LFCA - Koristni nasveti za zavarovanje podatkov in Linux - 18. del

Od izdaje v zgodnjih devetdesetih letih je Linux osvojil občudovanje tehnološke skupnosti zahvaljujoč svoji stabilnosti, vsestranskosti, prilagodljivosti in veliki skupnosti odprtokodnih razvijalcev, ki neprestano delajo na popravkih napak in izboljšavah sistema. operacijski sistem. Linux je na splošno operacijski sistem za javni oblak, strežnike in superračunalnike, blizu 75% internetnih produkcijskih strežnikov pa deluje v Linuxu.

Poleg napajanja interneta je Linux našel pot v digitalni svet in od takrat ni več upadel. Omogoča široko paleto pametnih pripomočkov, vključno s pametnimi telefoni Android, tabličnimi računalniki, pametnimi urami, pametnimi zasloni in še veliko več.

Je Linux tako varen?

Linux je znan po svoji najvišji ravni varnosti in je eden izmed razlogov, zakaj se odloči za najljubšo izbiro v podjetniških okoljih. A tu je dejstvo, da noben operacijski sistem ni stoodstotno varen. Mnogi uporabniki verjamejo, da je Linux varen operacijski sistem, kar je napačna predpostavka. Pravzaprav je vsak operacijski sistem z internetno povezavo dovzeten za morebitne kršitve in napade zlonamerne programske opreme.

V zgodnjih letih je imel Linux precej manj tehnološko usmerjene demografske kategorije in tveganje za napade zlonamerne programske opreme je bilo zelo majhno. Danes Linux poganja ogromen del interneta, kar je spodbudilo rast grožnje. Nevarnost napadov zlonamerne programske opreme je bolj resnična kot kdaj koli prej.

Popoln primer napada zlonamerne programske opreme na sisteme Linux je ransomware Erebus, zlonamerna programska oprema za šifriranje datotek, ki je prizadela skoraj 153 Linux strežnikov podjetja NAYANA, južnokorejskega podjetja za spletno gostovanje.

Iz tega razloga je smotrno, da operacijski sistem dodatno utrjujete in mu zagotovite tako želeno varnost za zaščito vaših podatkov.

Nasveti za utrjevanje strežnikov Linux

Zaščita strežnika Linux ni tako zapletena, kot si morda mislite. Sestavili smo seznam najboljših varnostnih pravil, ki jih morate uporabiti za povečanje varnosti vašega sistema in ohranjanje celovitosti podatkov.

V začetnih fazah kršitve Equifaxa so hekerji na spletnem portalu za pritožbe strank Equifaxa izkoristili splošno znano ranljivost - Apache Struts.

Apache Struts je odprtokodni okvir za ustvarjanje sodobnih in elegantnih spletnih aplikacij Java, ki jih je razvila fundacija Apache. Fundacija je 7. marca 2017 izdala popravek za odpravo ranljivosti in v zvezi s tem izdala izjavo.

Equifax je bil obveščen o ranljivosti in mu je svetoval, naj svojo aplikacijo popravi, toda na žalost je ranljivost ostala nepopravljena do julija istega leta, takrat je bilo prepozno. Napadalci so lahko dobili dostop do omrežja podjetja in iz podatkovnih baz izločili milijone zaupnih evidenc strank. Ko je Equifax zaznal, kaj se dogaja, sta minila že dva meseca.

Torej, kaj se lahko iz tega naučimo?

Zlonamerni uporabniki ali hekerji bodo vedno iskali vaš strežnik glede morebitnih programskih ranljivosti, ki jih nato lahko izkoristijo za kršitev vašega sistema. Če želite biti na varnem, vedno posodobite programsko opremo na njene trenutne različice, da uporabite popravke za vse obstoječe ranljivosti.

Če uporabljate sisteme, ki temeljijo na Ubuntuju ali Debianu, je prvi korak ponavadi posodobitev seznamov paketov ali skladišč, kot je prikazano.

$ sudo apt update

Če želite preveriti vse pakete z razpoložljivimi posodobitvami, zaženite ukaz:

$ sudo apt list --upgradable

Nadgradite svoje programske aplikacije na trenutne različice, kot je prikazano:

$ sudo apt upgrade

Ta dva lahko združite v en ukaz, kot je prikazano.

$ sudo apt update && sudo apt upgrade

Za RHEL in CentOS nadgradite svoje programe z zagonom ukaza:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Druga izvedljiva možnost je nastavitev samodejnih posodobitev za CentOS/RHEL.

Kljub temu, da podpira nešteto oddaljenih protokolov, lahko starejše storitve, kot so rlogin, telnet, TFTP in FTP, predstavljajo velike varnostne težave za vaš sistem. To so stari, zastareli in negotovi protokoli, kjer se podatki pošiljajo v navadnem besedilu. Če obstajajo, jih odstranite, kot je prikazano.

Za sisteme, ki temeljijo na Ubuntu/Debian, izvedite:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Za sisteme, ki temeljijo na RHEL/CentOS, izvedite:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Ko odstranite vse negotove storitve, je pomembno, da strežnik poiščete na odprta vrata in zaprete vsa neuporabljena vrata, ki jih hekerji lahko uporabijo kot vstopno točko.

Recimo, da želite blokirati vrata 7070 na požarnem zidu UFW. Ukaz za to bo:

$ sudo ufw deny 7070/tcp

Nato znova naložite požarni zid, da bodo spremembe začele veljati.

$ sudo ufw reload

Za požarni zid zaženite ukaz:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

In ne pozabite znova naložiti požarnega zidu.

$ sudo firewall-cmd --reload

Nato navzkrižno preverite pravila požarnega zidu, kot je prikazano:

$ sudo firewall-cmd --list-all

SSH protokol je oddaljeni protokol, ki vam omogoča varno povezavo z napravami v omrežju. Čeprav velja za varno, privzete nastavitve niso dovolj in so potrebni dodatni popravki, da se zlonamerni uporabniki še dodatno odvrnejo od kršitve vašega sistema.

Imamo izčrpen priročnik za utrjevanje protokola SSH. Tu so glavni poudarki.

  • Konfigurirajte SSH prijavo brez gesla in omogočite preverjanje pristnosti zasebnega/javnega ključa.
  • Onemogoči prijavo za oddaljeni korenski dostop SSH.
  • Onemogočite prijave SSH uporabnikom s praznimi gesli.
  • Onemogočite avtentikacijo z geslom in se držite SSH avtentikacije z zasebnim/javnim ključem.
  • Omejite dostop določenim uporabnikom SSH.
  • Konfigurirajte omejitev za poskuse gesla.

Fail2ban je odprtokodni sistem za preprečevanje vdorov, ki varuje vaš strežnik pred napadi bruteforce. Vaš sistem Linux ščiti tako, da prepove IP-je, ki kažejo na zlonamerno dejavnost, kot je preveč poskusov prijave. Na voljo je s filtri za priljubljene storitve, kot so spletni strežnik Apache, vsftpd in SSH.

Imamo vodnik o tem, kako konfigurirati Fail2ban za dodatno okrepitev protokola SSH.

Ponovna uporaba gesel ali uporaba šibkih in preprostih gesel močno spodkopava varnost vašega sistema. Izvajate politiko gesel, s pomočjo pam_cracklib nastavite ali konfigurirate zahteve glede moči gesla.

Z uporabo modula PAM lahko določite moč gesla z urejanjem datoteke /etc/pam.d/system-auth. Tako lahko na primer nastavite zapletenost gesel in preprečite njihovo ponovno uporabo.

Če imate spletno mesto, vedno poskrbite, da boste zaščitili svojo domeno s potrdilom SSL/TLS za šifriranje podatkov, izmenjanih med brskalnikom in spletnim strežnikom.

Ko šifrirate svoje spletno mesto, onemogočite tudi šibke protokole šifriranja. V času pisanja tega vodnika je najnovejši protokol TLS 1.3, ki je najpogostejši in najpogosteje uporabljen protokol. Prejšnje različice, kot so TLS 1.0, TLS 1.2 in SSLv1 do SSLv3, so bile povezane z znanimi ranljivostmi.

[Morda vam bo všeč tudi: Kako omogočiti TLS 1.3 v Apacheju in Nginxu]

To je bil povzetek nekaterih korakov za zagotovitev varnosti podatkov in zasebnosti za vaš sistem Linux.