Ako zabezpečiť linuxový server?

Dominik Turčok
Dominik Turčok
4 min čítanie
Ktoré váš poskytovateľ serverov pridal na správu systému
Spolu s tým sa zbavte všetkých nástrojov, ktoré váš poskytovateľ serverov pridal na správu systému, napríklad Plesk.

Voľne dostupný operačný systém GNU/Linux s otvoreným zdrojovým kódom sa každým rokom zlepšuje v oblasti stolných počítačov, ale od konca 90. rokov minulého storočia je hlavným uchádzačom o používanie serverov. S popularitou sa však zlodejom stalo výnosným vniknúť na servery Linux a okrem iného ich používať na rozosielanie spamov, podvody a pornografiu. Tu je niekoľko spôsobov, ako môžete chrániť svoj server pred takýmto osudom.

Kroky

  1. 1
    Naučte sa používať linux z shellu (príkazový riadok). Každá vrstva softvéru pridaná na uľahčenie „správy systému“ v skutočnosti prináša viac spôsobov, ako crackery získať prístup k vášmu počítaču, a tiež znižuje výkon. Všetky ďalšie kroky budú predpokladať vašu znalosť používania shellu.
  2. 2
    Používanie lsof alebo podobný nástroj, zistiť, na ktoré porty počítač načúva pre pripojenie:
    ns003: ~ # lsof -i
    Príkaz PID USER FD typ zariadenia SIZE NODE NAME
    s názvom 17829 koreň 4U IPv6 12689530 UDP *: 34327
    s názvom 17829 koreň 6U IPv4 12689531 UDP *: 34329
    pomenovaný 17829 root 20u IPv4 12689526 UDP ns003.unternet.net: doména s
    názvom 17829 root 21u IPv4 12689527 TCP ns003.unternet.net:doména (POČÚVAJTE)
    pomenovaná 17829 root 22u IPv4 12689528 UDP 209,40,205,146:
    pomenovaný 17829 root 23u IPv4 12689529 TCP 209,40.205,146: doména (LISTEN)
    lighttpd 17841 www-data 4u IPv4 12689564 TCP *: www (LISTEN)
    sshd 17860 root 3u IPv6 12689580 TCP *: ssh (LISTEN)
    sshd 17880 root 3u IPv6 12689629 TCP *: 8899 (POČÚVAJTE)
    sshd 30435 root 4u IPv6 74368139 TCP 209,40.205,146: 8899-> dsl-189-130-12-20.prod-infinitum.com.mx:3262 (ZARIADENÉ)
    Naučte sa používať linux z shellu (príkazový riadok)
    Naučte sa používať linux z shellu (príkazový riadok).
  3. 3
    Ak máte pochybnosti, hacknite to! Vypnite všetky neznáme alebo nepotrebné služby pomocou príslušných nástrojov pre vašu distribúciu Linuxu, ako napríklad update-rc.d v systémoch Debian, alebo v niektorých prípadoch úpravou súborov /etc/inetd.conf alebo /etc/xinetd.d/*. Spolu s tým sa zbavte všetkých nástrojov, ktoré váš poskytovateľ serverov pridal na správu systému, napríklad Plesk.
  4. 4
    Nepovoľte prihlásenie root na vašom primárnom porte sshd 22 (nastavte permitrootlogin na „nie“); mnoho automatizovaných nástrojov na to používa útoky hrubou silou. Nastavte sekundárny port pre prístup root, ktorý bude fungovať iba pomocou zdieľaných kľúčov, pričom heslá nie sú povolené:
    • Skopírujte súbor sshd_config do root_sshd_config a v novom súbore zmeňte nasledujúce položky:
      • Port z 22 na iné číslo, povedzme 8899 (toto nepoužívajte! Vytvorte si vlastné!)
      • PermitRootLogin od „nie“ (mali ste ho nastaviť na „nie“ pre port 22, pamätáte?) Na „áno“
      • Root AllowUsers root pridá tento riadok, alebo ak existuje, zmeňte ho, aby na tomto porte povolil iba prihlasovacie údaje root
      • Ak chcete, aby bol tento riadok komentovaný, nekomentujte tento riadok a uistite sa, že namiesto „áno“ uvádza „nie“
    • Vyskúšajte tento príkaz:
      sshd -D -f/etc/ssh/root_sshd_config
      a zistite, či funguje správne -skúste sa prihlásiť z iného počítača (musíte už mať nastavené autentifikáciu zdieľaným kľúčom medzi týmito dvoma počítačmi) pomocou:
      ssh -p8899 root @my.remote.server
      a ak je to tak, Ctrl -C vo vyššie uvedenom príkaze (sshd) zastaví démona sshd, potom ho pridajte na koniec súboru /etc /inittab:
      rssh: 2345: respawn: sshd -D -f / etc/ssh/root_sshd_config
    • Reštartujte úlohu init: # init q Spustí sa váš „démon root ssh“ ako úloha na pozadí a v prípade zlyhania sa automaticky reštartuje.

Tipy

  • Skúste nainštalovať Grsecurity a/alebo SELinux a/alebo AppArmour a/alebo PaX.
  • Ak chcete pridávať opravy zabezpečenia, pravidelne aktualizujte svoj operačný systém. Na Debiane: apt-get upgrade
  • Sledujte novinky o zraniteľnostiach na http://securityfocus.com/ a súvisiacich webových stránkach.
    Urobí váš server úplne bezpečným
    Nič, čo môžete urobiť, urobí váš server úplne bezpečným.
  • Pravidelne kontrolujte svoje súbory denníka a zistite, aké typy útokov sú spustené proti vášmu serveru. /var/log/auth alebo /var/log/auth.log je typickým miestom na nájdenie pokusov o prihlásenie:
    18. januára 10:48:46 ns003 sshd [23829]: Nelegálny používateľ rosa z:: ffff: 58,29.238,252
    18. januára 10:48:49 ns003 sshd [23833]: Nelegálny používateľ rosemarie od:: ffff: 58,29.238,252
    18. januára 10:48:51 ns003 sshd [23838]: Nelegálna používateľská rutina od:: ffff: 58,29.238, 252
    18. januára 10:48:54 ns003 sshd [23840]: Nelegálny užívateľský sabine z:: ffff: 58,29.238,252
    18. januára 10:48:57 ns003 sshd [23845]: Nelegálny používateľ sandra z:: ffff: 58, 29,238,252

Varovania

  • Nič, čo môžete urobiť, urobí váš server úplne bezpečným. Majte k dispozícii zálohy všetkých dôležitých súborov a plán zálohovania pre prípad, že dôjde k najhoršiemu.
  • Nikdy neverte serveru, ktorý bol prasknutý. Cracker má prístup k 100% systému, akonáhle má prístup root.
Prečítajte si tiež: Ako aktualizovať firmvér smerovača?

Prečítajte si tiež:

  1. Ako nainštalovať Linux?
  2. Ako pingovať v linuxe?
  3. Ako nakonfigurovať x11 v linuxe?
Súvisiace články
  1. Ako nainštalovať Windows Server 2003?Bc. Arpád Dubovský
  2. Ako previesť Linksys WRT54G na prístupový bod?Beňadik Gallo
  3. Ako sa prihlásiť do smerovača Linksys?Ľubor Dostál
  4. Ako resetovať smerovač Linksys?PaedDr. Denis Jánošík DSc.
  5. Ako si vybrať bezdrôtový smerovač?Ing. Róbert Truben
  6. Ako nakonfigurovať smerovač?Viktor Pavlikovský
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail