Линукс файлуудын хандалтын аудит. Линуксийн аюулгүй байдлын аудитын шилдэг хэрэгслүүд. Энэ үйлчилгээнд орно

Аюулгүй байдал Линукс серверүүдТаны мэдээлэл, оюуны өмч, цаг хугацааг хакеруудын гараас хамгаалах нь маш чухал юм. Системийн администратор нь Линукс үйлдлийн системийн аюулгүй байдлыг хариуцдаг. Энэ нийтлэлд бид таны Линукс үйлдлийн системээ үргэлж аюулгүй, найдвартай байлгахын тулд хийх ёстой хорин зүйлийг авч үзэх болно. Хэрэв энэ гэрийн компьютер, дараа нь аюулгүй байдлын талаар маш их санаа зовох нь утгагүй байж магадгүй, хүчтэй нууц үг, интернетээс порт руу нэвтрэх эрхийг хаах нь хангалттай байх болно. Гэхдээ нийтийн серверийн хувьд түүний хамгаалалтыг хангахад анхаарах нь зүйтэй.

Эдгээр заавар нь та CentOS, Red Hat эсвэл Ubuntu, Debian ашиглаж байгаа эсэхээс үл хамааран ямар ч түгээлтэд тохиромжтой.

1. Харилцаа холбооны шифрлэлт

Сүлжээгээр дамжуулж буй бүх өгөгдөл нь хяналт тавихад нээлттэй. Тиймээс, боломжтой бол нууц үг, түлхүүр эсвэл гэрчилгээ ашиглан дамжуулсан өгөгдлийг шифрлэх шаардлагатай.

Файл дамжуулахын тулд scp, ssh, rsync, эсвэл sftp ашиглана уу. Мөн shhfs гэх мэт хэрэгслүүдийг ашиглан алсын файлын системийг өөрийн гэрийн директорт холбох боломжтой.

GnuPG нь танд тусгай програм ашиглан мэдээллээ шифрлэх, гарын үсэг зурах боломжийг олгодог хувийн түлхүүр. Түлхүүрийг удирдах, нийтийн түлхүүрт хандах функцүүд бас байдаг.

Fugu бол SFTP протокол ашиглан файл дамжуулах график хэрэгсэл юм. SFTP нь FTP-тэй маш төстэй боловч бүх сесс нь шифрлэгдсэн байдаг. Энэ нь ямар ч нууц үг, тушаал илгээгээгүй гэсэн үг нээлттэй хэлбэр. Тиймээс ийм шилжүүлэг нь гуравдагч этгээдэд бага өртөмтгий байдаг. Та мөн FileZilla-г ашиглаж болно, энэ нь хөндлөн платформ юм FTP үйлчлүүлэгч SSH/TLS болон SSH дээр FTS-ийн дэмжлэгтэйгээр Файл дамжуулахПротокол (SFTP).

OpenVPN нь SSH шифрлэлтийг дэмждэг үр ашигтай, хөнгөн VPN клиент юм.

2. FTP, Telnet, Rlogin, RSH ашиглахгүй байхыг хичээгээрэй

Ихэнх сүлжээнд FTP, Telnet, RSH командын хэрэглэгчийн нэр, нууц үгийг нэг сүлжээнд байгаа хэн ч пакет илрүүлэгч ашиглан таслан авч болно. Нийтлэг шийдвэрЭнэ асуудал нь ердийн FTP-д SSL эсвэл TLS нэмдэг OpenSSH, SFTP эсвэл SFTP ашиглаж байна. NIS, RSH болон бусад хуучин үйлчилгээг устгахын тулд энэ тушаалыг ажиллуулна уу:

yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve

3. Програм хангамжийн хэмжээг багасгах

Танд үнэхээр бүх вэб үйлчилгээ суулгасан байх шаардлагатай юу? Шаардлагагүй зүйлсийг бүү суулгаарай програм хангамжЭдгээр хөтөлбөрүүдийн эмзэг байдлаас зайлсхийхийн тулд. Үүнийг харахын тулд багц менежерээ ашиглана уу суулгасан програмуудболон шаардлагагүй бүх зүйлийг устгана уу:

yum жагсаалт суулгасан
$yum жагсаалтын багц
$yum багцыг устгах

dpkg - жагсаалт
$ dpkg - мэдээллийн багц
$ apt-get устгах багц

4. Нэг машин - нэг үйлчилгээ

Тусдаа сервер дээр өөр өөр үйлчилгээг ажиллуулах эсвэл виртуал машинууд. Энэ нь эвдэрч болзошгүй үйлчилгээний тоог хязгаарладаг. Жишээлбэл, халдагч Apache-г хакердаж чадвал тэр бүх серверт нэвтрэх эрхтэй болно. MySQL, имэйл сервер гэх мэт үйлчилгээнүүд багтана. Та виртуалчлалын хувьд XEN эсвэл OpenVZ зэрэг программ хангамжийг ашиглаж болно.

5. Линукс цөм болон программ хангамжаа шинэчлээрэй

Хамгаалалтын засваруудыг ашиглах нь таны Линукс серверийн аюулгүй байдлыг хангах маш чухал хэсэг юм. Үйлдлийн систем нь системийг шинэчилж, шинэ хувилбаруудыг шинэчлэх бүх хэрэгслээр хангадаг. Бүх аюулгүй байдлын шинэчлэлтүүдийг аль болох хурдан хийх ёстой. Энд та багц менежерээ ашиглах хэрэгтэй. Жишээлбэл:

Эсвэл Debian дээр суурилсан системүүдийн хувьд:

sudo apt шинэчлэх && sudo apt шинэчлэх

Та Red Hat эсвэл Fedora-г аюулгүй байдлын шинэ шинэчлэлтүүд гарах үед танд имэйлээр мэдэгдэхээр тохируулах боломжтой. Мөн та тохируулж болно автомат шинэчлэлт cron-ээр дамжуулан, эсвэл та Debian-ийн aptcron-ийг ашиглан системийг шинэчлэх шаардлагатай үед танд мэдэгдэх боломжтой.

6. Линукс дээр хамгаалалтын өргөтгөлүүдийг ашигла

Линукс үйлдлийн систем нь янз бүрийн хамгаалалтын засваруудтай ирдэг бөгөөд үүнийг буруу тохируулга эсвэл хортой програмаас хамгаалахад ашиглаж болно. Гэхдээ та SELinux эсвэл AppArrmor зэрэг програмын хандалтын хяналтын нэмэлт системийг ашиглаж болно.

SELinux нь Линуксийн цөмийн аюулгүй байдлын янз бүрийн бодлогыг хангадаг. Энд та дүрүүдийг ашиглан системийн аливаа нөөцөд хандах хандалтыг хянах боломжтой. Зөвхөн үүрэг нь үүнийг зөвшөөрдөг програм нь тодорхой нөөцөд хандах боломжтой бөгөөд супер хэрэглэгчийн эрх ч хамаагүй. SELinux нь Линукс системийн аюулгүй байдлыг ихээхэн нэмэгдүүлдэг, учир нь бүр root гэж үздэг байнгын хэрэглэгч. Дэлгэрэнгүй мэдээллийг тусдаа нийтлэлд тайлбарласан болно.

7. Хэрэглэгчийн бүртгэл, хүчтэй нууц үг

Хэрэглэгчийн бүртгэл үүсгэх, хадгалахын тулд useradd болон usermod командуудыг ашиглана уу. Та сайн, хүчтэй нууц үгтэй эсэхээ шалгаарай, энэ нь дор хаяж найман тэмдэгтээс бүрдсэн байх ёстой, өөр өөр тохиолдолд байвал зохино. Тусгай тэмдэгэсвэл тоо. Жишээлбэл, 8 тэмдэгт, үүнээс долоо нь үсэг, нэг нь тэмдэг эсвэл тоо юм. Сервер дээрх сул хэрэглэгчийн нууц үгийг олохын тулд John the ripper гэх мэт хэрэгслүүдийг ашиглаж, нууц үгийн бодлогыг хэрэгжүүлэхийн тулд pam_cracklib.so-г тохируулаарай.

