Зміцнення захисту сервера під Linux

1. попередні зауваження
2. Про це керівництві
3. цілі
4. Необхідні умови та вимоги до системи
5. Системні вимоги
6. Принцип мінімальних повноважень
7. Про непорушних законах безпеки
8. Планування установки сервера
9. Графічний вхід в систему
10. Забезпечення безпеки SSH
11. Принцип "Security by obscurity" ( "безпеку за рахунок приховування")
12. установка emacs
13. Права користувача root
14. Білий список користувачів
15. Складання правил для брандмауера
16. Спостерігайте за системою
17. Tripwire
18. Малюнок 1. Налаштування Tripwire.
19. Logwatch
20. Користувачі і групи
21. Не користуйтеся з-під root
22. шифрування
23. шифрування каталогу
24. Додаткові дії по забезпеченню безпеки
25. оновлення
26. шкідливі програми
27. Створення резервних копій та відновлення
28. паролі
29. Політика мережевих паролів
30. Висновок
31. Ресурси для скачування

Наша взаимовыгодная связь https://banwar.org/

Введення в питання безпеки серверів під GNU / Linux

попередні зауваження

З цього керівництва ви дізнаєтеся про основи забезпечення безпеки серверів під управлінням GNU / Linux і отримаєте міцну базу для подальшого нарощування знань.

Про це керівництві

У цьому керівництві викладено базовий підхід до забезпечення безпеки сервера з операційною системою GNU / Linux. Разом з парним посібником " Зміцнення захисту робочих станцій під Linux , "Воно знайомить вас з основними поняттями безпеки і дає покрокові приклади того, як захистити середу настільних комп'ютерів і серверів і забезпечити конфіденційність, цілісність і доступність знаходяться на них даних.

цілі

З цього керівництва ви дізнаєтеся про основні принципи управління безпекою, в тому числі про те, як забезпечувати безпеку віддаленого входу через Secure Shell (SSH), як створювати правила для брандмауера і як вести спостереження за журналами з метою виявлення можливих атак.

Необхідні умови та вимоги до системи

Це керівництво розраховане на початківців користувачів GNU / Linux, знайомих з установкою операційної системи і з командним рядком. Для повного розуміння концепцій, використовуваних в цьому навчальному посібнику, слід прочитати парне посібник " Зміцнення захисту робочих станцій під Linux . "

Системні вимоги

Щоб виконувати приклади з цього керівництва, потрібно встановити Ubuntu Server Edition на комп'ютері або на віртуальній машині, наприклад, в Sun VirtualBox . Буде потрібно також підключення до Інтернету для завантаження конкретних програмних пакетів, які використовуються в керівництві.

Щоб розуміти основи зміцнення захисту сервера, що працює під операційною системою GNU / Linux, необхідно усвідомити, що хоча багато ключових поняття безпеки застосовні як до настільної операційної системи, так і до серверної, способи, якими забезпечується їх безпеку, зовсім різні.

Принцип мінімальних повноважень

В дійсно безпечної мережі «принцип мінімальних повноважень» застосовується до всього підприємству, а не тільки до серверів. Завдання, що покладаються на сервери і настільні комп'ютери, разом з тим визначають, як повинна бути захищена операційна система і сам комп'ютер. Настільний комп'ютер може бути привабливою метою для зломщика-дилетанта, чиї атаки часто присікаються оновленим ПЗ і сканерами шкідливих програм; але центр обробки даних, в якому знаходяться облікові записи користувачів або інформація по кредитних картах, є набагато більш привабливою мішенню для досвідченого зловмисника, який може використовувати слабкі місця в недостатньо захищеною системі, залишаючись непоміченим.

Забезпечення безпеки сервера по ряду причин сильно відрізняється від забезпечення безпеки настільного комп'ютера. За замовчуванням настільна операційна система встановлюється для того, щоб забезпечити користувача середовищем, відразу готовою до роботи. Настільні операційні системи продаються з розрахунком на мінімальну настройку і з максимальною кількістю встановлених додатків, щоб користувач міг відразу ж почати роботу. На противагу цьому серверна операційна система повинна відповідати «принципом мінімальних повноважень», який має на увазі, що в ній повинні бути тільки служби, програмне забезпечення та привілеї, необхідні для виконання доручених завдань.

