הקשחת Ubuntu 14.04 שרת

הקשחת היא תהליך של צמצום נקודות תורפה ואבטחת מערכת מנקודות התקפה אפשריות. צמצום הפגיעויות כולל הסרה של שירותים מיותרים, שמות משתמש ויומני כניסה וביטול יציאות מיותרות. במאמר זה אנחנו הולכים להראות לך איך אתה יכול להקשיח שרת אובונטו.

דרישות

אובונטו 14.04 שרת LTS עם SSH פתוח מותקן.

תחילת העבודה: עדכן את המערכת

שמירת המערכת מעודכנת לאחר התקנת כל מערכת הפעלה. פעולה זו תקטין את הפגיעויות הידועות הקיימות במערכת שלך.

עבור Ubuntu 14.04 הפעל את הפעולות הבאות:

 suduo apt- לקבל עדכון sudo apt- לקבל שדרוג sudo apt-get autoremove sudo apt-get autoclean 

אפשר עדכוני אבטחה אוטומטיים

הפעלת עדכונים אוטומטיים יכולה להיות חשובה מאוד לאבטחת השרת שלך. כדי להתקין את "שדרוגים ללא השגחה", לרוץ

 sudo apt-get להתקין שדרוגים ללא השגחה 

כדי להפעיל אותו, הפעל את הפקודה הבאה:

 sudo dpkg-reconfigure -plow ללא השגחה-שדרוגים 

פעולה זו תיצור את הקובץ "/etc/apt/apt.conf.d/20auto-upgrades" שמוצג למטה.

 APT :: תקופתי :: עדכון-חבילה-רשימות "1"; APT :: תקופתי :: Unattended-Upgrade "1"; 

יצירת "צל משתמש" עם כוחות sudo

שימוש "צל משתמש" במקום חשבון השורש הוא הכרחי מטעמי אבטחה. תוכל ליצור משתמש שלא יהיה קל למשתמשים אחרים לנחש. במדריך זה נשתמש "maketech111" בשם המשתמש.

כדי ליצור משתמש, הפעל את הפקודה הבאה:

 sudo useradd -d / home / maketech111 -s / bin / bash -m maketech111 

כדי להעניק למשתמש גישה לסודו, הפעל את הפקודה הבאה:

 sudo usermod -a -G sudo maketech111 

כדי להגדיר סיסמה, הפעל את הפקודה הבאה:

 sudo passwd maketech111 

הערה: ודא שהסיסמה שלך היא באורך של לפחות שמונה תווים ומכילה שילוב מורכב של מספרים, אותיות וסימני פיסוק.

כדי להסיר את סיסמת הסיסמה עבור sudo, ערוך את קובץ sudoers.

 סודו ננו / וכו '/ sudoers 

הוסף / ערוך כמתואר למטה.

 maketech111 ALL = (ALL) NOPASSWD: כולם 

שמור את הקובץ וצא.

השבת חשבון שורש

השבתת חשבון הבסיס נחוצה מטעמי אבטחה.

כדי להשבית את חשבון הבסיס, השתמש בפקודה הבאה:

 sudo passwd שורש 

אם עליך להפעיל מחדש את החשבון, הפעל את הפקודה הבאה:

 sudo passwd שורש 

הוספת מחיצת SWAP

שרתי Ubuntu מסוימים אינם מוגדרים באמצעות SWAP. SWAP משמש כאשר כמות הזיכרון הפיזי הכולל (RAM) מלאה.

כדי לבדוק את מרחב ה- SWAP, הפעל את הפקודה הבאה:

 sudo swapon - s 

אם אין קובץ SWAP, אתה אמור לקבל את הפלט הבא.

 סוג שם הקובץ גודל Priority משמש 

כדי ליצור את הקובץ 4 GB SWAP תצטרך להשתמש בפקודה "dd".

 sudo dd אם = / dev / אפס של = / swapfile bs = 4m count = 1000 

כדי להגדיר את קובץ ה- SWAP, הפעל את הפקודה הבאה:

 / swapfile 

כדי להפעיל את קובץ ה- swap, הפעל

 sudo swapon / swapfile sudo swapon - s 

זה יהיה פלט כמו הבאות:

 שם קובץ גודל גודל קובץ משומש / swapfile 4096000 0 -1 

כדי להפעיל אותו לצמיתות, ערוך את הקובץ "/ etc / fstab".

 sudo nano / etc / fstab 

הוסף את השורה הבאה:

 / swapfile החלפת swap ברירת המחדל 0 0 

שפר את הביצועים של SWAP

הגדר ערך swappiness נכונה כדי לשפר את הביצועים הכוללים של המערכת.

