Fayl girişinin linuxunu yoxlayın. Ən yaxşı Linux təhlükəsizlik audit alətləri. Bu xidmətə daxildir

Linux serverinin təhlükəsizliyi məlumatlarınızı, əqli mülkiyyətinizi və vaxtınızı hakerlərin əlindən qorumaq üçün çox vacibdir. Sistem administratoru Linux əməliyyat sisteminin təhlükəsizliyinə cavabdehdir. Bu yazıda Linux əməliyyat sisteminizi hər zaman təhlükəsiz və təhlükəsiz saxlamaq üçün etməli olduğunuz iyirmi şeyi nəzərdən keçirəcəyik. Bu bir ev kompüteridirsə, o zaman təhlükəsizlikdən bu qədər narahat olmağın mənası yoxdur, güclü parollar və İnternetdən portlara girişi bloklamaq kifayətdir. Ancaq ictimai bir server vəziyyətində onun qorunmasına diqqət yetirməlisiniz.

Bu təlimatlar CentOS, Red Hat və ya Ubuntu, Debian istifadə etməyinizdən asılı olmayaraq istənilən paylama üçün işləyəcək.

1. Rabitə şifrələməsi

Şəbəkə üzərindən ötürülən bütün məlumatlar monitorinq üçün açıqdır. Buna görə də, mümkün olduqda parollar, açarlar və ya sertifikatlardan istifadə edərək ötürülən məlumatları şifrələmək lazımdır.

Faylları ötürmək üçün scp, ssh, rsync və ya sftp istifadə edin. Siz həmçinin shhfs kimi alətlərdən istifadə edərək uzaq fayl sistemini ev kataloqunuza quraşdıra bilərsiniz.

GnuPG sizə məlumatlarınızı xüsusi gizli açarla şifrələməyə və imzalamağa imkan verir. Açarların idarə edilməsi və açıq açarlara çıxış funksiyaları da mövcuddur.

Fugu qrafik SFTP fayl ötürmə vasitəsidir. SFTP FTP-yə çox bənzəyir, lakin bütün seans şifrələnir. Bu o deməkdir ki, heç bir parol və ya əmr aydın şəkildə ötürülmür. Buna görə də, bu cür köçürmələr üçüncü tərəflərə daha az həssasdır. Siz həmçinin SSH / TLS və SSH Fayl Transfer Protokolu (SFTP) üzərindən FTS-i dəstəkləyən çarpaz platforma FTP müştərisi olan FileZilla-dan istifadə edə bilərsiniz.

OpenVPN, SSH şifrələməsini dəstəkləyən səmərəli və yüngül VPN müştərisidir.

2. FTP, Telnet, Rlogin və RSH istifadə etməməyə çalışın

Əksər şəbəkələrdə istifadəçi adları, FTP, Telnet, RSH əmrlərindən gələn parollar paket snifferdən istifadə edərək eyni şəbəkədəki kimsə tərəfindən ələ keçirilə bilər. Bu problemin ümumi həlli adi FTP-yə SSL və ya TLS əlavə edən OpenSSH, SFTP və ya SFTP-dən istifadə etməkdir. NIS, RSH və digər köhnəlmiş xidmətləri silmək üçün aşağıdakı əmri yerinə yetirin:

yum silmək inetd xinetd ypserv tftp-server telnet-server rsh-serve

3. Proqram təminatının miqdarını azaldın

Həqiqətən bütün quraşdırılmış veb xidmətlərə ehtiyacınız varmı? Bu proqramlarda zəifliklərin qarşısını almaq üçün lazımsız proqram təminatı quraşdırmamalısınız. Quraşdırılmış proqramlarınıza baxmaq və ehtiyacınız olmayanı silmək üçün paket menecerinizdən istifadə edin:

yum siyahısı quraşdırılıb
$ yum siyahısı paketi
$ yum paketi çıxarın

dpkg --list
$ dpkg - məlumat paketi
$ apt-get paketi çıxarın

4. Bir maşın - bir xidmət

Fərqli xidmətləri ayrı serverlərdə və ya virtual maşınlarda işlədin. Bu, təhlükə yarada biləcək xidmətlərin sayını məhdudlaşdırır. Məsələn, təcavüzkar Apache-yə müdaxilə edə bilsə, o zaman bütün serverə giriş əldə edəcək. O cümlədən MySQL, e-poçt serveri və s. kimi xidmətlər. Virtuallaşdırma üçün XEN və ya OpenVZ kimi proqramlardan istifadə edə bilərsiniz.

5. Linux nüvəsini və proqram təminatını yeni saxlayın

Təhlükəsizlik yamalarının tətbiqi Linux serverinin təhlükəsizliyini təmin etməyin çox vacib hissəsidir. Əməliyyat sistemi sistemin yenilənməsi və yeni versiyalara yüksəldilməsi üçün bütün alətləri təmin edir. Bütün təhlükəsizlik yeniləmələri mümkün qədər tez tətbiq edilməlidir. Burada da paket menecerinizdən istifadə etməlisiniz. Misal üçün:

Və ya Debian əsaslı sistemlər üçün:

sudo apt yeniləmə && sudo apt yeniləmə

Yeni təhlükəsizlik yeniləmələri mövcud olduqda sizə e-poçt bildirişləri göndərmək üçün Red Hat və ya Fedora quraşdıra bilərsiniz. Siz həmçinin cron vasitəsilə avtomatik yeniləmələri qura bilərsiniz və ya sisteminizi yeniləmək üçün sizi xəbərdar etmək üçün Debian-ın aptcron-undan istifadə edə bilərsiniz.

6. Linux-da təhlükəsizlik uzantılarından istifadə edin

Linux əməliyyat sistemi yanlış konfiqurasiyadan və ya zərərli proqramlardan qorunmaq üçün istifadə edilə bilən müxtəlif təhlükəsizlik yamaları ilə gəlir. Lakin siz SELinux və ya AppArrmor kimi proqramlar üçün əlavə giriş nəzarət sistemlərindən də istifadə edə bilərsiniz.

SELinux Linux nüvəsi üçün müxtəlif təhlükəsizlik siyasətlərini təmin edir. Burada rollardan istifadə edərək istənilən sistem resurslarına girişi idarə etmək mümkündür. Müəyyən bir mənbəyə yalnız rolu icazə verən proqram daxil ola bilər və hətta super istifadəçi hüquqlarının əhəmiyyəti yoxdur. SELinux Linux sisteminin təhlükəsizliyini xeyli artırır, çünki burada hətta kök belə normal istifadəçi hesab olunur. Daha ətraflı məlumat ayrı bir məqalədə təsvir edilmişdir.

7. İstifadəçi hesabları və güclü parollar

İstifadəçi hesablarını yaratmaq və saxlamaq üçün useradd və usermod əmrlərindən istifadə edin. Yaxşı və güclü parolunuz olduğundan əmin olun, o, ən azı səkkiz simvoldan ibarət olmalıdır, tercihen fərqli bir vəziyyətdə, onların arasında xüsusi simvollar və ya nömrələr olmalıdır. Məsələn, yeddi hərf və bir simvol və ya rəqəm olan 8 simvol. Serverdə zəif istifadəçi parollarını tapmaq üçün Ripper John kimi alətlərdən istifadə edin və parol siyasətini tətbiq etmək üçün pam_cracklib.so saytını konfiqurasiya edin.

