Təhlükəsiz avtorizasiya x window ubuntu. Linux-da təhlükəsizlik nisbi bir anlayışdır. Daha tam Linux təhlükəsizliyi üçün Linux-da fayl sisteminin şifrələnməsi

Bir çox istifadəçi Ubuntu pop və Ubuntu Serverini ciddi hesab etmir. Bir çox insanlar unudurlar ki, Ubuntu Server 5 il dəstəklənir, Debian 5.0-ın atası isə 3 il - 2009-cu ildən 2012-ci ilə kimi bazarda olub.

Dəstək qiymətləri ilə - Red Hat ilə müqayisədə Ubuntu Serveri demək olar və deyilməlidir - sifariş etsəniz belə, onu pulsuz əldə etdiniz 24/7 dəstək 24x7x365.

Ubuntu-nun bütün versiyalarında hansı təhlükəsizlik həllərinin tətbiq olunduğuna baxın və onu təhlükəsiz və etibarlı edin.

İmkanlar

Təhlükəsizlik qabiliyyəti matrisi

Açıq port yoxdur

Defolt Ubuntu quraşdırmasında şəbəkədən kənarda açıq portlar yoxdur. Bu qaydanın istisnası yalnız DHCP müştəri və mDNS (Avahi/ZeroConf) kimi şəbəkə infrastrukturu xidmətləri üçündür.

Ubuntu Server quraşdırıldıqda, administrator Apache veb serveri kimi əlavə şəbəkə xidmətləri quraşdıra bilər. Ancaq standart olaraq, təzə quraşdırılmış sistemdə, əgər netstat -an --inet | grep DİNLEYİN | grep -v 127.0.0.1 , onda siz asanlıqla yoxlaya bilərsiniz ki, Ubuntu şəbəkələrdən sistemə daxil olmaq üçün lazımsız olaraq portları açmır.

Parol hash

Ubuntu-ya daxil olmaq üçün istifadə edilən sistem parolu /etc/shadow-da saxlanılır. Uzun müddət əvvəl DES parol hashı /etc/passwd-də saxlanılırdı. Lakin müasir Linux-lar uzun müddətdir ki, hashləri /etc/shadow-da saxlayır və əvvəlcə duzlu MD5-əsaslı hash crypt id 1 istifadə olunurdu. Eyni parollar duzdan istifadə etmədən eyni hashlara malik olduğundan, duzun tətbiqi təhlükəsizliyi yaxşılaşdırdı və sistemin bir çox istifadəçisinin parollarını sındırmağı çətinləşdirdi.

İndi MD5 etibarsız hesab edilir və kompüterlərin hesablama imkanlarının artması ilə Ubuntu 8.10 ilə, duzlu SHA-512 hash (duzlu SHA-512 əsaslı parol heşləri crypt id 6) istifadə olunur. Hack edir Gücün tətbiqi bütün variantları sadalamaqla - inanılmaz dərəcədə mürəkkəb və uzun.

Təfərrüatlar üçün mancrypt baxın.

Testlər üçün test-glibc-security.py istifadə edin.

SYN kukiləri

Sistem yeni şəbəkə bağlantıları ilə su altında qaldıqda, SYN kuki mexanizmi SYN daşqın hücumlarından zərəri azaltmağa kömək edir.

Fayl sistemi imkanları

Onları işə salandan daha yüksək imtiyazlarla işləyən setuid proqramlara ehtiyac, xattrs kimi fayl sistemi xüsusiyyətlərindən istifadə etməklə azaldıla bilər. Bu cür imkanlar potensial təhlükəli quraşdırma proqramlarından sui-istifadə riskini azaldır.

Linux nüvəsi dəstəyi saxlayır və setuid proqramlarının təhlükəsizliyini artırmaq üçün xattrs kimi fayl imkanlarından istifadə etmək üçün libcap2-bin alət dəsti var.

Testlər üçün test-kernel-security.py istifadə edin.

Konfiqurasiya edilə bilən firewall

ufw Ubuntu-da quraşdırılan və istifadə edilən, lakin istifadəçi tərəfindən aktivləşdirilməli olan iptables ön hissəsidir. UFW iptables firewall anlayışları, zəncirləri və cədvəlləri ilə tanış olmayan insanlar üçün istifadəsi asan interfeys təmin etməyi hədəfləyir.

Eyni zamanda, UFW nə etdiyini bilən idarəçiyə kömək etmək üçün mürəkkəb iptables əmrlərini sadələşdirir.

UFW qrafik frontendlər üçün köməkçi və əsasdır.

Testlər üçün ufw testlərindən istifadə edin.

PR_SET_SECCOMP

AppArmor

SELinux

SELinux inode - fayl sistemi inode konsepsiyasına əsaslanan məcburi girişə nəzarət sistemidir.

selinux paketinin quraşdırılması PC açılışı zamanı lazımi dəyişiklikləri və düzəlişləri edəcək.

Testlər üçün test-kernel-security.py istifadə edin.

SMAK

SMACK inode - fayl sistemi indeksi deskriptoru konsepsiyasına əsaslanan çevik məcburi girişə nəzarət sistemidir.

Testlər üçün test-kernel-security.py istifadə edin.

Fayl sisteminin şifrələnməsi

LVM Şifrələmə

Alternativ quraşdırıcıdan istifadə edən istifadəçilər Ubuntu-nu şifrlənmiş LVM-də (Logical Volume Manage - Logical Volume Manager) quraşdıra bilərlər ki, bu, dəyişdirmə bölməsi də daxil olmaqla bütün bölmələri şifrələyəcək.

eCryptfs

Şifrələnmiş qovluqlar ilk dəfə Ubuntu 8.10-da həssas istifadəçi məlumatlarını saxlamaq üçün təhlükəsiz yer kimi tətbiq edilmişdir.

Alternativ və Server Disk Quraşdırıcısı ilk istifadəçi üçün şifrələnmiş qovluqlar qurmağa imkan verir.

Ubuntu 9.04-də istifadəçiyə bütün ev qovluğunu şifrələməyə imkan vermək üçün qovluqların şifrələnməsi dəstəyi genişləndirildi. Ev qovluğunun şifrələnməsi Alternativ quraşdırıcıda və Masaüstü quraşdırıcıda user-setup/encrypt-home=true seçimi ilə dəstəklənir.

İstifadəçi Məkanının Təhlükəsizliyinin Gücləndirilməsi

Bir çox təhlükəsizlik xüsusiyyətləri proqram paketləri və nüvəni qurarkən kompilyasiya bayraqları vasitəsilə həyata keçirilir.

Yığın qorunması

gcc -fstack-protector bayrağı kiçik bir təsadüfi ədədi işarə kimi yerləşdirməklə yığının daşmasından qorunma təmin edir. Bu texnika müxtəlif istismarlar üçün yığın daşmasını çətinləşdirir.

Az sayda proqramlar bu seçimlə qurulubsa və onlar üçün -fstack-protector deaktiv edilibsə, yaxşı işləmir.

Testlər üçün test-gcc-security.py istifadə edin.

Yığın qorunması

GNU C Kitabxanasının yığın mühafizəsi (avtomatik olaraq ptmalloc və əl ilə) glibc yaddaş menecerində zədələnmiş siyahı/bağlantıyı kəsmək/ikiqatsız/daşmaqdan qorunma təmin edir.

Bu, yığın yaddaşının daşması vasitəsilə ixtiyari kodun icrasının qarşısını alır və bununla da yığın sahəsinin strukturunu korlayır.

