Efectuarea unui server Linux mai sigur

Sistemul de operare gratuit și open source GNU / Linux devine din ce în mai bine pe mediile de desktop-uri în fiecare an, dar în termeni de servere, a fost un candidat foarte puternic de la sfârșitul anilor `90 Cu popularitatea sa, cu toate acestea, devine o țintă profitabilă pentru infractorii care doresc să se hrănească în serverele Linux și să le folosească pentru a trimite spam, pornografie, fraude și multe altele. Iată câteva sfaturi pentru a vă proteja serverul împotriva acestui lucru.

conținut

Pași
Sfaturi
Avertismente

pași

Imagine intitulată Secure a Linux Server Pasul 1

Aflați cum să utilizați Linux prin shell (linia de comandă). Fiecare strat de software pe care le adăugați la sistemul de operare pentru a face mai simplu de utilizat va adăugarea de fapt, mai multe vulnerabilități care ar putea fi exploatate de atacatori, astfel încât acestea să poată avea acces la acesta, și pentru a reduce performanța . Cu următorii pași, se presupune că aveți o oarecare familiaritate cu shell-ul Linux.

Folosind lsof sau un instrument similar, aflați la ce porturi ascultă computerul dvs. sau la care primiți conexiuni.ns003: ~ # lsof -i COMMAND PID UTILIZATOR FD TYPE DEVICE DIMENSIUNE NODE NAME numit 17829 root 4u IPv6 12689530 UDP *: 34327 numit 17829 root 6u IPv4 12689531 UDP *: 34329 numit 17829 rădăcină 20u IPv4 12689526 UDP ns003.unternet.net:domain numit 17829 rădăcină 21u IPv4 12689527 TCP ns003.unternet.net:domain (LISTEN) numit 17829 rădăcină 22u IPv4 12689528 UDP 209.40.205.146:domain numit 17829 rădăcină 23u IPv4 12689529 TCP 209.40.205.146:domain (LISTEN) lighttpd 17841 www-date 4u IPv4 12689564 TCP *: www (LISTEN) sshd 17860 rădăcină 3u IPv6 12689580 TCP *: ssh (LISTEN) sshd 17880 rădăcină 3u IPv6 12689629 TCP *: 8899 (LISTEN) sshd 30435 rădăcină 4u IPv6 TCP 209.40.205.146:8899->dsl-189-130-12-20.prod-infinitum.com.mx:3262 74368139 (STABILIT)

Imagine intitulată Secure a Linux Server Pasul 3

Dacă aveți îndoieli, opriți-o! Deconectați orice serviciu inutil sau necunoscut folosind instrumentele potrivite pentru distribuția dvs. Linux, cum ar fi update-rc.d pe sistemele Debian sau, în unele cazuri, editarea fișierelor /etc/inetd.conf sau / etc / xinetd, d / *. Împreună cu aceasta, eliminați toate aplicațiile pe care le-a adăugat furnizorul dvs. de servere în administrarea sistemului, cum ar fi Plesk.

Nu permiteți autentificarea ca root pe portul principal sshd, 22 (setarea PermitRootLogin la "no"). Multe instrumente automate de forță brute execută atacuri care încearcă să se conecteze ca root prin ssh pe acest port. Configurați un port secundar pentru ssh pentru accesul root care funcționează numai prin chei partajate, dezactivând utilizarea parolelor:

Copiați fișierul sshd_config la root_sshd_config și modificați următoarele elemente în noul fișier:
- Schimbați ușa. Unde ai port, modificați de la 22 la altă valoare - de exemplu, 8899 (nu utilizați acest lucru, doar un exemplu).
- Modificați opțiunea pentru a activa autentificarea ca root. Unde ai PermitRootLogin, trecerea de la "nu" la "da". (Trebuie să plecați pe doar în cazul ușii 22, amintiți-vă?)
- Adăugați linia AllowUsers rădăcină, dacă nu există deja. Dacă există, modificați-l pentru a permite doar autentificarea utilizatorilor root pe acest port.
- Dezactivați linia ChanllengeResponseAuthentication no. Dacă este deja necomentată, asigurați-vă că scrie "nu" în loc de "da".
Încercați această comandă:sshd -D -f / etc / ssh / root_sshd_configși verificați dacă funcționează corect - încercați să vă conectați de la un alt computer (ar trebui să fi configurat deja autentificarea și cheile între cele două mașini) utilizând: ssh -p8899 [email protected]în cazul în care acest lucru, apăsați de control-C în coajă în cazul în care ați tastat comanda (sshd), în scopul de a opri daemonul sshd, și apoi se adaugă următoarele la sfârșitul anului / etc / inittab:rssh: 2345: respawn: sshd -D -f / etc / ssh / root_sshd_config
Reporniți init: # init q Acest lucru se va întâmpla root daemon ssh ca proces de fundal, reporni automat în caz de eșec.

sfaturi

Verificați regulat fișierele de jurnale pentru a vedea ce tipuri de atacuri se execută împotriva serverului dvs./ var / log / auth sau /var/log/auth.log sunt locații comune pentru găsirea datelor de conectare: Jan 18 10:48:46 ns003 sshd [23829]: Utilizator illicit roz de la :: ffff: 58.29.238.252 Jan 18 10:48:49 ns003 sshd [23833]: Utilizator ilegal rosemarie de la :: ffff: 58.29.238.252 Jan 18 10:48:51 ns003 sshd [23838]: Utilizator ilegal de la :: ffff: 58.29.238.252 Jan 18 10:48:54 ns003 sshd [23840]: Utilizator ilicit sabine din :: ffff: 58.29.238.252 Jan 18 10:48:57 ns003 sshd [23845]: Utilizator ilegal sandra de la :: ffff: 58.29.238.252
Actualizați periodic sistemul de operare pentru server pentru a primi remedierile de securitate. În Debian: apt-get upgrade
Monitorizați știrile de vulnerabilitate https://securityfocus.com/ și alte site-uri conexe.
Încercați instalarea programului grsecurity, SELinux, AppArmour și / sau PaX.

avertismente

Nimic pe care îl puteți face va lăsa serverul complet sigur. Păstrați întotdeauna copii de rezervă ale celor mai importante fișiere și un plan de rezervă mai mare în cazul în care se întâmplă cel mai rău.
Nu aveți încredere niciodată într-un server care a fost spart. O cracker are acces la 100% din sistemul dvs. odată ce a obținut accesul rădăcină la acesta.