23 CentOS Server Harðing Öryggisráðleggingar - Part 2
Með áframhaldandi fyrri kennslu um hvernig á að tryggja og herða CentOS netþjóninn, í þessari grein, munum við ræða önnur öryggisráð sem verða kynnt á gátlistanum hér að neðan.
- 20 CentOS Server Hardening Öryggisráð – Part 1
21. Slökktu á gagnslausum SUID og SGID skipunum
Ef setuid og setgid bitarnir eru stilltir á tvíundarforrit geta þessar skipanir keyrt verkefni með öðrum notenda- eða hópréttindum, svo sem rótarréttindi sem geta afhjúpað alvarleg öryggisvandamál.
Oft geta árásir um offramkeyrslu á biðminni nýtt slíkar keyrslur til að keyra óviðkomandi kóða með réttindum rótarnotanda.
# find / -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;
Til að aftengja setuid bitann skaltu framkvæma eftirfarandi skipun:
# chmod u-s /path/to/binary_file
Til að afsetja setgid bitann skaltu keyra skipunina hér að neðan:
# chmod g-s /path/to/binary_file
22. Athugaðu hvort skrár og möppur séu ekki í eigu
Skrár eða möppur sem ekki eru í eigu gilds reiknings verður að eyða eða úthluta með heimildum frá notanda og hópi.
Gefðu út finna skipunina hér að neðan til að skrá skrár eða möppur án notanda og hóps.
# find / -nouser -o -nogroup -exec ls -l {} \;
23. Listi heimsskrifanlegar skrár
Að geyma heimsskrifanlega skrá á kerfinu getur verið hættulegt vegna þess að hver sem er getur breytt þeim. Framkvæmdu skipunina hér að neðan til að birta skrár sem hægt er að skrifa á orð, nema tákntenglar, sem eru alltaf hægt að skrifa um heiminn.
# find / -path /proc -prune -o -perm -2 ! -type l –ls
24. Búðu til sterk lykilorð
Búðu til lykilorð sem er að lágmarki átta stafir. Lykilorðið verður að innihalda tölustafi, sérstafi og hástafi. Notaðu pwmake til að búa til 128 bita lykilorð úr /dev/urandom skrá.
# pwmake 128
25. Notaðu sterka lykilorðastefnu
Þvingaðu kerfið til að nota sterk lykilorð með því að bæta línunni fyrir neðan í /etc/pam.d/passwd skránni.
password required pam_pwquality.so retry=3
Ef ofangreindri línu er bætt við getur lykilorðið sem slegið er inn ekki innihaldið fleiri en 3 stafi í eintóna röð, eins og abcd, og fleiri en 3 eins stafi í röð, eins og 1111.
Til að þvinga notendur til að nota lykilorð með lágmarkslengd 8 stafa, þar með talið alla stafiflokka, skaltu athuga styrkleika fyrir stafaröð og stafi í röð bæta eftirfarandi línum við /etc/security/pwquality.conf skrána.
minlen = 8 minclass = 4 maxsequence = 3 maxrepeat = 3
26. Notaðu lykilorðsöldrun
Hægt er að nota chage skipunina fyrir öldrun notanda lykilorðs. Til að stilla lykilorð notanda til að renna út eftir 45 daga skaltu nota eftirfarandi skipun:
# chage -M 45 username
Til að slökkva á gildistíma lykilorðs notaðu skipunina:
# chage -M -1 username
Þvingaðu út tafarlaust lykilorð sem rennur út (notandi verður að breyta lykilorðinu við næstu innskráningu) með því að keyra eftirfarandi skipun:
# chage -d 0 username
27. Læsa reikningum
Hægt er að læsa notendareikningum með því að framkvæma passwd eða usermod skipunina:
# passwd -l username # usermod -L username
Til að opna reikninga notaðu -u
valmöguleikann fyrir passwd skipunina og -U
valmöguleikann fyrir usermod.