Bu qoruma zaman keçdikcə daha çox qorunma variantları əlavə edərək inkişaf etdi. IN hazırki vəziyyət glibc 2.10 hətta incə hücum şərtlərinə də uğurla müqavimət göstərir.

qarışıq göstərici

Bəzi glibc göstəriciləri PTR_MANGLE/PTR_UNMANGLE makroları vasitəsilə daxili olaraq glibc-də gizlədilir ki, bu da göstəricilərin icra zamanı üzərinə yazılmasının qarşısını alır.

test-glibc-security.py testlərindən istifadə edin.

Ünvan məkanında təsadüfi yerləşdirmə. Ünvan Kosmosunun Randomizasiyası (ASLR)

ASLR nüvədə həyata keçirilir və ELF yükləyicisi ən vacib strukturları təsadüfi ünvanlara yerləşdirir: yığın, yığın, paylaşılan kitabxanalar və s.

Bu, təcavüzkar istismarlardan istifadə etməyə çalışdıqda ünvanları proqnozlaşdırmağı çətinləşdirir.

ASLR qlobal olaraq /proc/sys/kernel/randomize_va_space vasitəsilə dəyişdirilir. Ubuntu 8.10-dan əvvəl dəyər "1" idi (aktivdir). brk ASLR daxil olan sonrakı buraxılışlarda dəyər "2" olaraq təyin edilir (brk ASLR ilə aktivləşdirilir).

ASLR yığını

Proqramın hər bir icrasının nəticələri stekdə müxtəlif yerlərdə yerləşdirilir. Yaddaşda tapmaq və zərərli yük əlavə edərək proqrama hücum etmək çətindir.

libs/mmap ASLR

Kitabxanalar dinamik olaraq müxtəlif yaddaş yerlərinə yüklənir, bu da təcavüzkarın qayıdış nöqtəsini tapmasını çətinləşdirir.

Qoruma kernel 2.6.15-dən (Ubuntu 6.06) mövcuddur.

Exec ASLR

"-fPIE -pie" seçimi ilə qurulmuş proqramlar yaddaşın müxtəlif yerlərinə yüklənir. Bu, yaddaş modifikasiyası hücumunu həyata keçirmək üçün hücumu və ya ünvana keçməyi çətinləşdirir.

Qoruma kernel 2.6.25-dən (Ubuntu 8.04 LTS) mövcuddur.

brk ASLR

Exec ASLR kimi, brk ASLR kiçik yaddaş ayrılması sorğuları üçün exec və brk arasında yaddaş ünvanlarını tənzimləyir. brk exec yaddaş ofsetinin təsadüfiləşdirilməsi nüvə 2.6.26 (Ubuntu 8.10) əlavə edildi.

VDSO ASLR

Proqram hər dəfə işə salındıqda nəticələri fərqli vdso-ya yerləşdirir. Əvvəlcə kernel 2.6.18 (x86, PPC) və 2.6.22 (x86_64) versiyalarında ortaya çıxdı, lakin Ubuntu 8.04 LTS-də silinən COMPAT_VDSO səbəbindən Ubuntu 6.10-a daxil edilmədi.

Sistemə keçid hücumlarından qoruyur.

Yalnız x86 glibc 2.6 tərəfindən dəstəklənir. glibc 2.7 (Ubuntu 8.04 LTS) artıq x86_64 ASLR vdso dəstəkləyir.

Qədim statik pre-libc6 vdso-ya ehtiyacı olanlar kernel parametri kimi "vdso=2" istifadə edib yenidən COMPAT_VDSO əldə edə bilərlər.

PIE ilə bina

Mövqedən Müstəqil İcra olunanlar (PIE) seçimi "-fPIE -pie" ilə qurulan bütün proqramlar exec ASLR qorunmasından istifadə edə bilər.

Bu, "mətnə ​​qayıt" hücumlarından qoruyur və adi yaddaş modifikasiyası hücumlarını faydasız edir.

PIE səbəbiylə, ümumi təyinatlı registrləri (x86 kimi) az olan arxitekturalarda böyük performans azalması (5-10%) var.

Buna görə də, PIE az sayda təhlükəsizlik baxımından kritik paketlər üçün istifadə olunur.

x86_64 üçün PIE-də performansın azalması ilə bağlı problemlər yoxdur, ona görə də bütün paketlər üçün istifadə olunur, lakin daha yaxşı sınaq tələb olunur.

Fortify Source ilə bina

"-D_FORTIFY_SOURCE=2" (və -O1 və ya daha yüksək) ilə qurulmuş proqramlara glibc-də bir neçə kompilyasiya və işləmə vaxtı mühafizəsi daxildir:

• "sprintf", "strcpy" qeyri-müəyyən sərhədləri ilə bufer ölçüsü əvvəlcədən məlum olduqda, məhdud N ilə əlaqəli funksiyalarla əvəz olunur. Bu yaddaş daşqınlarından qoruyur.
• sətir yazma girişi olan yaddaş seqmentində olduqda "%n" sətir formatı vasitəsilə hücumun dayandırılması.
• ən vacib funksiyaların və arqumentlərin qaytarılması kodlarının yoxlanılmasını tələb edir (məsələn, sistem üçün, yazmaq, açmaq).
• faylı yaratarkən açıq maska ​​tələb edir.

RELRO ilə montaj

Bootloader yaddaşının üzərinə yazılması ilə mübarizə aparmaq üçün ELF proqramları üçün sərtləşdirmə. GOT-overwrite üslubunda hücum şansını azaldır.

test-gcc-security.py testlərindən istifadə edin.

BIND_NOW ilə tikinti

ELF proqramlarını, "dərhal bağlama" kimi də tanınan, tələb üzrə deyil, başlanğıcda dinamik simvollara icazə vermək üçün qeyd edir.

Bu, GOT-u RELRO seçimi ilə birlikdə tam oxumaq üçün edir.

test-built-binaries.py testlərindən istifadə edin.

İcra olunmayan Yaddaş

Müasir prosessorlar verilənlərin yaddaş sahələrini (yığın, yığın) kodun icrasından qoruyur.

Bu texnologiya Non-eXecute (NX) və ya eXecute-Disable (XD) kimi tanınır. Qoruma təcavüzkarın ixtiyari kod yerləşdirmək qabiliyyətini azaldır.

Qoruma "PAE" tələb edir ki, bu da 3 GB-dan yuxarı RAM-a müraciət etməyə imkan verir. 64bit və 32bit -server və -generic-pae nüvələri artıq PAE ilə qurulub.

Ubuntu 9.10-dan başlayaraq NX avadanlığını dəstəkləməyən prosessorlar üçün mühafizə qismən 32 bit nüvələrdə emulyasiya edilir.

Yüklədikdən sonra NX qorunması üçün dəstək dərəcəsini görə bilərsiniz:

• Avadanlıq: [ 0.000000] NX (Execute Disable) mühafizəsi: aktivdir
• Emulyasiya:
  [ 0.000000] NX qorunmasının təxmini üçün x86 seqment məhdudiyyətlərindən istifadə

Əgər NX haqqında heç bir qeyd görmürsünüzsə, BIOS parametrlərinizi yoxlayın. Ubuntu 11.04-dən bəri NX üçün BIOS parametrləri nüvə tərəfindən nəzərə alınmır.

test-kernel-security.py testlərindən istifadə edin.

/proc/$pid/xəritələrin qorunması

ASLR işləyərkən, cari proses yaddaş xəritələri təcavüzkar üçün çox dəyərli olur. Xəritə faylı yalnız prosesin özü və proses sahibi tərəfindən oxuna bilər.

Kernel 2.6.22-dən etibarən mövcuddur.

test-kernel-security.py testlərindən istifadə edin.

Simvolik keçid məhdudiyyətləri

Bu qüsurdan istifadə etməyin ən çox yayılmış yolu, kök kimi zərərli hərəkəti yerinə yetirmək üçün təcavüzkar tərəfindən yaradılmış simvolik keçiddən istifadə etməyə məcbur etməkdir.