8. Нууц үгээ үе үе солих

Өөрчлөлтийн тушаал нь нууц үгийг албадан солих өдрөөс хэдэн өдрийн өмнө зааж өгөх боломжийг танд олгоно. Энэ мэдээллийг хэрэглэгч хэзээ өөрчлөх ёстойг тодорхойлохын тулд систем ашигладаг. Эдгээр тохиргоонууд нь /etc/login.defs дотор байрладаг. Нууц үгийн хөгшрөлтийг идэвхгүй болгохын тулд дараах тушаалыг оруулна уу:

өөрчлөх -l хэрэглэгчийн нэр

Нууц үгийн хугацаа дуусах мөрийн талаарх мэдээллийг авахын тулд дараах тушаалыг оруулна уу:

Та мөн /etc/shadow файлд бүх зүйлийг гараар тохируулах боломжтой:

(хэрэглэгч): (нууц үг): (сүүлийн_өөрчлөлт):(хамгийн их_өдөр): (хамгийн багадаа_өдөр): (Анхааруулга):(идэвхгүй болгох):(хугацаа дуусах_мөр):

  • Хамгийн бага өдрүүд- нууц үг солих хоорондын хамгийн бага интервал, өөрөөр хэлбэл хэрэглэгч нууц үгээ хэр олон удаа сольж чадах вэ.
  • Хамгийн их хоног- нууц үг хэдэн өдөр хүчинтэй байх вэ, энэ хугацааны дараа хэрэглэгч нууц үгээ солих шаардлагатай болно.
  • Анхааруулга- хэрэглэгчийн нууц үгээ солих шаардлагатайг анхааруулах өдрийн тоо.
  • Дуусах_мөр- 1970 оны 1-р сарын 1-ээс дансыг бүрэн хаах өдрийн тоо.

chage -M 60 -m 7 -W 7 хэрэглэгчийн нэр

Хэрэглэгчдийг хуучин нууц үг ашиглахаас урьдчилан сэргийлэхийг зөвлөж байна, эс тэгвээс нууц үгээ солих гэсэн бүх оролдлого хүчингүй болно.

9. Амжилтгүй нэвтрэх оролдлогын дараа дансыг блоклох

Линукс үйлдлийн систем дээр та faillog командыг ашиглан хэрэглэгчдийн амжилтгүй нэвтрэх оролдлогыг харж болно. Та мөн үүнийг ашиглан хязгаар тогтоож болно амжилтгүй оролдлогоорц. Амжилтгүй нэвтрэх оролдлогын талаарх бүх мэдээлэл /var/log/faillog файлд хадгалагдана. Үүнийг үзэхийн тулд бичнэ үү:

Мөн тодорхой бүртгэлд нэвтрэх оролдлогын хязгаарыг тогтоохын тулд дараахыг ашиглана уу:

faillog -r -u хэрэглэгч

Та мөн passwd командыг ашиглан бүртгэлийг гараар хаах эсвэл блокоос гаргах боломжтой. Ашиглахыг хориглохын тулд:

passwd -l хэрэглэгч

Мөн түгжээг тайлахын тулд:

passwd -u хэрэглэгч

Мөн системд хоосон нууц үгтэй данс байгаа эсэхийг шалгахыг зөвлөж байна. Үүнийг хийхийн тулд ажиллуулна уу:

awk -F: "($2 == "") (хэвлэх)" /etc/shadow

Мөн бүлэг эсвэл ID 0-тэй хэрэглэгч байгаа эсэхийг шалгаарай. Зөвхөн нэг ийм хэрэглэгч байх ёстой бөгөөд энэ нь root юм. Та энэ тушаалыг ашиглан шалгаж болно:

awk -F: "($3 == "0") (хэвлэх)" /etc/passwd

Зөвхөн нэг мөр байх ёстой:

root:x:0:0:root:/root:/bin/bash

Бусад хүмүүс байвал устга. Хэрэглэгчид, ялангуяа тэдний сул нууц үг нь Линуксийн аюулгүй байдлыг эвдэж болох хамгийн эмзэг зүйлүүдийн нэг юм.

10. Root login-ыг идэвхгүй болгох

Линукс системийн аюулгүй байдлыг хангахын тулд хэзээ ч үндсэн хэрэглэгчээр нэвтэрч болохгүй. Та sudo-г ашиглан шаардлагатай зөвшөөрлийг авч ажиллуулж болно зөв тушаалсупер хэрэглэгчийн нэрийн өмнөөс. Энэ тушаал нь супер хэрэглэгчийн нууц үгийг бусад администраторуудад задруулахгүй байх боломжийг олгодог бөгөөд үйл ажиллагааг хянах, хязгаарлах, хянах хэрэгслүүдийг агуулдаг.

11. Серверийн физик хамгаалалт

Линукс серверийн хамгаалалт нь физик хамгаалалтыг агуулсан байх ёстой. Та серверийн консол руу физик хандалтыг хязгаарлах ёстой. DVD, CD, USB гэх мэт гадаад зөөвөрлөгчөөс ачаалахыг дэмжихгүй байхаар BIOS-г тохируулна уу. Мөн BIOS болон GRUB ачаалагчийн тохиргоог хамгаалахын тулд нууц үгээ тохируулаарай.

12. Шаардлагагүй үйлчилгээг идэвхгүй болгох

Бүх ашиглагдаагүй үйлчилгээ болон демонуудыг идэвхгүй болгох. Мөн эдгээр үйлчилгээг эхлүүлэхээс хасахаа бүү мартаарай. Та Red Hat систем дээрх бүх идэвхтэй үйлчилгээний жагсаалтыг дараах тушаалаар харж болно.

chkconfig - жагсаалт | grep "3:on"

Үйлчилгээний хэрэглээг идэвхгүй болгохын тулд:

үйлчилгээний зогсоол
$ chkconfig үйлчилгээг унтраасан

Програмаар нээгдсэн бүх портуудыг олоорой:

Үүнтэй ижил зүйлийг nmap сканнер ашиглан хийж болно:

nmap -sT -O localhost

Сүлжээнээс нэвтрэх боломжгүй бүх портуудыг хаахын тулд iptables ашиглана уу. Эсвэл дээр дурдсанчлан шаардлагагүй үйлчилгээг зогсоо.

13. X серверийг устгана уу

Сервер компьютер дээрх X сервер нь бүрэн сонголттой. Та тусгайлсан Apache эсвэл Email сервер дээр график орчныг ажиллуулах шаардлагагүй. Аюулгүй байдал, гүйцэтгэлийг сайжруулахын тулд энэ програмыг устгана уу.

14. Iptables-ийг тохируулах

iptables нь цөмд суурилуулсан Netfilter галт ханыг тохируулах зориулалттай хэрэглэгчийн орон зайн програм юм. Энэ нь бүх урсгалыг шүүж, зөвхөн тодорхой төрлийн урсгалыг зөвшөөрөх боломжийг олгодог. Мөн TCPWrappers - Интернэт хандалтыг шүүх ACL системийг ашиглана уу. Та iptables ашиглан олон төрлийн DOS халдлагаас урьдчилан сэргийлэх боломжтой. Линукс дахь сүлжээний аюулгүй байдал нь системийн аюулгүй байдлын маш чухал хэсэг юм.

15. Цөмийг тохируулах

/etc/sysctl.conf файл нь системийг эхлүүлэх үед ачаалагдсан, хэрэглэгдсэн цөмийн тохиргоог хадгалдаг.

Буфер халих хамгаалалтыг идэвхжүүлэх:

kernel.exec-shield=1
kernel.randomize_va_space=1

IP хууран мэхлэх хамгаалалтыг идэвхжүүлэх:

net.ipv4.conf.all.rp_filter=1

IP хаягийг дахин чиглүүлэхийг идэвхгүй болгох:

net.ipv4.conf.all.accept_source_route=0

Өргөн нэвтрүүлгийн хүсэлтийг үл тоомсорлох:

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

Бүх хуурамч багцуудыг бүртгэх:

net.ipv4.conf.all.log_martians = 1

16. Хатуу дискээ хуваах

Хатуу дискийг файлуудын зорилгод үндэслэн хуваах нь Линукс үйлдлийн системийн аюулгүй байдлыг сайжруулдаг. Дараах лавлахуудад тусдаа хэсгүүдийг үүсгэхийг зөвлөж байна.

