Phenquestions
Oppgrader kjernen din
Utdatert kjerne er alltid utsatt for flere opptrappingsangrep på nettverk og privilegier. Så du kan oppdatere kjernen din ved hjelp av apt i Debian eller yum i Fedora.
$ sudo apt-get oppdatering$ sudo apt-get dist-upgrade
Deaktivering av Root Cron-jobber
Cron-jobber som kjører med root- eller high privilege-konto, kan brukes som en måte å få høye privilegier av angripere. Du kan se løpe cron-jobber etter
$ ls / etc / cron *Strenge brannmurregler
Du bør blokkere unødvendig inn- eller utgående tilkobling på uvanlige porter. Du kan oppdatere brannmurreglene dine ved å bruke iptables. Iptables er et veldig fleksibelt og brukervennlig verktøy som brukes til å blokkere eller tillate innkommende eller utgående trafikk. For å installere, skriv
$ sudo apt-get install iptablesHer er et eksempel for å blokkere innkommende på FTP-port ved hjelp av iptables
$ iptables -A INNGANG -p tcp --port ftp -j DROPDeaktiver unødvendige tjenester
Stopp uønskede tjenester og demoner som kjører på systemet ditt. Du kan liste opp løpende tjenester ved hjelp av følgende kommandoer.
[e-postbeskyttet]: ~ $ service --status-all[+] Acpid
[-] alsa-utils
[-] anacron
[+] Apache-htcacheclean
[+] Apache2
[+] Apparmor
[+] Apport
[+] Avahi-daemon
[+] Binfmt-support
[+] Bluetooth
[-] cgroupfs-mount
... snip ..
ELLER ved å bruke følgende kommando
$ chkconfig --liste | grep '3: on'For å stoppe en tjeneste, skriv
$ sudo-tjenesten [SERVICE_NAME] stopperELLER
$ sudo systemctl stopp [SERVICE_NAME]Se etter bakdører og rootkits
Verktøy som rkhunter og chkrootkit kan brukes til å oppdage kjente og ukjente bakdører og rootkits. De bekrefter installerte pakker og konfigurasjoner for å verifisere systemets sikkerhet. For å installere skrive,
[e-postbeskyttet]: ~ $ sudo apt-get install rkhunter -yFor å skanne systemet, skriv inn
[e-postbeskyttet]: ~ $ sudo rkhunter - sjekk[Rootkit Hunter versjon 1.4.6]
Kontrollerer systemkommandoer ..
Utføre 'strenger' kommandokontroller
Kontrollerer kommandoen 'strenger' [OK]
Utføre 'delte biblioteker' sjekker
Ser etter forhåndslastede variabler [Ingen funnet]
Ser etter forhåndslastede biblioteker [Ingen funnet]
Sjekker LD_LIBRARY_PATH-variabelen [Ikke funnet]
Utføre filegenskapskontroller
Ser etter forutsetninger [OK]
/ usr / sbin / adduser [OK]
/ usr / sbin / chroot [OK]
... snip ..
Sjekk lytteporter
Du bør se etter lytteporter som ikke brukes, og deaktivere dem. For å se etter åpne porter, skriv.
[e-postbeskyttet]: ~ $ sudo netstat -ulpntAktive Internett-tilkoblinger (bare servere)
Proto Recv-Q Send-Q Lokal adresse Utenlandsk adresse Tilstand PID / programnavn
tcp 0 0 127.0.0.1: 6379 0.0.0.0: * LYTT 2136 / redis-server 1
tcp 0 0 0.0.0.0: 111 0.0.0.0: * LYTT 1273 / rpcbind
tcp 0 0 127.0.0.1: 5939 0.0.0.0: * LYTT 2989 / teamviewerd
tcp 0 0 127.0.0.53:53 0.0.0.0: * LYTT 1287 / systemd-resolv
tcp 0 0 0.0.0.0:22 0.0.0.0: * LYTT 1939 / sshd
tcp 0 0 127.0.0.1: 631 0.0.0.0: * LYTT 20042 / cupsd
tcp 0 0 127.0.0.1: 5432 0.0.0.0: * LYTT 1887 / postgres
tcp 0 0 0.0.0.0:25 0.0.0.0: * LYTT 31259 / master
... snip ..
Bruk et IDS (Intrusion Testing System)
Bruk en IDS til å sjekke nettverkslogger og for å forhindre skadelige aktiviteter. Det er en åpen kildekode IDS Snort tilgjengelig for Linux. Du kan installere den innen,
$ wget https: // www.fnuse.org / nedlastinger / snort / daq-2.0.6.tjære.gz$ wget https: // www.fnuse.org / nedlastinger / fnyser / fnyser-2.9.12.tjære.gz
$ tar xvzf daq-2.0.6.tjære.gz
$ cd daq-2.0.6
$ ./ configure && make && sudo make install
$ tar xvzf snort-2.9.12.tjære.gz
$ cd snort-2.9.12
$ ./ configure --enable-sourcefire && make && sudo make install
Skriv for å overvåke nettverkstrafikk
[e-postbeskyttet]: ~ $ sudo fnyserKjører i pakkedump-modus
--== Initialisere snort ==--
Initialiserer utgangsprogrammer!
pcap DAQ konfigurert til passiv.
Henter nettverkstrafikk fra "tun0".
Dekoding Raw IP4
--== Initialisering fullført ==--
... snip ..
Deaktiver logging som rot
Root fungerer som en bruker med fulle privilegier, den har makt til å gjøre hva som helst med systemet. I stedet bør du håndheve å bruke sudo til å kjøre administrative kommandoer.
Fjern ingen eierfiler
Filer som eies av ingen bruker eller gruppe kan utgjøre en sikkerhetstrussel. Du bør søke etter disse filene og fjerne dem eller tildele dem en riktig bruker en gruppe. For å søke etter disse filene, skriv inn
$ finn / dir -xdev \ (-nouser -o -nogroup \) -avtrykkBruk SSH og sFTP
For filoverføring og fjernadministrasjon, bruk SSH og sFTP i stedet for telnet og andre usikre, åpne og ukrypterte protokoller. For å installere, skriv inn
$ sudo apt-get install vsftpd -y$ sudo apt-get install openssh-server -y
Overvåk logger
Installer og sett opp et logganalysatorverktøy for å sjekke systemlogger og hendelsesdata regelmessig for å forhindre mistenkelig aktivitet. Type
$ sudo apt-get install -y loganalyzerAvinstaller ubrukt programvare
Installer programvare så lite som mulig for å opprettholde en liten angrepsflate. Jo flere programvare du har, jo større sjanser for angrep har du. Så fjern all unødvendig programvare fra systemet ditt. For å se installerte pakker, skriv
$ dpkg - liste$ dpkg - info
$ apt-get-liste [PACKAGE_NAME]
For å fjerne en pakke
$ sudo apt-get remove [PACKAGE_NAME] -y$ sudo apt-bli ren
Konklusjon
Herding av Linux-server er veldig viktig for bedrifter og bedrifter. Det er en vanskelig og kjedelig oppgave for systemadministratorer. Noen prosesser kan automatiseres av noen automatiserte verktøy som SELinux og andre lignende programvare. Å holde minimus programvare og deaktivere ubrukte tjenester og porter reduserer også angrepsoverflaten.