Ubuntu 10.10-dan etibarən, /tmp kimi qovluqlardakı simvolik keçidlər "izləyici" və qovluğun sahibi simvolik əlaqənin sahibi ilə eyni olmadıqda keçə bilməz.

Bu mexanizm Yama /proc/sys/kernel/yama/protected_sticky_symlinks mexanizmi ilə idarə olunur. Yama Canonical tərəfindən hazırlanmışdır.

test-kernel-security.py testlərindən istifadə edin.

Sərt keçid məhdudiyyətləri

Əgər /etc/ və /home/ kataloqları eyni bölmədədirsə, adi istifadəçi öz ana qovluğunda parol hash faylı /etc/shadow üçün sərt keçid yarada bilər. Əlbəttə ki, müəyyən bir fayl bəzi istifadəçi üçün oxunmaz və ya yazıla biləndirsə, ona çətin bir keçid verilmiş fayl eyni hüquqlara malik olacaq və buna görə də bu istifadəçi üçün əlçatan olmayacaq. Bununla belə, sərt keçidlərdən istifadə edərək, təcavüzkar belə faylı ona daxil olmaq hüququ olan proqrama “sürüşdürə” bilər.

Yama, mənbə fayllarına giriş hüququ olmayan istifadəçilər tərəfindən sərt keçidlərin yaradılmasının qarşısını alaraq bu hücumu bloklamağa imkan verir.

Davranış /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama tərəfindən idarə olunur.

ptrace əhatə dairəsi

Müvafiq Yama mühafizəsindən istifadə etmədən, CAP_SYS_PTRACE imtiyazına malik istənilən proses eyni UID ilə bütün proseslərin yaddaşına daxil ola bilər.Yama-dan istifadə edərkən girişin əhatə dairəsini yalnız belə bir proqramın nəslinə məxsus yaddaşa məhdudlaşdırmaq mümkündür. proses.

Ubuntu 10.10 və sonrakı versiyalarında istifadəçilər ptrace ilə prosesləri debug edə bilməzlər, əgər onlar onun nəslindən deyillər.

Davranış /proc/sys/kernel/yama/ptrace_scope Yama tərəfindən idarə olunur.

test-kernel-security.py testlərindən istifadə edin.

Nüvənin sərtləşdirilməsi

Hücumları çətinləşdirmək üçün nüvə müdafiəsini aktivləşdirdi.

0 ünvanlı qorunma

Nüvə və istifadəçi sahəsi virtual yaddaş ünvanlarını paylaşdığından, "NULL" yaddaş qorunmalıdır və "istifadəçi" yaddaşı 0 ünvanından başlaya bilməz, beləliklə, nüvə ünvanının dereferences - "NULL dereference" hücumunun qarşısını alır.

Qoruma kernel 2.6.22-dən etibarən "mmap_min_addr" sysctl parametri vasitəsilə mövcuddur. Ubuntu 9.04-dən etibarən mmap_min_addr nüvəyə quraşdırılmışdır - x86-da 64k, ARM-də 32k ünvan.

test-kernel-security.py testlərindən istifadə edin.

/dev/mem qorunur

Xorg kimi bəzi proqramlar birbaşa giriş tələb edir fiziki yaddaş istifadəçi məkanında. Xüsusi /dev/mem faylı bu girişi təmin edir.

Əvvəllər təcavüzkar kök girişi əldə edərsə, bu fayl vasitəsilə nüvə yaddaşına baxmaq və dəyişdirmək mümkün idi.

Bu cür cəhdlərin qarşısını almaq üçün CONFIG_STRICT_DEVMEM seçimi təqdim edildi (əvvəlcə bu seçim CONFIG_NONPROMISC_DEVMEM adlanırdı).

test-kernel-security.py testlərindən istifadə edin.

Əlil /dev/kmem

Müasir istifadəçi üçün /dev/kmem aktual deyil, çünki ondan daha çox təcavüzkarlar rootkitləri yükləmək üçün istifadə edirdilər.

CONFIG_DEVKMEM indi "n" olaraq təyin edilib.

/dev/kmem faylı Ubuntu 8.04 LTS-dən Ubuntu 9.04-ə qədər buraxılışlarda mövcuddur, lakin nüvədə heç nə ilə əlaqələndirilməyib və istifadə edilmir.

test-kernel-security.py testlərindən istifadə edin.

Modul yüklənməsinin bloklanması

Ubuntu 8.04 LTS və ondan əvvəlki versiyalarda CAP_SYS_MODULES funksiyasını silmək və beləliklə, yeni nüvə modullarının yüklənməsinin qarşısını almaq mümkün idi.

Bu, təhlükə altında olan sistemin başlanğıcında rootkitləri yükləməmək üçün başqa bir müdafiə təbəqəsi idi.

Kernel 2.6.25-də (Ubuntu 8.10) bu funksionallıq yoxa çıxıb. Ubuntu 9.10-dan etibarən /proc/sys/kernel/modules_disabled-i "1"-ə təyin etməklə modulları yenidən söndürmək mümkündür.

test-kernel-security.py testlərindən istifadə edin.

Yalnız oxumaq üçün məlumat bölməsi

Nüvə məlumat bölməsinin yalnız oxunaqlı kimi qeyd edilməsi dəyişikliklərin bloklanmasını təmin edir. Bu, bəzi rootkitlərdən qorunmağa kömək edir. CONFIG_DEBUG_RODATA seçimi ilə aktivləşdirilib.

test-kernel-security.py testlərindən istifadə edin.

Kernel yığınının qorunması

İstifadəçi məkanında ELF proqramlarını qorumaqla yanaşı, nüvə öz daxili yığınını CONFIG_CC_STACKPROTECTOR seçimi vasitəsilə qoruya bilər.

test-kernel-security.py testlərindən istifadə edin.

RO/NX modulu

Bu funksiya yüklənmiş nüvə modullarına məhdudiyyətlər daxil etmək üçün CONFIG_DEBUG_RODATA-nı genişləndirir. Bu, istismarlara qarşı durmağa kömək edir. CONFIG_DEBUG_MODULE_RONX parametri vasitəsilə aktivləşdirilib.

test-kernel-security.py testlərindən istifadə edin.

Kernel Ünvanı Göstərmə Məhdudiyyəti

Təcavüzkarlar nüvə zəifliklərindən istifadə edərək hər yerdə işləyən istismarı inkişaf etdirməyə çalışdıqda, daxili nüvə strukturlarının yerini bilməlidirlər.

Kernel ünvanları vacib məlumat kimi adi istifadəçilər üçün əlçatmazdır.

Ubuntu 11.04-dən başlayaraq, /proc/sys/kernel/kptr_restrict "1"-ə təyin edilib və nüvə ünvanı məlumatlarının sızmasını bloklayır.

Bundan başqa, müxtəlif fayllar və qovluqlar kök tərəfindən yalnız oxunmaq üçün hazırlanır
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo

test-kernel-security.py testlərindən istifadə edin.

Nadir protokolların qara siyahısı

Normalda kernel bütün şəbəkə protokollarının MODULE_ALIAS_NETPROTO(PF_...) makroları vasitəsilə tələb olunduqda avtomatik yüklənməsinə imkan verir.

Bu protokolların bir çoxu köhnəlmiş, nadir və az istifadə edildiyi üçün adi istifadəçi Ubuntu və naməlum zəiflikləri ehtiva edə bilər, onlar Ubuntu 11.04-dən bəri qara siyahıya salınıblar.

Qara siyahıya salınıb: ax25, netrom, x25, rose, decnet, econet, rds və af_802154.

Bu protokollardan hər hansı birinə ehtiyac olarsa, onlar modprobe vasitəsilə və ya /etc/modprobe.d/blacklist-rare-network.conf-u redaktə etməklə yüklənə bilər.

test-kernel-security.py testlərindən istifadə edin.

