LFCA: pagrindiniai saugos patarimai, kaip apsaugoti „Linux“ sistemą – 17 dalis
Dabar labiau nei bet kada gyvename pasaulyje, kuriame organizacijas nuolat bombarduoja saugumo pažeidimai, skatinami gauti labai jautrių ir konfidencialių duomenų, kurie yra labai vertingi ir už tai atneša didžiulį finansinį atlygį.
Gana stebėtina, kad nepaisant didelės rizikos patirti potencialiai niokojančią kibernetinę ataką, dauguma įmonių nėra gerai pasiruošusios arba tiesiog nepaiso raudonųjų vėliavėlių, o tai dažnai sukelia pražūtingas pasekmes.
2016 m. Equifax patyrė katastrofišką duomenų pažeidimą, kai po kelių saugumo pažeidimų buvo pavogti milijonai labai konfidencialių klientų įrašų. Išsamioje ataskaitoje nurodyta, kad pažeidimo būtų galima išvengti, jei Equifax saugos komanda įgyvendintų tinkamas saugos priemones.
Tiesą sakant, likus keliems mėnesiams iki pažeidimo Equifax buvo įspėta apie galimą jų interneto portalo pažeidžiamumą, galintį pakenkti jų saugumui, tačiau, deja, į įspėjimą nebuvo atsižvelgta ir sukeltos rimtos pasekmės. Daugelis kitų didelių korporacijų tapo atakų aukomis, kurios su kiekviena akimirka vis sudėtingėja.
Negalime pakankamai pabrėžti, koks svarbus yra jūsų Linux sistemos saugumas. Galbūt nesate aukšto lygio finansų įstaiga, kuri yra potencialus pažeidimų taikinys, tačiau tai nereiškia, kad turėtumėte nusileisti.
Nustatydami „Linux“ serverį turėtumėte atkreipti dėmesį į saugumą, ypač jei jis bus prijungtas prie interneto ir pasiekiamas nuotoliniu būdu. Norint apsaugoti „Linux“ serverį, būtina turėti pagrindinius saugos įgūdžius.
Šiame vadove mes sutelkiame dėmesį į kai kurias pagrindines saugos priemones, kurių galite imtis norėdami apsaugoti savo sistemą nuo įsibrovėlių.
Kibernetinių atakų vektoriai
Įsibrovėliai naudos įvairius atakos būdus, kad pasiektų jūsų „Linux“ serverį. Prieš pasinerdami į kai kurias priemones, kurių galite imtis norėdami apsaugoti savo sistemą, išnaudokime kai kuriuos įprastus atakų vektorius, kuriuos įsilaužėlis gali panaudoti, kad įsiskverbtų į sistemas.
1. Brutalios jėgos išpuoliai
Brute-force ataka yra ataka, kai įsilaužėlis naudoja bandymus ir klaidas, kad atspėtų vartotojo prisijungimo duomenis. Paprastai įsibrovėlis naudos automatinius scenarijus, kad nuolat įeitų, kol bus gautas tinkamas vartotojo vardo ir slaptažodžio derinys. Tokio tipo ataka yra efektyviausia, kai naudojami silpni ir lengvai atspėjami slaptažodžiai.
2. Silpni įgaliojimai
Kaip minėta anksčiau, silpni kredencialai, pvz., trumpi ir lengvai atspėti slaptažodžiai, pvz., password1234, gali kelti pavojų jūsų sistemai. Kuo slaptažodis trumpesnis ir kuo sudėtingesnis, tuo didesnė tikimybė, kad jūsų sistema bus pažeista.
3. Sukčiavimas
Sukčiavimas yra socialinės inžinerijos metodas, kai užpuolikas siunčia aukai el. laišką, kuris, atrodo, atėjo iš teisėtos institucijos arba asmens, kurį pažįstate arba su kuriuo bendradarbiaujate.
Paprastai el. laiške pateikiamos instrukcijos, raginančios auką atskleisti neskelbtiną informaciją, arba gali būti nuoroda, nukreipianti į netikrą svetainę, kuri yra įmonės svetainė. Kai auka bando prisijungti, užpuolikas užfiksuoja jų kredencialus.
4. Kenkėjiška programa
Kenkėjiška programinė įranga reiškia kenkėjišką programinę įrangą. Ji apima daugybę nenaudingų programų, tokių kaip virusai, Trojos arkliai, kirminai ir išpirkos reikalaujančios programos, kurios skirtos greitai plisti ir laikyti aukos sistemą įkaite mainais į išpirką.
Tokie išpuoliai gali sekinti ir paralyžiuoti organizacijos verslą. Kai kurios kenkėjiškos programos gali būti įterptos į dokumentus, pvz., vaizdus, vaizdo įrašus, Word ar PowerPoint dokumentus, ir supakuotos į sukčiavimo el. laišką.
5. Paslaugų atsisakymo atakos (DoS)
DoS ataka yra ataka, kuri riboja arba paveikia serverio ar kompiuterio sistemos pasiekiamumą. Įsilaužėlis užpildo serverį srautu arba ping paketais, dėl kurių serveris ilgą laiką tampa nepasiekiamas vartotojams.
DDoS (Distributed Denial of Service) ataka yra DoS rūšis, kurioje naudojamos kelios sistemos, kurios užtvindo taikinį srautu, dėl kurio jis tampa nepasiekiamas.
6. SQL įpurškimo ataka
Struktūrinės užklausos kalbos akronimas, SQL yra kalba, naudojama bendrauti su duomenų bazėmis. Tai leidžia vartotojams kurti, ištrinti ir atnaujinti įrašus duomenų bazėje. Daugelis serverių saugo duomenis reliacinėse duomenų bazėse, kurios sąveikauja su duomenų baze naudoja SQL.