  • /гэр
  • /var ба /var/tmp

Apache root сангуудад тусдаа хуваалт хийх ба FTP серверүүд. /etc/fstab файлыг нээж, шаардлагатай хуваалтуудын тусгай сонголтыг тохируулна уу:

  • noexec- энэ хуваалт дээр ямар ч програм эсвэл гүйцэтгэгдэх файлуудыг ажиллуулж болохгүй, зөвхөн скриптийг л зөвшөөрнө
  • зангилаа- энэ хуваалт дээр бэлгэдлийн болон тусгай төхөөрөмжийг бүү зөвшөөр.
  • nosuid- энэ хэсгийн программуудад SUID/SGID хандалтыг бүү зөвшөөр.

17. Дискний зайны хязгаарыг ашиглах

Хэрэглэгчдэд зориулсан дискний зайг хязгаарлах. Үүнийг хийхийн тулд /etc/fstab дээр дискний квот үүсгэж, файлын системийг дахин холбож, дискний квотын мэдээллийн санг үүсгэнэ үү. Энэ нь Линукс дээрх аюулгүй байдлыг сайжруулах болно.

18. IPv6-г идэвхгүй болгох

Дараагийн үеийн IPv6 интернет протокол нь ирээдүйд аль хэдийн ашиглагдсан IPv4-ийг орлуулах болно. Гэхдээ дээр Энэ мөч IPv6-д суурилсан сүлжээний аюулгүй байдлыг шалгах хэрэгсэл байхгүй. Олон Линукс түгээлтүүд IPv6-г анхдагчаар ашиглахыг зөвшөөрнө үү. Хакерууд администраторууд хянах боломжгүй бол хүсээгүй урсгалыг илгээж болно. Тиймээс хэрэв танд энэ үйлчилгээ хэрэггүй бол үүнийг идэвхгүй болго.

19. Ашиглагдаагүй SUID болон SGID хоёртын файлуудыг идэвхгүй болгох

SUID эсвэл SGID тугийг идэвхжүүлсэн бүх ажиллах боломжтой файлууд аюултай байж болзошгүй. Энэ туг нь програмыг супер хэрэглэгчийн эрхээр гүйцэтгэнэ гэсэн үг. Энэ нь хөтөлбөрт ямар нэгэн эмзэг байдал, алдаа байгаа бол локал эсвэл алсын хэрэглэгчэнэ файлыг ашиглах боломжтой болно. Дараах тушаалыг ашиглан ийм бүх файлыг олно уу:

олох / -пермийн +4000

SGID туг бүхий файлуудыг олох:

олох / -пермийн +2000

Эсвэл энэ бүгдийг нэг тушаалд нэгтгэе:

олох / \(-перм -4000 -o -перм -2000 \) -хэвлэх
$ find / -path -prune -o -type f -perm +6000 -ls

Тухайн файл хэр хэрэгтэй болохыг ойлгохын тулд олдсон файл бүрийг нарийвчлан судлах шаардлагатай болно.

20. Нийтийн файлууд

Мөн системийн бүх хэрэглэгчид өөрчилж болох файлуудыг олохыг зөвлөж байна. Үүнийг хийхийн тулд дараах тушаалыг ашиглана уу.

олох /dir -xdev -type d \(-perm -0002 -a ! -perm -1000 \) -хэвлэх

Одоо та файл бүрийн бүлэг болон эзэмшигчийн эрхийг зөв тохируулсан эсэх, энэ нь аюулгүй байдалд эрсдэл учруулж байгаа эсэхийг шалгах хэрэгтэй.

Мөн хэнд ч хамааралгүй бүх файлыг олохыг зөвлөж байна:

олох /dir -xdev \(-nouser -o -nogroup \) -хэвлэх

21. Баталгаажуулалтын төвлөрсөн системийг ашиглах

Төвлөрсөн баталгаажуулалтын системгүй бол хэрэглэгчийн өгөгдөл зөрчилддөг бөгөөд энэ нь итгэмжлэлүүд хуучирч, аль хэдийн устгагдсан байх ёстой бүртгэлүүд мартагдахад хүргэдэг. Төвлөрсөн үйлчилгээ нь танд өөр өөр хэрэглэгчийн бүртгэл болон баталгаажуулалтын өгөгдлийг хянах боломжийг олгоно Линукс системүүдболон Unix. Та серверүүдийн хооронд баталгаажуулалтын өгөгдлийг синхрончлох боломжтой. Гэхдээ NIS үйлчилгээг бүү ашигла, Open DAP руу хараарай.

Ийм системийн сонирхолтой хэрэглүүрүүдийн нэг бол Kerberos юм. Энэ нь хэрэглэгчдэд пакетуудыг саатуулж, өөрчлөх боломжтой сүлжээн дэх хувийн түлхүүрийг ашиглан баталгаажуулах боломжийг олгодог. Kerberos нь өгөгдлийг шифрлэхийн тулд тэгш хэмт түлхүүр ашигладаг бөгөөд ажиллахын тулд түлхүүр удирдлагын төвийг шаарддаг. Та алсаас нэвтрэх, алсаас хуулбарлах, системүүдийн хооронд файлуудыг найдвартай хуулах болон бусад даалгавруудыг өндөр түвшний хамгаалалттайгаар тохируулах боломжтой.

22. Мод бэлтгэх, аудит хийх

Бүх бүтэлгүйтсэн нэвтрэлт болон хакердах оролдлогыг цуглуулж, хадгалахын тулд бүртгэл, аудитыг тохируулна уу. Анхдагч байдлаар, бүх логууд эсвэл ядаж ихэнх нь /var/log/ хавтсанд байрладаг. Тодорхой хүмүүс юу хариуцдаг талаар бид тусдаа өгүүллээр илүү дэлгэрэнгүй ярьсан.

Та logwatch эсвэл logcheck гэх мэт хэрэгслүүдийг ашиглан бүртгэлийг үзэж болно. Тэд бүртгэлийг уншихад маш хялбар болгодог. Та файлыг бүхэлд нь биш, зөвхөн таны сонирхсон үйл явдлуудыг үзэх боломжтой, мөн өөртөө имэйлээр мэдэгдэл илгээх боломжтой.

Аудитын үйлчилгээг ашиглан системийг хянах. Програм нь таны сонирхсон бүх аудитын үйл явдлыг диск рүү бичдэг. Аудитын бүх тохиргоог /etc/audit.rules файлд хадгалдаг.Систем эхлэхэд үйлчилгээ нь энэ файлын бүх дүрмийг уншдаг. Та үүнийг нээж, шаардлагатай бүх зүйлийг тохируулах эсвэл ашиглах боломжтой тусдаа хэрэгсэл- auditctl. Та дараах тохиргоог хийж болно.

  • Системийг эхлүүлэх, унтраах үйл явдлууд
  • Үйл явдлын огноо, цаг
  • Хэрэглэгчийн үйл явдлууд (жишээлбэл, тодорхой файлд хандах)
  • Үйл явдлын төрөл (засах, хандах, устгах, бичих, шинэчлэх гэх мэт)
  • Үйл явдлыг гүйцэтгэх явцад амжилт эсвэл бүтэлгүйтэл
  • Сүлжээний тохиргоог өөрчлөх үйл явдлыг бичих
  • Хэрэглэгчид болон бүлгүүдэд өөрчлөлт оруулах
  • Файлын өөрчлөлтийг хянах

23. OpenSSH серверээ хамгаална уу

Зөвхөн 2-р протоколыг ашиглахыг зөвшөөрөх:

Супер хэрэглэгчээр нэвтрэхийг идэвхгүй болгох:

24. IDS суулгах

IDS буюу халдлага илрүүлэх систем нь сэжигтэй, хортой үйлдлийг илрүүлэх оролдлого хийдэг DOS халдлага, порт скан хийх эсвэл сүлжээний урсгалыг хянах замаар компьютерийг хакердахыг оролдох.

Системийг интернетэд оруулахаас өмнө ийм програм хангамжийг ашиглах нь сайн туршлага юм. Та AIDE-г суулгаж болно, энэ нь HIDS (Host based IDS) бөгөөд таны системийн дотоод бүх талыг хянах боломжтой.

Snort нь сүлжээнд нэвтрэх оролдлогыг илрүүлэх програм хангамж юм. Энэ нь пакетуудыг шинжлэх, бүртгэх, дүн шинжилгээ хийх чадвартай сүлжээний урсгалбодит цаг хугацаанд.