28. Koma í veg fyrir aðgang að reikningum skel
Til að koma í veg fyrir að kerfisreikningur (venjulegur reikningur eða þjónustureikningur) fái aðgang að bash skel, breyttu rótarskel í /usr/sbin/nologin eða /bin/false í /etc/passwd skránni með því að gefa út skipunina hér að neðan:
# usermod -s /bin/false username
Til að breyta skelinni þegar þú býrð til nýjan notanda skaltu gefa út eftirfarandi skipun:
# useradd -s /usr/sbin/nologin username
29. Læstu sýndarnotendaborðinu með vlock
vlock er forrit sem er notað til að læsa einni mörgum lotu á Linux stjórnborði. Settu upp forritið og byrjaðu að læsa flugstöðinni þinni með því að keyra eftirfarandi skipanir:
# yum install vlock # vlock
30. Notaðu miðstýrt kerfi til að stjórna reikningum og auðkenningu
Notkun miðstýrðs auðkenningarkerfis getur einfaldað reikningsstjórnun og eftirlit til muna. Þjónusta sem getur boðið upp á þessa tegund reikningsstjórnunar eru IPA Server, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS eða Winbind.
Sum þessara þjónustu eru sjálfgefið mjög örugg með dulmálssamskiptareglum og dulmáli með samhverfum lyklum, eins og Kerberos.
31. Þvingaðu skrifvarinn uppsetningu USB miðils
Með því að nota blockdev tólið geturðu þvingað alla færanlega miðla til að vera settir upp sem skrifvarinn. Til dæmis, búðu til nýja udev stillingarskrá sem heitir 80-readonly-usb.rules í /etc/udev/rules.d/ möppunni með eftirfarandi innihaldi:
SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"
Notaðu síðan regluna með skipuninni hér að neðan:
# udevadm control -reload
32. Slökkva á rótaraðgangi í gegnum TTY
Til að koma í veg fyrir að rótarreikningurinn framkvæmi kerfisinnskráningu í gegnum öll stjórnborðstæki (TTY) skaltu eyða innihaldi öryggisskrárinnar með því að slá inn eftirfarandi skipanaskilaboð sem rót.
# cp /etc/securetty /etc/securetty.bak # cat /dev/null > /etc/securetty
Mundu að þessi regla á ekki við um SSH innskráningarlotur
Til að koma í veg fyrir rót innskráningu í gegnum SSH breyttu skránni /etc/ssh/sshd_config og bættu við línunni fyrir neðan:
PermitRootLogin no
33. Notaðu POSIX ACL til að auka kerfisheimildir
Aðgangsstýringarlistar geta skilgreint aðgangsréttindi fyrir fleiri en bara einn notanda eða hóp og geta tilgreint réttindi fyrir forrit, ferli, skrár og möppur. Ef þú stillir ACL á möppu munu afkomendur hennar erfa sömu réttindi sjálfkrafa.
Til dæmis,
# setfacl -m u:user:rw file # getfacl file
34. Settu upp SELinux í Enforce Mode
SELinux endurbótin á Linux kjarnanum útfærir skylduaðgangsstýringu (MAC) stefnu, sem gerir notendum kleift að skilgreina öryggisstefnu sem veitir nákvæmar heimildir fyrir alla notendur, forrit, ferla, skrár og tæki.
Ákvarðanir um aðgangsstýringu kjarnans eru byggðar á öllu öryggisviðkomandi samhengi en ekki á auðkenndu auðkenni notenda.
Til að fá Selinux stöðu og framfylgja stefnu skaltu keyra eftirfarandi skipanir:
# getenforce # setenforce 1 # sestatus
35. Settu upp SELinux viðbótartól
Settu upp policycoreutils-python pakka sem veitir viðbótar Python tól til að reka SELinux: audit2allow, audit2why, chcat og semanage.
Til að birta öll boolean gildi ásamt stuttri lýsingu, notaðu eftirfarandi skipun:
# semanage boolean -l
Til dæmis, til að sýna og stilla gildi httpd_enable_ftp_server skaltu keyra skipunina hér að neðan:
# getsebool httpd_enable_ftp_server
Til að láta gildi boolean haldast við endurræsingar skaltu tilgreina -P
valmöguleikann til að setsebool, eins og sýnt er í eftirfarandi dæmi:
# setsebool -P httpd_enable_ftp_server on
36. Notaðu miðlægan annálþjón
Stilltu rsyslog púkann til að senda viðkvæm tólaskrárskilaboð á miðlægan annálþjón. Fylgstu líka með annálsskrám með hjálp logwatch gagnsemi.
Að senda annálsskilaboð til ytri netþjóns tryggir að þegar kerfið hefur verið í hættu geta illgjarnir notendur ekki leynt virkni sinni algjörlega og skilja alltaf eftir sig á ytri annálaskrám.
