Phenquestions
Обновите свое ядро
Устаревшее ядро всегда подвержено нескольким атакам по сети и повышению привилегий. Итак, вы можете обновить ядро, используя подходящий в Debian или ням в Fedora.
$ sudo apt-get update$ sudo apt-get dist-upgrade
Отключение заданий Root Cron
Задания Cron, выполняемые под учетной записью root или с высокими привилегиями, могут использоваться злоумышленниками как способ получения высоких привилегий. Вы можете увидеть запущенные задания cron по
$ ls / etc / cron *Строгие правила брандмауэра
Вам следует заблокировать любое ненужное входящее или исходящее соединение на необычных портах. Вы можете обновить правила брандмауэра, используя iptables. Iptables - очень гибкая и простая в использовании утилита, используемая для блокировки или разрешения входящего или исходящего трафика. Для установки напишите
$ sudo apt-get install iptablesВот пример блокировки входящего на FTP-порт с помощью iptables
$ iptables -A INPUT -p tcp --dport ftp -j DROPОтключите ненужные службы
Остановите все нежелательные службы и демоны, работающие в вашей системе. Вы можете перечислить запущенные службы, используя следующие команды.
[электронная почта защищена]: ~ $ service --status-all[+] Acpid
[-] alsa-utils
[-] анакрон
[+] Apache-htcacheclean
[+] Apache2
[+] Аппарм
[+] Аппорт
[+] Авахи-демон
[+] Binfmt-support
[+] Блютуз
[-] cgroupfs-mount
… Отрезать…
ИЛИ используя следующую команду
$ chkconfig --list | grep '3: на'Чтобы остановить службу, введите
$ sudo service [SERVICE_NAME] остановитьИЛИ ЖЕ
$ sudo systemctl stop [SERVICE_NAME]Проверьте наличие бэкдоров и руткитов
Такие утилиты, как rkhunter и chkrootkit, могут использоваться для обнаружения известных и неизвестных бэкдоров и руткитов. Они проверяют установленные пакеты и конфигурации для проверки безопасности системы. Для установки напишите,
[электронная почта защищена]: ~ $ sudo apt-get install rkhunter -yЧтобы просканировать вашу систему, введите
[электронная почта защищена]: ~ $ sudo rkhunter --check[Rootkit Hunter версия 1.4.6]
Проверка системных команд…
Выполнение командных проверок 'строк'
Проверка команды "строки" [OK]
Выполнение проверок общих библиотек
Проверка переменных предварительной загрузки [Ничего не найдено]
Проверка предварительно загруженных библиотек [Ничего не найдено]
Проверка переменной LD_LIBRARY_PATH [Не найдено]
Проверка свойств файла
Проверка предварительных условий [OK]
/ usr / sbin / adduser [ОК]
/ usr / sbin / chroot [ОК]
… Отрезать…
Проверьте порты прослушивания
Вы должны проверить прослушивающие порты, которые не используются, и отключить их. Чтобы проверить наличие открытых портов, напишите.
[электронная почта защищена]: ~ $ sudo netstat -ulpntАктивные интернет-соединения (только серверы)
Proto Recv-Q Send-Q Локальный адрес Внешний адрес Состояние PID / Имя программы
tcp 0 0 127.0.0.1: 6379 0.0.0.0: * СЛУШАТЬ 2136 / redis-server 1
tcp 0 0 0.0.0.0: 111 0.0.0.0: * СЛУШАТЬ 1273 / rpcbind
tcp 0 0 127.0.0.1: 5939 0.0.0.0: * СЛУШАТЬ 2989 / teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0: * СЛУШАТЬ 1287 / systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0: * СЛУШАТЬ 1939 / sshd
tcp 0 0 127.0.0.1: 631 0.0.0.0: * LISTEN 20042 / cupsd
tcp 0 0 127.0.0.1: 5432 0.0.0.0: * LISTEN 1887 / postgres
tcp 0 0 0.0.0.0:25 0.0.0.0: * LISTEN 31259 / master
… Отрезать…
Используйте IDS (систему тестирования вторжений)
Используйте IDS для проверки сетевых журналов и предотвращения любых злонамеренных действий. Для Linux доступен IDS Snort с открытым исходным кодом. Вы можете установить его,
$ wget https: // www.фырканье.org / загрузки / snort / daq-2.0.6.деготь.gz$ wget https: // www.фырканье.org / загрузки / snort / snort-2.9.12.деготь.gz
$ tar xvzf daq-2.0.6.деготь.gz
$ cd daq-2.0.6
$ ./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.деготь.gz
$ cd snort-2.9.12
$ ./ configure --enable-sourcefire && make && sudo make install
Чтобы отслеживать сетевой трафик, введите
[электронная почта защищена]: ~ $ sudo snortЗапуск в режиме пакетного дампа
--== Инициализация Snort ==--
Инициализация подключаемых модулей вывода!
pcap DAQ настроен на пассивный.
Получение сетевого трафика от "tun0".
Декодирование Raw IP4
--== Инициализация завершена ==--
… Отрезать…
Отключить ведение журнала как root
Root действует как пользователь с полными привилегиями, он может делать с системой все, что угодно. Вместо этого вы должны принудительно использовать sudo для запуска административных команд.
Удалить файлы без владельца
Файлы, не принадлежащие ни одному пользователю или группе, могут представлять угрозу безопасности. Вы должны найти эти файлы и удалить их или назначить им подходящего пользователя группу. Чтобы найти эти файлы, введите
$ find / dir -xdev \ (-nouser -o -nogroup \) -printИспользуйте SSH и sFTP
Для передачи файлов и удаленного администрирования используйте SSH и sFTP вместо telnet и других небезопасных, открытых и незашифрованных протоколов. Для установки введите
$ sudo apt-get install vsftpd -y$ sudo apt-get install openssh-server -y
Мониторинг журналов
Установите и настройте утилиту анализатора журналов, чтобы регулярно проверять системные журналы и данные о событиях, чтобы предотвратить любую подозрительную активность. Тип
$ sudo apt-get install -y loganalyzerУдалите неиспользуемое программное обеспечение
Установите как можно минимум программного обеспечения, чтобы поддерживать небольшую поверхность для атак. Чем больше у вас программного обеспечения, тем больше у вас шансов атаковать. Так что удалите все ненужное программное обеспечение из вашей системы. Чтобы увидеть установленные пакеты, напишите
$ dpkg --list$ dpkg --info
$ apt-get список [ПАКЕТ ИМЯ]
Чтобы удалить пакет
$ sudo apt-get remove [ИМЯ ПАКЕТА] -y$ sudo apt-get clean
Заключение
Усиление безопасности серверов Linux очень важно для предприятий и предприятий. Это сложная и утомительная задача для системных администраторов. Некоторые процессы можно автоматизировать с помощью некоторых автоматизированных утилит, таких как SELinux и другие подобные программы. Кроме того, сохранение минимального количества программного обеспечения и отключение неиспользуемых служб и портов сокращает поверхность атаки.
