LFCA: Perusturvavinkit Linux-järjestelmän suojaamiseksi - osa 17
Elämme nyt enemmän kuin koskaan, maailmassa, jossa organisaatioita pommitetaan jatkuvasti tietoturvaloukkauksista, joiden syynä on erittäin arkaluonteisten ja luottamuksellisten tietojen hankkiminen, mikä on erittäin arvokasta ja josta saadaan valtava taloudellinen palkkio.
On melko yllättävää, että huolimatta suuresta riskistä kärsiä mahdollisesti tuhoisasta kyberhyökkäyksestä, useimmat yritykset eivät ole hyvin valmistautuneita tai yksinkertaisesti sivuuttavat punaiset liput, joilla on usein tuhoisia seurauksia.
Vuonna 2016 Equifax kärsi katastrofaalisesta tietorikkomuksesta, jossa miljoonia erittäin luottamuksellisia asiakastietoja varastettiin useiden tietoturvavikojen seurauksena. Yksityiskohtaisen raportin mukaan rikkomus oli estettävissä, jos Equifaxin tietoturvaryhmä oli toteuttanut oikeat turvatoimet.
Itse asiassa kuukausia ennen rikkomusta Equifaxia varoitettiin verkkoportaalin mahdollisesta haavoittuvuudesta, joka vaarantaisi heidän turvallisuutensa, mutta valitettavasti varoitus jätettiin huomiotta ja sillä oli vakavia seurauksia. Monet muut suuret yritykset ovat joutuneet hyökkäysten uhreiksi, ja niiden monimutkaisuus kasvaa jatkuvasti joka hetki.
Emme voi korostaa tarpeeksi Linux-järjestelmän turvallisuuden tärkeyttä. Et ehkä ole korkean profiilin finanssilaitos, joka on mahdollinen rikkomusten kohde, mutta se ei tarkoita, että sinun pitäisi pettää vartijasi.
Turvallisuuden tulisi olla mielessäsi, kun asetat Linux-palvelinta, varsinkin jos se on yhteydessä Internetiin ja sitä käytetään etänä. Perusturvallisuusosaamisen hallinta on välttämätöntä Linux-palvelimesi suojaamiseksi.
Tässä oppaassa keskitymme joihinkin perusturvatoimenpiteisiin, joita voit toteuttaa suojataaksesi järjestelmää tunkeilijoilta.
Cyber Attack -vektorit
Tunkeilijat hyödyntävät erilaisia hyökkäystekniikoita päästäksesi Linux-palvelimeesi. Ennen kuin tutustumme joihinkin toimenpiteisiin, joita voit toteuttaa järjestelmän suojaamiseksi, hyödynnetään joitain yleisiä hyökkäysvektoreita, joita hakkeri voi käyttää järjestelmien tunkeutumiseen.
Raa'an voiman hyökkäys on hyökkäys, jossa hakkeri käyttää kokeiluja ja virheitä käyttäjän sisäänkirjautumistietojen arvailuun. Yleensä tunkeilija käyttää automaattisia komentosarjoja saadakseen jatkuvasti pääsyn, kunnes saadaan oikea käyttäjänimen ja salasanan yhdistelmä. Tällainen hyökkäys on tehokkain siellä, missä käytetään heikkoja ja helposti arvattavia salasanoja.
Kuten aiemmin mainittiin, heikot tunnistetiedot, kuten lyhyet ja helposti arvattavat salasanat, kuten password1234, aiheuttavat potentiaalisen riskin järjestelmällesi. Lyhyempi ja vähemmän monimutkainen salasana on, sitä suuremmat mahdollisuudet järjestelmään vaarantuvat.
Tietojenkalastelu on sosiaalisen suunnittelun tekniikka, jossa hyökkääjä lähettää uhrille sähköpostin, joka näyttää olevan peräisin lailliselta laitokselta tai joku, jonka tiedät tai teet kauppaa.
Yleensä sähköposti sisältää ohjeita, jotka kannustavat uhria paljastamaan arkaluontoisia tietoja, tai voi sisältää linkin, joka ohjaa hänet väärennettyyn sivustoon, joka esiintyy yrityksen sivustona. Kun uhri yrittää kirjautua sisään, hyökkääjä vangitsee heidän tunnistetietonsa.
Haittaohjelma on lyhenne haittaohjelmista. Se kattaa laajan valikoiman epäilyttäviä sovelluksia, kuten viruksia, troijalaisia, matoja ja lunnasohjelmia, jotka on suunniteltu levittämään nopeasti ja pitämään uhrin järjestelmää panttivankina lunnaita vastaan.
Tällaiset hyökkäykset voivat olla heikentäviä ja lamauttaa organisaation liiketoiminnan. Jotkut haittaohjelmat voidaan injektoida asiakirjoihin, kuten kuviin, videoihin, Word- tai PowerPoint-asiakirjoihin, ja pakata tietojenkalastelusähköpostiin.
DoS-hyökkäys on hyökkäys, joka rajoittaa tai vaikuttaa palvelimen tai tietokonejärjestelmän saatavuuteen. Hakkerit tulvivat palvelimen liikenteellä tai ping-paketeilla, jotka tekevät palvelimesta pitkään käyttämättömän käyttäjille.
DDoS (Distributed Denial of Service) -hyökkäys on eräänlainen DoS-hyökkäys, joka käyttää useita järjestelmiä, jotka tulvivat kohteen liikenteellä, joka tekee siitä poissa käytöstä.