8. Zaman zaman parolları dəyişdirin

Dəyişdirmə əmri məcburi parol dəyişdirmə tarixindən əvvəl günlərin sayını təyin etməyə imkan verir. Bu məlumat sistem tərəfindən istifadəçinin onu nə vaxt dəyişdirməli olduğunu müəyyən etmək üçün istifadə olunur. Bu parametrlər /etc/login.defs daxilindədir. Parolun yaşlanmasını aradan qaldırmaq üçün aşağıdakı əmri daxil edin:

dəyişdirin -l istifadəçi adı

Parolun bitmə tarixi haqqında məlumat almaq üçün əmri daxil edin:

Siz həmçinin /etc/shadow faylında hər şeyi əl ilə konfiqurasiya edə bilərsiniz:

(istifadəçi): (parol): (son_dəyişiklik):(maksimum_gün): (minimum_gün): (Xəbərdarlıq):(deaktiv edin):(keçmə_sətirləri):

• Minimum günlər- parol dəyişiklikləri arasındakı minimum interval, yəni istifadəçinin parolu nə qədər tez-tez dəyişə biləcəyi.
• Maksimum günlər- parol neçə gün etibarlı olacaq, bu müddətdən sonra istifadəçi parolu dəyişmək məcburiyyətində qalacaq.
• Xəbərdarlıq- istifadəçiyə parolunu dəyişdirməli olduğu barədə xəbərdarlıq ediləcəyi günlərin sayı.
• bitmə_sətri- 1970-ci il yanvarın 1-dən hesabın tamamilə ləğv ediləcəyi günlərin sayı.

chage -M 60 -m 7 -W 7 istifadəçi adı

İstifadəçilərin köhnə parollardan istifadəsinin qarşısını almaq da məqsədəuyğundur, əks halda onları parolları dəyişdirməyə məcbur etmək üçün edilən bütün səylər ləğv ediləcək.

9. Uğursuz Giriş cəhdlərindən sonra hesabları bloklayın

Linux əməliyyat sistemində uğursuz istifadəçi giriş cəhdlərini görmək üçün faillog əmrindən istifadə edə bilərsiniz. Siz həmçinin uğursuz giriş cəhdlərinə limit təyin etmək üçün istifadə edə bilərsiniz. Uğursuz giriş cəhdləri haqqında bütün məlumatlar /var/log/faillog faylında saxlanılır. Onu görmək üçün yazın:

Müəyyən bir hesab üçün giriş cəhdlərinə məhdudiyyət qoymaq üçün istifadə edin:

faillog -r -u istifadəçisi

Siz həmçinin passwd əmrindən istifadə edərək hesabları əl ilə bloklaya və ya blokdan çıxara bilərsiniz. İstifadəsini bloklamaq üçün:

passwd -l istifadəçisi

Və kilidini açmaq üçün:

passwd -u istifadəçisi

Sistemdə boş parolları olan hesabların olub olmadığını yoxlamaq da məsləhətdir. Bunu etmək üçün çalıştırın:

awk -F: "($2 == "") (çap)" /etc/shadow

Həmçinin qrup və ya id 0 olan istifadəçilərin olub-olmadığını yoxlayın. Yalnız bir belə istifadəçi olmalıdır və bu kökdür. Bu əmrlə yoxlaya bilərsiniz:

awk -F: "($3 == "0") (çap)" /etc/passwd

Yalnız bir xətt olmalıdır:

root:x:0:0:root:/root:/bin/bash

Başqaları varsa, silin. İstifadəçilər və xüsusən də onların zəif parolları linux-da təhlükəsizliyi poza biləcək ən həssas şeylərdən biridir.

10. Superuser Girişini deaktiv edin

Linux sisteminizi təhlükəsiz saxlamaq üçün heç vaxt root kimi daxil olmayın. Lazımi icazələri əldə etmək və istədiyiniz əmri root olaraq işlətmək üçün sudo-dan istifadə edə bilərsiniz. Bu əmr super istifadəçi parolunu digər adminlərə açıqlamamağa imkan verir və həmçinin hərəkətləri izləmək, məhdudlaşdırmaq və izləmək üçün alətləri ehtiva edir.

11. Serverin fiziki təhlükəsizliyi

Linux server təhlükəsizliyinə fiziki təhlükəsizlik daxil olmalıdır. Siz server konsoluna fiziki girişi məhdudlaşdırmalısınız. BIOS-u DVD, CD, USB kimi xarici mediadan yükləməni dəstəkləməmək üçün təyin edin. Həmçinin parametrlərini qorumaq üçün BIOS və GRUB yükləyicisində parol təyin edin.

12. Lazımsız xidmətləri söndürün

Bütün istifadə olunmamış xidmətləri və demonları söndürün. Həmçinin bu xidmətləri başlanğıcdan silməyi unutmayın. Red Hat sistemlərindəki bütün aktiv xidmətləri komanda ilə sadalaya bilərsiniz:

chkconfig --list | grep "3:on"

Xidməti söndürmək üçün istifadə edin:

xidmət dayanacağı
$ chkconfig xidməti söndürülüb

Proqramlar tərəfindən açıq olan bütün portları tapın:

Eyni şeyi nmap skaneri ilə də etmək olar:

nmap -sT -O localhost

Şəbəkədən əlçatan olmayan bütün portları bağlamaq üçün iptables istifadə edin. Və ya yuxarıda göstərildiyi kimi lazımsız xidmətləri dayandırın.

13. X serverini çıxarın

Server kompüterindəki X serveri tamamilə isteğe bağlıdır. Xüsusi Apache və ya E-poçt serverində qrafik mühit işlətməyə ehtiyac yoxdur. Təhlükəsizlik və performansı artırmaq üçün bu proqramı silin.

14. Iptables qurun

iptables, nüvəyə quraşdırılmış Netfilter firewallını konfiqurasiya etmək üçün istifadəçi məkanı proqramıdır. Bu, bütün trafiki süzgəcdən keçirməyə və yalnız müəyyən trafik növlərinə icazə verməyə imkan verir. İnternetə girişi filtrləmək üçün TCPWrappers - ACL sistemindən də istifadə edin. Siz iptables ilə bir çox növ DOS hücumlarının qarşısını ala bilərsiniz. Linux-da şəbəkə təhlükəsizliyi ümumi sistem təhlükəsizliyinin çox vacib aspektidir.

15. Kerneli quraşdırın

/etc/sysctl.conf faylı sistemin işə salınması zamanı yüklənən və tətbiq edilən ləpə parametrlərini saxlayır.

