23 CentOS Server Harðing Öryggisráðleggingar - Part 2


Með áframhaldandi fyrri kennslu um hvernig á að tryggja og herða CentOS netþjóninn, í þessari grein, munum við ræða önnur öryggisráð sem verða kynnt á gátlistanum hér að neðan.

  1. 20 CentOS Server Hardening Öryggisráð – Part 1

21. Slökktu á gagnslausum SUID og SGID skipunum

Ef setuid og setgid bitarnir eru stilltir á tvíundarforrit geta þessar skipanir keyrt verkefni með öðrum notenda- eða hópréttindum, svo sem rótarréttindi sem geta afhjúpað alvarleg öryggisvandamál.

Oft geta árásir um offramkeyrslu á biðminni nýtt slíkar keyrslur til að keyra óviðkomandi kóða með réttindum rótarnotanda.

# find /  -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

Til að aftengja setuid bitann skaltu framkvæma eftirfarandi skipun:

# chmod u-s /path/to/binary_file

Til að afsetja setgid bitann skaltu keyra skipunina hér að neðan:

# chmod g-s /path/to/binary_file

22. Athugaðu hvort skrár og möppur séu ekki í eigu

Skrár eða möppur sem ekki eru í eigu gilds reiknings verður að eyða eða úthluta með heimildum frá notanda og hópi.

Gefðu út finna skipunina hér að neðan til að skrá skrár eða möppur án notanda og hóps.

# find / -nouser -o -nogroup -exec ls -l {} \;

23. Listi heimsskrifanlegar skrár

Að geyma heimsskrifanlega skrá á kerfinu getur verið hættulegt vegna þess að hver sem er getur breytt þeim. Framkvæmdu skipunina hér að neðan til að birta skrár sem hægt er að skrifa á orð, nema tákntenglar, sem eru alltaf hægt að skrifa um heiminn.

# find / -path /proc -prune -o -perm -2 ! -type l –ls

24. Búðu til sterk lykilorð

Búðu til lykilorð sem er að lágmarki átta stafir. Lykilorðið verður að innihalda tölustafi, sérstafi og hástafi. Notaðu pwmake til að búa til 128 bita lykilorð úr /dev/urandom skrá.

# pwmake 128

25. Notaðu sterka lykilorðastefnu

Þvingaðu kerfið til að nota sterk lykilorð með því að bæta línunni fyrir neðan í /etc/pam.d/passwd skránni.

password required pam_pwquality.so retry=3

Ef ofangreindri línu er bætt við getur lykilorðið sem slegið er inn ekki innihaldið fleiri en 3 stafi í eintóna röð, eins og abcd, og fleiri en 3 eins stafi í röð, eins og 1111.

Til að þvinga notendur til að nota lykilorð með lágmarkslengd 8 stafa, þar með talið alla stafiflokka, skaltu athuga styrkleika fyrir stafaröð og stafi í röð bæta eftirfarandi línum við /etc/security/pwquality.conf skrána.

minlen = 8
minclass = 4
maxsequence = 3
maxrepeat = 3

26. Notaðu lykilorðsöldrun

Hægt er að nota chage skipunina fyrir öldrun notanda lykilorðs. Til að stilla lykilorð notanda til að renna út eftir 45 daga skaltu nota eftirfarandi skipun:

# chage -M 45 username

Til að slökkva á gildistíma lykilorðs notaðu skipunina:

# chage -M -1 username

Þvingaðu út tafarlaust lykilorð sem rennur út (notandi verður að breyta lykilorðinu við næstu innskráningu) með því að keyra eftirfarandi skipun:

# chage -d 0 username

27. Læsa reikningum

Hægt er að læsa notendareikningum með því að framkvæma passwd eða usermod skipunina:

# passwd -l username
# usermod -L username

Til að opna reikninga notaðu -u valmöguleikann fyrir passwd skipunina og -U valmöguleikann fyrir usermod.

28. Koma í veg fyrir aðgang að reikningum skel

Til að koma í veg fyrir að kerfisreikningur (venjulegur reikningur eða þjónustureikningur) fái aðgang að bash skel, breyttu rótarskel í /usr/sbin/nologin eða /bin/false í /etc/passwd skránni með því að gefa út skipunina hér að neðan:

# usermod -s /bin/false username

Til að breyta skelinni þegar þú býrð til nýjan notanda skaltu gefa út eftirfarandi skipun:

# useradd -s /usr/sbin/nologin username

29. Læstu sýndarnotendaborðinu með vlock

vlock er forrit sem er notað til að læsa einni mörgum lotu á Linux stjórnborði. Settu upp forritið og byrjaðu að læsa flugstöðinni þinni með því að keyra eftirfarandi skipanir:

# yum install vlock
# vlock

30. Notaðu miðstýrt kerfi til að stjórna reikningum og auðkenningu

Notkun miðstýrðs auðkenningarkerfis getur einfaldað reikningsstjórnun og eftirlit til muna. Þjónusta sem getur boðið upp á þessa tegund reikningsstjórnunar eru IPA Server, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS eða Winbind.

Sum þessara þjónustu eru sjálfgefið mjög örugg með dulmálssamskiptareglum og dulmáli með samhverfum lyklum, eins og Kerberos.

31. Þvingaðu skrifvarinn uppsetningu USB miðils

Með því að nota blockdev tólið geturðu þvingað alla færanlega miðla til að vera settir upp sem skrifvarinn. Til dæmis, búðu til nýja udev stillingarskrá sem heitir 80-readonly-usb.rules í /etc/udev/rules.d/ möppunni með eftirfarandi innihaldi:

SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"

Notaðu síðan regluna með skipuninni hér að neðan:

# udevadm control -reload

32. Slökkva á rótaraðgangi í gegnum TTY

Til að koma í veg fyrir að rótarreikningurinn framkvæmi kerfisinnskráningu í gegnum öll stjórnborðstæki (TTY) skaltu eyða innihaldi öryggisskrárinnar með því að slá inn eftirfarandi skipanaskilaboð sem rót.

# cp /etc/securetty /etc/securetty.bak
# cat /dev/null > /etc/securetty

Mundu að þessi regla á ekki við um SSH innskráningarlotur
Til að koma í veg fyrir rót innskráningu í gegnum SSH breyttu skránni /etc/ssh/sshd_config og bættu við línunni fyrir neðan:

PermitRootLogin no

33. Notaðu POSIX ACL til að auka kerfisheimildir

Aðgangsstýringarlistar geta skilgreint aðgangsréttindi fyrir fleiri en bara einn notanda eða hóp og geta tilgreint réttindi fyrir forrit, ferli, skrár og möppur. Ef þú stillir ACL á möppu munu afkomendur hennar erfa sömu réttindi sjálfkrafa.

Til dæmis,

# setfacl -m u:user:rw file
# getfacl file

34. Settu upp SELinux í Enforce Mode

SELinux endurbótin á Linux kjarnanum útfærir skylduaðgangsstýringu (MAC) stefnu, sem gerir notendum kleift að skilgreina öryggisstefnu sem veitir nákvæmar heimildir fyrir alla notendur, forrit, ferla, skrár og tæki.

Ákvarðanir um aðgangsstýringu kjarnans eru byggðar á öllu öryggisviðkomandi samhengi en ekki á auðkenndu auðkenni notenda.

Til að fá Selinux stöðu og framfylgja stefnu skaltu keyra eftirfarandi skipanir:

# getenforce
# setenforce 1
# sestatus

35. Settu upp SELinux viðbótartól

Settu upp policycoreutils-python pakka sem veitir viðbótar Python tól til að reka SELinux: audit2allow, audit2why, chcat og semanage.

Til að birta öll boolean gildi ásamt stuttri lýsingu, notaðu eftirfarandi skipun:

# semanage boolean -l

Til dæmis, til að sýna og stilla gildi httpd_enable_ftp_server skaltu keyra skipunina hér að neðan:

# getsebool httpd_enable_ftp_server

Til að láta gildi boolean haldast við endurræsingar skaltu tilgreina -P valmöguleikann til að setsebool, eins og sýnt er í eftirfarandi dæmi:

# setsebool -P httpd_enable_ftp_server on

36. Notaðu miðlægan annálþjón

Stilltu rsyslog púkann til að senda viðkvæm tólaskrárskilaboð á miðlægan annálþjón. Fylgstu líka með annálsskrám með hjálp logwatch gagnsemi.

Að senda annálsskilaboð til ytri netþjóns tryggir að þegar kerfið hefur verið í hættu geta illgjarnir notendur ekki leynt virkni sinni algjörlega og skilja alltaf eftir sig á ytri annálaskrám.