25. Файл, лавлахуудаа хамгаалаарай

Линукс нь файлд зөвшөөрөлгүй нэвтрэхээс маш сайн хамгаалалттай. Гэсэн хэдий ч халдагчид компьютерт физик хандалттай бөгөөд зүгээр л холбогдох боломжтой бол Линукс болон файлын системээс тогтоосон зөвшөөрөл нь юу ч биш юм. HDDөгөгдлийг хуулахын тулд компьютерийг өөр систем рүү шилжүүлнэ үү. Гэхдээ та файлуудаа шифрлэлтээр хялбархан хамгаалж чадна:

  • Нууц үг ашиглан файлыг шифрлэх, тайлахын тулд GPG ашиглана уу
  • Та мөн OpenSSL ашиглан файлуудыг хамгаалах боломжтой
  • Лавлах шифрлэлтийг ecryptfs ашиглан хийдэг
  • TrueCrypt бол Windows болон Linux-д зориулсан үнэгүй диск шифрлэх хэрэгсэл юм

дүгнэлт

Одоо таны компьютер дээрх Linux үйлдлийн системийн аюулгүй байдал эрс нэмэгдэнэ. Үе үе нарийн төвөгтэй нууц үг тохируулахаа бүү мартаарай. Өөрийн дуртай системийн аюулгүй байдлын хэрэгслийг коммент хэсэгт бичээрэй.

Мэдээллийн хамгаалалт бол интернетэд үйл ажиллагаа явуулж буй аливаа бизнесийн нэн тэргүүний асуудал юм. Вируст халдваруудболон гадны халдлага, түүнчлэн мэдээлэлд зөвшөөрөлгүй нэвтрэх - энэ бүхэн санхүүгийн болон нэр хүндийн томоохон эрсдэлийг дагуулдаг. Тиймээс серверийн платформыг сонгохдоо бизнес эрхлэгчид нөөцийн аюулгүй байдлын түвшинг үргэлж сонирхож байдаг.
Аюулгүй байдлын систем хэр сайн ажиллаж байгаа, ямар нэгэн сул тал, цоорхой байгаа эсэхийг шалгахын тулд сард дор хаяж нэг удаа серверийн аюулгүй байдлын аудит хийхийг зөвлөж байна.

Серверийн аюулгүй байдлын аудитад юу багтдаг вэ

Серверийн буруу тохиргоо эсвэл хуучирсан программ хангамж зэрэг ач холбогдолгүй мэт санагдах хүчин зүйл ч гэсэн аюулгүй байдалд заналхийлж болзошгүй юм. Аудит нь аюулгүй байдлын сул талыг илрүүлж, халдвар авах, мэдээлэл хулгайлахаас өмнө арилгах арга хэмжээг цаг тухайд нь авахад тусалдаг.
Серверийн администратор суулгасан програм хангамж болон түүний нийцлийг шалгадаг хамгийн сүүлийн үеийн шинэчлэлтүүд, серверийн аюулгүй байдлын тохиргоог үнэлж, хэрэв байгаа бол алдааг арилгахаас гадна ажилчдын тодорхой нөөцөд хандах эрхийн тохиргоонд нийцэж байгаа эсэхэд дүн шинжилгээ хийдэг.

Виртуал зориулалтын серверийг өөрөө хэрхэн шалгах вэ

Хэрэглэгч бүр Windows эсвэл Linux платформ дээрх серверийн аюулгүй байдлыг шалгах боломжтой бөгөөд үүнийг хийхийн тулд тусгай програмчлалын мэдлэгтэй байх шаардлагагүй.
Аюулгүй байдлын шалгалтыг хэд хэдэн үе шатанд хувааж болно.

Физик хандалт

Зориулалтын серверийн хувьд гуравдагч этгээдийн серверт физик хандалт нь анхдагчаар хязгаарлагддаг бөгөөд үүнийг дата төвөөс хангадаг. Гэхдээ хэрэглэгч BIOS-д нэвтрэх нууц үгийг нэмж тохируулах боломжтой.

Галт хана

Програм хангамж болон портуудыг тасралтгүй хянахын тулд үүнийг зөв тохируулж, идэвхжүүлсэн байх ёстой. Windows галт хана. Линуксийн хувьд та хандалтыг хянахын тулд SELinux системийг ашиглаж болно. Та мөн манайхаас Cisco ASA эсвэл Fortinet FortiGate 60D тоног төхөөрөмжийн галт ханыг түрээслэх боломжтой.

Файлын систем

Шинэчлэлтүүдийг шалгах

Шинэчлэлтүүдийг автоматаар хүлээн авч суулгах серверийг тохируулна уу.

Нууц үгийн бодлого

ашиглан суулгана уу орон нутгийн бодлого Windows аюулгүй байдалНарийн төвөгтэй нууц үг, тэдгээрийн хүчинтэй байх хугацааг шаардах, түүнчлэн хэд хэдэн амжилтгүй зөвшөөрөл авсны дараа дансыг хаах эсвэл хоосон нууц үг оруулах шаардлагатай.

Бүртгэлийн хяналт

Дэд бүтцийн чухал сегментүүдийн бүртгэлийг идэвхжүүлж, тэдгээрийг тогтмол шалгаж үзээрэй.

Сүлжээний аюулгүй байдал

Хост сегментчилэл болон холбоосын аюулгүй байдлыг хангахын тулд VPN болон VLAN ашиглахыг зөвлөж байна.
Та мөн үндсэн тохиргоог өөрчилж, сүлжээний төхөөрөмжийн үйлчилгээний портуудыг дамжуулах хэрэгтэй.
Та урсгалыг шифрлэхийн тулд IPsec үйлчилгээг ашиглаж болно. Нээлттэй портуудыг үзэхийн тулд Netstat хэрэгслийг ашиглана уу.

Хандалтын хяналт

Хэрэглэгчийн чухал файлд хандах эрхийг хязгаарлах, зочны хандалт болон хоосон нууц үгтэй хэрэглэгчдийг идэвхгүй болгох. Сервер дээрх ашиглагдаагүй үүрэг, програмуудыг идэвхгүй болгох.

Нөөц

Файл нөөцлөх үйлчилгээг ашигла, энэ нь ашигтай бөгөөд найдвартай. Нөөцлөлтийг шифрлээгүй хадгалж болохгүй. Хэрэв та биднээс сервер түрээслэх юм бол нөөцлөх байршлыг сонгох боломжтой.

Өгөгдлийн сангийн хандалт

Чухал мэдээллийн сангууд өөр өөр SQL сервер дээр хадгалагдах ёстой. Та эхлүүлэхийг хамгийн бага эрхтэй хэрэглэгч эсвэл IP хаягуудын урьдчилан тохируулсан цагаан жагсаалтаас тохируулах хэрэгтэй.

Вирусны эсрэг хамгаалалт

Серверийг ажиллуулахын тулд Windows суулгацХэрэглэгчид сүлжээний санах ойтой ажиллах үед автоматаар шинэчлэгдсэн вирусны эсрэг программ хангамжийг ашиглахыг зөвлөж байна. Учир нь Линукс суурилуулалтсерверийн аюулгүй байдлыг тогтмол хянаж, зөвшөөрөлгүй хандалтыг хянаж байгаа тохиолдолд вирусны эсрэг програм шаардлагагүй. Tiger хэрэгсэл нь үүнд хэрэгтэй байж болно.

Сард нэг удаа ийм аудит хийх нь серверийн зөв ажиллагааг шалгах, сул талыг арилгах, сүлжээний дэд бүтцийн аюулгүй байдалд хяналт тавихад тусална.

зэрэг аж ахуйн нэгж болон олон бүрэлдэхүүн хэсэгтэй системүүдийн ихэнх SAP , Oracle DB платформдоо ашигласан үйлдлийн системдээр суурилсан Линукс . Үүнийг харгалзан тэд мэдээллийн технологийн аудиторуудаас маш их анхаарал хандуулдаг. Өнөөдөр энэ нийтлэлд бид аюулгүй байдлын тохиргоонд экспресс аудит хийх зорилгоор үйлдлийн системийн стандарт механизмуудыг ашиглан скрипт хэлбэрээр танилцуулсан хэд хэдэн үнэгүй хэрэгслийг танилцуулах болно.

Линукс үйлдлийн системийн аюулгүй байдлын сонголтуудыг шуурхай аудит хийхэд ашигладаг доор тайлбарласан системийн командууд болон скриптүүд нь UNIX/LINUX үйлдлийн системийн аюулгүй байдлын аудит/баталгаажуулалтын хөтөлбөрийн гарын авлагад ISACA нийгэмлэгээс нийтэлсэн аюулгүй байдлын баталгаажуулалтын зөвлөмжид үндэслэсэн болно.