Execshield bufer daşması mühafizəsini aktivləşdirin:

kernel.exec-shield=1
kernel.randomize_va_space=1

IP Spoofing Qorumasını aktivləşdirin:

net.ipv4.conf.all.rp_filter=1

IP ünvanının yönləndirilməsini deaktiv edin:

net.ipv4.conf.all.accept_source_route=0

Yayım sorğularına məhəl qoymayın:

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

Bütün saxta paketləri qeyd edin:

net.ipv4.conf.all.log_martians=1

16. Sərt diskinizi hissələrə bölün

Faylların məqsədindən asılı olaraq sabit diskin bölmələrə bölünməsi Linux əməliyyat sistemlərinin təhlükəsizliyini artırır. Belə kataloqlar üçün ayrıca bölmələr yaratmaq tövsiyə olunur:

• /ev
• /var və /var/tmp

Apache kök qovluqları və FTP serverləri üçün ayrı bölmələr yaradın. /etc/fstab faylını açın və istədiyiniz bölmələr üçün xüsusi seçimləri təyin edin:

• noexec- bu bölmədə heç bir proqram və ya icra olunan faylları icra etməyin, yalnız skriptlərə icazə verilir
• nodev- bu bölmədə simvolik və ya xüsusi qurğulara icazə verməyin.
• nosuid- bu bölmədən proqramlar üçün SUID / SGID girişinə icazə verməyin.

17. Disk Məhdudiyyətindən istifadə edin

İstifadəçilər üçün mövcud disk yerini məhdudlaşdırın. Bunun üçün /etc/fstab-da disk kvotası yaradın, fayl sistemlərini yenidən quraşdırın və disk kvotası verilənlər bazası yaradın. Bu, Linux-da təhlükəsizliyi artıracaq.

18. IPv6-nı söndürün

Növbəti nəsil IPv6 İnternet protokolu gələcəkdə artıq istifadə olunan IPv4-ü əvəz edəcək. Ancaq hazırda IPv6 əsaslı şəbəkənin təhlükəsizliyini yoxlamağa imkan verən alətlər yoxdur. Bir çox Linux paylamaları standart olaraq IPv6-ya icazə verir. Hakerlər arzuolunmaz trafik göndərə bilər və adminlər onu izləyə bilməyəcəklər. Beləliklə, bu xidmətə ehtiyacınız yoxdursa, onu söndürün.

19. İstifadə edilməmiş SUID və SGID ikili fayllarını söndürün

SUID və ya SGID bayrağının aktiv olduğu bütün icra edilə bilən fayllar potensial təhlükəlidir. Bu bayraq proqramın super istifadəçi hüquqları ilə icra ediləcəyini bildirir. Və bu o deməkdir ki, proqramda bir növ zəiflik və ya səhv varsa, yerli və ya uzaq istifadəçi bu fayldan istifadə edə biləcək. Bütün belə faylları aşağıdakı əmrlə tapın:

tapmaq / -perm +4000

SGID bayraq dəsti ilə faylları tapın:

tapmaq / -perm +2000

Və ya hamısını bir komandada birləşdirə bilərik:

tapmaq / \(-perm -4000 -o -perm -2000 \) -çap
$ find / -path -prune -o -type f -perm +6000 -ls

Bu və ya digər faylın nə qədər lazım olduğunu başa düşmək üçün tapılan hər bir faylı ətraflı öyrənməli olacaqsınız.

20. İctimai fayllar

Sistemdəki bütün istifadəçilər tərəfindən dəyişdirilə bilən faylları tapmaq da arzu edilir. Bunu etmək üçün aşağıdakı əmrdən istifadə edin:

tap /dir -xdev -tip d \(-perm -0002 -a ! -perm -1000 \) -çap

İndi siz qrup və bu hər bir faylın sahibi üçün hüquqların düzgün qurulub-qoyulmadığını və bunun təhlükəsizlik riski yaratdığını yoxlamaq lazımdır.

Heç kimə aid olmayan bütün faylları tapmaq da arzu edilir:

tapın /dir -xdev \(-nouser -o -nogroup \) -çap edin

21. Mərkəzləşdirilmiş autentifikasiya sistemindən istifadə edin

Mərkəzləşdirilmiş autentifikasiya sistemi olmadan istifadəçi məlumatları uyğunsuz olur və bu, köhnəlmiş etimadnaməyə və çoxdan silinməli olan unudulmuş hesablara səbəb ola bilər. Mərkəzləşdirilmiş xidmət müxtəlif Linux və Unix sistemlərində istifadəçi hesabları və autentifikasiya məlumatları üzərində nəzarəti saxlamağa imkan verəcək. Siz serverlər arasında identifikasiya məlumatlarını sinxronizasiya edə bilərsiniz. Ancaq NIS xidmətindən istifadə etməyin, daha yaxşı Open DAP-a baxın.

Belə bir sistemin maraqlı tətbiqlərindən biri Kerberosdur. O, istifadəçilərə paketlərin tutula və dəyişdirilə biləcəyi şəbəkələrdə gizli açardan istifadə edərək autentifikasiya etməyə imkan verir. Kerberos məlumatları şifrələmək üçün simmetrik açardan istifadə edir və işləmək üçün Açar İdarəetmə Mərkəzi tələb olunur. Siz uzaqdan giriş, uzaqdan nüsxə, sistemlər arasında faylların təhlükəsiz surətini və yüksək səviyyəli təhlükəsizliklə digər tapşırıqları quraşdıra bilərsiniz.

22. Giriş və audit

Bütün uğursuz giriş cəhdlərini və sındırma cəhdlərini toplamaq və saxlamaq üçün qeydiyyatı və auditi qurun. Varsayılan olaraq, bütün qeydlər və ya ən azı onların əksəriyyəti /var/log/ qovluğunda yerləşir. Daha ətraflı olaraq, ayrı bir məqalədə müəyyən şəxslərin nəyə görə məsuliyyət daşıdığı barədə danışdıq.

Siz logwatch və ya logcheck kimi yardım proqramları ilə qeydlərə baxa bilərsiniz. Onlar qeydləri oxumağı çox asanlaşdırırlar. Siz bütün fayla deyil, yalnız sizi maraqlandıran hadisələrə baxa, həmçinin e-poçt ünvanınıza bildiriş göndərə bilərsiniz.

Audit xidməti ilə sistemə nəzarət edin. Proqram sizi maraqlandıran bütün audit hadisələrini diskə yazır. Bütün audit parametrləri /etc/audit.rules faylında saxlanılır.Sistemin işə salınması zamanı xidmət bu fayldan bütün qaydaları oxuyur. Siz onu aça və lazım olduqda hər şeyi konfiqurasiya edə bilərsiniz və ya ayrıca bir köməkçi proqramdan istifadə edə bilərsiniz - auditctl. Aşağıdakı nöqtələri təyin edə bilərsiniz:

• Sistemin işə salınması və bağlanması hadisələri
• Tədbirin tarixi və vaxtı
• İstifadəçi hadisələri (məsələn, müəyyən bir fayla giriş)
• Hadisə növü (redaktə etmək, daxil olmaq, silmək, yazmaq, yeniləmək və s.)
• Tədbiri həyata keçirərkən uğur və ya uğursuzluq
• Şəbəkə Parametrlərinin qeyd edilməsi Hadisələrin dəyişdirilməsi
• İstifadəçi və qrup dəyişikliklərinin qeydə alınması
• Fayl dəyişikliklərinə nəzarət edin

23. OpenSSH serverinizi qoruyun

Yalnız 2-ci protokolun istifadəsinə icazə verin:

Superuser kimi girişi deaktiv edin:

24. IDS quraşdırın

IDS və ya müdaxilənin aşkarlanması sistemi DOS hücumu, portun skan edilməsi kimi şübhəli, zərərli fəaliyyəti aşkarlamağa çalışır və ya hətta şəbəkə trafikinə nəzarət etməklə kompüteri sındırmağa cəhd edir.