37. Virkja vinnslubókhald

Virkjaðu vinnslubókhald með því að setja upp psacct tólið og notaðu lastcomm skipunina til að birta upplýsingar um áður framkvæmdar skipanir eins og skráðar eru í kerfisbókhaldsskránni og sa til að draga saman upplýsingar um áður framkvæmdar skipanir eins og þær eru skráðar í kerfisbókhaldsskránni.

38. Herða /etc/sysctl.conf

Notaðu eftirfarandi reglur um kjarnafæribreytur til að vernda kerfið:

net.ipv4.conf.all.accept_source_route=0
ipv4.conf.all.forwarding=0
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Slökktu á samþykki og sendingu ICMP-framsendra pakka nema sérstaklega sé krafist.

net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.rp_filter=2

Hunsa allar ICMP bergmálsbeiðnir (stillt á 1 til að virkja)

net.ipv4.icmp_echo_ignore_all = 0

39. Notaðu VPN þjónustu til að fá aðgang að húsnæði þínu yfir óvarið almenningsnet

Notaðu alltaf VPN þjónustu fyrir símafyrirtæki til að fá fjaraðgang að staðarneti í gegnum internetið. Slíkar tegundir þjónustu er hægt að stilla með því að nota ókeypis opinn uppspretta lausn, eins og Epel Repositories).

40. Framkvæma ytri kerfisskönnun

Metið öryggi kerfisins fyrir varnarleysi með því að skanna kerfið frá ytri stöðum yfir staðarnetið með sérstökum verkfærum eins og:

  1. Nmap – netskanni 29 Dæmi um Nmap Command
  2. Nessus – öryggisskanni
  3. OpenVAS – notað til að leita að veikleikum og fyrir alhliða varnarleysisstjórnun.
  4. Nikto – frábært sameiginlegt gáttviðmót (CGI) handritaskanni Skanna vefvarnarleysi í Linux

41. Verndaðu kerfið innbyrðis

Notaðu innri kerfisvörn gegn vírusum, rótarsettum, spilliforritum og, sem góð venja, settu upp innbrotsgreiningarkerfi sem geta greint óviðkomandi virkni (DDOS árásir, gáttaskannanir), eins og:

  1. AIDE – Advanced Intrusion Detection Environment – http://aide.sourceforge.net/
  2. ClamAV – vírusvarnarskanni https://www.clamav.net
  3. Rkhunter – Rootkit skanni
  4. Lynis – Öryggisúttektar- og skannaverkfæri fyrir Linux
  5. Tripwire – Öryggi og gagnaheilindi http://www.tripwire.com/
  6. Fail2Ban – Forvarnir gegn innbrotsneti
  7. OSSEC – (HIDS) hýsiltengt innbrotsgreiningarkerfi http://ossec.github.io/
  8. Mod_Security – Verndaðu brute Force eða DDoS árásir

42. Breyta notandaumhverfisbreytum

Bættu við dagsetningar- og tímasniði til að geyma framkvæmd skipana með því að gefa út skipunina hér að neðan:

# echo 'HISTTIMEFORMAT="%d/%m/%y  %T  "' >> .bashrc'

Þvingaðu til að skrá HISTFILE samstundis í hvert skipti sem skipun er slegin inn (í stað þess að skrá þig út):

# echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc

Takmarkaðu innskráningarlotu á tíma. Rífa skelina sjálfkrafa niður þegar engin virkni er framkvæmd á aðgerðalausu tímabili. Mjög gagnlegt til að aftengja SSH fundi sjálfkrafa.

# echo ‘TMOUT=120’ >> .bashrc

Notaðu allar reglurnar með því að framkvæma:

# source .bashrc

43. Öryggisgögn

Notaðu LVM skyndimyndir o.s.frv. til að geyma afrit af kerfinu þínu, helst á öðrum stað, ef kerfisbilun verður.

Ef kerfið verður í hættu geturðu endurheimt gögn úr fyrri afritum.

Að lokum, ekki gleyma því að sama hversu margar öryggisráðstafanir og gagnráðstafanir þú gerir til að halda kerfinu þínu öruggu, þú munt aldrei vera 100% fullkomlega öruggur svo lengi sem vélin þín er tengd og kveikt á henni.