באפשרותך לעשות זאת באמצעות הפקודה הבאה:

 sudo echo 0 / / proc / sys / vm / swappiness sudo הד vm.swappiness = 0 / /cc / sysctl.conf 

אתחל מחדש את המערכת כדי לבדוק אם ה- SWAP מופעל כראוי.

השבת את IPv6

מומלץ להשבית את IPv6 מכיוון שהוא גורם לבעיות בחיבור האינטרנט להיות איטי.

כדי להשבית את IPv6, ערוך את הקובץ "/etc/sysctl.conf".

 sudo nano /etc/sysctl.conf 

ערוך כמתואר להלן:

 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 

כדי לטעון מחדש את התצורה, הפעל

 sudo sysctl -p 

השבת IRQBALANCE

IRQBALANCE משמש להפיץ interrupts חומרה על פני CPU מרובים כדי להגדיל את ביצועי המערכת. מומלץ להשבית IRQBALANCE כדי למנוע הפרעות בחומרה בחוטים שלך.

כדי להשבית IRQBALANCE, לערוך "/ etc / default / irqbalance"

 sudo nano / etc / default / irqbalance 

ולשנות את הערך ENABLED ל -0:

 ENABLED = 0 

תקן באגס OpenSSL לב

Heartbleed הוא פגיעות חמורה ב- OpenSSL. זה מאפשר למשתמש מרוחק לדלוף את הזיכרון עד 64k chunks. האקרים יכולים לאחזר את המפתחות הפרטיים כדי לפענח את כל הנתונים כמו שם המשתמש של המשתמש וסיסמאות.

הבורג הלבבי נמצא ב- OpenSSL 1.0.1 ונמצא בגרסאות הבאות:

• 1.0.1
• 1.0.1a
• 1.0.1b
• 1.0.1c
• 1.0.1d
• 1.0.1e
• 1.0.1f

כדי לבדוק את הגירסה של OpenSSL במערכת שלך, הפעל את הפקודות הבאות:

 sudo openssl גרסה -v sudo openssl גרסה -b 

זה יהיה פלט משהו כמו:

 OpenSSL 1.0.1 10 מרס 2012 נבנה ב: יום רביעי 2 ינואר 18:45:51 UTC 2015 

אם התאריך הוא ישן יותר מ "יום שני 7 אפריל 20:33:29 UTC 2014", ואת הגירסה היא "1.0.1", אז המערכת שלך חשופה לביקורת heartbleed.

כדי לתקן את הבאג, עדכן את OpenSSL לגירסה העדכנית ביותר והפעל

 suduo apt- לקבל עדכון sudo apt- לקבל שדרוג openssl libssl-dev sudo apt-cache מדיניות openssl libssl-dev 

עכשיו לבדוק את הגירסה ולהפעיל

 sudo openssl גרסה -b 

זה יהיה פלט משהו כמו:

 בנוי ב: יום שני 7 אפריל 20:31:55 UTC 2014 

לאבטח את המסוף, זיכרון משותף, / tmp ו / var / tmp

מאובטח את המסוף

כברירת מחדל, הרבה מסופים מופעלים במערכת שלך. ניתן לאפשר רק מסוף אחד ולהשבית את המסופים האחרים.

כדי לאפשר רק "tty1" להשבית מסופים אחרים, לערוך את "/ etc / securetty" הקובץ.

 סודו ננו / etc / securetty 

הוסף / ערוך את השורות הבאות:

 tty1 # tty2 # tty3 # tty4 # וכו '... 

כדי לאבטח את הקובץ / etc / securetty, שנה את הרשאת הקובץ והפעל את הפקודות הבאות:

 שורש chode chode: root / etc / secto chmod 0600 / etc / securetty 

זיכרון משותף מאובטח

כל משתמש יכול להשתמש בזיכרון משותף כדי לתקוף שירות פועל, כגון apache או httpd. כברירת מחדל, זיכרון משותף מותקן קריאה / כתיבה עם הרשאת ביצוע.

כדי להפוך אותו בטוח יותר, לערוך את "/ etc / fstab" קובץ.

 sudo nano / etc / fstab 

הוסף את השורה הבאה:

 tmpfs / ריצה / shm tmpfs ro, noexec, nosuid 0 0 

כדי לבצע את השינויים ללא אתחול מחדש, אתה יכול לרוץ

 sudo mount -a 

מאובטח / tmp ו / var / tmp

ספריות זמניות כגון / tmp, / var / tmp, ו / dev / shm לפתוח את הדלת עבור התוקפים לספק שטח להפעלת סקריפטים ו הרצה זדונית.

