LFCA – Gagnlegar ráðleggingar til að tryggja gögn og Linux – Hluti 18

Frá því að Linux kom út snemma á tíunda áratugnum hefur Linux unnið aðdáun tæknisamfélagsins þökk sé stöðugleika, fjölhæfni, sérsniðnum og stóru samfélagi opinn-uppspretta forritara sem vinna allan sólarhringinn við að útvega villuleiðréttingar og endurbætur á stýrikerfi. Í stórum dráttum er Linux valið stýrikerfi fyrir almenningsský, netþjóna og ofurtölvur, og nærri 75% af framleiðsluþjónum sem snúa að internetinu keyra á Linux.

Fyrir utan að knýja internetið hefur Linux ratað í stafræna heiminn og hefur ekki dvínað síðan þá. Það knýr mikið úrval snjalltækja, þar á meðal Android snjallsíma, spjaldtölvur, snjallúr, snjallskjái og svo margt fleira.

Er Linux svona öruggt?

Linux er þekkt fyrir öryggi á hæsta stigi og það er ein af ástæðunum fyrir því að það er uppáhalds val í fyrirtækjaumhverfi. En hér er staðreynd, ekkert stýrikerfi er 100% öruggt. Margir notendur telja að Linux sé pottþétt stýrikerfi, sem er röng forsenda. Reyndar eru öll stýrikerfi með nettengingu næm fyrir hugsanlegum innbrotum og árásum á spilliforrit.

Á fyrstu árum sínum hafði Linux mun minni tæknimiðaða lýðfræði og hættan á að þjást af spilliforritaárásum var lítil. Nú á dögum knýr Linux stóran hluta af internetinu og þetta hefur knúið áfram vöxt ógnarlandslagsins. Ógnin af spilliforritaárásum er raunverulegri en nokkru sinni fyrr.

Fullkomið dæmi um spilliforrit á Linux kerfi er Erebus lausnarhugbúnaðurinn, skráardulkóðandi spilliforrit sem hafði áhrif á nærri 153 Linux netþjóna NAYANA, suður-kóresks vefhýsingarfyrirtækis.

Af þessum sökum er skynsamlegt að herða stýrikerfið enn frekar til að veita því hið eftirsótta öryggi til að vernda gögnin þín.

Ráð til að herða Linux Server

Að tryggja Linux netþjóninn þinn er ekki eins flókið og þú gætir haldið. Við höfum tekið saman lista yfir bestu öryggisstefnur sem þú þarft að innleiða til að styrkja öryggi kerfisins þíns og viðhalda gagnaheilleika.

Á fyrstu stigum Equifax-brotsins nýttu tölvuþrjótar víðþekkt varnarleysi - Apache Struts - á kvörtunarvefgátt viðskiptavina Equifax.

Apache Struts er opinn rammi til að búa til nútímaleg og glæsileg Java vefforrit þróuð af Apache Foundation. Stofnunin gaf út plástur til að laga varnarleysið þann 7. mars 2017 og gaf út yfirlýsingu þess efnis.

Equifax var tilkynnt um varnarleysið og ráðlagt að laga umsókn sína, en því miður var varnarleysið óuppfært þar til í júlí sama ár og þá var það of seint. Árásarmennirnir gátu fengið aðgang að neti fyrirtækisins og síað milljónir trúnaðargagna viðskiptavina úr gagnagrunnunum. Þegar Equifax frétti af því sem var að gerast voru tveir mánuðir þegar liðnir.

Svo, hvað getum við lært af þessu?

Illgjarnir notendur eða tölvusnápur munu alltaf rannsaka netþjóninn þinn fyrir hugsanlegum hugbúnaðarveikleikum sem þeir geta síðan nýtt sér til að brjóta kerfið þitt. Til öryggis skaltu alltaf uppfæra hugbúnaðinn þinn í núverandi útgáfur til að setja plástra á hvers kyns veikleika sem fyrir eru.

Ef þú ert að keyra Ubuntu eða Debian-undirstaða kerfi er fyrsta skrefið venjulega að uppfæra pakkalistana þína eða geymslur eins og sýnt er.

$ sudo apt update

Til að athuga með alla pakka með tiltækum uppfærslum skaltu keyra skipunina:

$ sudo apt list --upgradable

Uppfærðu hugbúnaðarforritin þín í núverandi útgáfur eins og sýnt er:

$ sudo apt upgrade

Þú getur tengt þetta tvennt saman í einni skipun eins og sýnt er.