Про непорушних законах безпеки

У листопаді 2000 року Скотт Калп (Scott Culp) з компанії Microsoft сформулював те, що він назвав "10 непорушних законів безпеки" (див. Посилання в ресурсах ). Існує дві версії цих законів: одна для користувачів, інша - для системних адміністраторів. Протягом багатьох років ці закони і піддавалися переробці і відкидалися людьми, що займаються безпекою. І все ж, незважаючи на критику, 10 законів для адміністраторів, застосовані правильним чином, можуть служити чудовою базою для зміцнення будь-якої системи.

Перший закон відноситься до загальної практики безпеки: безпека працює тільки в тому випадку, коли безпечний спосіб виявляється одночасно і легким способом. Це найважливіший закон для будь-якого системного адміністратора. Якщо політика безпеки буде настільки жорсткою, що користувачі не зможуть виконувати свої завдання, вони стануть шукати способи обходу введених правил безпеки, в результаті іноді створюючи більш серйозні уразливості, ніж ті, які мала б усунути введена політика. Найкраще це можна показати на прикладі паролів. Надійні паролі повинні бути частиною будь-якої політики безпеки, але іноді політики заходять занадто далеко. Якщо вимагати від користувачів пам'ятати пароль довжиною в 15 символів, що складається з букв у верхньому регістрі, букв в нижньому регістрі, цифр і символів, значна частина користувачів запише свій пароль на папірці і приліпить її до дисплея.

Чотири з десяти законів Калп відносяться безпосередньо до матеріалу, що розглядається в цьому керівництві:

• Якщо не стежити за оновленнями, пов'язаними з безпекою, то ваша мережа недовго залишатиметься вашої. Зломщики знаходять уразливості кожен день. Як системний адміністратор, ви повинні гарантувати своєчасне оновлення вашої системи. Але тут ми підходимо до різниці між зміцненням захисту настільної системи і зміцненням захисту сервера. Зазвичай поновлення для настільного комп'ютера з GNU / Linux слід встановлювати відразу ж, як тільки вони з'являються. Якщо ж мова йде про сервер, то перш ніж застосовувати виправлення на робочому сервері, його слід перевірити в серверній середовищі для досліджень або розробки, щоб переконатися, що воно не зашкодить роботі сервера або користувачів.
• Постійна пильність - ціна безпеки. Щоб гарантувати захищеність сервера з GNU / Linux, необхідно постійно перевіряти журнали, застосовувати виправлення, пов'язані з безпекою, і стежити за попередженнями. Пильність - це те, що підтримує захищеність вашої системи.
• Безпека - це не уникнення ризику; це управління ризиком. Трапитися може всяке. Може виникнути епідемія шкідливих програм, ваш Web-сайт може піддатися нападу. Може трапитися щось неконтрольоване, наприклад, стихійне лихо. Час від часу безпеку системи буде піддаватися випробуванням. Зробіть все можливе для захисту системи і відбивайте загрозу таким чином, щоб сервер і його ресурси були доступні користувачам, які розраховують на них.
• Технологія - не панацея. Якщо існує закон, який слід знати всім, хто має справу з технологією, то це саме цей закон. Просте виділення великих технологічних ресурсів для проблемної області не вирішує проблему. Пильність з боку системного адміністратора, особиста зацікавленість і участь з боку керівництва і позитивне ставлення з боку користувачів - щоб політика безпеки працювала ефективно, необхідні всі ці фактори.

Планування установки сервера

Першим кроком в посиленні захисту сервера з GNU / Linux є визначення призначення сервера. Те, для чого використовується даний сервер, визначає, які служби повинні бути встановлені на сервері. Наприклад, якщо розглянутий сервер використовується в якості Web-сервера, слід встановити служби LAMP (Linux Apache MySQL PHP / Perl / Python). З іншого боку, якщо сервер використовується для служби каталогів, то додатків LAMP нічого робити на цій машині. Єдині програми та служби, яким слід дозволити працювати на сервері, - це ті, які потрібні для завдання, яке повинен виконувати сервер. Нічого понад це не слід встановлювати з двох причин:

• Установка додаткового програмного забезпечення або додаткових служб означає ще одну вхідні двері, яку необхідно буде замкнути. Наприклад, якщо на сервері, призначеному для служби каталогів, працює протокол Lightweight Directory Access Protocol (LDAP), то потрібно стежити за тим, щоб і операційна система і LDAP містили всі останні виправлення і доповнення, що стосуються безпеки, і всі відомі уразливості були закриті. Якщо на цьому сервері будуть встановлені додатки LAMP, то навіть якщо вони не використовуються, вони зажадають оновлень і уваги. Саме їхнє існування на сервері може дати зловмисникові ще одну лазівку в систему. Точно так само і до будь-якого іншого програмного забезпечення на цьому сервері необхідно буде застосовувати оновлення та виправлення, і за ним необхідно буде спостерігати, щоб гарантувати відсутність вразливостей, які зловмисник може використовувати.
• Установка додаткового програмного забезпечення на сервері означає, що хто-небудь може випробувати спокусу використовувати сервер з метою, для яких він не призначався. Використання сервера для інших завдань не тільки забирає ресурси у основних завдань, а й піддає сервер загрозам, які швидше за все не виникли б, якби не було це програмне забезпечення встановлено.

Серед іншого необхідно також вирішити, чи потрібно встановлювати графічну оболонку. Протягом багатьох років адміністратори GNU / Linux пишалися вмінням повністю управляти своїми мережами і серверами з командного рядка. Але в останні роки деякі системні адміністратори почали адмініструвати свої GNU / Linux-сервери за допомогою графічного інтерфейсу. Питання про встановлення графічного інтерфейсу, такого, наприклад, як X Window System, гаряче обговорюється на багатьох Інтернет-форумах. З одного боку, прихильники командного рядка кажуть, що графічний інтерфейс може віднімати системні ресурси і, оскільки це зайва служба, в якій немає необхідності, вона дає порушникам доступ до додаткових вразливостей. Ці користувачі також відзначають, що команди вводяться через командний рядок швидко, без необхідності шукати потрібну задачу в меню і папках.

З іншого боку, прихильники графічного середовища стверджують, що графічний процес можна завершити і більше не використовувати, зберігаючи ресурси і запобігаючи використання будь-яких вразливостей. Вони також говорять, що графічний інтерфейс користувача значно полегшує адміністратору виконання деяких завдань, таких, наприклад, як робота з базою даних.

Графічний вхід в систему

Деякі любителі графічного інтерфейсу, наприклад, Gnome або KDE, можуть захотіти встановити графічний вхід в систему, наприклад, GDM. У цьому немає необхідності, оскільки за допомогою командного рядка можна увійти в систему так само легко, як і за допомогою графічного входу в систему. Єдина різниця полягає в тому, що для адміністрування сервера за допомогою графічного інтерфейсу користувача потрібно буде використовувати команду sudo startx.

Установка графічного інтерфейсу користувача - це повністю питання особистого вибору. У нашому керівництві все виконується за допомогою командного рядка, але якщо ви хочете мати графічний інтерфейс робочого столу, можна встановити Gnome наступним чином:

1. Після авторизації в системі з'являється запрошення командного рядка. Для установки базових пакетів Gnome введіть: sudo aptitude install x-window-system-core gnome-core
2. Натисніть Enter. З'явиться запит пароля sudo. Введіть його і знову натисніть Enter. З'явиться інформація про те, які пакети будуть встановлені.
3. Для продовження установки введіть Y і потім натисніть Enter. Це призведе до установки урізаною версією Gnome, в якій можливості середовища робочого столу підтримуються в мінімальному ступені, що економить системні ресурси. Щоб встановити повну версію Gnome, введіть sudo aptitude install x-window-system-core gnome
4. Після натискання Enter буде запропоновано пройти ті ж кроки, що і раніше. Дотримуйтесь їм, поки Gnome не буде встановлено в системі.
5. Коли завершиться установка пакетів, ви все ще будете перебувати в командному рядку. Щоб увійти в Gnome, введіть: sudo startx

Забезпечення безпеки SSH

SSH надає користувачеві з'єднання з віддаленим комп'ютером. SSH зазвичай використовується системними адміністраторами в якості заміни Remote Shell (RSH) і Telnet для входу на сервер з віддаленого комп'ютера для виконання завдань адміністрування і обслуговування. Хоча SSH і надає набагато більш високий рівень безпеки, ніж протоколи, які він заміщає, можна прийняти ряд заходів, щоб зробити його ще більш захищеним.

Принцип "Security by obscurity" ( "безпеку за рахунок приховування")

Одним з найбільш поширених способів зміцнення безпеки SSH є зміна номера порту, що використовується для доступу. Передбачається, що зловмисник, використовуючи для встановлення з'єднання стандартний TCP-порт 22, отримає відмову в доступі, тому що служба працює на захищеному порте.

