Aktualisieren Sie Ihren Kernel
Veralteter Kernel ist immer anfällig für mehrere Netzwerk- und Privilegieneskalationsangriffe. So können Sie Ihren Kernel aktualisieren mit geeignet in Debian oder lecker in Fedora.
$ sudo apt-get update$ sudo apt-get dist-upgrade
Deaktivieren von Root-Cron-Jobs
Cron-Jobs, die von einem Root-Konto oder einem Konto mit hohen Berechtigungen ausgeführt werden, können verwendet werden, um von Angreifern hohe Berechtigungen zu erlangen. Sie können laufende Cron-Jobs sehen nach
$ls /etc/cron*Strenge Firewall-Regeln
Sie sollten jede unnötige eingehende oder ausgehende Verbindung auf ungewöhnlichen Ports blockieren. Sie können Ihre Firewall-Regeln aktualisieren, indem Sie iptables. Iptables ist ein sehr flexibles und einfach zu bedienendes Dienstprogramm, das verwendet wird, um eingehenden oder ausgehenden Datenverkehr zu blockieren oder zuzulassen. Um zu installieren, schreibe
$ sudo apt-get install iptablesHier ist ein Beispiel zum Blockieren von eingehenden FTP-Ports mit iptables
$ iptables -A INPUT -p tcp --dport ftp -j DROPDeaktivieren Sie unnötige Dienste
Stoppen Sie alle unerwünschten Dienste und Daemons, die auf Ihrem System ausgeführt werden. Sie können laufende Dienste mit den folgenden Befehlen auflisten.
[email protected]:~$ service --status-all[ + ] scharf
[ - ] alsa-utils
[ - ] Anacron
[ + ] apache-htcacheclean
[ + ] Apache2
[ + ] Apparat
[ + ] zuordnen
[ + ] Avahi-Daemon
[ + ] binfmt-Unterstützung
[ + ] Bluetooth
[ - ] cgroupfs-mount
… schnippel…
ODER mit dem folgenden Befehl
$ chkconfig --list | grep '3:an'Um einen Dienst zu stoppen, geben Sie ein
$ sudo-Dienst [SERVICE_NAME] stoppenODER
$ sudo systemctl stop [SERVICE_NAME]Auf Backdoors und Rootkits prüfen
Dienstprogramme wie rkhunter und chkrootkit können verwendet werden, um bekannte und unbekannte Hintertüren und Rootkits zu erkennen. Sie überprüfen installierte Pakete und Konfigurationen, um die Sicherheit des Systems zu überprüfen. So installieren Sie schreiben,
[email protected]:~$ sudo apt-get install rkhunter -yUm Ihr System zu scannen, geben Sie
[email protected]:~$ sudo rkhunter --check[ Rootkit-Jäger-Version 1.4.6]
Systembefehle prüfen…
Durchführen von 'strings'-Befehlsüberprüfungen
Befehl 'strings' prüfen [ OK ]
Durchführen von 'Shared Libraries'-Prüfungen
Prüfen auf Vorladen von Variablen [ Keine gefunden ]
Suche nach vorinstallierten Bibliotheken [ Keine gefunden ]
LD_LIBRARY_PATH-Variable wird überprüft [ Nicht gefunden ]
Durchführen von Dateieigenschaftenprüfungen
Voraussetzungen prüfen [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
… schnippel…
Abhörende Ports prüfen
Sie sollten nach nicht verwendeten Abhör-Ports suchen und diese deaktivieren. Um nach offenen Ports zu suchen, schreiben Sie.