Sistem zənglərinin filtrasiyası

Proqramlar seccomp_filter istifadə edərək kernel zənglərini süzgəcdən keçirə bilər.

Bu, potensial etibarsız proqram təminatını daha da məhdudlaşdırmaq üçün konteynerlərdə və ya qum qutularında edilir.

test-kernel-security.py testlərindən istifadə edin.

Nəticə

Oxuyandan sonra aydın olur ki Canonical Ubuntu təhlükəsizliyinə ciddi yanaşır. İki layihə, AppArmor və Yama, uzun müddətdir Ubuntu ilə əlaqələndirilir və təhlükəsizliyin yaxşılaşdırılmasına kömək edir. Ubuntu, standart olaraq, şəbəkədə lazımsız port-qapıları açmır və başındakı macəra bağlantılarını gözləmir. Proqramları nəzarətdə saxlayan şəbəkə ilə işləyən əsas proqramlar üçün AppArmor profilləri yaradılmışdır.

Ubuntu ilə kompüteriniz təhlükəsiz olacaq!

2015-ci ildə keçirilən illik LinuxCon konfransında GNU/Linux nüvəsinin yaradıcısı Linus Torvalds sistemin təhlükəsizliyi ilə bağlı fikirlərini bölüşüb. O, səlahiyyətli müdafiə ilə müəyyən səhvlərin mövcudluğunun təsirini yumşaltmağın vacibliyini vurğuladı ki, bir komponent uğursuz olarsa, növbəti təbəqə problemi əhatə etsin.

Bu yazıda bu mövzunu praktiki baxımdan açmağa çalışacağıq:

7. Firewallları quraşdırın

Şifrələnmiş HTTPS və ya SSH bağlantıları üçün maksimum zərər əlaqənin kəsilməsidir, lakin təcavüzkar yeni məzmunu, o cümlədən zərərli proqramları qorunmayan trafikə yerləşdirə bilər. Bu cür hücumlardan qorunmaq üçün bir firewall uyğun gəlir.

Firewall ilə girişi bloklayın

Firewall arzuolunmaz gələn trafikin qarşısını almaq üçün ən vacib vasitələrdən biridir. Biz sizə yalnız həqiqətən keçməli olduğunuz trafikə icazə verməyinizi və bütün digər trafiki tamamilə bloklamağınızı tövsiyə edirik.

Paket filtrasiyası üçün əksər Linux paylamalarında iptables nəzarətçisi var. O, adətən qabaqcıl istifadəçilər tərəfindən istifadə olunur və sadələşdirilmiş konfiqurasiya üçün siz Debian/Ubuntu-da və ya Fedora-da FirewallD-də UFW yardım proqramlarından istifadə edə bilərsiniz.

8. Lazımsız xidmətləri söndürün

Sisteminiz inetd vasitəsilə konfiqurasiya edilibsə, /etc/inetd.conf faylında siz siyahıya düzəliş edə bilərsiniz. fon proqramları"daemons", xidmətin yüklənməsini söndürmək üçün onu icra olunandan şərhə çevirərək sətrin əvvəlinə "#" işarəsini qoymaq kifayətdir.

Sistem xinetd istifadə edirsə, onda onun konfiqurasiyası /etc/xinetd.d kataloqunda olacaq. Hər bir kataloq faylı bu misalda olduğu kimi disable = yes bəndini təyin etməklə deaktiv edilə bilən xidməti müəyyən edir:

Xidmət barmağı ( socket_type = axın gözləyin = istifadəçi yoxdur = heç kim server = /usr/sbin/in.fingerd disable = bəli )
Həmçinin inetd və ya xinetd tərəfindən idarə olunmayan davamlı prosesləri yoxlamağa dəyər. Siz /etc/init.d və ya /etc/inittab qovluqlarında başlanğıc skriptlərini konfiqurasiya edə bilərsiniz. Dəyişikliklər edildikdən sonra, kök hesabın altındakı əmri işə salın.

/etc/rc.d/init.d/inet yenidən başladın

9. Serveri fiziki olaraq qoruyun

Məlumat mərkəzinə daxil olmaq üçün bütün ziyarətçilər müəyyən autentifikasiya addımlarından keçməlidirlər. Həmçinin mərkəzin bütün sahələrində hərəkət sensorlarından istifadə etmək tövsiyə olunur.

10. Serveri icazəsiz girişdən qoruyun

Məsələn, Tripwire və Aide alətləri verilənlər bazası toplayır sistem faylları və onları bir sıra açarlarla qoruyun. Psad firewall hesabatı vasitəsilə şübhəli fəaliyyəti izləmək üçün istifadə olunur.

Bro şəbəkəyə nəzarət etmək, şübhəli fəaliyyət nümunələrini izləmək, statistika toplamaq, sistem əmrlərini yerinə yetirmək və xəbərdarlıqlar yaratmaq üçün nəzərdə tutulub. RKHunter viruslardan, əksər hallarda rootkitlərdən qorunmaq üçün istifadə edilə bilər. Bu yardım proqramı sisteminizi məlum zəifliklərin verilənlər bazasına qarşı skan edir və tətbiqlərdə təhlükəli parametrləri aşkarlaya bilir.

Nəticə

Hər kəsə salam ... Ubuntu altında olan bütün yeni başlayan adminlərin üzərinə şəbəkə interfeyslərini (şəbəkələr, şəbəkə kartları) konfiqurasiya etmək tapşırığı verilir Bu məqalədə mən sizə bunu necə edəcəyinizi göstərəcəyəm ... Bu, çox sadə şəkildə edilir ...

Əgər hər hansı bir şəkildə şəbəkə quraşdırmasını əldən vermişsinizsə və ya paylamanı quraşdırmaqda çətinlik görmüsünüzsə, indi bunu əl ilə edəcəyik. Beləliklə, paylama dəsti quraşdırılıb və bizi hücumda gözləyir... Biz 2 şəbəkə kartını konfiqurasiya etməliyik... .. Birimiz provayderə, digərimiz isə yerli şəbəkəyə baxır. Dərhal razılaşın və interfeyslərimizi və ünvanlarımızı təyin edin.

et0- 192.168.0.1 (tutaq ki, bu, provayderin verdiyi ünvandır) İnternetə baxan interfeys (provayder)
et1- 10.0.0.1 (bu interfeysə vermək istədiyimiz ünvan) Lokal şəbəkəyə baxan interfeys

Əvvəlcə komanda ilə hansı interfeysləri işə saldığımızı yoxlayaq ifconfig Buna bənzər bir şey görəcəksiniz (xxxxx əvəzinə yalnız məlumatlarınızla)

Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet ünvan:ххх.ххх.ххх.ххх Bcast:ххх.ххх.хххх.ххх Maska:255.255.255.252 inet6 addr: хх:х :ххх:хххх/64 Əhatə dairəsi: YAYINLAŞAN MULTICAST MTU ilə əlaqə:1500 Metrik:1 RX paketləri:31694097 xətalar:0 atıldı:0 həddi aşıb:0 çərçivə:0 TX paketləri:15166512 xətalar:0 buraxıldı: avtomobiler 0 toqquşma: 0 txqueuelen: 100 RX bayt: 2215593127 (2.2 GB) TX bayt: 1577680249 (1.5 GB) Yaddaş: b8820000-b8840000 eth1 Link qapağı: Ethernet Hxxx0000: Ethernet Hxxx000 əlavə edin:x:x. . 0.1 Bcast:10.0.0.255 Maska:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxxx/64 Əhatə: UP YAYIMI RUNNING MULTICAST MTU:110X000:150X00:33-cü xəta: 150X00 düşmə: Xxx: aşmaq s :0 çərçivə:0 TX paketləri:21539638 səhvlər:0 buraxıldı:0 aşırma:0 daşıyıcı:0 toqquşma:0 txqueuelen:100 RX bayt:1262641422 (1.2 GB) TX bayt:1922838889 Memory:08008 (1:908b) Link encap:Loopback (Loopback) inet ünvanı:127.0.0.1 Maska:255.0.0.0 inet6 ünvan: ::1/128 Əhatə dairəsi:Host UP LOOPBACK RUNNING MTU:16436 Metrik:1 RX paketi:3823 xəta:0-dan çox buraxıldı:0 buraxıldı 0 çərçivə: 0 TX paketləri: 3823 xətalar: 0 azaldı: 0 həddi aşma: 0 daşıyıcı: 0 toqquşma: 0 txqueuelen: 0 RX bayt: 717663 (717,6 KB) TX bayt: 717663 (717,6 KB)