Цей спосіб забезпечення безпеки SSH обговорюється на багатьох форумах. Зміна номера порту не буде перешкоджати виявленню порту SSH зловмисником зі сканером портів, який не пошкодує часу на перевірку всіх портів сервера; і з цієї причини багато системних адміністраторів не обтяжують себе зміною порту. Але цей підхід не дає хакерам-дилетантам атакувати SSH за допомогою автоматизованих інструментів, призначених для пошуку відкритих TCP-портів 22, а нетерплячим зловмисникам може набриднути сканувати ваш сервер, якщо вони не знайдуть SSH в першому ж перевіреному діапазоні портів.

Щоб змінити адресу порту SSH, потрібно спочатку встановити SSH на сервер. Введіть команду

sudo aptitude install openssh-server

Натисніть Enter і введіть свій пароль. Ця команда встановлює openssh для віддаленого входу на ваш сервер.

Перед налаштуванням SSH рекомендується скопіювати файл конфігурації на випадок, якщо щось піде не так. Тоді завжди можна буде повернутися до вихідних налаштувань. Виконайте наступні кроки:

1. У командному рядку введіть sudo cp / etc / ssh / sshd_config /ete/ssh/sshd_config.back
2. Натисніть Enter і введіть свій пароль для завершення резервного копіювання цього файлу.

установка emacs

Для установки emacs використовуйте команду sudo aptitude install emacs Тепер потрібно відшукати той фрагмент файлу, де задається номер порту, після чого можна змінити його на довільний номер (порт за замовчуванням - 22). Існує більш ніж 65000 портів; виберіть що-небудь в верхньому краю діапазону, але цей номер необхідно буде запам'ятати. Пам'ятайте, що досвідчені зловмисники - хороші психологи. Поширена помилка - змінити номер порту на 22222 або 22022; виберіть номер, який важко вгадати.

Тепер необхідно змінити права доступу для файлу sshd_config, щоб можна було змінити його вміст:

1. Введіть sudo chmod 644 / etc / ssh / sshd_config
2. Натисніть Enter. Тепер за допомогою текстового редактора (наприклад, emacs або vi) можна змінити файл: emacs / etc / ssh / sshd_config

Чи не закривайте поки редактор, оскільки ми ще будемо вносити зміни в файл.

Права користувача root

У всіх дистрибутивах Ubuntu користувач root за замовчуванням відключений, але цей обліковий запис можна активувати. Якщо використовується SSH, то слід заборонити йому root віддалений вхід на сервер на випадок, якщо ви або зловмисник включили цей обліковий запис. В текстовому редакторі перейдіть файл до рядка, де написано PermitRootLogin. Значення за замовчуванням - yes.

Білий список користувачів

Ще одна міра, яку можна зробити для посилення безпеки SSH на сервері, - дозволити використовувати певну службу тільки деяким користувачам. Цей процес називається занесенням в білий список. Для того щоб створити білий список, спочатку будуть потрібні імена користувачів, яким буде дозволено використовувати SSH для віддаленого доступу до сервера. Далі виконайте наступні кроки:

1. Додайте цей рядок в файл sshd_config: # Дозволяється тільки певним користувачам AllowUsers username username username
   Підставте імена користувачів зі свого списку замість слів username. Можна також дозволити доступ до SSH обраним групам з допомогою записи # Дозволити лише певним групам AllowGroups group group Тут теж треба підставити групи користувачів замість слів group в прикладі.
2. Збережіть конфігураційний файл і вийдіть з редактора. Щоб зміни вступили в силу, потрібно перезапустити SSH. Комп'ютер вимикати не потрібно - просто введіть команду sudo service ssh restart
3. Натисніть Enter і введіть свій пароль. Служба увімкнеться знову і повідомить [OK].

Для посилення безпеки SSH існує ще багато інших способів, призначених для більш досвідчених користувачів. Коли у вас буде більше досвіду роботи з GNU / Linux і SSH, вам слід подумати про ці способи.

