LFCA: Grunnöryggisráð til að vernda Linux kerfi - Hluti 17
Núna meira en nokkru sinni fyrr lifum við í heimi þar sem stofnanir verða stöðugt fyrir sprengjum af öryggisbrestum sem eru hvatnar til þess að afla mjög viðkvæmra og trúnaðargagna sem eru mjög verðmæt og gefa gríðarlega fjárhagslega umbun.
Það kemur frekar á óvart að þrátt fyrir að vera í mikilli hættu á að þjást af mögulegri hrikalegri netárás eru flest fyrirtæki ekki vel undirbúin eða horfa einfaldlega framhjá rauðu fánunum, oft með hrikalegum afleiðingum.
Árið 2016 varð Equifax fyrir hörmulegu gagnabroti þar sem milljónum mjög trúnaðarupplýsinga viðskiptavina var stolið í kjölfar röð öryggisleysis. Ítarleg skýrsla gaf til kynna að hægt væri að koma í veg fyrir brotið ef réttar öryggisráðstafanir hefðu verið innleiddar af öryggisteymi Equifax.
Reyndar, mánuðum fyrir brotið, var Equifax varað við hugsanlegum varnarleysi í vefgáttinni þeirra sem myndi skerða öryggi þeirra, en því miður var ekki hlustað á viðvörunina með alvarlegum afleiðingum. Mörg önnur stór fyrirtæki hafa orðið fórnarlamb árása sem halda áfram að verða flóknara með hverju augnabliki sem líður.
Við getum ekki lagt nógu mikla áherslu á hversu mikilvægt öryggi Linux kerfisins þíns er. Þú gætir ekki verið áberandi fjármálastofnun sem er hugsanlegt skotmark fyrir brot en það þýðir ekki að þú ættir að láta varann á þér.
Öryggi ætti að vera efst í huga þínum þegar þú setur upp Linux netþjóninn þinn, sérstaklega ef hann verður tengdur við internetið og aðgangur að honum úr fjarlægð. Að hafa grunnöryggiskunnáttu er nauðsynleg til að vernda Linux netþjóninn þinn.
Í þessari handbók leggjum við áherslu á nokkrar af helstu öryggisráðstöfunum sem þú getur gert til að vernda kerfið þitt fyrir boðflenna.
Netárásarvektorar
Innbrotsþjófar munu nýta sér ýmsar árásartækni til að fá aðgang að Linux netþjóninum þínum. Áður en við kafa ofan í nokkrar af þeim ráðstöfunum sem þú getur gert til að vernda kerfið þitt skulum við nýta nokkrar af algengum árásarvektorum sem tölvuþrjótur getur notað til að síast inn í kerfi.
Árás með skepnakrafti er árás þar sem tölvuþrjóturinn notar prufa og villa til að giska á innskráningarskilríki notandans. Venjulega mun boðflenna nota sjálfvirk forskrift til að komast stöðugt inn þar til rétt samsetning notandanafns og lykilorðs er fengin. Slík árás er áhrifaríkust þar sem veik lykilorð sem auðvelt er að giska á eru notuð.
Eins og áður hefur komið fram eru veik skilríki eins og stutt og auðvelt að giska á lykilorð eins og password1234 hugsanlega hættu fyrir kerfið þitt. Því styttra og flóknara sem lykilorð er, því meiri líkur eru á að kerfið þitt sé í hættu.
Vefveiðar eru félagslegar verkfræðiaðferðir þar sem árásarmaðurinn sendir fórnarlambinu tölvupóst sem virðist koma frá lögmætri stofnun eða einhverjum sem þú þekkir eða átt viðskipti við.
Venjulega inniheldur tölvupósturinn leiðbeiningar sem hvetja fórnarlambið til að birta viðkvæmar upplýsingar eða gæti innihaldið tengil sem vísar þeim á falsa síðu sem gefur sig út fyrir að vera staður fyrirtækisins. Þegar fórnarlambið reynir að skrá sig inn eru persónuskilríki þess tekin af árásarmanninum.
Malware er stytting á skaðlegum hugbúnaði. Það nær yfir breitt úrval af óheiðarlegum forritum eins og vírusa, tróverji, orma og lausnarhugbúnað sem er hannaður til að dreifa sér hratt og halda kerfi fórnarlambsins í gíslingu í skiptum fyrir lausnargjald.
Slíkar árásir geta verið lamandi og geta lamað fyrirtæki stofnunarinnar. Sumum spilliforritum er hægt að sprauta inn í skjöl eins og myndir, myndbönd, orð eða PowerPoint skjöl og pakka þeim í phishing tölvupóst.
DoS árás er árás sem takmarkar eða hefur áhrif á aðgengi netþjóns eða tölvukerfis. Tölvuþrjóturinn flæðir yfir netþjóninn með umferð eða ping-pökkum sem gera netþjóninn óaðgengilegan notendum í langan tíma.
DDoS (Distributed Denial of Service) árás er eins konar DoS sem notar mörg kerfi sem flæða yfir skotmark með umferð sem gerir það óaðgengilegt.
Skammstöfun fyrir Structured Query Language, SQL er tungumál sem notað er til að eiga samskipti við gagnagrunna. Það gerir notendum kleift að búa til, eyða og uppfæra skrár í gagnagrunninum. Margir netþjónar geyma gögn í venslagagnagrunnum sem nota SQL til að hafa samskipti við gagnagrunninn.
SQL innspýtingsárás nýtir þekktan SQL varnarleysi sem gerir það að verkum að þjónninn gefur upp viðkvæmar gagnagrunnsupplýsingar sem hann myndi annars ekki gera með því að sprauta skaðlegum SQL kóða. Þetta skapar gríðarlega áhættu ef gagnagrunnurinn geymir persónugreinanlegar upplýsingar eins og kreditkortanúmer, kennitölur og lykilorð.
Almennt skammstafað sem MITM, mann-í-miðjuárásin felur í sér að árásarmaður hlerar upplýsingar á milli tveggja punkta með það að markmiði að hlera eða breyta umferð á milli tveggja aðila. Markmiðið er að njósna um fórnarlambið, spilla gögnunum eða stela viðkvæmum upplýsingum.
Grunnráð til að tryggja Linux netþjóninn þinn
Eftir að hafa skoðað hugsanlegar gáttir sem árásarmaður getur notað til að brjóta kerfið þitt, skulum við fara yfir nokkrar af grundvallarráðstöfunum sem þú getur gert til að vernda kerfið þitt.
Ekki er mikið hugsað um líkamlega staðsetningu og öryggi netþjónsins þíns, en ef þú ætlar að hafa netþjóninn þinn í staðbundnu umhverfi er þetta venjulega þar sem þú myndir byrja.
Það er mikilvægt að tryggja að þjónninn þinn sé öruggur í gagnaveri með varaafli, óþarfa nettengingu og nægri kælingu. Aðgangur að gagnaverinu ætti að vera takmarkaður við viðurkennt starfsfólk.
Þegar þjónninn hefur verið settur upp er fyrsta skrefið sem þarf að taka að uppfæra geymslurnar og hugbúnaðarpakkana sem hér segir. Með því að uppfæra pakkann er lagfært allar glufur sem gætu verið í núverandi útgáfum af forritum.
Fyrir Ubuntu/Debian dreifingar:
$ sudo apt update -y $ sudo apt upgrade -y
Fyrir RHEL/CentOS dreifingar:
$ sudo yum upgrade -y
Eldveggur er forrit sem síar inn og út umferð. Þú þarft að setja upp öflugan eldvegg eins og UFW eldvegginn og gera honum kleift að leyfa aðeins nauðsynlega þjónustu og samsvarandi tengi þeirra.
Til dæmis geturðu sett það upp á Ubuntu með því að nota skipunina:
$ sudo apt install ufw
Þegar það hefur verið sett upp skaltu virkja það sem hér segir:
$ sudo ufw enable
Til að leyfa þjónustu eins og HTTPS skaltu keyra skipunina;
$ sudo ufw allow https
Að öðrum kosti geturðu leyft samsvarandi tengi þess sem er 443.
$ sudo ufw allow 443/tcp
Endurhlaðaðu síðan til að breytingarnar taki gildi.
$ sudo ufw reload
Til að athuga stöðu eldveggsins þíns, þar á meðal leyfðar þjónustur og opnar tengi, skaltu keyra
$ sudo ufw status
Að auki skaltu íhuga að slökkva á ónotuðum eða óþarfa þjónustu og höfnum á eldveggnum. Að hafa margar hafnir sem ekki eru notaðar eykur aðeins árásarlandslagið.
Sjálfgefnar SSH stillingar eru ekki öruggar og því þarf að gera nokkrar breytingar. Vertu viss um að framfylgja eftirfarandi stillingum:
- Slökktu á rótarnotanda frá ytri innskráningu.
- Virkja SSH auðkenningu án lykilorðs með því að nota SSH opinbera/einkalykla.
Fyrir fyrsta lið, breyttu /etc/ssh/sshd_config skránni og breyttu eftirfarandi breytum til að birtast eins og sýnt er.
PermitRootLogin no
Þegar þú hefur slökkt á rótnotandanum frá því að skrá þig inn fjarstýrt skaltu búa til venjulegan notanda og úthluta sudo forréttindum. Til dæmis.
$ sudo adduser user $ sudo usermod -aG sudo user
Til að virkja lykilorðslausa auðkenningu skaltu fyrst fara yfir í aðra Linux tölvu - helst tölvuna þína og búa til SSH lyklapar.
$ ssh-keygen
Afritaðu síðan opinbera lykilinn á netþjóninn þinn
$ ssh-copy-id [email
Þegar þú hefur skráð þig inn, vertu viss um að slökkva á auðkenningu lykilorðs með því að breyta /etc/ssh/sshd_config skránni og breyta færibreytunni sem sýnd er.
PasswordAuthentication no
Gættu þess að týna ekki ssh einkalyklinum þínum þar sem það er eina leiðin sem þú getur notað til að skrá þig inn. Haltu honum öruggum og helst afritaðu hann í skýinu.
Að lokum skaltu endurræsa SSH til að gera breytingarnar
$ sudo systemctl restart sshd
Í heimi með sívaxandi netógnum ætti öryggi að vera í forgangi þegar þú byrjar að setja upp Linux netþjóninn þinn. Í þessari handbók höfum við bent á nokkrar af helstu öryggisráðstöfunum sem þú getur gert til að styrkja netþjóninn þinn. Í næsta efni munum við fara dýpra og skoða fleiri skref sem þú getur tekið til að herða netþjóninn þinn.