תיקייה מאובטחת / tmp

יצירת קובץ מערכת הקבצים 1GB עבור מחיצת / tmp.

 sudo dd אם = / dev / אפס של = / usr / tmpDSK bs = 1024 count = 1024000 sudo mkfs.ext4 / usr / tmpDSK 

יצירת גיבוי של התיקיה הנוכחית / tmp:

 sudo cp -avr / tmp / tmpbackup 

הר את המחיצה החדשה / tmp, והגדר את ההרשאות המתאימות.

 sudo mount -t tmpfs-loop, noexec, nosuid, rw / usr / tmpdsk / tmp sudo chmod 1777 / tmp 

העתק את הנתונים מתיקיית הגיבוי והסר את תיקיית הגיבוי.

 sudo cp -avr / tmpbackup / * / tmp / sudo rm -rf / tmpbackup 

הגדר / tmp ב fbtab.

 sudo nano / etc / fstab 

הוסף את השורה הבאה:

 / usr / tmpDSK / tmp tmpfs לולאה, nosuid, noexec, rw 0 0 

בדוק את הערך fstab שלך.

 sudo mount -a 

Secure / var / tmp:

חלק מהתוכנות משתמשות בתיקיה זו כתיקיה זמנית, לכן אנחנו צריכים גם לאבטח את זה.

כדי לאבטח / var / tmp, ליצור קישור סימבולי שהופך / var / tmp נקודת ל / tmp.

 sudo mv / var / tmp / var / tmpold sudo ln -s / tmp / var / tmp sudo cp -avr / var / tmpold / * / tmp / 

הגדר מגבלות אבטחה והשבית שירותים לא רצויים

הגדר מגבלות אבטחה

כדי להגן על המערכת מפני פיגועי מזלג, עליך להגדיר מגבלת תהליך עבור המשתמשים שלך.

כדי להגדיר את זה, לערוך את "/etc/security/limits.conf" קובץ,

 sudo nano /etc/security/limits.conf 

וערוך את השורה הבאה:

 קשה nproc 100 @ group1 קשה nproc 20 

זה ימנע ממשתמשים של קבוצה מסוימת מתוך מקסימום של עשרים תהליכים ולהגדיל את מספר התהליכים למאה למשתמש 1.

השבת שירותים מיותרים

הרבה שירותים אובונטו לוקח זיכרון שטח דיסק ייתכן שיהיה עליך להשתמש. השבתה או הסרה של שירותים מיותרים יכולים לשפר את ביצועי המערכת הכוללים.

כדי לברר אילו שירותים פועלים כעת, הפעל את הפקודה הבאה:

 רשימת Grep פועל 

ניתן להשבית אותו על ידי הפעלת פקודה זו.

 sudo update-rc.d -f service_name הסר את ה- sudo apt-get purge service_name 

תקן פגוש Bash Shellshock:

פגיעות Shellshock מאפשרת להאקרים להקצות משתני סביבה של Bash ולצבור גישה לא מורשית למערכת. פגיעות זו קלה מאוד לניצול.

כדי לבדוק את הפגיעות של המערכת, הפעל את הפקודה הבאה:

 sudo env i = '(({:;}; הד המערכת שלך הוא חשש "באש -c" הד מבחן בש פגיעות " 

אם אתה רואה את הפלט הבא, זה אומר שהמערכת שלך היא פגיעה.

 המערכת שלך היא בדיקת BP חשוף פגיעות 

כדי לתקן את הפגיעות, הפעל את הפקודה הבאה:

 sudo apt- לקבל עדכון; sudo apt- לקבל להתקין - רק לשדרג bash 

אם תפעיל את הפקודה שוב, תראה:

 bash: אזהרה: VAR: התעלמות הגדרת פונקציה ניסיון bash: שגיאה ייבוא ​​הגדרת פונקציה עבור VAR 'Bash מבחן הפגיעות 

סיכום:

כאן הסברנו דברים בסיסיים שאפשר לעשות כדי להקשיח את אובונטו. כעת יש לך מספיק הבנה של נוהלי אבטחה בסיסיים שניתן ליישם בשרת אובונטו שלך. אני מקווה כי הודעה זו תהיה שימושית עבורך.

הפניה : אובונטו הקשחת מדריך