37. Virkja vinnslubókhald
Virkjaðu vinnslubókhald með því að setja upp psacct tólið og notaðu lastcomm skipunina til að birta upplýsingar um áður framkvæmdar skipanir eins og skráðar eru í kerfisbókhaldsskránni og sa til að draga saman upplýsingar um áður framkvæmdar skipanir eins og þær eru skráðar í kerfisbókhaldsskránni.
38. Herða /etc/sysctl.conf
Notaðu eftirfarandi reglur um kjarnafæribreytur til að vernda kerfið:
net.ipv4.conf.all.accept_source_route=0
ipv4.conf.all.forwarding=0
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1
Slökktu á samþykki og sendingu ICMP-framsendra pakka nema sérstaklega sé krafist.
net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.all.secure_redirects=0 net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.rp_filter=2
Hunsa allar ICMP bergmálsbeiðnir (stillt á 1 til að virkja)
net.ipv4.icmp_echo_ignore_all = 0
39. Notaðu VPN þjónustu til að fá aðgang að húsnæði þínu yfir óvarið almenningsnet
Notaðu alltaf VPN þjónustu fyrir símafyrirtæki til að fá fjaraðgang að staðarneti í gegnum internetið. Slíkar tegundir þjónustu er hægt að stilla með því að nota ókeypis opinn uppspretta lausn, eins og Epel Repositories).
40. Framkvæma ytri kerfisskönnun
Metið öryggi kerfisins fyrir varnarleysi með því að skanna kerfið frá ytri stöðum yfir staðarnetið með sérstökum verkfærum eins og:
- Nmap – netskanni 29 Dæmi um Nmap Command
- Nessus – öryggisskanni
- OpenVAS – notað til að leita að veikleikum og fyrir alhliða varnarleysisstjórnun.
- Nikto – frábært sameiginlegt gáttviðmót (CGI) handritaskanni Skanna vefvarnarleysi í Linux
41. Verndaðu kerfið innbyrðis
Notaðu innri kerfisvörn gegn vírusum, rótarsettum, spilliforritum og, sem góð venja, settu upp innbrotsgreiningarkerfi sem geta greint óviðkomandi virkni (DDOS árásir, gáttaskannanir), eins og:
- AIDE – Advanced Intrusion Detection Environment – http://aide.sourceforge.net/
- ClamAV – vírusvarnarskanni https://www.clamav.net
- Rkhunter – Rootkit skanni
- Lynis – Öryggisúttektar- og skannaverkfæri fyrir Linux
- Tripwire – Öryggi og gagnaheilindi http://www.tripwire.com/
- Fail2Ban – Forvarnir gegn innbrotsneti
- OSSEC – (HIDS) hýsiltengt innbrotsgreiningarkerfi http://ossec.github.io/
- Mod_Security – Verndaðu brute Force eða DDoS árásir
42. Breyta notandaumhverfisbreytum
Bættu við dagsetningar- og tímasniði til að geyma framkvæmd skipana með því að gefa út skipunina hér að neðan:
# echo 'HISTTIMEFORMAT="%d/%m/%y %T "' >> .bashrc'
Þvingaðu til að skrá HISTFILE samstundis í hvert skipti sem skipun er slegin inn (í stað þess að skrá þig út):
# echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc
Takmarkaðu innskráningarlotu á tíma. Rífa skelina sjálfkrafa niður þegar engin virkni er framkvæmd á aðgerðalausu tímabili. Mjög gagnlegt til að aftengja SSH fundi sjálfkrafa.
# echo ‘TMOUT=120’ >> .bashrc
Notaðu allar reglurnar með því að framkvæma:
# source .bashrc
43. Öryggisgögn
Notaðu LVM skyndimyndir o.s.frv. til að geyma afrit af kerfinu þínu, helst á öðrum stað, ef kerfisbilun verður.
Ef kerfið verður í hættu geturðu endurheimt gögn úr fyrri afritum.
Að lokum, ekki gleyma því að sama hversu margar öryggisráðstafanir og gagnráðstafanir þú gerir til að halda kerfinu þínu öruggu, þú munt aldrei vera 100% fullkomlega öruggur svo lengi sem vélin þín er tengd og kveikt á henni.