Складання правил для брандмауера

Доступ до сервера можна перекрити за допомогою брандмауера. В Ubuntu Server використовується міжмережевий екран, званий Uncomplicated FireWall (UFW), який фактично є інструментом для управління iptables. Iptables фільтрує мережеві пакети на основі ряду правил, заданих системним адміністратором. Iptables може бути складний для початківців, тому UFW спрощує роботу з ним. Використання UFW може допомогти в задачі посилення безпеки вашого сервера; але якщо ви дійсно зацікавлені в захисті сервера, то вміння писати правила для iptables дозволяє більш точно відрегулювати цей захист.

Щоб почату роботу з UFW, нужно Встановити его. Виконайте наступні кроки:

1. У командному рядку введіть sudo aptitude install ufw
2. Натисніть Enter і введіть свій пароль. Знову натисніть Enter, щоб встановити пакет.
3. Для включення брандмауера введіть наступну команду: sudo ufw enable
4. Натісніть Enter. З'явиться повідомлення Firewall started and enabled on system startup. Тепер можна створювати правила.

Пам'ятайте, як ми раніше змінювали порт для SSH? Щоб відкрити доступ до порту через UFW за допомогою правила, введіть у командному рядку наступну команду:

sudo ufw allow 65000

Ця команда дозволяє доступ через порт 65000 і дозволяє SSH-трафік на сервері.

Щоб заборонити доступ з цього порту, використовуйте наступну команду:

sudo ufw deny 65000

Щоб дозволити або заборонити трафік конкретно для TCP порту 65000, використовуйте наступну команду:

sudo ufw allow 65000 / tcp

Можна також дозволяти або забороняти трафік в залежності від використовуваного протоколу. Наприклад, щоб заблокувати весь HTTP трафік, можна використовувати наступну команду:

sudo ufw deny http

Можна створювати більш складні правила для заборони або дозволу служби по її IP-адресою. Наприклад, якщо IP-адреса вашого комп'ютера має значення 192.168.1.30, а IP-адреса сервера - 192.168.1.5, то дозволити встановлювати SSH з'єднання тільки з IP-адреси вашого комп'ютера можна наступним чином:

sudo ufw allow proto tcp from 192.168.1.30 to 192.1681.5 port 65000

Щоб перевірити, які правила зараз працюють на UFW, введіть команду:

sudo ufw status

Буде представлений список правил, написаних для вашого брандмауера. Якщо тут буде правило, яке потрібно видалити, напишіть:

sudo delete [rule]

Спостерігайте за системою

У фахівців з комп'ютерної безпеки існує приказка, що єдиний спосіб по справжньому убезпечити комп'ютер - це повністю знеструмити його і замкнути в сейф. Не дуже практично, але сенс висловлювання полягає в тому, що якщо зловмисник дійсно захоче проникнути в систему, то з великою ймовірністю він знайде спосіб це здійснити. Після того як заходи щодо запобігання вторгнення прийняті, потрібно побудувати систему спостереження для виявлення атак проти сервера. Тоді, перебуваючи в стані готовності до атаки, ви будете краще підготовлені до того, щоб впоратися з нею на ранніх стадіях.

У наступних розділах покроково розглядається установка і конфігурація двох програм, які допомагають виявляти вторгнення. Tripwire сповіщає про несанкціоновані дії з системними файлами на сервері, а Logwatch - це інструмент для створення звітів, які можна детально розібрати.

Tripwire

Tripwire - це програма, яка фіксує вихідне стандартний стан системних двійкових файлів комп'ютера. Потім вона повідомляє про будь-які відхилення від цього стану по електронній пошті або записом в журналі. Суть в тому, що якщо системні двійкові файли змінилися, то ви дізнаєтеся про це. Якщо це зміна викликана правомірною установкою, то ніяких проблем. Але якщо виконавчі файли змінилися в результаті установки трояна або руткита, то у вас буде відправна точка, відштовхуючись від якої можна досліджувати атаку і виправляти проблему.

Щоб встановити і налаштувати Tripwire за допомогою командного рядка, потрібно виконати наступні кроки:

1. Введіть наступну команду: sudo aptitude install tripwire
2. Натисніть Enter і введіть свій пароль, щоб завантажити і встановити Tripwire.
3. З'явиться екран налаштування, показаний на малюнку 1.

   Малюнок 1. Налаштування Tripwire.