1. Дансны баталгаажуулалт

1.1 Бүх хэрэглэгчдийг жагсаана
Хэрэглэгчдийн жагсаалтыг /etc/passwdfile файлд хадгална. Хэрэглэгчдийн жагсаалтыг авахын тулд та дараах скриптийг ашиглаж болно.

  1. бин/bash
  2. # userlistinthesystem.sh
  3. # тоолж, системд байгаа "бодит" хэрэглэгчдийг жагсаана.
  4. echo "[*] Одоо байгаа хэрэглэгчид (цагаан толгойн дарааллаар эрэмбэлсэн):"
  5. grep '/bin/bash' /etc/passwd | grep -v 'root' | таслах -f1
  6. -d':' | ангилах
  7. echo -n “[*] Олдсон бодит хэрэглэгчдийн тоо: “
  8. grep '/bin/bash' /etc/passwd | grep -v 'root' | wc -l
1.2 Хаагдсан дансуудыг жагсаах
Шалгалтын явцад блоклосон болон хаагдсан хэрэглэгчдийн жагсаалтыг шалгах шаардлагатай ( дансны нэр ). Үүний тулд дараах тушаал ажиллана:
  1. #!/bin/bash
  2. # passwd –ийн дансны нэр

1.3 Бүх хэрэглэгчдийн статистик мэдээллийг харах

  • Аудитор нь багийг баталгаажуулах ёстой ac Хэрэглэгчийн үйл ажиллагааг хянахын тулд системд оруулсан:
    1. #!/bin/bash
    Хэрэглэгчийн холболтын үйл ажиллагааг өдөр бүрийн нийлбэр дүнгээр харахын тулд дараах тушаалыг ашиглана уу:
    1. #!/bin/bash
    2. # ac -d
    Хэрэглэгчийн холболтын сессийн үйл ажиллагааны талаарх мэдээллийг (цагаар) харуулах "хэрэглэгч" :
    1. #!/bin/bash
    2. # ac хэрэглэгч
    1.4 Хэрэглэгчийн үйл ажиллагааг харах
    psacct эсвэл acct системийн програмууд ажиллаж байна дэвсгэрсистем дэх хэрэглэгч бүрийн үйл ажиллагаа, түүнчлэн түүний хэрэглэж буй нөөцийг хянах. Систем дэх хэрэглэгчийн үйл ажиллагааг шалгахын тулд дараах скриптийг ажиллуулна уу:
    1. #!/usr/bin/envksh
    2. сүүлийн -Fa|awk '
    3. /wtmp эхэлнэ/ (дараагийн; )
    4. /нэвтэрсэн хэвээр/ (дараагийн; )
    5. $0 == дахин ачаалах (дараагийн; )
    6. NF > 0 (
    7. хэрэв(NR > 1)
    8. printf("
      ”);
    9. printf("Хэрэглэгч:t%s
      ”, $1); #хэрэглэгч
    10. printf (“Эхлэх:t%s %s %s %s
      ”, $3, $4, $5, $6);
    11. if($9 == "доош")
    12. printf("Төгсгөл: tshutdown
      ”);
    13. printf (“Төгсгөл:t%s %s %s %s
      ”, $9, $10, $11, $12);
    14. if(substr ($NF, 1, 1) == "(")
    15. t = $NF;
    16. h = "localhost";
    17. t = $(NF-1);
    18. h = $NF;
    19. gsub(“[()]”, “”, t);
    20. printf("Асаах хугацаа:t%s
      ”, t);
    21. printf("Алсын хост:t%s
      ”, h);

    • 2. Нууц үгийн бодлогыг шалгаж байна

    2.1 Хоосон нууц үгтэй дансууд
    Шалгалтын явцад системд нууц үг оруулахгүйгээр нэвтрэх боломжийг олгодог данс байхгүй эсвэл хаагдсан эсэхийг шалгах шаардлагатай. Энэ дүрмийг дараах тушаалаар шалгаж болно.

    # муур /гэх мэт/сүүдэр | awk -F: ($2==””)($1 хэвлэх)’

    2.2 Нууц үгийн нарийн төвөгтэй байдлыг шалгах
    Шалгалтын явцад нууц үгэнд харгис хэрцгий (brute force) эсвэл толь бичигт халдах эрсдэлийг бууруулахын тулд нууц үгийн нарийн төвөгтэй байдлын тохиргоог шалгах шаардлагатай. Энэ дүрмийг систем дээрээ тохируулахын тулд та Plug-in Authentication Modules (PAMs) ашиглах ёстой.
    Аудитор тохиргооны файл дахь харгалзах тохиргоог шалгаж болно:

    # vi /etc/pam.d/system-auth

    2.3 Нууц үгийн хүчинтэй байх хугацааг шалгаж байна

    Шалгалтын явцад та нууц үгийн хугацаа дуусах тохиргоог шалгах хэрэгтэй. Нууц үг дуусах хугацааг шалгахын тулд та тушаалыг ашиглах хэрэгтэй өөрчлөх. Энэ тушаал нь нууц үгийн хүчинтэй байх хугацаа болон түүнийг хамгийн сүүлд өөрчилсөн огнооны талаарх дэлгэрэнгүй мэдээллийг харуулдаг.
    Нууц үгийн "нас"-ын талаарх мэдээллийг үзэхийн тулд дараах тушаалыг ашиглана.

    #chage -l хэрэглэгчийн нэр

    Тодорхой хэрэглэгчийн нууц үг дуусах хугацааг өөрчлөхийн тулд та дараах тушаалуудыг ашиглаж болно.

    #chage -M 60 хэрэглэгчийн нэр
    #chage -M 60 -m 7 -W 7 хэрэглэгчийн нэр

    Сонголтууд (нууц үг дуусах хугацааг тохируулах):
    -M – хамгийн их хүчинтэй байх хугацаа хоногоор.
    -m – хамгийн бага хүчинтэй хугацаа хоногоор.
    -W - хоногоор анхааруулах тохиргоо.

    2.4 Давхардсан нууц үг ашиглах
    Системийн зөвшөөрлийн тохиргоо нь нууц үгийн бодлогод нийцсэн байх ёстой. Нууц үгийн түүхийг агуулсан файл энд байрладаг /etc/security/opaswd. Шалгахын тулд та дараах алхмуудыг хийх ёстой.

    RHEL-д: ‘/etc/pam.d/system-auth‘ файлыг нээнэ үү:

    # vi /etc/pam.d/system-auth

    Ubuntu/Debian/Linux Mint-д: ‘/etc/pam.d/common-password‘ файлыг нээнэ үү:

    # vi /etc/pam.d/common-password

    "ath" хэсэгт дараах мөрийг нэмнэ үү.

    auth хангалттай pam_unix.so authnullok шиг

    Сүүлийн зургаан нууц үгийг ашиглахаас сэргийлэхийн тулд дараах мөрийг нэмнэ үү.

    Нууц үг хангалттай pam_unix.so nullokuse_authtok md5 сүүдэр санах=6

    Уг тушаалыг гүйцэтгэсний дараа систем нь өмнөх зургаан нууц үгийн түүхийг хадгалах бөгөөд хэрэв хэрэглэгч сүүлийн зургаан нууц үгийн аль нэгийг ашиглан нууц үгээ шинэчлэхийг оролдвол алдааны мэдэгдэл хүлээн авна.

    3. Аюулгүй холболтын тохиргоо
    Протоколууд алсын холболт Telnet болон Rlogin системүүд нь нууц үгээ шифрлэгдээгүй хэлбэрээр сүлжээгээр дамжуулдаг тул маш хуучирсан бөгөөд эмзэг байдаг. Алсын болон аюулгүй холболтын хувьд аюулгүй протокол ашиглах ёстой Secure Shell (SSH). Аудитор ч гэсэн сонголтыг баталгаажуулах хэрэгтэй root нэвтрэх идэвхгүй, өгөгдмөл SSH порт өөрчлөгдсөн, алсаас хандахзөвхөн тодорхой эрх бүхий хэрэглэгчдэд хязгаарлагдана. Шалгаж буй тохиргоонууд нь SSH тохиргооны файлд байна:

    1. # vi /etc/ssh/sshd_config

    3.1 Супер хэрэглэгчээр нэвтрэх (үндэс нэвтрэх)

    Аудитын явцад аудитор хоригийг шалгах ёстой алсаас нэвтрэхүндсэн супер хэрэглэгчийн эрх бүхий систем рүү.