$ sudo apt update && sudo apt upgrade

Fyrir RHEL & CentOS uppfærðu forritin þín með því að keyra skipunina:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Annar raunhæfur valkostur er að setja upp sjálfvirkar uppfærslur fyrir CentOS/RHEL.

Þrátt fyrir stuðning sinn við mýgrút af fjarskiptareglum, getur eldri þjónusta eins og rlogin, telnet, TFTP og FTP valdið miklum öryggisvandamálum fyrir kerfið þitt. Þetta eru gamlar, úreltar og óöruggar samskiptareglur þar sem gögn eru send í venjulegum texta. Ef þetta eru til skaltu íhuga að fjarlægja þau eins og sýnt er.

Fyrir Ubuntu/Debian-undirstaða kerfi skaltu framkvæma:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Fyrir RHEL/CentOS byggð kerfi, framkvæma:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Þegar þú hefur fjarlægt alla óöruggu þjónustuna er mikilvægt að skanna netþjóninn þinn fyrir opnum höfnum og loka öllum ónotuðum höfnum sem tölvuþrjótar geta hugsanlega notað sem aðgangsstað.

Segjum að þú viljir loka fyrir port 7070 á UFW eldveggnum. Skipunin fyrir þetta verður:

$ sudo ufw deny 7070/tcp

Endurhlaðið síðan eldvegginn til að breytingarnar taki gildi.

$ sudo ufw reload

Fyrir Firewalld, keyrðu skipunina:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Og mundu að endurhlaða eldveggnum.

$ sudo firewall-cmd --reload

Athugaðu síðan eldveggsreglurnar eins og sýnt er:

$ sudo firewall-cmd --list-all

SSH samskiptareglur eru fjarstýrðar samskiptareglur sem gera þér kleift að tengjast á öruggan hátt við tæki á netinu. Þó að það sé talið öruggt, eru sjálfgefnar stillingar ekki nóg og nokkrar auka lagfæringar eru nauðsynlegar til að hindra enn frekar illgjarna notendur frá því að brjóta kerfið þitt.

Við höfum yfirgripsmikla leiðbeiningar um hvernig á að herða SSH siðareglur. Hér eru helstu hápunktarnir.

  • Stillaðu SSH innskráningu án lykilorðs og virkjaðu auðkenningu einkalykils.
  • Slökkva á SSH ytri rótarinnskráningu.
  • Slökktu á SSH innskráningu frá notendum með tómum lykilorðum.
  • Slökktu alfarið á auðkenningu lykilorðs og haltu þig við SSH einka-/opinbera lykilstaðfestingu.
  • Takmarka aðgang við tiltekna SSH notendur.
  • Stilltu takmörk fyrir tilraunir með aðgangsorð.

Fail2ban er opið innbrotsvarnakerfi sem verndar netþjóninn þinn fyrir bruteforce árásum. Það verndar Linux kerfið þitt með því að banna IP-tölur sem gefa til kynna illgjarn virkni eins og of margar innskráningartilraunir. Upp úr kassanum er það sent með síum fyrir vinsæla þjónustu eins og Apache vefþjón, vsftpd og SSH.

Við höfum leiðbeiningar um hvernig á að stilla Fail2ban til að styrkja SSH samskiptareglurnar enn frekar.

Að endurnýta lykilorð eða nota veik og einföld lykilorð grefur mjög undan öryggi kerfisins þíns. Þú framfylgir lykilorðastefnu, notar pam_cracklib til að stilla eða stilla kröfur um styrkleika lykilorðs.

Með því að nota PAM eininguna geturðu skilgreint lykilorðstyrkinn með því að breyta /etc/pam.d/system-auth skránni. Til dæmis geturðu stillt flókið lykilorð og komið í veg fyrir endurnotkun lykilorða.

Ef þú ert að reka vefsíðu, vertu alltaf viss um að tryggja lénið þitt með því að nota SSL/TLS vottorð til að dulkóða gögn sem skiptast á milli vafra notenda og vefþjóns.

Þegar þú hefur dulkóðað síðuna þína skaltu einnig íhuga að slökkva á veikum dulkóðunarsamskiptareglum. Þegar þessi handbók er skrifuð er nýjasta samskiptareglan TLS 1.3, sem er algengasta og mest notaða samskiptareglan. Fyrri útgáfur eins og TLS 1.0, TLS 1.2 og SSLv1 til SSLv3 hafa verið tengdar þekktum veikleikum.

[Þér gæti líka líkað við: Hvernig á að virkja TLS 1.3 í Apache og Nginx]

Þetta var samantekt á nokkrum af þeim skrefum sem þú getur tekið til að tryggja gagnaöryggi og næði fyrir Linux kerfið þitt.