   
   Тут користувачі систем на основі Debian інформуються про потенційний сценарії, в якому зловмисник може отримати парольний фразу, яка використовується для Tripwire, поки вона ще не зашифрована. Досвідчені користувачі можуть в цьому місці зупинитися і створити свій власний загальний ключ шифрування і свої конфігураційні файли. Початківцям користувачам слід вибрати OK і рухатися далі.
4. На наступному екрані з'явиться запит про те, чи хочете ви створити свою власну парольний фразу під час установки. Потрібно вибрати Yes і натиснути Enter.
5. Наступний екран інформує про те, як працює Tripwire. Програма створює текстовий файл, який зберігає зашифровану базу даних конфігурації системи. Цей текстовий файл є еталоном вихідного стану файлів. Якщо зі зміною системи відбуваються які-небудь зміни, Tripwire зауважує їх і видає сповіщення. Щоб можна було вносити правомірні зміни в систему, використовується парольний фраза. Виберіть Yes і натисніть Enter для початку збірки файлу конфігурації.
6. На наступному екрані пояснюється те ж саме, але тільки в застосуванні до збірки файлу політики Tripwire. Знову потрібно вибрати Yes і натиснути Enter.
7. Після створення файлів буде запропоновано ввести фразу-пароль для загального ключа. Цю парольний фразу необхідно буде запам'ятати. Виберіть OK, а потім натисніть Enter. На наступному екрані знову буде запропоновано ввести парольний фразу.
8. Ми дійшли до екрану з локальної пральний фразою. Ця фраза-пароль потрібно для локальних файлів на сервері. Її потрібно ввести, вибрати OK і натиснути Enter. Цю парольний фразу також потрібно буде ввести повторно.
9. Після установки Tripwire видається повідомлення про місцезнаходження бази даних і двійкових файлів. Вибравши OK, знову буде необхідно натиснути Enter для завершення процесу конфігурації.

Щоб запустити ініціалізацію бази даних, введіть команду:

sudo tripwire --init

Натісніть Enter. З'явиться запит на фразу-пароль, створену під час установки Tripwire. Введіть її та натисніть Enter. Tripwire створить вихідний знімок файлової системи, який буде використовуватися для перевірки змін найважливіших файлів. У разі виявлення такої зміни буде надіслано сповіщення.

Перевірку цілісності можна запустити в будь-який момент наступним чином:

1. Введіть команду sudo tripwire --check
2. Натісніть Enter. Буде створено звіт, який зберігається в каталозі для звітів. Щоб переглянути цей звіт, використовуйте команду twprint: sudo twprint --print-report -r \
3. Натисніть Enter і введіть пароль для sudo. З'явиться інше запрошення командного рядка, яке виглядає приблизно так: & gt;
   Введіть орієнтир та ім'я файлу звіту, який потрібно відобразити: & gt; / Var / lib / tripwire / report / & lt; server name & gt; -YYYYMMDD-HHMMSS.twr | less
   Якщо точний час створення звіту невідомо, потрібно перейти в каталог / var / lib / tripwire / reports і подивитися повне ім'я файлу.

У міру розвитку навичок можна перейти до використання twadmin для подальшої більш детальної настройки можливостей Tripwire. Також можна налаштувати cron на щоденну відправку копії цього звіту по електронній пошті або налаштувати саму Tripwire на відправку повідомлення по електронній пошті в разі реєстрації будь-яких відхилень.

Logwatch

Logwatch - це відмінний інструмент для спостереження за системними журналами. Для відправки журналів по електронній пошті цій програмі потрібно наявність в мережі робочого поштового сервера. Якщо необхідно змінити .conf-файл, потрібно відкрити /usr/share/logwatch/default.conf/logwatch.conf і відшукати рядок, що містить MailTo. Змініть user.name.domain.tld на свою електронну адресу.

Logwatch можна встановити за допомогою такої команди:

sudo aptitude install logwatch

Щоб пересилати журнали самому собі, введіть команду

logwatch --mailto [email protected] --range All

Якщо натиснути Enter, то на вказану адресу електронної пошти буде відправлена копія звіту. Якщо в наявній мережі немає поштового сервера, а побачити звіт Logwatch бажано, наступна команда виведе його вона екран:

logwatch --range All --archives --detail Med

Висновок займе кілька екранів; натисніть Shift-Page Up для переходу в початок звіту.