İnterfeyslərdən biri sizin üçün göstərilmirsə, eybi yoxdur. Sadəcə olaraq söndürülüb, əmrlə yandırın sudo ifconfig eth1 yuxarı(eth1 əvəzinə interfeysinizi yazın, əgər 2 şəbəkə kartınız varsa, o zaman cəmi 2 interfeys var, bunlar eth0 və eth1) Və biz interfeysimizi işə salırıq:

Beləliklə, quraşdırmaya başlayaq.

Gəlin eth0 ip interfeysinə provayder tərəfindən verilən ünvanı aşağıdakı əmrlə təyin edək:

Və şəbəkə maskasını təyin edin:

Bu şəkildə edilən parametrlər server yenidən işə salındıqdan sonra sıfırlanır.
Bunun baş verməməsi üçün şəbəkə interfeyslərinin konfiqurasiya faylında parametrləri dəyişdirməlisiniz. Bunun üçün kök hüquqları tələb olunur. Gəlin haqqı əldə edək kök aşağıdakı əmrlə:

Şəbəkə interfeysi konfiqurasiya faylı bu ünvanda yerləşir /etc/şəbəkə/interfeyslər Onu redaktə etmək üçün biz Nano redaktordan istifadə edirik (öz redaktorunuzdan istifadə edə bilərsiniz) bəyəndim Nano

Aşağıdakıları görürük:

Aşağıdakı formaya gətirilməlidir

Ctrl + O düymələrini basaraq dəyişiklikləri yadda saxlayın və Ctrl + X düymələrini basaraq çıxın

Ünvanlar DNS serverləri/etc/network/interfaces faylında təyin oluna bilər, lakin Ubuntu-da DNS server ünvanları /etc/resolv.conf faylı vasitəsilə idarə olunur, mənim üçün belə görünür:

DNS-i konfiqurasiya edək, bunun üçün sətirə aşağıdakı əmri daxil edirik:

sudo nano /etc/resolv.conf # ISP-nin DNS server ad serverinin IP ünvanları xxx.xxx.xxx.xxx ad serveri xxx.xxx.xxx.xxx

yadda saxla Ctrl+O və ayrılırıq ctrl+x həmçinin aşağıdakı əmrlə şəbəkəni yenidən başlatmalısınız.

Heç birimiz şəxsi məlumatların yanlış əllərə keçməsini istəmirik. Bəs sistemi hücumlardan və məlumat oğurluğundan necə qorumaq olar? Həqiqətən, alqoritmlərin qurulması və şifrələməsi ilə bağlı bir neçə kilometr uzunluğunda təlimatları oxumalısınız? Heç lazım deyil. Bu yazıda sizə Linux sistemini cəmi 30 dəqiqə ərzində necə təhlükəsiz edəcəyinizi göstərəcəyəm.

Giriş

Biz elə bir dövrdə yaşayırıq mobil cihazlar və daimi onlayn. Laptopla kafeyə gedirik və ev maşınlarında internetdə veb serverlər işlədirik. Biz yüzlərlə saytda qeydiyyatdan keçirik və veb xidmətləri üçün eyni parollardan istifadə edirik. Həmişə cibimizdə onlarla parolla doldurulmuş və bir neçə SSH serverinin açarlarını saxlayan smartfon var. Biz üçüncü tərəf xidmətlərinin məxfiliyimizə diqqət yetirməsinə o qədər öyrəşmişik ki, artıq buna diqqət yetirməyi dayandırmışıq.

Smartfonumu itirəndə çox şanslı idim ki, onda quraşdırılmış oğurluğa qarşı effektiv oldu və mənə cihazın yaddaşından bütün məlumatları uzaqdan silməyə imkan verdi. Xarici dünyaya parolu olmayan (!) istifadəçi ilə təsadüfən ev maşınımda SSH portunu açanda (!!) çox bəxtim gətirdi ki, skript uşaqları maşına doğru yol aldılar ki, bu da gülməli olandan başqa. kabuk hekayəsi, sistemdə qalmalarına dair heç bir ciddi iz buraxmadı. Təsadüfən Gmail parolumla internetdə bir elan yerləşdirəndə çox bəxtim gətirdi ki, mənə bu barədə xəbərdarlıq edən xeyirxah bir insan var.

Ola bilsin ki, mən qazıram, amma qəti inanıram ki, bu sətirləri oxuyanların çoxunun başına belə hadisələr gəlib. Və yaxşı ki, bu insanlar məndən fərqli olaraq, öz avtomobillərini qorumaqla ciddi məşğul olublar. Axı, anti-oğurluq işləməyə bilər və skript uşaq əvəzinə ciddi insanlar maşına minə bilər və mən smartfonu deyil, istifadəçinin parolundan başqa heç bir şey olmayan noutbuku itirə bilərdim. digər müdafiə. Xeyr, bir Google iki faktorlu autentifikasiyasına və axmaq parollarına güvənmək çağımızda qətiyyən buna dəyməz, daha ciddi bir şeyə ehtiyac var.

Bu məqalə bir Linux maşınının hər şeydən və hər şeydən tam qorunmasına həsr olunmuş paranoid uniksoid bələdçisidir. Burada təsvir edilən hər şeyin istifadə üçün məcburi olduğunu söyləməyə cəsarət etmirəm. Əksinə, bu reseptlər toplusudur, onlardan məlumat özünüzü və konkret vəziyyətinizdə lazım olan sərhədlərdə məlumatlarınızı qorumaq üçün istifadə edilə bilər.

Parol!

Hər şey parollarla başlayır. Onlar hər yerdədir: Linux paylamasında giriş pəncərəsində, İnternet saytlarında qeydiyyat formalarında, FTP və SSH serverlərində və smartfonun kilid ekranında. Bu gün parollar üçün standart rəqəmlər daxil olmaqla 8-12 qarışıq simvoldan ibarətdir. Bu cür parolları öz ağlınızla yaratmaq olduqca yorucudur, lakin bunu avtomatik etmək üçün asan bir yol var:

$ openssl rand -base64 6

Heç biri xarici tətbiqlər, veb brauzer uzantıları yoxdur, OpenSSL istənilən maşında mövcuddur. Baxmayaraq ki, kimsə üçün daha əlverişlidirsə, o, bu məqsədlər üçün pwgen quraşdırıb istifadə edə bilər (deyirlər ki, parol daha davamlı olacaq):

$ pwgen -Bs 8 1

Parolları harada saxlamaq olar? Bu gün hər bir istifadəçinin o qədər çoxu var ki, hər şeyi başınızda saxlamaq sadəcə mümkün deyil. Brauzerin avtomatik saxlama sisteminə etibar edirsiniz? Siz edə bilərsiniz, amma kim bilir Google və ya Mozilla onlarla necə davranacaq. Snouden bunun çox yaxşı olmadığını söylədi. Buna görə parollar şifrələnmiş konteynerdə maşının özündə saxlanmalıdır. Qurucu atalar bunun üçün KeePassX-dən istifadə etməyi məsləhət görürlər. İş qrafikdir, qurucu ataların özləri də çox bəyənmirlər, lakin o, hər yerdə işləyir, o cümlədən məşhur Google Probe Android (KeePassDroid). Yalnız zəruri hallarda verilənlər bazasını parollarla ötürmək qalır.

