarın sabit sürücüsünü başka bir sisteme taşıyabiliyorsa, Linux tarafından belirlenen izinlerin önemi yoktur. Linux altında dosyaları ve bölümleri korumak için aşağıdaki araçları kullanabilirsiniz:
- Dosyaları bir parola ile şifrelemek ve şifresini çözmek için gpg komutunu kullanın.
- Linux veya UNIX şifreleri, dosyaları korumak için openssl ve diğer araçları kullanır.
- Tam disk şifreleme, veri koruması için gerekli bir koşuldur ve çoğu Linux dağıtımı tarafından desteklenir.
- Değişimin de şifrelenmiş olduğundan emin olun. Bootloader'ı düzenlemek için bir şifre gereklidir.
- Kök postayı kontrol ettiğiniz hesaba ilettiğinizden emin olun.
- Nasıl yapılır: Linux'ta mobil cihazlar için disk ve bölüm şifreleme.
- Linux, Dovecot IMAPS / POP3S sunucularını korumak için SSL yapılandırması kullanır.
- Linux Postfix SMTP (posta sunucusu) SSL sertifikasını kurun ve yapılandırın.
- Courier IMAP SSL sunucu sertifikasını kurun ve yapılandırın.
- E-posta göndermek ve almak için Sendmail SSL şifrelemesini yapılandırın.
39. Yedekleme
Linux sistemini yedeklemek çok önemlidir. Uygun bir site dışı yedekleme, kırık bir sunucudan, yani izinsiz girişten, kurtarmanıza yardımcı olabilir. Döküm ve geri yükleme için geleneksel UNIX yedekleme programlarının kullanılması da önerilir.
40. Diğer öneriler
Eklentinizi dört gözle bekliyorum ~