Користувачі і групи

GNU / Linux працює з групами і правами доступу не так, як Microsoft® Windows®. Користувачів можна організувати в групи для полегшення адміністрування, але необхідно також і розмежувати доступ до файлів і папок за допомогою прав доступу. Поняття "досвідченого користувача" ( "power user"), що має доступ практично до всіх ресурсів в комп'ютері і в мережі, тут відсутня. Система GNU / Linux була розроблена так, щоб бути більш безпечною; для надання прав доступу в ній використовується система 3x3:

Не користуйтеся з-під root

Всякий, хто хоч що-небудь знає про безпеку в GNU / Linux, скаже вам, що ніколи, ніколи, ніколи нічого не треба запускати в якості користувача root. Вхід в мережу Windows під обліковим записом адміністратора - звичайна справа, але в співтоваристві GNU / Linux це не заохочується. Ось чому у всіх випадках, коли потрібно що-небудь запустити від імені користувача root, використовується команда sudo. Будь-системний адміністратор може використовувати команду sudo, якщо йому дати пароль. Для того, щоб побачити, як і коли використовується пароль sudo, необхідно перевіряти записи в / var / log / messages. Оскільки нам потрібні всі випадки використання sudo, для їх пошуку можна вдатися до команди grep.

• Права доступу до файлу - читання (r), запис (w) і виконання (x). Кожній з цих привілеїв також присвоєно число: читання = 4, запис = 2 і виконання = 1.
• Права доступу на рівні каталогу - "вхід", дає дозвіл увійти в каталог; "Перегляд", дозволяє побачити вміст каталогу; і "запис", дозволяє створювати новий файл або підкаталог.
• Як призначаються права доступу - права доступу призначаються трьома способами: на рівні користувача, на рівні групи і на рівні інших. Для оператора визначає того користувача, який створив файл або каталог, рівень групи визначає групу, в яку входить користувач, рівень інших призначається для всіх користувачів, що не входять в групу

Першими надаються привілеї користувача: наприклад, r / w / x означає, що користувач може читати, записувати в файл або файли в папці і запускати їх на виконання. Для кожного виду дозволів можна застосовувати числове значення. Так, якщо користувач може читати, писати і виконувати файли, то відповідні числа 4, 2 і 1 складаються, даючи в сумі 7. Далі йдуть привілеї групи. Наприклад, інші члени групи можуть читати і запускати на виконання файли, але не записувати їх. Додавання відповідних чисел дає 5. Ті, хто входять в категорію "інших", можуть тільки читати файли, тому числове значення для них дорівнює 4. Таким чином, права доступу до файлу або папці рівні 754.

Якщо права доступу встановлені в 777, то читати, записувати і запускати на виконання відповідного файл можуть усі. Команда chmod змінює права доступу до файлів і каталогів. Якщо потрібно змінити власника, використовується команда chown Щоб змінити групу, якій належить файл або каталог, використовується команда chgrp.

шифрування

Шифрування - це процес, при якому дані, що зберігаються в комп'ютері, зашифровуються таким чином, що стають нечитабельним для всіх, у кого немає ключа для їх відтворення. Зашифровані дані можуть зберігатися локально в комп'ютері, на мережному ресурсі або інші особи і на інші комп'ютери.

Можна зашифрувати весь диск або розділи на диску. Це робиться при установці. Також можна захистити дані за допомогою шифрування, створивши каталог і зашифрувавши його. Наприклад, на файловому сервері може знадобитися зашифрувати каталог, який містить конфіденційну інформацію.

Перш ніж продовжити розгляд захисту даних, потрібно встановити файлову систему eCryptfs зі сховищ Ubuntu за допомогою команди

sudo aptitude install ecryptfs-utils

Натисніть Enter і введіть свій пароль root.

шифрування каталогу

Наступний крок - створення каталогу для шифрування. У нашому прикладі використовується каталог з ім'ям secure, але назвати його можна як завгодно. Виконайте наступні кроки:

1. Введіть наступну команду: mkdir ~ / secure
2. Щоб інші не могли підглядати, змініть права доступу на 700: chmod 700 ~ / secure
3. Змонтуйте новий каталог з файлової системою eCryptfs: sudo mount -t ecryptfs ~ / secure ~ / secure
4. Буде поставлено ряд запитань. Переконайтеся, що запам'ятали відповіді, тому що вони будуть потрібні при перемонтування. У першому питанні питається, який тип ключа вам хотілося б використовувати. Вибір робиться шляхом введення числа, відповідного вашим вибором. Потім виберіть шифр, який ви хочете використовувати, і розмір ключа.
5. Після того як дані відповіді на всі питання, каталог готовий до додавання в нього файлів і інших підкаталогів. Коли ви будете готові зробити ваш каталог захищеним, размонтіруйте його командою sudo unmount ~ / secure

Додаткові дії по забезпеченню безпеки

Тепер, коли створена міцна основа для посилення безпеки сервера, слід зробити ще кілька кроків для подальшого зміцнення вжитих заходів безпеки. Останні кілька порад присвячені додатковим моментам, які потрібно враховувати, зміцнюючи безпеку сервера на GNU / Linux.

