Поиск по сайту:

LFCA: основные советы по безопасности для защиты системы Linux – часть 17

Сейчас, более чем когда-либо, мы живем в мире, где организации постоянно подвергаются атакам нарушений безопасности, мотивированных получением очень чувствительных и конфиденциальных данных, которые имеют большую ценность и приносят огромную финансовую выгоду.

Довольно удивительно, что, несмотря на высокий риск потенциально разрушительной кибератаки, большинство компаний недостаточно подготовлены или просто игнорируют тревожные сигналы, часто с разрушительными последствиями.

В 2016 году в компании Equifax произошла катастрофическая утечка данных, в результате которой в результате ряда нарушений безопасности были украдены миллионы конфиденциальных записей клиентов. Подробный отчет показал, что взлом можно было предотвратить, если бы команда безопасности Equifax приняла правильные меры безопасности.

Фактически, за несколько месяцев до взлома Equifax был предупрежден о потенциальной уязвимости их веб-портала, которая может поставить под угрозу их безопасность, но, к сожалению, предупреждение осталось без внимания и привело к серьезным последствиям. Многие другие крупные корпорации стали жертвами атак, сложность которых с каждым мгновением становится все сложнее.

Мы не можем не подчеркнуть, насколько важна безопасность вашей системы Linux. Возможно, вы не являетесь крупным финансовым учреждением, которое является потенциальной целью для взломов, но это не значит, что вам следует ослабить бдительность.

Безопасность должна быть в центре вашего внимания при настройке вашего Linux-сервера, особенно если он будет подключен к Интернету и доступен удаленно. Наличие базовых навыков безопасности имеет важное значение для защиты вашего сервера Linux.

В этом руководстве мы сосредоточимся на некоторых основных мерах безопасности, которые вы можете предпринять, чтобы защитить свою систему от злоумышленников.

Векторы кибератак

Злоумышленники будут использовать различные методы атак для доступа к вашему серверу Linux. Прежде чем мы углубимся в некоторые меры, которые вы можете предпринять для защиты своей системы, давайте воспользуемся некоторыми распространенными векторами атак, которые хакер может использовать для проникновения в системы.

1. Атаки грубой силы

Атака грубой силы – это атака, при которой хакер методом проб и ошибок угадывает учетные данные пользователя. Обычно злоумышленник использует автоматические сценарии для непрерывного доступа до тех пор, пока не будет получена правильная комбинация имени пользователя и пароля. Этот вид атаки наиболее эффективен при использовании слабых и легко угадываемых паролей.

2. Слабые полномочия

Как упоминалось ранее, слабые учетные данные, такие как короткие и легко угадываемые пароли, такие как password1234, представляют собой потенциальный риск для вашей системы. Чем короче и менее сложный пароль, тем выше вероятность взлома вашей системы.

3. Фишинг

Фишинг – это метод социальной инженерии, при котором злоумышленник отправляет жертве электронное письмо, которое выглядит как отправленное законным учреждением или кем-то, кого вы знаете или с кем ведете дела.

Обычно электронное письмо содержит инструкции, которые побуждают жертву раскрыть конфиденциальную информацию, или может содержать ссылку, которая направляет ее на поддельный сайт, выдающий себя за сайт компании. Как только жертва пытается войти в систему, ее учетные данные перехватываются злоумышленником.

4. Вредоносное ПО

Вредоносное ПО – это сокращение от вредоносного программного обеспечения. Он включает в себя широкий спектр гнусных приложений, таких как вирусы, трояны, черви и программы-вымогатели, которые предназначены для быстрого распространения и удержания системы жертвы в качестве заложника в обмен на выкуп.

Такие атаки могут быть изнурительными и парализовать бизнес организации. Некоторые вредоносные программы могут быть внедрены в такие документы, как изображения, видео, текстовые файлы или документы PowerPoint, и упакованы в фишинговые электронные письма.

5. Атаки типа «отказ в обслуживании» (DoS)

DoS атака — это атака, которая ограничивает или влияет на доступность сервера или компьютерной системы. Хакер наполняет сервер трафиком или пинг-пакетами, которые делают сервер недоступным для пользователей на длительное время.

Атака DDoS (Распределенный отказ в обслуживании) — это разновидность DoS, в которой используются несколько систем, которые наводняют цель трафиком, делая ее недоступной.

6. Атака с помощью SQL-инъекции

Акроним от Язык структурированных запросов, SQL — это язык, используемый для взаимодействия с базами данных. Он позволяет пользователям создавать, удалять и обновлять записи в базе данных. Многие серверы хранят данные в реляционных базах данных, которые используют SQL для взаимодействия с базой данных.

Атака с помощью SQL-инъекции использует известную уязвимость SQL, которая заставляет сервер разглашать конфиденциальную информацию базы данных, которую в противном случае он бы не сделал, путем внедрения вредоносного кода SQL. Это представляет огромный риск, если в базе данных хранится личная информация, такая как номера кредитных карт, номера социального страхования и пароли.

7. Атака «человек посередине»

Обычно называемая MITM, атака «человек посередине» предполагает перехват злоумышленником информации между двумя точками с целью подслушивания или изменения трафика между двумя сторонами. Цель — шпионить за жертвой, повредить данные или украсть конфиденциальную информацию.

Основные советы по защите вашего Linux-сервера

Рассмотрев потенциальные шлюзы, которые злоумышленник может использовать для взлома вашей системы, давайте рассмотрим некоторые фундаментальные меры, которые вы можете предпринять для защиты своей системы.

1. Физическая безопасность

Однако физическому расположению и безопасности вашего сервера не уделяется много внимания. Если вы собираетесь разместить свой сервер в локальной среде, обычно именно с этого следует начинать.

Важно убедиться, что ваш сервер надежно защищен в центре обработки данных с резервным питанием, резервным подключением к Интернету и достаточным охлаждением. Доступ в центр обработки данных должен быть ограничен только уполномоченным персоналом.

2. Обновите системные репозитории и пакеты.

После настройки сервера первым шагом является обновление репозиториев и пакетов прикладного программного обеспечения следующим образом. Обновление пакета исправляет любые лазейки, которые могут присутствовать в существующих версиях приложений.

Для дистрибутивов Ubuntu/Debian:

sudo apt update -y
sudo apt upgrade -y

Для дистрибутивов RHEL/CentOS:

sudo yum upgrade -y

3. Включите брандмауэр

Брандмауэр – это приложение, фильтрующее входящий и исходящий трафик. Вам необходимо установить надежный брандмауэр, такой как брандмауэр UFW, и включить его, чтобы разрешать только необходимые службы и соответствующие им порты.

Например, вы можете установить его на Ubuntu с помощью команды:

sudo apt install ufw

После установки включите его следующим образом:

sudo ufw enable

Чтобы разрешить такую службу, как HTTPS, выполните команду;

sudo ufw allow https

Альтернативно вы можете разрешить соответствующий порт 443.

sudo ufw allow 443/tcp

Затем перезагрузите, чтобы изменения вступили в силу.

sudo ufw reload

Чтобы проверить состояние вашего брандмауэра, включая разрешенные службы и открытые порты, запустите

sudo ufw status

4. Отключите все ненужные службы/порты.

Кроме того, рассмотрите возможность отключения всех неиспользуемых или ненужных служб и портов на брандмауэре. Наличие нескольких неиспользуемых портов только увеличивает возможности атак.

5. Безопасный протокол SSH

Настройки SSH по умолчанию небезопасны, поэтому требуются некоторые настройки. Обязательно установите следующие настройки:

  • Отключите пользователя root от удаленного входа в систему.
  • Включите аутентификацию SSH без пароля с использованием открытых/закрытых ключей SSH.

Для начала отредактируйте файл /etc/ssh/sshd_config и измените следующие параметры, чтобы они выглядели, как показано.

PermitRootLogin no

После того, как вы запретите пользователю root удаленный вход в систему, создайте обычного пользователя и назначьте привилегии sudo. Например.

sudo adduser user 
sudo usermod -aG sudo user

Чтобы включить аутентификацию без пароля, сначала зайдите на другой компьютер с Linux (желательно на ваш компьютер) и сгенерируйте пару ключей SSH.

ssh-keygen

Затем скопируйте открытый ключ на свой сервер.

ssh-copy-id user@server-IP

После входа в систему обязательно отключите аутентификацию по паролю, отредактировав файл /etc/ssh/sshd_config и изменив показанный параметр.

PasswordAuthentication no

Позаботьтесь о том, чтобы не потерять свой закрытый ключ ssh, поскольку это единственный способ войти в систему. Храните его в безопасности и желательно создайте его резервную копию в облаке.

Наконец, перезапустите SSH, чтобы изменения вступили в силу.

sudo systemctl restart sshd
Краткое содержание

В мире с развивающимися киберугрозами безопасность должна быть первоочередной задачей при настройке сервера Linux. В этом руководстве мы выделили некоторые основные меры безопасности, которые вы можете предпринять для усиления вашего сервера. В следующем разделе мы углубимся и рассмотрим дополнительные шаги, которые вы можете предпринять для усиления защиты вашего сервера.