Sistem İnternetdən istifadəyə verilməzdən əvvəl belə proqram təminatının yerləşdirilməsi yaxşı təcrübədir. Siz AIDE quraşdıra bilərsiniz, bu, sisteminizin daxili hissələrinin bütün aspektlərini idarə edə bilən HIDS (Host əsaslı IDS)-dir.

Snort şəbəkəyə müdaxilənin aşkarlanması proqramıdır. O, paketləri təhlil etmək və qeyd etmək və real vaxt rejimində şəbəkə trafikini təhlil etmək qabiliyyətinə malikdir.

25. Fayllarınızı və kataloqlarınızı qoruyun

Linux-un fayllara icazəsiz girişə qarşı əla müdafiəsi var. Bununla belə, Linux və fayl sistemi tərəfindən təyin edilmiş icazələr, təcavüzkarın kompüterə fiziki girişi olduqda və məlumatlarınızı kopyalamaq üçün sadəcə olaraq kompüterin sabit diskini başqa sistemə qoşa bildikdə heç bir məna kəsb etmir. Ancaq fayllarınızı şifrələmə ilə asanlıqla qoruya bilərsiniz:

• Faylı parol ilə şifrələmək və deşifrə etmək üçün GPG istifadə edin
• Siz həmçinin OpenSSL ilə faylları qoruya bilərsiniz
• Kataloq şifrələməsi ecryptfs ilə həyata keçirilir
• TrueCrypt Windows və Linux üçün pulsuz disk şifrələmə vasitəsidir

nəticələr

İndi kompüterinizdə linux ƏS-nin təhlükəsizliyi xeyli artacaq. Zaman zaman mürəkkəb parollar təyin etməyi unutmayın. Sevimli sistem təhlükəsizlik alətinizi şərhlərdə yazın.

İnformasiya təhlükəsizliyi istənilən onlayn biznes üçün prioritet məsələdir. Virus infeksiyaları və xarici hücumlar, eləcə də məlumatlara icazəsiz giriş, bütün bunlar böyük maliyyə və reputasiya risklərinə səbəb olur. Buna görə də, bir server platforması seçərkən, biznes sahibləri həmişə resurs təhlükəsizliyinin dərəcəsi ilə maraqlanırlar.
Mühafizə sisteminin nə qədər yaxşı işlədiyini, orada hər hansı bir zəifliyin və "deşiklərin" olub olmadığını yoxlamaq üçün ayda ən azı bir dəfə server təhlükəsizliyi auditinin aparılması tövsiyə olunur.

Server təhlükəsizliyi auditinə nə daxildir

Hətta serverin özünün səhv parametrləri və ya köhnəlmiş proqram təminatı kimi əhəmiyyətsiz görünən amil də təhlükəsizlik təhdidinə çevrilə bilər. Audit təhlükəsizlik zəifliklərini müəyyən etməyə və məlumatların oğurlanması və ya oğurlanmasından əvvəl onları aradan qaldırmaq üçün vaxtında tədbirlər görməyə kömək edir.
Server inzibatçısı quraşdırılmış proqram təminatını, onun ən son yeniləmələrə uyğunluğunu yoxlayır, serverin təhlükəsizlik parametrlərini qiymətləndirir və əgər varsa, səhvləri aradan qaldırır, həmçinin işçilərin müəyyən resurslara giriş hüquqlarının parametrlərinin uyğunluğunu təhlil edir.

Öz əlinizlə virtual şəxsi serveri necə yoxlamaq olar

Hər bir istifadəçi Windows və ya Linux platformalarında serverlərin təhlükəsizliyini yoxlaya bilər, bunun üçün proqramlaşdırma üzrə xüsusi biliyə malik olmaq lazım deyil.
Təhlükəsizlik yoxlamasını bir neçə mərhələyə bölmək olar:

Fiziki giriş

Xüsusi bir server vəziyyətində, üçüncü tərəflərin serverinə fiziki giriş standart olaraq məhdudlaşdırılır, bu məlumat mərkəzi tərəfindən təmin edilir. Lakin istifadəçi əlavə olaraq BIOS-a daxil olmaq üçün parol təyin edə bilər.

Firewall

Proqram təminatının və portların davamlı monitorinqi üçün Windows Firewall düzgün konfiqurasiya edilməli və aktivləşdirilməlidir. Linux üçün girişə nəzarət üçün SELinux sistemindən istifadə edə bilərsiniz. Siz həmçinin bizdən Cisco ASA və ya Fortinet FortiGate 60D hardware firewall icarəyə götürə bilərsiniz.

Fayl sistemi

Yeniləmələri yoxlayın

Yeniləmələri avtomatik qəbul etmək və quraşdırmaq üçün serveri konfiqurasiya edin.

Parol siyasəti

Mürəkkəb parollar, onların etibarlılıq müddəti və çoxsaylı uğursuz girişlərdən və ya boş paroldan sonra hesabın bloklanması tələbini tətbiq etmək üçün yerli Windows təhlükəsizlik siyasətlərindən istifadə edin.

Giriş nəzarəti

Kritik infrastruktur seqmentləri üçün girişi aktivləşdirin və onları müntəzəm olaraq yoxlayın.

Şəbəkə Təhlükəsizliyi

Host seqmentasiyası və keçid təhlükəsizliyi üçün VPN və VLAN tövsiyə olunur.
Siz həmçinin standart parametrləri dəyişdirməli və şəbəkə avadanlığı xidmətlərinin portlarını yönləndirməlisiniz.
Siz trafiki şifrələmək üçün IPsec xidmətindən istifadə edə bilərsiniz. Açıq portları görmək üçün - Netstat yardım proqramı.

Giriş nəzarəti

Kritik fayllara istifadəçi giriş hüquqlarını fərqləndirin, qonaq girişini və boş parolu olan istifadəçiləri söndürün. Serverdə istifadə olunmamış rolları və proqramları söndürün.

Yedəkləmə

Fayl ehtiyat nüsxə xidmətindən istifadə edin, bu sərfəli və etibarlıdır. Yedəkləri şifrəsiz saxlamayın. Bizdən server icarəyə götürsəniz, ehtiyat nüsxələri üçün yer seçə bilərsiniz.

Verilənlər bazasına giriş

Kritik verilənlər bazaları müxtəlif SQL serverlərində saxlanmalıdır. Siz minimum imtiyazları olan istifadəçi adından və ya əvvəlcədən konfiqurasiya edilmiş ağ IP ünvan siyahısından işə salmağı konfiqurasiya etməlisiniz.

Antivirus qorunması

Windows-da serverin işləməsi üçün istifadəçilər şəbəkə yaddaşları ilə işləyərkən avtomatik yenilənən antivirus proqramının quraşdırılması tövsiyə olunur. Linux üçün server təhlükəsizliyinin müntəzəm monitorinqi və icazəsiz girişə nəzarət şərti ilə antivirusun quraşdırılması tələb olunmur. Tiger yardım proqramı bunun üçün faydalı ola bilər.

Ayda bir dəfə belə audit serverin düzgün işləməsini yoxlamağa, zəiflikləri aradan qaldırmağa və şəbəkə infrastrukturunun təhlükəsizliyinə nəzarət etməyə kömək edəcək.

Kimi müəssisə və çoxkomponentli sistemlərin əksəriyyəti SAP , OracleDB platformasında əsaslanan əməliyyat sistemindən istifadə edirlər linux . Bunu nəzərə alaraq, İT auditorları tərəfindən onlara belə diqqətlə yanaşılır. Bu gün məqalədə diqqətinizə təhlükəsizlik konfiqurasiyasının ekspress auditini təmin etmək üçün skriptlər şəklində təqdim olunan və adi OS mexanizmlərindən istifadə edən bir neçə pulsuz alət təqdim edəcəyik.

Linux ƏS sistemlərinin təhlükəsizlik seçimlərinin ekspress auditi üçün istifadə edilən aşağıdakı sistem əmrləri və skriptləri UNIX/LINUX Əməliyyat Sisteminin Təhlükəsizliyi Auditi/Təminat Proqramı təlimatında ISACA icması tərəfindən dərc edilmiş təhlükəsizlik auditi tövsiyələrinə əsaslanır.

1.Hesabların yoxlanılması

1.1 Bütün istifadəçiləri siyahıya salın
İstifadəçilərin siyahısı /etc/passwdfile faylında saxlanılır. İstifadəçilərin siyahısını əldə etmək üçün aşağıdakı skriptdən istifadə edə bilərsiniz:

1. bin/bash
2. # userslistinthesystem.sh
3. # count və Sistemdə mövcud "real" istifadəçiləri siyahıya alır.
4. echo “[*] Mövcud istifadəçilər (əlifba sırası ilə sıralanıb):”
5. grep '/bin/bash' /etc/passwd | grep -v 'kök' | cut-f1
6. -d':' | cür
7. echo -n “[*] Tapılan real istifadəçilərin sayı: “
8. grep '/bin/bash' /etc/passwd | grep -v 'kök' | wc -l

1. #!/bin/bash
2. # passwd – hesabının adı

1.3 Bütün istifadəçilər üçün statistikaya baxmaq

2. Parol siyasətinin yoxlanılması

2.1 Boş parolu olan hesablar
Audit zamanı sistemdə parol daxil etmədən sistemə daxil olmağa imkan verən hesabların olmadığına və ya bloklanmış hesabların olmadığına əmin olmalısınız. Bu qayda əmrlə yoxlana bilər:

# pişik /etc/kölgə | awk -F: ($2==””)($1 çap)’

2.2 Parolun mürəkkəbliyinin yoxlanılması
Yoxlama zamanı parola brute-force (brute-force) və ya lüğət hücumları riskini azaltmaq üçün parol mürəkkəbliyi parametrlərini yoxlamaq lazımdır. Sistemdə bu siyasəti təyin etmək üçün Pluggable Authentication Modules (PAM) istifadə edilməlidir.
Auditor konfiqurasiya faylında müvafiq parametri yoxlaya bilər:

# vi /etc/pam.d/system-auth

2.3 Parolun istifadə müddətini yoxlamaq

Yoxlamanın bir hissəsi olaraq, parolun sona çatma parametrini yoxlamaq lazımdır. Parolun istifadə müddətini yoxlamaq üçün əmrdən istifadə edin dəyişmək. Bu əmr parolun sona çatma tarixi, eləcə də sonuncu dəfə dəyişdirildiyi tarix haqqında ətraflı məlumatı əks etdirir.
Parolların "yaşı" haqqında məlumatı görmək üçün aşağıdakı əmrdən istifadə olunur:

#chage -l istifadəçi adı

Müəyyən bir istifadəçi üçün parolun bitmə müddətini dəyişdirmək üçün aşağıdakı əmrlərdən istifadə edə bilərsiniz:

#chage -M 60 istifadəçi adı
#chage -M 60 -m 7 -W 7 istifadəçi adı

Seçimlər (parolun bitmə tarixini təyin etmək üçün):
-M - günlərlə maksimum istifadə müddəti.
-m günlərlə minimum bitmə tarixidir.
-W - günlərlə xəbərdarlıq parametri.

2.4 Təkrar parolların istifadəsi
Sistemdəki avtorizasiya parametrləri parol siyasətinə uyğun olmalıdır. Parol tarixçəsini ehtiva edən fayl burada yerləşir /etc/security/opasswd. Yoxlamaq üçün bu addımları yerinə yetirin:

RHEL üçün: '/etc/pam.d/system-auth' faylını açın:

# vi /etc/pam.d/system-auth

Ubuntu/Debian/Linux Mint üçün: '/etc/pam.d/common-password' faylını açın:

# vi /etc/pam.d/common-password

'auth' bölməsinə aşağıdakı sətri əlavə edin:

auth kifayət qədər pam_unix.belə authnullok kimi

Son altı parolun istifadəsini aradan qaldırmaq üçün aşağıdakı sətri əlavə edin:

Şifrə kifayət qədər pam_unix.so nullokuse_authtok md5 kölgə yadda saxla=6

Əmri yerinə yetirdikdən sonra sistem əvvəlki altı parolun tarixçəsini saxlayacaq və əgər hər hansı istifadəçi sonuncu altı paroldan hər hansı birini istifadə edərək parolu yeniləməyə cəhd etsə, o, səhv mesajı alacaq.

3. Təhlükəsiz əlaqə parametrləri
Telnet və Rlogin uzaqdan qoşulma protokolları şifrənin şifrələnməmiş formada şəbəkə üzərindən ötürülməsi səbəbindən çox köhnə və həssasdır. Uzaqdan və təhlükəsiz əlaqə üçün təhlükəsiz protokoldan istifadə edilməlidir Secure Shell (SSH). Auditor da seçimin olmasını təmin etməlidir kök giriş deaktiv edilib, standart SSH portu dəyişdirilib, uzaqdan giriş yalnız xüsusi səlahiyyətli istifadəçilər üçün icazə verilir. Yoxlanacaq parametrlər SSH konfiqurasiya faylındadır:

1. #vi /etc/ssh/sshd_config

3.1 Superuser kimi daxil olun (root login)

Audit zamanı auditor kök super istifadəçi hüquqları ilə uzaqdan girişin qadağan olunduğunu yoxlamalıdır.

# PermitRootLogin = bəli
3.2 Xidmət hesabının SSH girişini yoxlayın

Audit zamanı auditor xidmət hesabını parolsuz SSH girişi ilə yoxlamalıdır. Tipik olaraq, sistem administratorları bu funksiyadan proqramlaşdırılmış ehtiyat nüsxələri, fayl köçürmələri və uzaqdan idarəetmə rejimində işləyən skriptlər üçün istifadə edirlər.

Son dəfə sshd_config parametrlərinizin (/etc/ssh/sshd_config) düzgün olub olmadığını yoxlayın.