Şifrələyirik

Şifrələmə - bu sözdə nə qədər var... Bu gün şifrələmə eyni anda hər yerdə və heç yerdə yoxdur. Biz saytların HTTPS versiyalarından istifadə etməyə məcbur oluruq, lakin bizi maraqlandırmır. Bizə deyirlər: "Ev kataloqunuzu şifrələyin" və biz deyirik: "Mən onu sonra quraşdıracağam." Onlar bizə deyirlər: “Dropbox işçilərinin sevimli əyləncəsi istifadəçilərin şəxsi fotolarına gülməkdir”, biz isə: “Qoy gülsünlər”. Bu arada, şifrələmə bu gün yeganə mütləq qorunma vasitəsidir. Və çox münasibdir və qırışları hamarlayır.

Linux-da siz sabit disk bölmələrindən tutmuş tək fayllara qədər hər şey və hər şey üçün tonlarla şifrələmə alətləri tapa bilərsiniz. Ən məşhur və zamanla sınaqdan keçirilmiş üç alət dm-crypt/LUKS, ecryptfs və encfs-dir. Birincisi bütün diskləri və arakəsmələri, ikincisi və üçüncüsü vacib məlumatları olan qovluqları, hər bir faylı ayrıca şifrələyir, bu, artımlı ehtiyat nüsxələri etmək və ya Dropbox ilə birlikdə istifadə etmək lazımdırsa, çox rahatdır. Məsələn, TrueCrypt daxil olmaqla bir neçə az tanınan alətlər də var.

Dərhal qeyd edəcəyəm ki, bütün diski şifrələmək çətin bir işdir və ən əsası faydasızdır. Kök kataloqda xüsusilə məxfi bir şey var və ola bilməz, lakin ev kataloqu və dəyişdirmə sadəcə məlumat anbarıdır. Üstəlik, ikincisi birincisindən daha böyükdür, çünki artıq şifrələnmiş məlumatlar və parollar ora daxil ola bilər (normal proqramçılar sistemin bu cür məlumatları dəyişdirməyə atmasını qadağan edir, lakin belə bir azlıq). Hər ikisi üçün şifrələmə qurmaq çox sadədir, sadəcə olaraq ecrypts alətlərini quraşdırın:

$ sudo apt-get quraşdırın ecryptfs-utils

Və əslində şifrələməni aktivləşdirin:

$ sudo ecryptfs-setup-swap $ ecryptfs-quraşdırma-özəl

Sonra, giriş üçün istifadə olunan parolunuzu daxil edin və sistemə daxil olun. Bəli, həqiqətən bu qədər sadədir. Birinci əmr dəyişdirərək dəyişdirməni şifrələyəcək və yenidən quraşdıracaq istədiyiniz xətlər/etc/fstab-da. İkincisi ~/.Private və ~/Private qovluqlarını yaradacaq ki, bu da müvafiq olaraq şifrələnmiş və şifrəsi açılmış faylları saxlayacaq. Daxil olduğunuz zaman pam_ecryptfs.so PAM modulu işə salınacaq ki, bu da birinci kataloqu şəffaf məlumat şifrələməsi ilə ikinciyə quraşdıracaq. Söküldükdən sonra ~/Private boş olacaq və ~/.Private şifrlənmiş formada bütün fayllardan ibarət olacaq.

Bütün ev kataloqunu bütövlükdə şifrələmək qadağan deyil. Bu halda, performans çox düşməyəcək, lakin bütün fayllar eyni daxil olmaqla qorunacaq şəbəkə kataloqu~/dropbox. Bu belə edilir:

# ecryptfs-migrate-home -u vasya

Yeri gəlmişkən, vasyanın məlumatlarından 2,5 qat daha çox disk sahəsi olmalıdır, buna görə əvvəlcədən təmizləməyi məsləhət görürəm. Əməliyyat başa çatdıqdan sonra dərhal istifadəçi vasya kimi daxil olmalı və işlədiyini yoxlamalısınız:

$ dağı | grep Şəxsi /home/vasya/.Private on /home/vasya type ecryptfs ...

Hər şey qaydasındadırsa, məlumatın şifrələnməmiş nüsxəsi üzərinə yazıla bilər:

$ sudo rm -r /home/vasya.*

İzlərimizi əhatə edirik

Yaxşı, parollar təhlükəsiz yerdədir, şəxsi fayllar da, indi nə olacaq? İndi biz əmin olmalıyıq ki, şəxsi məlumatlarımızın bəzi hissələri yanlış əllərə keçməsin. Heç kimə sirr deyil ki, fayl silinəndən sonra formatlaşdırma aparılsa belə, onun həqiqi məzmunu mediada qalır. Şifrələnmiş məlumatlarımız silindikdən sonra belə təhlükəsiz olacaq, bəs fləş disklər və digər yaddaş kartları haqqında nə demək olar? Bu, srm yardım proqramının lazımlı olduğu yerdir, bu, yalnız faylı silmir, həm də ondan sonra qalan məlumat bloklarını zibillə doldurur:

$ sudo apt-get quraşdırmaq təhlükəsiz-silmək $ srm secret-file.txt home-video.mpg

# dd if=/dev/zero of=/dev/sdb

Bu əmr sdb çubuğundakı bütün məlumatları siləcək. Sonra, bölmə cədvəli yaratmaq (bir bölmə ilə) və onu istədiyiniz fayl sisteminə formatlaşdırmaq qalır. Bunun üçün fdisk və mkfs.vfat istifadə etmək tövsiyə olunur, lakin siz qrafik gparted ilə də məşğul ola bilərsiniz.

BruteForce hücumlarının qarşısının alınması

Fail2ban şəbəkə xidmətləri üçün parolları təxmin etmək cəhdləri üçün qeydləri skan edən bir demondur. Belə cəhdlər aşkar edilərsə, şübhəli IP ünvanı iptables və ya TCP Wrappers tərəfindən bloklanır. Xidmət ev sahibini hadisə barədə e-poçt vasitəsilə xəbərdar edə və müəyyən vaxtdan sonra bloku sıfırlaya bilir. Fail2ban əvvəlcə SSH-ni qorumaq üçün hazırlanmışdı, bu gün Apache, lighttpd, Postfix, exim, Cyrus IMAP, adlı və s. üçün hazır nümunələr var. Üstəlik, bir Fail2ban prosesi bir anda bir neçə xidməti qoruya bilər.