Lyhenne sanoista Structured Query Language, SQL on kieli, jota käytetään kommunikointiin tietokantojen kanssa. Sen avulla käyttäjät voivat luoda, poistaa ja päivittää tietueita tietokantaan. Monet palvelimet tallentavat tietoja relaatiotietokantoihin, jotka käyttävät SQL: ää vuorovaikutuksessa tietokannan kanssa.
SQL-injektiohyökkäys hyödyntää tunnettua SQL-haavoittuvuutta, joka saa palvelimen paljastamaan arkaluonteisia tietokantatietoja, joita se muuten ei tekisi injektoimalla haitallista SQL-koodia. Tämä aiheuttaa valtavan riskin, jos tietokanta tallentaa henkilökohtaisia tietoja, kuten luottokorttien numerot, sosiaaliturvatunnukset ja salasanat.
Yleisesti lyhennettynä MITM: ksi, ihminen keskellä -hyökkäys sisältää hyökkääjän, joka sieppaa tietoja kahden pisteen välillä tarkoituksena salakuunnella tai muuttaa osapuolten välistä liikennettä. Tavoitteena on vakoilla uhria, korruptoida tietoja tai varastaa arkaluontoisia tietoja.
Perustietoja Linux-palvelimen suojaamisesta
Tarkasteltuamme potentiaalisia yhdyskäytäviä, joita hyökkääjä voi käyttää järjestelmän rikkomiseen, käymme läpi joitain perustoimia, jotka voit toteuttaa järjestelmän suojaamiseksi.
Palvelimesi fyysiseen sijaintiin ja turvallisuuteen ei kiinnitetä paljon huomiota, mutta jos palvelimesi tulee olemaan paikan päällä, aloitat yleensä.
On tärkeää varmistaa, että palvelimesi on turvallisesti suojattu palvelinkeskuksessa varmuuskopiolla, tarpeettomalla Internet-yhteydellä ja riittävällä jäähdytyksellä. Pääsy datakeskukseen olisi rajoitettava vain valtuutettuun henkilöstöön.
Kun palvelin on määritetty, ensimmäinen askel on päivittää arkistot ja sovellusohjelmistopaketit seuraavasti. Paketin päivittäminen korjaa kaikki porsaanreiät, joita saattaa esiintyä sovellusten nykyisissä versioissa.
Ubuntu/Debian-jakelut:
$ sudo apt update -y $ sudo apt upgrade -y
RHEL/CentOS-jakelut:
$ sudo yum upgrade -y
Palomuuri on sovellus, joka suodattaa saapuvan ja lähtevän liikenteen. Sinun on asennettava kestävä palomuuri, kuten UFW-palomuuri, ja sallittava se sallimaan vain vaaditut palvelut ja niitä vastaavat portit.
Voit esimerkiksi asentaa sen Ubuntuun komennolla:
$ sudo apt install ufw
Kun se on asennettu, ota se käyttöön seuraavasti:
$ sudo ufw enable
Jos haluat sallia palvelun, kuten HTTPS, suorita komento;
$ sudo ufw allow https
Vaihtoehtoisesti voit sallia sen vastaavan portin, joka on 443.
$ sudo ufw allow 443/tcp
Lataa sitten muutokset, jotta ne tulevat voimaan.
$ sudo ufw reload
Tarkista palomuurisi tila, mukaan lukien sallitut palvelut ja avoimet portit, suorittamalla
$ sudo ufw status
Harkitse lisäksi palomuurin kaikkien käyttämättömien tai tarpeettomien palveluiden ja porttien poistamista käytöstä. Useat portit, joita ei käytetä, lisää vain hyökkäysmaisemaa.
SSH-oletusasetukset eivät ole turvallisia, ja siksi tarvitaan joitain säätöjä. Varmista seuraavat asetukset:
- Poista pääkäyttäjä käytöstä etäkirjautumisesta.
- Ota käyttöön salasanaton SSH-todennus SSH: n julkisilla/yksityisillä avaimilla.
Ensimmäisen pisteen kohdalla muokkaa tiedostoa/etc/ssh/sshd_config ja muokkaa seuraavia parametreja näkyviin kuvan mukaisesti.
PermitRootLogin no
Kun olet poistanut pääkäyttäjän kirjautumisen etänä, luo tavallinen käyttäjä ja määritä sudo-oikeudet. Esimerkiksi.
$ sudo adduser user $ sudo usermod -aG sudo user
Ota salasanaton todennus käyttöön siirtymällä ensin toiseen Linux-tietokoneeseen - mieluiten tietokoneellesi ja luomalla SSH-avainpari.
$ ssh-keygen
Kopioi sitten julkinen avain palvelimellesi
$ ssh-copy-id [email
Kun olet kirjautunut sisään, muista poistaa salasanan todennus käytöstä muokkaamalla tiedostoa/etc/ssh/sshd_config ja muokkaamalla näytettyä parametria.
PasswordAuthentication no
Varo menettämästä yksityistä ssh-avainta, koska se on ainoa tapa, jolla voit kirjautua sisään. Pidä se turvassa ja mieluiten varmuuskopioi se pilveen.
Käynnistä lopuksi SSH uudelleen muutosten tekemiseksi
$ sudo systemctl restart sshd
Maailmassa, jossa kyberuhat kehittyvät, turvallisuuden tulisi olla ensisijaisen tärkeää, kun aloitat Linux-palvelimesi asettamisen. Tässä oppaassa olemme korostaneet joitain perusturvatoimenpiteitä, joita voit toteuttaa palvelimesi vahvistamiseksi. Seuraavassa aiheessa käymme syvemmälle ja tarkastelemme muita vaiheita, jotka voit tehdä palvelimesi kovettamiseksi.