# PermitRootLogin parol olmadan

# RSAAuthentication = bəli

#PubkeyAuthentication=bəli

3.3 DenyHosts və Fail2ban-da giriş siyahılarının yoxlanılması
Audit zamanı giriş siyahılarının parametrlərini yoxlamaq lazımdır DenyHosts Və Fail2ban . Bunlar SSH giriş qeydlərini izləmək və təhlil etmək və parol kobud güc hücumlarından qorumaq üçün istifadə edilən skriptlərdir.

DenyHost Xüsusiyyətləri:

• fayldan qeydləri saxlayır və izləyir /var/log/secure , bütün uğurlu və uğursuz giriş cəhdlərini qeyd edir və onları filtrləyir.
• uğursuz giriş cəhdlərinə nəzarət edir
• bloklanmış hostlar və şübhəli giriş cəhdləri haqqında e-poçt bildirişi göndərir

• Fayllardan qeydləri saxlayır və izləyir /var/log/secure Və /var/log/auth.log , /var/log/pwdfail
• yüksək səviyyədə özelleştirilebilir və çox yivli
• jurnal fayllarına müntəzəm olaraq nəzarət edir

4. Sistem qeydlərinin yoxlanılması
Audit zamanı SysLog demonunun işlədiyinə və sistemdə baş verən bütün mühüm hadisələrin hadisə jurnallarında qeyd olunduğuna əmin olmalısınız. Audit həmçinin hadisələr jurnalının saxlanması siyasətinin müvafiq qanun və təhlükəsizlik siyasətinin tələblərini nəzərə almasını təmin etməlidir.

4.1 Linux-da hadisə qeydləri:

/var/log/auth.log – avtorizasiya sistemi jurnalı (girişlər və autentifikasiya mexanizmi).
/var/log/dpkg.log - dpkg istifadə edərək paketlərin quraşdırılması/çıxarılması jurnalı.
/var/log/yum.log - yum istifadə edərək paketlərin quraşdırılması/çıxarılması jurnalı.
/var/log/faillog - Uğursuz giriş cəhdləri jurnalı və onların hər bir hesab üçün limiti.
/var/log/kern.log – ləpə jurnalı, (Linux nüvəsindən gələn mesajların ətraflı jurnalı).
/var/log/maillog və ya /var/log/mail.log – poçt serveri jurnalı.
/var/log/wtmp – giriş jurnalı (bütün sistem istifadəçilərinin qeydiyyat vaxtı və müddəti).
/var/run/utmp - hazırda sistemə daxil olmuş istifadəçilər haqqında məlumat.
/var/log/lastlog - əvvəlki girişlərin qeydləri.
/var/log/boot - sistemin yüklənməsi zamanı daxil olan məlumat

5. Sistem fayllarının qorunması

5.1 GRUB yükləyicisinin qorunması

GRUB yükləyicisini qorumaq üçün administrator parol şifrələməsindən istifadə etməlidir MD5 formatı :

# grub-md5-crypt

Əmri yerinə yetirdikdən sonra administrator faylı açmalıdır /boot/grub/menu.lst və ya /boot/grub/grub.conf və MD5 parolunu əlavə edin:

# vi /boot/grub/menu.lst

#vi /boot/grub/grub.conf

Yeni yaradılmış MD5 parolu GRUB konfiqurasiya faylına əlavə edilə bilər.

5.2 Yükləmə qovluğunun qorunması /BOOT

Audit zamanı kataloqun vəziyyətini yoxlamaq lazımdır /boot, sistemin nüvəsi və əlaqəli fayllar kataloqda yerləşdiyi üçün /boot. Siz əmin olmalısınız ki, bu qovluğun yalnız oxumaq üçün girişi var ki, bu da sistemdəki vacib fayllara icazəsiz dəyişikliklərin qarşısını alır. Yoxlamaq üçün /etc/fstab faylını açın və konfiqurasiyanı yoxlayın:

Faylda sətir olmalıdır:

LABEL=/boot /boot ext2 default,ro 1 2

5.3 Açıq portların və aktiv bağlantıların yoxlanılması

Sistemdə işləyən xidmətləri yoxlamaq üçün aşağıdakı skriptdən istifadə etmək olar:

#!/bin/bash
əgər (($(ps -ef | grep -v grep | grep $xidmət | wc -l) > 0))
sonra
echo "$xidmət işləyir!!!"
başqa
/etc/init.d/$service start
fi

Şəbəkə bağlantılarına baxın

# netstat -anop
və ya
# lsof -i(lsof -ni)
və ya
# iptraf

Dinləmə portları
Netstat əmrindən istifadə edərək siz bütün açıq portlara və onlarla əlaqəli əmrlərə baxa bilərsiniz. Skript nümunəsi:

# netstat-tulpn
Port taraması üçün skript:
scan() (
əgər [[ -z $1 || -z$2]]; sonra
echo “İstifadə: $0 ”
qayıtmaq
fi
localhost=$1
yerli limanlar =()
qutu 2 inç
*-*)
IFS=- başlanğıc sonunu oxu<<< “$2”
üçün ((port=start; port<= end; port++)); do
portlar+=($port)
edildi
;;
*,*)
IFS=, -ra portlarını oxuyun<<< “$2”
;; *)
portlar+=($2) ;;
esac
port üçün “$(ports[@])”; et
həyəcan 1 "echo >/dev/tcp/$host/$port" &&
echo "port $port açıqdır" ||
echo "port $port bağlıdır"
edildi
}

iptables firewall

Audit zamanı icazəsiz girişin qarşısını almaq üçün Linux təhlükəsizlik duvarının konfiqurasiyasını yoxlamaq lazımdır. Trafikə nəzarət etmək üçün iptables-də IP ünvanı və TCP/UDP port nömrəsi əsasında gələn, gedən və yönləndirilən paketləri süzgəcdən keçirəcək qaydalar yaradılmalıdır.

# iptables -n -L -v --sətir nömrələri

ICMP/yayım sorğuları

Yoxlama zamanı sistemlərin pingləri və yayım sorğularına məhəl qoymamaq üçün konfiqurasiya olunduğunu yoxlamaq lazımdır. Bunu etmək üçün faylın olduğundan əmin olun “/etc/sysctl.conf” aşağıdakı sətirləri əlavə etdi:

# ICMP sorğularına məhəl qoyma:
net.ipv4.icmp_echo_ignore_all = 1
# yayım sorğularına məhəl qoyma:
net.ipv4.icmp_echo_ignore_broadcasts = 1

5.4 Quraşdırılmış yeniləmələrin yoxlanılması

Sistemlərdə ən son yeniləmələr quraşdırılmalıdır:

# yum yeniləmələri
# yum yoxlama yeniləməsi

6. Avtomatik icra edilən CRON işlərinin yoxlanılması

Auditor cron-da kimin iş görməsinə icazə və qadağan olduğunu yoxlamalıdır. Cron girişi fayllardan istifadə etməklə idarə olunur /etc/cron.allow Və /etc/cron.deny.