Ubuntu / Debian-da quraşdırmaq üçün yazırıq:

# apt-get quraşdırma fail2ban

Konfiqurasiyalar /etc/fail2ban kataloqunda yerləşir. Konfiqurasiyanı dəyişdirdikdən sonra fail2ban-ı əmrlə yenidən başladın:

# /etc/init.d/fail2ban yenidən başladın

Kənardan təhlükə

İndi bağırsaqlardan gələn təhlükələrə diqqət yetirək dünya geniş şəbəkəsi. OpenBSD ilə işləyən xüsusi bir maşında işləyən iptables və pf haqqında danışmağa burada başlamalıyam, lakin ipkungfu olduqda bütün bunlar lazımsızdır. Bu nədir? Bu, kilometrlərlə uzunluğunda qaydalar siyahısı yaratmadan bizim üçün firewall konfiqurasiyasının bütün çirkli işlərini görəcək bir skriptdir. Yüklemek:

$ sudo apt-get quraşdırma ipkungfu

Konfiqurasiyanı redaktə edin:

$ sudo vi /etc/ipkungfu/ipkungfu.conf # Yerli şəbəkə, əgər varsa - şəbəkə ünvanını maska ​​ilə birlikdə yazırıq, yoxsa - geri dönmə ünvanını yazırıq LOCAL_NET="127.0.0.1" # Maşınımız gateway deyil GATEWAY=0 # Lazım olan portları bağlayın FORBIDDEN_PORTS="135 137 139" # Block pings, 90% kiddis bu mərhələdə düşəcək BLOCK_PINGS=1 # Şübhəli paketlərin atılması (müxtəlif növ daşqın) SUSPECT="DROP" # "Səhv" paketlərin atılması (Bəzi DoS növləri) KNOWN_BAD="DROP" # Port skan edilir? Thrash! PORT_SCAN="DAMLA"

İpkungfu-nu aktivləşdirmək üçün /etc/default/ipkungfu faylını açın və IPKFSTART = 0 xəttini IPKFSTART = 1 olaraq dəyişdirin. Çalışın:

$ sudo ipkungfu

Əlavə olaraq, /etc/sysctl.conf-a dəyişikliklər edəcəyik:

$ sudo vi /etc/systcl.conf # ICMP yönləndirmələrini buraxın (MITM hücumlarına qarşı) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # TCP sinxronizasiya mexanizmini aktivləşdirin net.ipv4 .tcp_syncook =1 # Müxtəlif düzəlişlər (anti-spoofing, "yarı açıq" TCP bağlantılarının növbəsini artırmaq və s.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog= 1280 kernel .core_uses_pid=1

Dəyişiklikləri aktivləşdirin:

$ sudo sysctl -s

Müdaxilələrin aşkarlanması

Snort adminlər üçün sevimli vasitələrdən biridir və bütün təhlükəsizlik təlimatlarında əsas dayaqdır. Bütün kitabların həsr olunduğu uzun tarixə və böyük imkanlara malik bir şey. Bələdçimizdə o nə edir sürətli quraşdırma təhlükəsiz sistem? Və burada onun üçün yer var, Snort'u konfiqurasiya etmək lazım deyil:

$ sudo apt-get install snort $ snort -D

Hamısı! Mən zarafat etmirəm, Snort-un standart parametrləri, əgər sizdə varsa, əlbəttə ki, tipik şəbəkə xidmətlərini qorumaq üçün kifayətdir. Sadəcə vaxtaşırı jurnala baxmaq lazımdır. Və orada belə sətirləri tapa bilərsiniz:

[**] MS-SQL probe cavabının daşması cəhdi [**] http://www.securityfocus.com/bid/9407]

vay. Kimsə MySQL-də bufer daşmasına səbəb olmağa çalışdı. Problemin ətraflı təsviri olan bir səhifəyə keçid də var. Gözəllik.

Kiməsə miras qalıb...

Xüsusilə ağıllı birisi bizim firewalldan yan keçə, Snort-u keçə bildi kök icazələri sistemdə və indi quraşdırılmış arxa qapıdan istifadə edərək sistemə müntəzəm olaraq baş çəkir. Yaxşı deyil, arxa qapını tapmaq, silmək və sistemi yeniləmək lazımdır. Rootkitləri və arxa qapıları axtarmaq üçün rkhunter istifadə edin:

$ sudo apt-get quraşdırma rkhunter

Biz işə salırıq:

$ sudo rkhunter -c --sk

Proqram bütün sistemi rootkitlər üçün yoxlayacaq və nəticələri göstərəcək. Zərərli proqram hələ də tapılsa, rkhunter yeri göstərəcək və onun üzərinə yazıla bilər. Daha ətraflı jurnal burada yerləşir: /var/log/rkhunter.log. Rkhunter-i gündəlik cron işi kimi idarə etmək daha yaxşıdır:

$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan Nəticələri" [email protected]

Vasyanın e-poçt ünvanını öz ünvanımızla əvəz edirik və skripti icra edilə bilən hala gətiririk:

$ sudo chmod +x /etc/cron.daily/rkhunter.sh

$ sudo rkhunter - yeniləmə

Yeri gəlmişkən, onu cron skriptində yoxlama əmrindən əvvəl əlavə etmək olar. Daha iki rootkit axtarış aləti:

$ sudo apt-get quraşdırmaq pələng $ sudo pələng $ sudo apt-get quraşdırmaq lynis $ sudo lynis -c

Əslində, quş baxışı ilə eyni Faberge yumurtaları, lakin fərqli əsasları var. Bəlkə də onların köməyi ilə rxunterin nəyi qaçırdığını aşkar etmək mümkün olacaq. Yaxşı, başlanğıc üçün debsums - barışıq üçün bir vasitədir yoxlama məbləğləri faylları standart ilə quraşdırılmış paketlər. Biz qoyduq:

$ sudo apt-get quraşdırma debsumları

Yoxlamağa başlayırıq:

$ sudo debsums -ac

Həmişəki kimi? başlatma cron işlərinə əlavə edilə bilər.

Çöldə

İndi İnternetdə anonimliyinizi qorumaq və müxtəlif müəllif hüquqları təşkilatlarının və digər Mizulinlərin tələbi ilə bloklanmış saytlara və səhifələrə necə giriş əldə etmək barədə danışaq. Bunun ən asan yolu dünyada minlərlə proxy serverdən birini istifadə etməkdir. Onların bir çoxu pulsuzdur, lakin tez-tez kanalı qədim analoq modemin sürətinə qədər kəsir.

Saytlarda təhlükəsiz naviqasiya etmək və yalnız zərurət yarandıqda proksi-ni işə salmaq üçün, proxy dəyişdirici kataloqunda asanlıqla tapılan Chrome və Firefox üçün çoxlu genişləndirmələrdən birini istifadə edə bilərsiniz. Səhifənin əvəzinə "Cənab Skumbriyeviçin tələbi ilə səhifəyə giriş məhduddur" işarəsini görərək, quraşdırırıq, lazımi etibarnamələr siyahısına daxil oluruq və tələb olunana keçirik.

Bütün sayt filtrin altına düşdüyü və ünvanı provayderlərin DNS serverləri tərəfində qara siyahıya salındığı hallarda, ünvanları dərc edilən pulsuz DNS serverlərindən istifadə edə bilərsiniz. İstədiyiniz iki ünvanı götürün və /etc/resolv.conf-a əlavə edin:

Ad serveri 156.154.70.22 ad serveri 156.154.71.22

Müxtəlif növ DHCP müştəriləri və NetworkManager-lərin provayderdən və ya marşrutlaşdırıcıdan alınan ünvanlarla faylın üzərinə yazılmasının qarşısını almaq üçün genişləndirilmiş atributlardan istifadə edərək faylı yazılmaz hala gətiririk:

$ sudo chattr +i /etc/resolv.conf

Bundan sonra, fayl kök daxil olmaqla hər kəs üçün yazmadan qorunacaq.

Baxış təcrübənizi daha da anonimləşdirmək üçün siz həmçinin saytın özünə qoşulmaq üçün istifadə edilən proksi serverə əlavə olaraq DNS serverinə edilən bütün sorğuları şifrələyəcək dnscrypt demonundan istifadə edə bilərsiniz. Yüklemek:

$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install

/etc/resolv.conf-da geri dönmə ünvanını göstərin:

$ vi /etc/resolv.conf ad serveri 127.0.0.1

Demonu başlayaq:

$ sudo dnscrypt-proxy --daemonize

Yeri gəlmişkən, Windows, iOS və Android üçün dnscrypt versiyaları var.