    # PermitRootLogin = тийм
    3.2 SSH нэвтрэх үйлчилгээний дансыг шалгаж байна

    Аудитын явцад аудитор үйлчилгээний дансыг нууц үггүй SSH нэвтрэх утгыг шалгах ёстой. Ихэвчлэн, системийн администраторуудЭнэ функцийг програмчлагдсанд ашиглах нөөц хуулбарууд, файл дамжуулах, алсын удирдлагын горимд скрипт ажиллуулах.

    Сүүлийн удаа өөрийн sshd_config тохиргоог (/etc/ssh/sshd_config) зөв эсэхийг шалгана уу.

    # PermitRootLogin нууц үггүйгээр

    # RSAAuthentication = тийм

    # PubkeyAuthentication = тийм

    3.3 DenyHosts болон Fail2ban дахь хандалтын жагсаалтыг шалгаж байна
    Аудитын явцад та хандалтын жагсаалтын тохиргоог шалгах хэрэгтэй DenyHosts Тэгээд Fail2ban . Эдгээр нь SSH хандалтын бүртгэлийг хянах, дүн шинжилгээ хийх, нууц үгийн бүдүүлэг хүчний халдлагаас хамгаалахад ашигладаг скриптүүд юм.

    DenyHosts-ийн онцлогууд:

    • файлаас бүртгэлийг хадгалах, хянах /var/log/secure , бүх амжилттай болон амжилтгүй нэвтрэх оролдлогуудыг тэмдэглэж, тэдгээрийг шүүдэг.
    • нэвтэрч чадаагүй оролдлогыг хянадаг
    • илгээдэг цахим шууданблоклогдсон хостуудын мэдэгдэл болон сэжигтэй оролдлогоорц
    Fail2ban-ийн онцлогууд:
    • Файлуудын бүртгэлийг хадгалж, хянадаг /var/log/secure Тэгээд /var/log/auth.log , /var/log/pwdfail
    • өндөр тохируулгатай, олон урсгалтай
    • бүртгэлийн файлуудыг тогтмол хянаж байдаг

    4. Системийн бүртгэлийг шалгаж байна
    Шалгалтын явцад та SysLog дэмон ажиллаж байгаа эсэхийг шалгах хэрэгтэй бөгөөд системд тохиолдох бүх чухал үйл явдлууд үйл явдлын бүртгэлд бүртгэгдсэн байх ёстой. Шалгалтын явцад үйл явдлын бүртгэлийг хадгалах бодлого нь одоогийн хууль тогтоомж, аюулгүй байдлын бодлогын шаардлагыг харгалзан үзэх шаардлагатай.

    4.1 Линукс дээрх үйл явдлын бүртгэл:

    /var/log/auth.log – зөвшөөрлийн системийн бүртгэл (нэвтрэх болон баталгаажуулах механизм).
    /var/log/dpkg.log – dpkg ашиглан багцуудыг суулгах/устгах бүртгэл.
    /var/log/yum.log – yum ашиглан багцуудыг суулгах/устгах бүртгэл.
    /var/log/faillog – бүтэлгүйтсэн нэвтрэх оролдлогын бүртгэл ба бүртгэл тус бүрийн хамгийн их тоо.
    /var/log/kern.log – цөмийн бүртгэл (Линукс цөмийн мессежүүдийн дэлгэрэнгүй бүртгэл).
    /var/log/maillog эсвэл /var/log/mail.log – мэйл серверийн бүртгэл.
    /var/log/wtmp – нэвтрэх бүртгэл (бүртгэлийн хугацаа, системийн бүх хэрэглэгчдийн ажлын үргэлжлэх хугацаа).
    /var/run/utmp – системд бүртгэлтэй байгаа хэрэглэгчдийн талаарх мэдээлэл.
    /var/log/lastlog – өмнөх нэвтрэлтийн бүртгэл.
    /var/log/boot – системийг ачаалах үед бүртгэгдсэн мэдээлэл

    5. Системийн файлуудыг хамгаалах

    5.1 GRUB ачаалагчийг хамгаалах

    GRUB ачаалагчийг хамгаалахын тулд админ нь нууц үгийн шифрлэлтийг ашиглах ёстой MD5 формат :

    # grub-md5-crypt

    Тушаалыг гүйцэтгэсний дараа администратор файлыг нээх хэрэгтэй /boot/grub/menu.lst эсвэл /boot/grub/grub.conf болон MD5 нууц үг нэмнэ үү:

    # vi /boot/grub/menu.lst

    # vi /boot/grub/grub.conf

    Шинээр үүсгэсэн MD5 нууц үгийг нэмж болно тохиргооны файл GRUB.

    5.2 Ачаалах санг хамгаалах /BOOT

    Шалгалтын явцад лавлахын статусыг шалгах шаардлагатай /ачаалах системийн цөм болон холбогдох файлууд нь директорт байрладаг тул /ачаалах. Зөвшөөрөлгүй өөрчлөлтөөс сэргийлэхийн тулд энэ лавлах зөвхөн унших боломжтой эсэхийг шалгах ёстой. чухал файлуудсистемд. Шалгахын тулд /etc/fstab файлыг нээж, тохиргоог шалгана уу:

    Файл нь дараах мөрийг агуулсан байх ёстой:

    LABEL=/boot /boot ext2 өгөгдмөл,ro 1 2

    5.3 Нээлттэй портууд болон идэвхтэй холболтуудыг шалгаж байна

    Систем дээр ажиллаж байгаа үйлчилгээг шалгахын тулд дараах скриптийг ашиглаж болно.

    #!/bin/bash
    хэрэв (($(ps -ef | grep -v grep | grep $ үйлчилгээ | wc -l) > 0))
    тэгээд
    echo “$ үйлчилгээ ажиллаж байна!!!”
    өөр
    /etc/init.d/$ үйлчилгээний эхлэл
    Фи

    Харах сүлжээний холболтууд

    # netstat -аноп
    эсвэл
    # lsof -i(lsof -ni)
    эсвэл
    # iptraf

    Сонсох портууд
    Netstat командыг ашигласнаар та бүх нээлттэй портууд болон тэдгээртэй холбоотой командуудыг харж болно. Жишээ скрипт:

    #netstat–tulpn
    Порт скан хийх скрипт нь:
    скан() (
    хэрэв [[ -z $1 || -z $2 ]]; тэгээд
    echo “Хэрэглээ: $0
    буцах
    fi
    локал хост=$1
    дотоод портууд =()
    $2 инч
    *-*)
    IFS=- эхлэл төгсгөлийг унших<<< “$2”
    ((порт=эхлэх; порт<= end; port++)); do
    портууд+=($порт)
    хийсэн
    ;;
    *,*)
    IFS=, -ra портуудыг уншина<<< “$2”
    ;; *)
    портууд+=($2) ;;
    esac
    “$(портууд[@])” дахь портын хувьд; хийх
    дохиолол 1 “echo >/dev/tcp/$host/$port” &&
    echo “порт $ порт нээлттэй байна” ||
    echo “$ порт хаалттай байна”
    хийсэн
    }

    Галт ханын iptables

    Аудитын явцад та зөвшөөрөлгүй нэвтрэхээс сэргийлэхийн тулд Линукс галт ханын тохиргоог шалгах хэрэгтэй. Траффикийг хянахын тулд IP хаяг болон TCP/UDP портын дугаарт үндэслэн ирж буй, гарч буй болон дамжуулсан пакетуудыг шүүдэг iptables-д дүрмийг бий болгох ёстой.

    # iptables -n -L -v --мөр-тоо

    ICMP/ өргөн нэвтрүүлгийн хүсэлт

    Шалгалтын явцад систем нь пинг болон өргөн нэвтрүүлгийн хүсэлтийг үл тоомсорлохоор тохируулагдсан эсэхийг шалгах шаардлагатай. Үүнийг хийхийн тулд файлд байгаа эсэхийг шалгаарай “/etc/sysctl.conf” дараах мөрүүдийг нэмэв.