оновлення

Не встановлюйте на робочий сервер оновлення та виправлення програм, яких не перевірено на тестовому сервері або сервері для розробки. Оскільки на сервері може не бути графічної підсистеми, всі оновлення і виправлення доводиться завантажувати за допомогою терміналу. Коли ви будете готові встановити оновлення, введіть команду sudo apt-get update, а потім sudo apt-get dist-upgrade. У деяких випадках сервер необхідно буде перезапустити.

шкідливі програми

Багато системні адміністратори вважають установку антивірусних програм на сервер з GNU / Linux втратою ресурсів, оскільки ніякі віруси самі по собі не можуть атакувати операційну систему GNU / Linux. Але будь-який адміністратор GNU / Linux, що використовує SAMBA для надання доступу до файлів Windows, безумовно повинен забезпечити установку антивірусного сканера, подібного ClamAV, щоб заражені файли не поширилися по всій системі.

У той час як віруси не становлять великої загрози для сервера на GNU / Linux, руткіти можуть принести багато неприємностей. Руткіти - це інструменти, які зловмисники використовують для отримання адміністративних прав доступу до системи, захоплення паролів, перехоплення трафіку і створення інших вразливостей. Щоб боротися з цією загрозою, слід встановити на сервері такі інструменти, як RKHunter і chkrootkit (див. Інструкції в навчальному посібнику " Зміцнення захисту робочих станцій під Linux ").

Створення резервних копій та відновлення

Серверів, на яких розміщені гігабайти інформації, корпоративні Web-сайтами або службами каталогів, необхідний план резервного копіювання та відновлення. Більшість корпоративних мереж можуть дозволити собі резерв у вигляді декількох серверів, а для мереж меншого розміру може бути досить віртуалізації і програм для резервного копіювання та відновлення.

Якщо планується резервне копіювання і відновлення за допомогою програм, наявних в репозиторіях Ubuntu, то хорошим вибором буде Sbackup, оскільки її можна запускати як з командного рядка, так і в графічному середовищі. Під час резервного копіювання даних сервера в корпоративній мережі важливо, щоб резервні файли зберігалися поза сервера. Переносні пристрої зберігання даних мають великими обсягами при надзвичайно помірних цінах і є відмінним варіантом для зберігання резервних файлів і каталогів.

паролі

Системний адміністратор відповідає за установку паролів для облікових записів root на серверах і, можливо, інших важливих облікових записів в організації, наприклад, записів для доступу до баз даних MySQL або до FTP. В Ubuntu Server не можна зобов'язати користувачів застосовувати стійкі паролі, але навчити користувачів створювати надійні паролі необхідно.

Політика мережевих паролів

Якщо у вас працює служба каталогів, наприклад, OpenLDAP, то можна ввести примусове використання стійких паролів в мережі за допомогою наявних параметрів конфігурації.

Необхідно забезпечити, щоб паролі користувачів містили щонайменше три наступних елемента: буква у верхньому регістрі, буква в нижньому регістрі, число або символ. Для подальшого посилення паролів введіть вимога, щоб всі паролі були довжиною не менше восьми символів.

Один із способів навчити користувачів застосовувати надійні паролі і в той же час не записувати їх на папірцях полягає в тому, щоб вони використовували парольні фрази. Що-небудь на зразок Myf @ voritecolorisBlue! набагато легше запам'ятати, ніж M $ iuR78 $; при цьому обидва варіанти відповідають мінімальним стандартам складності.

Висновок

Після прочитання цього посібника і посібники " Зміцнення захисту робочих станцій під Linux , "Ви повинні отримати міцну базу знань з питань безпеки систем. Майте на увазі, що ці навчальні посібники орієнтовані на початківців і покликані дати основу для більш глибокого вивчення безпеки GNU / Linux.

Ресурси для скачування

Схожі тими

Підпішіть мене на ПОВІДОМЛЕННЯ до коментарів