# echo ALL >>/etc/cron.deny

7. SELINUX Məcburi Təhlükəsizlik Yoxlanışı

Audit zamanı vəziyyəti yoxlamaq vacibdir SELinux . Bu mexanizm sistemdə işə salınmalıdır.
Üç rejim var SELinux :

• Tətbiq olunur: SELinux siyasəti tətbiq edilir. SELinux SELinux siyasət qaydalarına əsasən girişi rədd edir.
• İcazə verən: SELinux siyasəti tətbiq edilmir. SELinux girişi rədd etmir, lakin rəddlər siyasətin tətbiqi üçün təyin olunarsa, rədd ediləcək hərəkətlər kimi qeyd olunur.
• Disabled: SELinux deaktiv edilib. Yalnız diskret DAC qaydaları istifadə olunur.

Audit zamanı siz SELinux statusunu yoxlamaq üçün aşağıdakı skriptdən istifadə edə və ya system-configselinux, getenforce və ya sestatus əmrlərindən istifadə edə bilərsiniz:

ENABLED=`cat /selinux/enforce`
əgər [ “$ENABLED” == 1 ]; sonra
echo “SELinux aktivləşdirilib, söndürülsün? (Hə Yox):"
oxumağı söndürün
əgər [ $disable == "bəli" ]; sonra
echo "selinux-u söndürmək"
setenforce 0
fi
fi

Əsas təhlükəsizlik seçimlərini yoxlamaq üçün LBSA skripti

LBSA (Linux Əsas Təhlükəsizlik Auditi skripti) əsas Linux təhlükəsizlik konfiqurasiya audit skriptidir. Skript imtiyazları olan bir əmr satırından işlənməlidir kök, və ya ideal olaraq konfiqurasiya dəyişikliklərini sistematik olaraq yoxlamaq üçün cron istifadə edərək müntəzəm olaraq işləmək planlaşdırılır.

Bu skriptin məqsədi təhlükəsizlik parametrlərini tez yoxlamaq və daha yüksək təhlükəsizlik dərəcəsini təmin etmək üçün dəyişdirilə bilən mümkün parametrləri təsvir edən hesabatı yükləməkdir. Hər hansı bir seçim üçün tövsiyələr olmadığı təqdirdə, skript çekin işlənməsi ilə sadəcə bir sətir göstərir və son qərar həmişə administratorda qalır. Testə başlamazdan əvvəl tərtibatçılar təlimatı oxumağı və daha çox məlumat üçün tövsiyə olunan bölmələri öyrənməyi tövsiyə edirlər.

Cari nəşrdə (Versiya 1.0.49) skript aşağıdakı seçimləri skan edir:

• hesab parametrlərində zəifliklər
• SSH parametrlərində zəifliklər
• RAM-a yüklənmiş fayl sisteminin müvəqqəti qovluqlarında və kataloqlarında zəifliklər (məsələn, /tmp, /var/tmp /dev/-də)
• fayl icazələri, sistem qovluqlarının vəziyyəti
• -DRBD və Hearbeat xidmətlərinin konfiqurasiyası

Ssenari kifayət qədər böyükdür, ona görə də səhifəyə yerləşdirmədik.

Bu yazıda Linux-un sərtləşdirilməsi üçün əsas yardım proqramları ilə tanış olacağıq. Rus dilində buna "Linux sistemlərinin təhlükəsizlik səviyyəsinin yoxlanılması və informasiya təhlükəsizliyi baxımından konfiqurasiyaların düzgünlüyünün qiymətləndirilməsi" kimi bir şey deyilir. Əlbəttə ki, biz yalnız proqramları nəzərdən keçirməyəcəyik, həm də onların istifadəsinə dair nümunələr verəcəyik.

Öz auditorunuz və ya öz təhlükəsizliyiniz

İnzibatçılar və daha çox İS auditorları tez-tez çoxlu sayda hostun təhlükəsizliyini çox qısa müddətdə yoxlamaq vəzifəsi ilə üzləşirlər. Və əlbəttə ki, Müəssisə seqmentində bu problemləri həll etmək üçün xüsusi alətlər var, məsələn, şəbəkə təhlükəsizliyi skanerləri. Əminəm ki, onların hamısı - OpenVAS mühərrikinin açıq mənbələrindən Nessus və ya Nexpose kimi kommersiya məhsullarına qədər - oxucularımıza məlumdur. Bununla belə, bu proqram adətən köhnəlmiş və buna görə də həssas proqram təminatını axtarmaq və sonra yamaq idarəetməsini işə salmaq üçün istifadə olunur. Bundan əlavə, bütün skanerlər Linux və digər açıq mənbəli məhsulların daxili təhlükəsizlik mexanizmlərinin bəzi spesifik xüsusiyyətlərini nəzərə almır. Və nəhayət, məsələnin qiyməti vacibdir, çünki yalnız bu biznes üçün büdcə ayıran şirkətlər kommersiya məhsullarını ödəyə bilirlər.

Buna görə də, bu gün sistemin təhlükəsizliyinin mövcud səviyyəsini diaqnostika edə bilən, potensial riskləri qiymətləndirə bilən, məsələn, İnternetdə "əlavə xidmətlər" və ya etibarlı olmayan standart konfiqurasiyanı qiymətləndirə bilən xüsusi sərbəst paylanmış kommunal proqramlar haqqında danışacağıq. aşkar edilmiş çatışmazlıqların aradan qaldırılması variantlarını təklif edir. Bu alətlərdən istifadənin digər üstünlüyü istənilən sayda Linux sistemlərindən tipik təsərrüfat test skriptlərini təkrarlamaq və jurnallar və ayrıca hesabatlar şəklində sənədləşdirilmiş test bazasını formalaşdırmaq imkanıdır.

Təhlükəsizlik Auditinin Praktik Aspektləri

Auditorun gözü ilə baxsanız, testə yanaşmanı iki növə bölmək olar.

Birinci- bu, sözdə uyğunluq tələblərinə uyğunluqdur, burada hər hansı bir beynəlxalq standartda və ya "ən yaxşı təcrübədə" nəzərdə tutulmuş məcburi təhlükəsizlik elementlərinin mövcudluğu yoxlanılır. Klassik misal SOX404, NIST-800 seriyası, ödəniş İT sistemləri üçün PCI DSS tələbləridir.

İkinci- bu, “Təhlükəsizliyi gücləndirmək üçün başqa nə etmək olar?” sualına əsaslanan sırf rasional yanaşmadır. Məcburi tələblər yoxdur - yalnız bilikləriniz, parlaq başınız və bacarıqlı əlləriniz. Məsələn, bu, nüvə versiyasının və/və ya proqram paketlərinin yenilənməsi, təhlükəsizlik divarının işə salınması, məcbur edilməsi, qurulmasıdır.

İkinci yanaşma ilə əlaqəli hər şey adətən xüsusi termin adlanır. sərtləşmə, bu da "əməliyyat sisteminin (və ya proqramın) ilkin təhlükəsizlik səviyyəsini əsasən müntəzəm vasitələrlə gücləndirməyə yönəlmiş tədbirlər" kimi də müəyyən edilə bilər.