SQL įpurškimo ataka panaudoja žinomą SQL pažeidžiamumą, dėl kurio serveris atskleidžia neskelbtiną duomenų bazės informaciją, kurios kitu atveju jis neatskleisti, įterpdamas kenkėjišką SQL kodą. Tai kelia didžiulę riziką, jei duomenų bazėje saugoma asmenį identifikuojanti informacija, pvz., kredito kortelių numeriai, socialinio draudimo numeriai ir slaptažodžiai.
7. Žmogus viduryje atakos
Paprastai sutrumpintai vadinama MITM, žmogaus viduryje ataka apima užpuoliką, kuris perima informaciją tarp dviejų taškų, siekdamas pasiklausyti arba pakeisti srautą tarp dviejų šalių. Tikslas yra šnipinėti auką, sugadinti duomenis arba pavogti neskelbtiną informaciją.
Pagrindiniai „Linux“ serverio apsaugos patarimai
Išnagrinėję galimus šliuzus, kuriuos užpuolikas gali naudoti, kad pažeistų jūsų sistemą, apžvelgsime keletą pagrindinių priemonių, kurių galite imtis norėdami apsaugoti savo sistemą.
1. Fizinė apsauga
Nedaug galvojama apie fizinę serverio vietą ir saugumą, tačiau, jei ketinate savo serverį turėti vietinėje aplinkoje, paprastai turėtumėte pradėti.
Svarbu užtikrinti, kad jūsų serveris būtų saugiai apsaugotas duomenų centre su atsargine energija, pertekliniu interneto ryšiu ir pakankamu vėsinimu. Prieiga prie duomenų centro turėtų būti ribojama tik įgaliotiems darbuotojams.
2. Atnaujinkite savo sistemos saugyklas ir paketus
Kai serveris bus nustatytas, pirmiausia reikia atnaujinti saugyklas ir taikomosios programinės įrangos paketus, kaip nurodyta toliau. Paketo atnaujinimas pataiso visas spragas, kurios gali būti esamose programų versijose.
Ubuntu/Debian platinimui:
sudo apt update -y
sudo apt upgrade -y
RHEL/CentOS platinimui:
sudo yum upgrade -y
3. Įjunkite ugniasienę
Ugniasienė yra programa, kuri filtruoja gaunamą ir išeinantį srautą. Turite įdiegti patikimą užkardą, pvz., UFW užkardą, ir įgalinti ją, kad būtų galima teikti tik reikalingas paslaugas ir atitinkamus prievadus.
Pavyzdžiui, galite jį įdiegti Ubuntu naudodami komandą:
sudo apt install ufw
Įdiegę įjunkite jį taip:
sudo ufw enable
Norėdami leisti paslaugą, pvz., HTTPS, paleiskite komandą;
sudo ufw allow https
Arba galite leisti atitinkamą prievadą, kuris yra 443.
sudo ufw allow 443/tcp
Tada įkelkite iš naujo, kad pakeitimai įsigaliotų.
sudo ufw reload
Norėdami patikrinti ugniasienės būseną, įskaitant leidžiamas paslaugas ir atvirus prievadus, paleiskite
sudo ufw status
4. Išjunkite visas nereikalingas paslaugas/prievadus
Be to, apsvarstykite galimybę išjungti visas nenaudojamas ar nereikalingas ugniasienės paslaugas ir prievadus. Keli nenaudojami prievadai tik padidina atakos aplinką.
5. Saugus SSH protokolas
Numatytieji SSH nustatymai nėra saugūs, todėl reikia atlikti kai kuriuos pakeitimus. Būtinai įgyvendinkite šiuos nustatymus:
- Išjunkite root naudotoją nuo nuotolinio prisijungimo.
- Įgalinkite SSH autentifikavimą be slaptažodžio naudodami viešuosius/privačius SSH raktus.
Pirmajame taške redaguokite failą /etc/ssh/sshd_config ir pakeiskite toliau nurodytus parametrus, kad jie būtų rodomi taip, kaip parodyta.
PermitRootLogin no
Išjungę pagrindinį vartotoją nuo nuotolinio prisijungimo, sukurkite įprastą vartotoją ir priskirkite sudo privilegijas. Pavyzdžiui.
sudo adduser user
sudo usermod -aG sudo user
Norėdami įgalinti autentifikavimą be slaptažodžio, pirmiausia pereikite prie kito „Linux“ kompiuterio – geriausia savo asmeninio kompiuterio ir sugeneruokite SSH raktų porą.
ssh-keygen
Tada nukopijuokite viešąjį raktą į savo serverį
ssh-copy-id user@server-IP
Prisijungę būtinai išjunkite slaptažodžio autentifikavimą redaguodami failą /etc/ssh/sshd_config ir pakeisdami rodomą parametrą.
PasswordAuthentication no
Saugokitės, kad neprarastumėte privataus ssh rakto, nes tai yra vienintelis būdas prisijungti. Saugokite jį ir, pageidautina, kurkite atsarginę kopiją debesyje.
Galiausiai iš naujo paleiskite SSH, kad atliktumėte pakeitimus
sudo systemctl restart sshd
Santrauka
Pasaulyje, kuriame kinta kibernetinės grėsmės, saugumas turėtų būti pagrindinis prioritetas, kai pradedate nustatyti „Linux“ serverį. Šiame vadove pabrėžėme kai kurias pagrindines saugos priemones, kurių galite imtis norėdami sustiprinti serverį. Kitoje temoje mes gilinsimės į papildomus veiksmus, kurių galite imtis norėdami sustiprinti savo serverį.