Introdução ao endurecimento da segurança do servidor Linux
Atualize seu kernel
O kernel desatualizado é sempre propenso a vários ataques de escalada de rede e privilégios. Então você pode atualizar seu kernel usando apt em Debian ou yum em Fedora.
Atualização $ sudo apt-get
$ sudo apt-get dist upgrade
Desativando empregos de cron raiz
Os trabalhos de Cron, executando por conta raiz ou de alto privilégio, podem ser usados como uma maneira de obter altos privilégios pelos atacantes. Você pode ver os empregos de cron por
$ ls /etc /cron*
Regras estritas de firewall
Você deve bloquear qualquer conexão desnecessária de entrada ou saída em portas incomuns. Você pode atualizar suas regras de firewalls usando iptables. Iptables é um utilitário muito flexível e fácil de usar usado para bloquear ou permitir tráfego de entrada ou saída. Para instalar, escreva
$ sudo apt-get install iptables
Aqui está um exemplo para bloquear a entrada na porta FTP usando iptables
$ iptables -a input -p tcp - -dport ftp -j gota
Desative serviços desnecessários
Pare com quaisquer serviços indesejados e daemons em execução em seu sistema. Você pode listar serviços em execução usando os seguintes comandos.
ubuntu@ubuntu: ~ Serviço-status-all
[ +] ACPID
[ -] alsa -utils
[ -] Anacron
[ +] apache-htcacheclean
[ +] Apache2
[ +] Apparmor
[ +] APORT
[ +] Avahi-Daemon
[ +] binfmt-support
[ +] Bluetooth
[ -] CGROUPFS -MONT
… Snip…
Ou usando o seguinte comando
$ chkconfig -lista | Grep '3: on'
Para parar um serviço, digite
$ sudo service [service_name] pare
OU
$ sudo systemctl stop [service_name]
Verifique se há backdoors e rootkits
Utilitários como Rkhunter e Chkrootkit podem ser usados para detectar backdoors e rootkits conhecidos e desconhecidos. Eles verificam pacotes e configurações instalados para verificar a segurança do sistema. Para instalar gravação,
ubuntu@ubuntu: ~ $ sudo apt -get install rkhunter -y
Para escanear seu sistema, digite
ubuntu@ubuntu: ~ $ sudo rkhunter -check
[Rootkit Hunter versão 1.4.6]
Verificando comandos do sistema…
Realizando verificações de comando 'strings'
Verificando o comando 'strings' [ok]
Realizando cheques de 'bibliotecas compartilhadas'
Verificando as variáveis de pré -carregamento [nenhuma encontrada]
Verificando as bibliotecas pré -carregadas [nenhuma encontrada]
Verificando a variável ld_library_path [não encontrado]
Executando verificações de propriedades de arquivo
Verificando os pré -requisitos [OK]
/usr/sbin/adduser [ok]
/usr/sbin/chroot [ok]
… Snip…
Verifique as portas de escuta
Você deve verificar se há portas de escuta que não são usadas e desativá -las. Para verificar se há portas abertas, escreva.
azad@ubuntu: ~ $ sudo netstat -Ulpnt
Conexões ativas da Internet (apenas servidores)
Proto recv-q send-Q Endereço local Endereço estrangeiro Estado PID/Nome do programa
TCP 0 0 127.0.0.1: 6379 0.0.0.0:* Ouça 2136/Redis-Server 1
TCP 0 0 0.0.0.0: 111 0.0.0.0:* Ouça 1273/rpcbind
TCP 0 0 127.0.0.1: 5939 0.0.0.0:* Ouça 2989/TeamViewerd
TCP 0 0 127.0.0.53:53 0.0.0.0:* Ouça 1287/Systemd-Resolv
TCP 0 0 0.0.0.0:22 0.0.0.0:* Ouça 1939/sshd
TCP 0 0 127.0.0.1: 631 0.0.0.0:* Ouça 20042/copsd
TCP 0 0 127.0.0.1: 5432 0.0.0.0:* Ouça 1887/Postgres
TCP 0 0 0.0.0.0:25 0.0.0.0:* Ouça 31259/mestre
… Snip…
Use um IDS (sistema de teste de intrusão)
Use um IDS para verificar os logs da rede e para evitar atividades maliciosas. Há um snort de IDs de código aberto disponível para Linux. Você pode instalá -lo por,
$ wget https: // www.bufo.org/downloads/snort/daq-2.0.6.alcatrão.gz
$ wget https: // www.bufo.org/downloads/snort/snort-2.9.12.alcatrão.gz
$ tar xvzf DAQ-2.0.6.alcatrão.gz
$ c DAQ-2.0.6
$ ./Configure && make && sudo fazer instalar
$ tar xvzf snort-2.9.12.alcatrão.gz
$ CD Snort-2.9.12
$ ./Configure --enable-sourcefire && make && sudo make install
Para monitorar o tráfego da rede, digite
Ubuntu@ubuntu: ~ $ sudo bufando
Executando no modo de despejo de pacotes
--== Inicializando o bufo ==--
Inicializando os plugins de saída!
PCAP DAQ configurado para passivo.
Aquisição de tráfego de rede de "TUN0".
Decodificação IP4 bruto
--== Inicialização completa ==--
… Snip…
Desativar o registro como raiz
Root atua como usuário com privilégios completos, ele tem poder para fazer qualquer coisa com o sistema. Em vez disso, você deve aplicar o uso de sudo para executar comandos administrativos.
Remova nenhum arquivo do proprietário
Arquivos de propriedade de nenhum usuário ou grupo podem ser ameaças à segurança. Você deve procurar esses arquivos e removê -los ou atribuir um usuário adequado para um grupo. Para procurar esses arquivos, digite
$ find /dir -xdev \ (-Nouser -o -Nogroup \) -Print
Use SSH e SFTP
Para transferência de arquivos e administração remota, use SSH e SFTP em vez de Telnet e outros protocolos inseguros, abertos e não criptografados. Para instalar, digite
$ sudo apt -get install vsftpd -y
$ sudo apt-get install OpenSsh-server -y
Monitorar logs
Instale e configure um utilitário de logs de log para verificar os registros do sistema e dados de eventos regularmente para evitar qualquer atividade suspeita. Tipo
$ sudo apt -get install -y loganalyzer
Desinstale softwares não utilizados
Instale os softwares o mais mínimo possível para manter a pequena superfície de ataque. Quanto mais softwares você tiver, mais chances de ataques você tiver. Portanto, remova qualquer software desnecessário do seu sistema. Para ver pacotes instalados, escreva
$ dpkg -List
$ dpkg - -info
$ APT-GET LIST [package_name]
Para remover um pacote
$ sudo apt -get remover [package_name] -y
$ sudo apt-get limpo
Conlusão
O endurecimento da segurança do servidor Linux é muito importante para empresas e empresas. É uma tarefa difícil e cansativa para os administradores do sistema. Alguns processos podem ser automatizados por alguns utilitários automatizados, como Selinux e outros softwares semelhantes. Além disso, manter os softwares mínimos e desativar serviços e portos não utilizados reduz a superfície de ataque.