Uyğunluq tələblərinə uyğunluq adətən PCI DSS və ya digər sertifikatlaşdırma auditi kimi məcburi auditdən keçməyə hazırlıq zamanı yoxlanılır. Hardening komponentinə daha çox diqqət yetirəcəyik. Bütün əsas tərtibatçılar məhsulları üçün təklif edirlər Sərtləşdirmə Təlimatları- müntəzəm təhlükəsizlik mexanizmlərini və proqram təminatının xüsusiyyətlərini nəzərə alaraq təhlükəsizliyin gücləndirilməsinə dair məsləhətlər və tövsiyələrdən ibarət təlimatlar. Beləliklə, Red Hat, Debian, Oracle, Cisco oxşar təlimatlara malikdir.

MƏLUMAT

Sərtləşmə, sistemin (proqramın) zəifliyini azaltmaqla və bir qayda olaraq yalnız standart kommunal proqramlardan və ya mühafizə mexanizmlərindən istifadə etməklə təhlükəsizliyin təmin edilməsi prosesinə aid olan informasiya təhlükəsizliyi dünyasından bir termindir.

sudo apt-get yeniləmə sudo apt-get quraşdırma lynis

Və RPM yönümlü paylamalar üçün (müvafiq depoları əlavə etdikdən sonra):

Yum install linus -y

macOS-da quraşdırma:

$ brew axtarış lynis $ brew quraşdırma lynis

Lynis-i işə salmaq üçün ən azı bir açarı göstərmək kifayətdir. Məsələn, bütün mövcud testləri yerinə yetirmək üçün -c keçidini təyin etməlisiniz (hamısını yoxlayın, hamısını yoxlayın):

# Tipik sudo lynis audit sistemi test dəsti # Tam sudo lynis audit sistemi -c test dəsti # Uzaqdan host audit sistemini skan edin

Auditdən əvvəl Lynis-in yeni versiyasının mövcud olub-olmadığını yoxlamaq həmişə yaxşı fikirdir:

Lynis yeniləmə məlumatı && lynis yeniləmə yoxlaması

Lynis yardım proqramı, standartdan əlavə, daha bir rejimə malikdir - imtiyazsız qaçış:

Lynis audit --pentest

Testi başlatmış auditorun adını qoymaq istəyirsinizsə, sadəcə olaraq -auditor parametrini əlavə edin :

Sudo lynis audit sistemi -c -auditor Daddy

Yoxlamanın istənilən mərhələsində yoxlama prosesi davam etdirilə bilər (Enter) və ya zorla dayandırıla bilər (Ctrl+C). Həyata keçirilən testlərin nəticələri Lynis girişinə /var/log/lynis.log yazılacaq. Nəzərə alın ki, hər dəfə yardım proqramı işə salındıqda jurnalın üzərinə yazılacaq.

Avtomatik rejimdə sistematik əsasda test etmək üçün siz -cronjob keçidindən istifadə edərək Cron planlaşdırıcısına müvafiq işi təyin edə bilərsiniz. Bu halda, yardım proqramı göstərilən şablona (konfiqurasiya) uyğun olaraq işləyəcək və heç bir interaktiv mesaj, sual və ya xəbərdarlıq göstərməyəcəkdir. Bütün nəticələr jurnalda saxlanacaq. Məsələn, ayda bir dəfə standart konfiqurasiyaya malik bir yardım proqramı işə salma skripti:

#!/bin/sh AUDITOR="avtomatlaşdırılmış" TARİX=$(tarix +%Y%m%d) HOST=$(host adı) LOG_DIR="/var/log/lynis" REPORT="$LOG_DIR/report-$( HOST).$(TARİX)" DATA="$LOG_DIR/report-data-$(HOST).$(DATE).txt" cd /usr/local/lynis ./lynis -c –auditor "$(AUDITOR)" --cronjob > $(REPORT) mv /var/log/lynis-report.dat $(DATA) # Son

Bu skripti /etc/cron.monthly/lynis qovluğunda saxlayın. Və qeydləri saxlamaq üçün yollar əlavə etməyi unutmayın (/usr/local/lynis və /var/log/lynis), əks halda o, düzgün işləməyə bilər.

Siz zəng etmək üçün mövcud olan bütün əmrlərin siyahısını görə bilərsiniz:

Lynis əmrləri göstərir

Xüsusilə maraqlı olanlar standart konfiqurasiyadan parametrlərə baxa bilərlər:

Lynis parametrləri göstərir

Kommunal ilə işləmək üçün qısa təlimat:

kişi lynis

Yoxlamanın nəticələrinə əsasən mümkün statuslar üçün seçimlər aşağıdakı siyahı ilə məhdudlaşır: YOX, ZƏFS, İŞLƏMİŞ, TAPILDI, TAPILMADI, OK, XƏBƏRDARLIQ.

Lynis-də Fərdi Testlərin keçirilməsi

Praktikada yalnız bir neçə test aparmaq lazım ola bilər. Məsələn, əgər serveriniz yalnız Mail Server və ya Apache funksiyalarını yerinə yetirirsə. Bunun üçün -tests variantından istifadə edə bilərik. Komanda sintaksisi aşağıdakı kimidir:

Lynis - "Test ID-lərini" sınaqdan keçirir

Çoxsaylı test identifikatorlarına görə başa düşməkdə çətinlik çəkirsinizsə, o zaman qrup parametrindən istifadə edə bilərsiniz -test-kateqoriya . Bu seçimlə Lynis yalnız müəyyən kateqoriyaya daxil olan test ID-lərini işlədir. Məsələn, biz firewall və kernel testlərini keçirməyi planlaşdırırıq:

./lynis -testlər-kateqoriya "firewall nüvəsi"

Bundan əlavə, Lynis-in funksionallığı özünüz əlavə edə biləcəyiniz və ya mövcud kataloqa yenilərini yerləşdirə biləcəyiniz müxtəlif plaginlərlə genişləndirilir.

Düzəliş Təklifləri

Bütün Xəbərdarlıqlar nəticələrdən sonra siyahıya alınacaq. Hər biri xəbərdarlıq mətni ilə başlayır, sonra onu yaradan test yanındakı mötərizədə göstərilir. Növbəti sətir, əgər varsa, problemin həllini təklif edir. Əslində, sonuncu sətir təfərrüatları görə biləcəyiniz və problemi həll etmək üçün əlavə tövsiyələr tapa biləcəyiniz bir URL-dir.

Profillər

Auditi idarə edən profillər uzantılı fayllarda müəyyən edilir .prf/etc/lynis kataloqunda yerləşir. Defolt profil gözlənilən şəkildə adlandırılır: default.prf . Tərtibatçılar onu birbaşa redaktə etməyi məsləhət görmürlər: auditdə etmək istədiyiniz hər hansı dəyişiklikləri eyni kataloqda yerləşən custom.prf faylına əlavə etmək daha yaxşıdır.

Davamı yalnız üzvlər üçün əlçatandır

Seçim 1. Saytdakı bütün materialları oxumaq üçün "sayt" icmasına qoşulun

Göstərilən müddət ərzində cəmiyyətə üzvlük sizə BÜTÜN Hacker materiallarına giriş imkanı verəcək, şəxsi məcmu endiriminizi artıracaq və peşəkar Xakep Score reytinqi toplamağa imkan verəcək!