[email protected]:~$ sudo netstat -ulpntAktive Internetverbindungen (nur Server)
Proto Recv-Q Send-Q Lokale Adresse Ausländische Adresse Staat PID/Programmname
tcp 0 0 127.0.0.1:6379 0.0.0.0:* HÖREN 2136/redis-server 1
tcp 0 0 0.0.0.0:111 0.0.0.0:* HÖREN 1273/rpcbind
tcp 0 0 127.0.0.1:5939 0.0.0.0:* HÖREN 2989/teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0:* HÖREN 1287/systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0:* HÖREN 1939/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* HÖREN 20042/cupsd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* HÖREN 1887/postgres
tcp 0 0 0.0.0.0:25 0.0.0.0:* HÖREN 31259/master
… schnippel…
Verwenden Sie ein IDS (Intrusion Testing System)
Verwenden Sie ein IDS, um Netzwerkprotokolle zu überprüfen und böswillige Aktivitäten zu verhindern. Es gibt ein Open-Source-IDS Snort für Linux. Sie können es installieren, indem Sie,
$ wget https://www.Schnauben.org/downloads/snort/daq-2.0.6.Teer.gz$ wget https://www.Schnauben.org/downloads/snort/snort-2.9.12.Teer.gz
$ tar xvzf daq-2.0.6.Teer.gz
$ cd daq-2.0.6
$ ./configure && make && sudo make install
$ tar xvzf snort-2.9.12.Teer.gz
$ cd schnauben-2.9.12
$ ./configure --enable-sourcefire && make && sudo make install
Um den Netzwerkverkehr zu überwachen, geben Sie
[email protected]:~$ sudo schnaubtAusführung im Paket-Dump-Modus
--== Initialisieren von Snort ==--
Initialisieren von Ausgabe-Plugins!
pcap DAQ auf passiv konfiguriert.
Erfassen von Netzwerkverkehr von "tun0".
Dekodierung von Raw IP4
--== Initialisierung abgeschlossen ==--
… schnippel…
Logging als Root deaktivieren
Root agiert als Benutzer mit vollen Rechten, es hat die Macht, alles mit dem System zu tun. Stattdessen sollten Sie die Verwendung von sudo erzwingen, um Verwaltungsbefehle auszuführen.
Keine Eigentümerdateien entfernen
Dateien, die keinem Benutzer oder keiner Gruppe gehören, können eine Sicherheitsbedrohung darstellen. Sie sollten nach diesen Dateien suchen und sie entfernen oder ihnen einen richtigen Benutzer einer Gruppe zuweisen. Um nach diesen Dateien zu suchen, geben Sie
$ find /dir -xdev \( -nouser -o -nogroup \) -printVerwenden Sie SSH und sFTP
Verwenden Sie für die Dateiübertragung und Fernverwaltung SSH und sFTP anstelle von Telnet und anderen unsicheren, offenen und unverschlüsselten Protokollen. Geben Sie zum Installieren ein
$ sudo apt-get install vsftpd -y$ sudo apt-get install openssh-server -y
Protokolle überwachen
Installieren und konfigurieren Sie ein Dienstprogramm zur Protokollanalyse, um Systemprotokolle und Ereignisdaten regelmäßig zu überprüfen, um verdächtige Aktivitäten zu verhindern. Art
$ sudo apt-get install -y loganalyzerNicht verwendete Software deinstallieren
Installieren Sie so wenig Software wie möglich, um eine kleine Angriffsfläche zu erhalten. Je mehr Software Sie haben, desto mehr Angriffschancen haben Sie. Entfernen Sie also jede nicht benötigte Software von Ihrem System. Um installierte Pakete anzuzeigen, schreiben Sie
$ dpkg --list$ dpkg --info
$ apt-get-Liste [PACKAGE_NAME]
So entfernen Sie ein Paket
$ sudo apt-get remove [PACKAGE_NAME] -y$ sudo apt-get clean
Schlussfolgerung
Die Härtung der Linux-Serversicherheit ist für Unternehmen und Unternehmen sehr wichtig. Es ist eine schwierige und ermüdende Aufgabe für Systemadministratoren. Einige Prozesse können durch einige automatisierte Dienstprogramme wie SELinux und andere ähnliche Software automatisiert werden. Außerdem verringert das Beibehalten von Minimus-Software und das Deaktivieren nicht verwendeter Dienste und Ports die Angriffsfläche.