    # ICMP хүсэлтийг үл тоомсорлох:
    net.ipv4.icmp_echo_ignore_all = 1
    # өргөн нэвтрүүлгийн хүсэлтийг үл тоомсорлох:
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    5.4 Суулгасан шинэчлэлтүүдийг шалгаж байна

    Хамгийн сүүлийн үеийн шинэчлэлтүүдийг системд суулгасан байх ёстой:

    # yum шинэчлэлт
    # yum шалгах шинэчлэлт

    6. Автоматаар хийгдсэн CRON ажлуудыг шалгаж байна

    Аудитор нь крон ажил гүйцэтгэхийг зөвшөөрч, зөвшөөрөхгүй байгаа эсэхийг шалгах ёстой. Cron руу хандах хандалтыг файлуудыг ашиглан хянадаг /etc/cron.allow Тэгээд /etc/cron.deny.

    # echo ALL >>/etc/cron.deny

    7. SELINUX албадан хамгаалалтын горимыг турших

    Аудитын явцад нөхцөл байдлыг шалгах нь чухал юм SELinux . Энэ механизмыг системд идэвхжүүлсэн байх ёстой.
    Гурван горим байдаг SELinux :

    • Хэрэгжүүлэх: SELinux бодлогыг албаддаг. SELinux нь SELinux-ийн бодлогын дүрмийн дагуу хандалтыг үгүйсгэдэг.
    • Зөвшөөрөгдсөн: SELinux бодлогыг хэрэгжүүлээгүй. SELinux нь хандалтыг хориглодоггүй, гэхдээ бодлогыг хэрэгжүүлэх горимд шилжүүлсэн тохиолдолд татгалзсан үйлдлүүдийг бүртгэдэг.
    • Идэвхгүй болгосон: SELinux идэвхгүй байна. Зөвхөн салангид DAC дүрмийг ашигладаг.

    Аудитын явцад та дараах скриптийг ашиглан SELinux-ийн статусыг шалгах эсвэл system-configselinux, getenforce, sestatus командуудыг ашиглаж болно.

    ENABLED=`cat /selinux/enforce`
    хэрэв [ “$ENABLED” == 1 ]; тэгээд
    echo “SELinux идэвхжсэн, идэвхгүй болгох уу? (тийм Үгүй):"
    унших идэвхгүй болгох
    хэрэв [ $ disable == “тийм” ]; тэгээд
    echo "selinux-ыг идэвхгүй болгох"
    тохируулах хүч 0
    fi
    fi

    Хамгаалалтын үндсэн сонголтуудыг шалгахын тулд LBSA скрипт

    LBSA (Linux үндсэн аюулгүй байдлын аудитын скрипт) нь Линукс системийн аюулгүй байдлын тохиргоог шалгах үндсэн скрипт юм. Скриптийг тушаалын мөрөөс давуу эрхтэйгээр ажиллуулах ёстой үндэс эсвэл тохиргооны өөрчлөлтийг системтэйгээр шалгахын тулд cron төлөвлөгчийг ашиглан ердийн хуваарийн дагуу ажиллах нь дээр.

    Энэхүү скриптийн зорилго нь аюулгүй байдлын тохиргоонд шууд аудит хийж, аюулгүй байдлын өндөр түвшинг хангахын тулд өөрчилж болох параметрүүдийг тодорхойлсон тайланг байршуулах явдал юм. Хэрэв ямар нэгэн сонголтын талаар зөвлөмж байхгүй бол скрипт нь чекийг боловсруулах нэг мөрийг харуулах бөгөөд эцсийн шийдвэр нь үргэлж администраторт үлддэг. Скан хийхээс өмнө хөгжүүлэгчид гарын авлагыг уншиж, нэмэлт мэдээлэл авахын тулд санал болгосон хэсгүүдийг судлахыг зөвлөж байна.

    Одоогийн хэвлэлд (Хувилбар 1.0.49) скрипт нь дараах сонголтуудыг сканнердаж байна:

    • акаунтын тохиргооны эмзэг байдал
    • SSH тохиргоон дахь эмзэг байдал
    • RAM-д ачаалагдсан файлын системийн түр зуурын лавлахууд болон лавлахууд дахь эмзэг байдал (жишээ нь, /tmp, /var/tmp /dev/-д)
    • файлын зөвшөөрөл, системийн лавлах төлөв
    • DRBD болон Hearbeat үйлчилгээний тохиргоо

    Скрипт нь нэлээд том учраас бид үүнийг хуудсан дээр тавиагүй.

    Энэ материалд бид Линуксийг хатууруулах үндсэн хэрэгслүүдтэй танилцах болно. Орос хэлээр үүнийг "Линукс системийн аюулгүй байдлын түвшинг шалгах, мэдээллийн аюулгүй байдлын үүднээс тохиргооны зөв эсэхийг үнэлэх" гэх мэт зүйл гэж нэрлэдэг. Мэдээжийн хэрэг, бид зөвхөн програмуудыг хянаж үзээд зогсохгүй тэдгээрийн хэрэглээний жишээг өгөх болно.

    Өөрийн аудитор эсвэл өөрийн аюулгүй байдал

    Администраторууд, тэр ч байтугай мэдээллийн аюулгүй байдлын аудиторууд маш богино хугацаанд олон тооны хостуудын аюулгүй байдлыг шалгах даалгавартай тулгардаг. Мэдээжийн хэрэг, эдгээр асуудлыг Enterprise сегментэд шийдвэрлэхийн тулд сүлжээний аюулгүй байдлын сканнер гэх мэт тусгай хэрэгслүүд байдаг. Нээлттэй эх сурвалжийн OpenVAS хөдөлгүүрээс эхлээд Nessus эсвэл Nexpose зэрэг арилжааны бүтээгдэхүүнүүд хүртэл манай уншигчдад танигдсан гэдэгт би итгэлтэй байна. Гэсэн хэдий ч, энэ програм хангамжийг ихэвчлэн хуучирсан, тиймээс эмзэг програм хангамжийг хайж олоход ашигладаг бөгөөд дараа нь засварын менежментийг ажиллуулдаг. Нэмж дурдахад бүх сканнерууд Линукс болон бусад нээлттэй эхийн бүтээгдэхүүний хамгаалалтын механизмын зарим онцлог шинж чанарыг харгалзан үздэггүй. Эцэст нь хэлэхэд, арилжааны бүтээгдэхүүнийг зөвхөн энэ бизнест төсөв хуваарилдаг компаниуд л авах боломжтой тул асуудлын үнэ чухал юм.

    Тийм ч учраас өнөөдөр бид системийн аюулгүй байдлын өнөөгийн түвшинг оношлох, болзошгүй эрсдлийг үнэлэх, жишээлбэл, интернетэд "нэмэлт үйлчилгээ" эсвэл найдвартай бус анхдагч тохиргоо гэх мэт тусгайлсан багцын талаар ярих болно. илэрсэн алдаа дутагдлыг засах сонголтыг санал болгох. Эдгээр хэрэгслийг ашиглахын бас нэг давуу тал бол ямар ч тооны Линукс системээс фермийн туршилтын стандарт хувилбаруудыг хуулбарлах, бүртгэл, бие даасан тайлан хэлбэрээр баримтжуулсан туршилтын баазыг бий болгох чадвар юм.

    Аюулгүй байдлын аудитын практик талууд

    Хэрэв та аудиторын нүдээр харвал тестийн аргыг хоёр төрөлд хувааж болно.

    Эхлээд- энэ нь дагаж мөрдөх шаардлага гэж нэрлэгддэг нийцтэй байдал бөгөөд энд олон улсын стандарт эсвэл "шилдэг туршлага" -д заасан аюулгүй байдлын заавал дагаж мөрдөх элементүүд байгаа эсэхийг шалгадаг. Сонгодог жишээ бол төлбөрийн IT систем, SOX404, NIST-800 цувралын PCI DSS шаардлагууд юм.

    Хоёрдугаарт- Энэ бол “Аюулгүй байдлыг бэхжүүлэхийн тулд өөр юу хийж болох вэ?” гэсэн асуултад үндэслэсэн цэвэр оновчтой хандлага юм. Заавал шаардлага байхгүй - зөвхөн таны мэдлэг, тод толгой, чадварлаг гар. Жишээлбэл, энэ нь цөмийн хувилбар болон/эсвэл програмын багцуудыг шинэчлэх, галт ханыг идэвхжүүлэх, хүчлэх, тохируулах явдал юм.