Soğan Yönləndirmə

Soğan marşrutu nədir? Bu Tor. Tor isə öz növbəsində İnternetə çıxışı olan tamamilə anonim şəbəkə yaratmağa imkan verən sistemdir. Burada "soğan" termini iş modelinə münasibətdə istifadə olunur, burada hər hansı bir şəbəkə paketi şifrələmənin üç qatına "bükülür" və ünvana gedən yolda üç qovşaqdan keçəcək, hər biri öz paketini çıxaracaqdır. qat və nəticəni daha da ötürün. Əlbəttə ki, hər şey daha mürəkkəbdir, amma bizim üçün yeganə vacib olan odur ki, bu, tam anonimliyi qorumağa imkan verən bir neçə şəbəkə növündən biridir.

Ancaq anonimlik olan yerdə əlaqə problemləri yaranır. Tor-da isə onlardan ən azı üçü var: o, dəhşətli dərəcədə yavaşdır (şifrələmə və qovşaqlar zəncirindən keçmək sayəsində), şəbəkənizdə yük yaradacaq (çünki siz özünüz də qovşaqlardan biri olacaqsınız) və o, həssasdır. trafikin qarşısının alınması. Sonuncu, Tor şəbəkəsindən İnternetə daxil olmaq qabiliyyətinin təbii nəticəsidir: sonuncu qovşaq (çıxış) şifrələmənin son qatını siləcək və məlumatlara daxil ola bilər.

Bununla belə, Tor-u quraşdırmaq və istifadə etmək çox asandır:

$ sudo apt-get quraşdırın

Hər şey, indi yerli maşında Tor şəbəkəsinə aparan bir proxy server olacaq. Ünvan: 127.0.0.1:9050, onu eyni uzantıdan istifadə edərək brauzerə daxil edə və ya parametrlər vasitəsilə əlavə edə bilərsiniz. Nəzərə alın ki, bu, HTTP proksisi deyil, SOCKS-dir.

MƏLUMAT

qoymaq üçün komanda xətti parol tarixdə saxlanmayıb, siz "əmrin əvvəlinə boşluq əlavə edin" adlı ağıllı hiylədən istifadə edə bilərsiniz.

Ubuntu-da ev kataloqunu şifrələmək üçün istifadə olunan ecryptfs-dir.

Daşqınlara qarşı mübarizə

Budur, ev sahibini su basmağa kömək edə biləcək bir neçə əmr.

Müəyyən bir portdakı bağlantıların sayını hesablamaq:

$ netstat -na | grep ":port\" | wc -l

"Yarım açıq" TCP bağlantılarının sayını hesablayırıq:

$ netstat -na | grep ":port\" | grep SYN_RCVD | wc -l

Bağlantı sorğularının edildiyi IP ünvanlarının siyahısına baxmaq:

$ netstat -na | grep ":port\" | sort | uniq -c | sort-nr | az

tcpdump ilə şübhəli paketlərin təhlili:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port portu və IP server hostu

Təcavüzkarın əlaqələrini kəsirik:

# iptables -A INPUT -s təcavüzkarın ip -p tcp --destination-port port -j DROP

Bir IP-dən müəyyən bir porta maksimum "yarı açıq" bağlantıların sayını məhdudlaşdırırıq:

# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-10-dan yuxarı -j DROP

ICMP ECHO sorğularına cavabları söndürün:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

nəticələr

Hamısı budur. Təfərrüatlara varmadan və təlimatları öyrənməyə ehtiyac olmadan biz kənar müdaxilələrdən, rootkitlərdən və digər infeksiyalardan, birbaşa insan müdaxiləsindən, nəqliyyatın qarşısının alınmasından və nəzarətindən qorunan Linux qutusu yaratdıq. Yalnız sistemi müntəzəm olaraq yeniləmək, SSH vasitəsilə parol girişini söndürmək, lazımsız xidmətləri silmək və konfiqurasiya xətalarından qaçmaq qalır.

2015-ci ildə keçirilən illik LinuxCon konfransında GNU/Linux nüvəsinin yaradıcısı Linus Torvalds sistemin təhlükəsizliyi ilə bağlı fikirlərini bölüşüb. O, səlahiyyətli müdafiə ilə müəyyən səhvlərin mövcudluğunun təsirini yumşaltmağın vacibliyini vurğuladı ki, bir komponent uğursuz olarsa, növbəti təbəqə problemi əhatə etsin.

Bu yazıda bu mövzunu praktiki baxımdan açmağa çalışacağıq:

7. Firewallları quraşdırın

Şifrələnmiş HTTPS və ya SSH bağlantıları üçün maksimum zərər əlaqənin kəsilməsidir, lakin təcavüzkar yeni məzmunu, o cümlədən zərərli proqramları qorunmayan trafikə yerləşdirə bilər. Bu cür hücumlardan qorunmaq üçün bir firewall uyğun gəlir.

Firewall ilə girişi bloklayın

Firewall arzuolunmaz gələn trafikin qarşısını almaq üçün ən vacib vasitələrdən biridir. Biz sizə yalnız həqiqətən keçməli olduğunuz trafikə icazə verməyinizi və bütün digər trafiki tamamilə bloklamağınızı tövsiyə edirik.

Paket filtrasiyası üçün əksər Linux paylamalarında iptables nəzarətçisi var. O, adətən qabaqcıl istifadəçilər tərəfindən istifadə olunur və sadələşdirilmiş konfiqurasiya üçün siz Debian/Ubuntu-da və ya Fedora-da FirewallD-də UFW yardım proqramlarından istifadə edə bilərsiniz.

8. Lazımsız xidmətləri söndürün

Əgər sisteminiz inetd vasitəsilə konfiqurasiya edilibsə, o zaman /etc/inetd.conf faylında siz “daemons” fon proqramlarının siyahısını redaktə edə bilərsiniz, xidmətin yüklənməsini söndürmək üçün sadəcə olaraq “#” işarəsinin əvvəlinə qoyun. sətir, onu icra olunandan şərhə çevirir.

Sistem xinetd istifadə edirsə, onda onun konfiqurasiyası /etc/xinetd.d kataloqunda olacaq. Hər bir kataloq faylı bu misalda olduğu kimi disable = yes bəndini təyin etməklə deaktiv edilə bilən xidməti müəyyən edir:

Xidmət barmağı ( socket_type = axın gözləyin = istifadəçi yoxdur = heç kim server = /usr/sbin/in.fingerd disable = bəli )
Həmçinin inetd və ya xinetd tərəfindən idarə olunmayan davamlı prosesləri yoxlamağa dəyər. Siz /etc/init.d və ya /etc/inittab qovluqlarında başlanğıc skriptlərini konfiqurasiya edə bilərsiniz. Dəyişikliklər edildikdən sonra, kök hesabın altındakı əmri işə salın.

/etc/rc.d/init.d/inet yenidən başladın

9. Serveri fiziki olaraq qoruyun

Məlumat mərkəzinə daxil olmaq üçün bütün ziyarətçilər müəyyən autentifikasiya addımlarından keçməlidirlər. Həmçinin mərkəzin bütün sahələrində hərəkət sensorlarından istifadə etmək tövsiyə olunur.

10. Serveri icazəsiz girişdən qoruyun

Məsələn, Tripwire və Aide alətləri sistem fayllarının verilənlər bazasını toplayır və onları açarlar dəsti ilə qoruyur. Psad firewall hesabatı vasitəsilə şübhəli fəaliyyəti izləmək üçün istifadə olunur.

Bro şəbəkəyə nəzarət etmək, şübhəli fəaliyyət nümunələrini izləmək, statistika toplamaq, sistem əmrlərini yerinə yetirmək və xəbərdarlıqlar yaratmaq üçün nəzərdə tutulub. RKHunter viruslardan, əksər hallarda rootkitlərdən qorunmaq üçün istifadə edilə bilər. Bu yardım proqramı sisteminizi məlum zəifliklərin verilənlər bazasına qarşı skan edir və tətbiqlərdə təhlükəli parametrləri aşkarlaya bilir.

Nəticə