    Хоёрдахь аргатай холбоотой бүх зүйлийг ихэвчлэн тусгай нэр томъёо гэж нэрлэдэг Хатуурах, үүнийг мөн "Үйлдлийн системийн (эсвэл програмын) аюулгүй байдлын түвшинг үндсэндээ стандарт хэрэгслийг ашиглан нэмэгдүүлэхэд чиглэсэн үйлдлүүд" гэж тодорхойлж болно.

    Нийцлийн шаардлагад нийцэж байгаа эсэх нь ихэвчлэн PCI DSS эсвэл бусад баталгаажуулалтын аудит зэрэг заавал аудит хийлгэхийн тулд шалгадаг. Бид Hardening бүрэлдэхүүн хэсэгт илүү анхаарал хандуулах болно. Бүх томоохон хөгжүүлэгчид бүтээгдэхүүнээ санал болгодог Хатууруулах заавар- стандарт аюулгүй байдлын механизм, програм хангамжийн онцлогийг харгалзан аюулгүй байдлыг хэрхэн бэхжүүлэх талаар зөвлөмж, зөвлөмж агуулсан гарын авлага. Тиймээс Red Hat, Debian, Oracle, Cisco нар ижил төстэй хөтөчтэй.

    МЭДЭЭЛЭЛ

    Хатуужилт гэдэг нь мэдээллийн аюулгүй байдлын ертөнцөөс гарсан нэр томъёо бөгөөд системийн (хөтөлбөрийн) эмзэг байдлыг бууруулж, дүрмээр бол зөвхөн стандарт хэрэгсэл эсвэл хамгаалалтын механизм ашиглан аюулгүй байдлыг хангах үйл явцыг хэлнэ.

    Sudo apt-get update sudo apt-get суулгах lynis

    Мөн RPM-д чиглэсэн түгээлтийн хувьд (тохирох агуулахыг нэмсний дараа):

    Yum install linus -y

    MacOS дээр суулгах:

    $ Brew хайлт lynis $ brew install lynis

    Lynis-г эхлүүлэхийн тулд та дор хаяж нэг түлхүүрийг зааж өгөх хэрэгтэй. Жишээлбэл, боломжтой бүх тестийг ажиллуулахын тулд та -c (бүгдийг шалгах) шилжүүлэгчийг зааж өгөх хэрэгтэй:

    # Sudo lynis аудитын системийн ердийн тестийн багц # Тестүүдийн бүрэн багц sudo lynis audit system -c # Алсын зайн хост аудитын системийг сканнердаж байна.







    Аудитын өмнө Lynis-ийн шинэ хувилбар байгаа эсэхийг шалгах нь зүйтэй.

    Lynis шинэчлэлтийн мэдээлэл && lynis шинэчлэлт шалгах

    Lynis хэрэгсэл нь стандартаас гадна өөр нэг горимтой - давуу эрхгүй хөөргөх:

    Lynis audit --pentest

    Хэрэв та шалгалтыг эхлүүлсэн аудиторын нэрийг оруулахыг хүсвэл -auditor параметрийг нэмнэ үү :

    Sudo lynis аудитын систем -c -аудитор Аав

    Аудитын аль ч үе шатанд баталгаажуулах үйл явцыг үргэлжлүүлж (Enter) эсвэл албадан зогсоож болно (Ctrl+C). Гүйцэтгэсэн туршилтын үр дүнг Lynis бүртгэлд /var/log/lynis.log руу бичих болно. Хэрэгслийг эхлүүлэх бүрт лог дарж бичигдэх болно гэдгийг анхаарна уу.

    Автомат горимд системтэй туршилт хийхийн тулд та -cronjob шилжүүлэгчийг ашиглан Cron хуваарьт тохирох ажлыг оноож болно. Энэ тохиолдолд уг хэрэгслийг заасан загвар (тохиргоо) -ын дагуу эхлүүлэх бөгөөд интерактив мессеж, асуулт, анхааруулгыг харуулахгүй. Бүх үр дүн бүртгэлд хадгалагдах болно. Жишээлбэл, сард нэг удаа анхдагч тохиргоотой хэрэгслийг эхлүүлэх скрипт энд байна:

    #!/bin/sh AUDITOR="автоматчлагдсан" огноо=$(огноо +%Y%m%d) HOST=$(хостын нэр) LOG_DIR="/var/log/lynis" ТАПЛАН="$LOG_DIR/report-$( HOST).$(DATE)" DATA="$LOG_DIR/report-data-$(HOST).$(DATE).txt" cd /usr/local/lynis ./lynis -c –аудитор "$(АУДИТОР)" –cronjob > $(REPORT) mv /var/log/lynis-report.dat $(DATA) # Төгсгөл

    Энэ скриптийг /etc/cron.monthly/lynis санд хадгална уу. Бүртгэлийг (/usr/local/lynis болон /var/log/lynis) хадгалах замыг нэмэхээ бүү мартаарай, эс тэгвээс энэ нь зөв ажиллахгүй байж магадгүй юм.

    Та дуудлага хийх боломжтой бүх командын жагсаалтыг харж болно:

    Линис командуудыг үзүүлэв

    Ялангуяа сонирхож байгаа хүмүүс үндсэн тохиргооноос тохиргоог харж болно.

    Lynis шоуны тохиргоо

    Хэрэгслийг хэрхэн ашиглах талаар товч заавар:

    Эр хүн Линис

    Шалгалтын үр дүнд үндэслэн боломжит статусын сонголтууд дараах жагсаалтаар хязгаарлагдана. БАЙХГҮЙ, СУЛ, ХИЙСЭН, ОЛСОН, ОЛООГҮЙ, ЗА, АНХААРУУЛГА.


    Lynis-д ганцаарчилсан тест ажиллуулж байна

    Практикт зөвхөн цөөн хэдэн туршилт хийх шаардлагатай байж болно. Жишээлбэл, хэрэв таны сервер зөвхөн Mail Server эсвэл Apache функцийг гүйцэтгэдэг. Үүний тулд бид -tests параметрийг ашиглаж болно. Командын синтакс дараах байдалтай байна.

    Lynis "Test-IDs"-ийг туршиж үздэг.

    Хэрэв танд олон тооны тест танигчаас болж ойлгоход хэцүү байвал та бүлгийн параметрийг ашиглаж болно -test-category . Энэ сонголтоор Линис зөвхөн тодорхой ангилалд хамаарах тестийн ID-г ажиллуулдаг. Жишээлбэл, бид галт хана болон цөмийн тестүүдийг ажиллуулахаар төлөвлөж байна:

    ./lynis -tests-категори "галт хананы цөм"

    Нэмж дурдахад, Lynis-ийн функцийг янз бүрийн залгаасуудаар өргөжүүлж, та өөрөө нэмж болно, эсвэл одоо байгаа лавлахад шинээр нэмж болно.

    Залруулга хийх саналууд

    Үр дүнгийн дараа бүх анхааруулгыг жагсаах болно. Тус бүр нь анхааруулах текстээр эхэлж, дараа нь түүнийг үүсгэсэн тестийг хаалтанд зааж өгсөн болно. Дараагийн мөрөнд хэрэв байгаа бол асуудлыг шийдэх арга замыг санал болгож байна. Үнэн хэрэгтээ, сүүлийн мөр нь дэлгэрэнгүй мэдээллийг үзэх, асуудлыг хэрхэн засах талаар нэмэлт зөвлөмжийг олох боломжтой URL юм.

    Профайлууд

    Аудитыг удирддаг профайлууд нь өргөтгөлтэй файлуудад тодорхойлогддог .prf, /etc/lynis санд байрладаг. Өгөгдмөл профайлыг урьдчилан таамаглах боломжтой гэж нэрлэдэг: default.prf . Хөгжүүлэгчид үүнийг шууд засварлахыг зөвлөдөггүй: аудит хийх гэж буй аливаа өөрчлөлтийг нэг директорт байрлах custom.prf файлд нэмэх нь дээр.

    Үргэлжлэлийг зөвхөн гишүүд үзэх боломжтой

    Сонголт 1. Сайт дээрх бүх материалыг уншихын тулд "сайт" нийгэмлэгт нэгдээрэй

    Нийгэмлэгт заасан хугацаанд гишүүнээр элсэх нь танд Хакерын БҮХ материалд хандах боломжийг олгож, хувийн хуримтлагдсан хөнгөлөлтөө нэмэгдүүлж, мэргэжлийн Xakep онооны үнэлгээг хуримтлуулах боломжийг олгоно!