LFCA – Hyödyllisiä vinkkejä tietojen ja Linuxin suojaamiseen – Osa 18


1990-luvun alussa julkaistusta julkaisustaan lähtien Linux on voittanut teknologiayhteisön ihailun vakauden, monipuolisuuden, muokattavuuden ja suuren avoimen lähdekoodin kehittäjien yhteisön ansiosta, jotka työskentelevät ympäri vuorokauden tarjotakseen virheenkorjauksia ja parannuksia käyttöjärjestelmä. Yleisesti ottaen Linux on suosituin käyttöjärjestelmä julkisille pilville, palvelimille ja supertietokoneille, ja lähes 75 % Internetiin päin olevista tuotantopalvelimista toimii Linuxilla.

Internetin käytön lisäksi Linux on löytänyt tiensä digitaaliseen maailmaan, eikä se ole laantunut sen jälkeen. Siinä on laaja valikoima älylaitteita, mukaan lukien Android-älypuhelimet, tabletit, älykellot, älynäytöt ja monet muut.

Onko Linux niin turvallinen?

Linux on tunnettu huipputason tietoturvastaan, ja se on yksi syistä, miksi se on suosikkivalinta yritysympäristöissä. Mutta tässä on tosiasia, mikään käyttöjärjestelmä ei ole 100 % turvallinen. Monet käyttäjät uskovat, että Linux on idioottivarma käyttöjärjestelmä, mikä on väärä oletus. Itse asiassa kaikki käyttöjärjestelmät, joissa on Internet-yhteys, ovat alttiita mahdollisille tietomurroille ja haittaohjelmahyökkäyksille.

Alkuvuosinaan Linuxilla oli paljon pienempi tekniikkakeskeinen väestörakenne, ja riski kärsiä haittaohjelmien hyökkäyksistä oli vähäinen. Nykyään Linux käyttää valtavaa osaa Internetistä, ja tämä on vauhdittanut uhkamaiseman kasvua. Haittaohjelmahyökkäysten uhka on todellisempi kuin koskaan.

Täydellinen esimerkki haittaohjelmahyökkäyksestä Linux-järjestelmiä vastaan on Erebus ransomware, tiedostoja salaava haittaohjelma, joka vaikutti lähes 153 eteläkorealaisen web-hosting-yrityksen NAYANAn Linux-palvelimeen.

Tästä syystä on järkevää koventaa käyttöjärjestelmää entisestään, jotta se antaa sille toivotun tietoturvan tietojesi suojaamiseksi.

Vinkkejä Linux-palvelimen karkaisuun

Linux-palvelimesi suojaaminen ei ole niin monimutkaista kuin luulisi. Olemme koonneet luettelon parhaista suojauskäytännöistä, jotka sinun on otettava käyttöön järjestelmäsi turvallisuuden vahvistamiseksi ja tietojen eheyden ylläpitämiseksi.

1. Päivitä ohjelmistopaketit säännöllisesti

Equifax-murron alkuvaiheessa hakkerit hyödynsivät laajalti tunnettua haavoittuvuutta – Apache Struts – Equifaxin asiakasvalitusverkkoportaalissa.

Apache Struts on Apache Foundationin kehittämä avoimen lähdekoodin kehys nykyaikaisten ja tyylikkäiden Java-verkkosovellusten luomiseen. Säätiö julkaisi korjaustiedoston haavoittuvuuden korjaamiseksi 7. maaliskuuta 2017 ja antoi asiasta lausunnon.

Equifaxille ilmoitettiin haavoittuvuudesta ja kehotettiin korjaamaan sovelluksensa, mutta valitettavasti haavoittuvuus pysyi korjaamattomana saman vuoden heinäkuuhun asti, jolloin oli liian myöhäistä. Hyökkääjät pääsivät yrityksen verkkoon ja suodattivat tietokannoista miljoonia luottamuksellisia asiakastietoja. Kun Equifax sai tietää mitä oli tapahtumassa, oli kulunut jo kaksi kuukautta.

Joten mitä voimme oppia tästä?

Haitalliset käyttäjät tai hakkerit tutkivat aina palvelimeltasi mahdollisia ohjelmistohaavoittuvuuksia, joita he voivat sitten hyödyntää järjestelmän rikkomiseen. Varmuuden vuoksi päivitä ohjelmistosi aina sen nykyiseen versioon, jotta voit asentaa korjauksia olemassa oleviin haavoittuvuuksiin.

Jos käytät Ubuntu- tai Debian-pohjaisia järjestelmiä, ensimmäinen vaihe on yleensä päivittää pakettiluettelosi tai tietovarastot kuvan mukaisesti.

sudo apt update

Tarkistaaksesi kaikki paketit, joissa on saatavilla olevia päivityksiä, suorita komento:

sudo apt list --upgradable

Päivitä ohjelmistosovelluksesi nykyiseen versioonsa kuvan mukaisesti:

sudo apt upgrade

Voit ketjuttaa nämä kaksi yhdessä komennossa kuvan osoittamalla tavalla.

sudo apt update && sudo apt upgrade

Päivitä RHEL- ja CentOS-sovelluksesi suorittamalla komento:

sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )

Toinen käyttökelpoinen vaihtoehto on ottaa käyttöön automaattiset tietoturvapäivitykset Ubuntulle ja myös määrittää automaattiset päivitykset CentOS/RHEL:lle.

2. Poista vanhat viestintäpalvelut/protokollat

Huolimatta siitä, että se tukee lukuisia etäprotokollia, vanhat palvelut, kuten rlogin, telnet, TFTP ja FTP, voivat aiheuttaa valtavia tietoturvaongelmia järjestelmällesi. Nämä ovat vanhoja, vanhentuneita ja turvattomia protokollia, joissa tiedot lähetetään pelkkänä tekstinä. Jos niitä on olemassa, harkitse niiden poistamista kuvan mukaisesti.

Suorita Ubuntu/Debian-pohjaisissa järjestelmissä:

sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Suorita RHEL/CentOS-pohjaisissa järjestelmissä:

sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Sulje palomuurin käyttämättömät portit

Kun olet poistanut kaikki turvattomat palvelut, on tärkeää tarkistaa palvelimeltasi avoimet portit ja sulkea kaikki käyttämättömät portit, joita hakkerit voivat mahdollisesti käyttää sisääntulopisteenä.

Oletetaan, että haluat estää UFW-palomuurin portin 7070. Tämän käsky tulee olemaan:

sudo ufw deny 7070/tcp

Lataa sitten palomuuri uudelleen, jotta muutokset tulevat voimaan.

sudo ufw reload

Palomuuria varten suorita komento:

sudo firewall-cmd --remove-port=7070/tcp  --permanent

Ja muista ladata palomuuri uudelleen.

sudo firewall-cmd --reload

Tarkista sitten palomuurisäännöt kuvan mukaisesti:

sudo firewall-cmd --list-all

4. Suojattu SSH-protokolla

SSH-protokolla on etäprotokolla, jonka avulla voit muodostaa turvallisen yhteyden verkon laitteisiin. Vaikka sitä pidetään turvallisena, oletusasetukset eivät riitä, ja joitain lisäsäätöjä tarvitaan entisestään estämään haitallisia käyttäjiä rikkomasta järjestelmääsi.

Meillä on kattava opas SSH-protokollan vahvistamiseen. Tässä ovat tärkeimmät kohokohdat.

  • Määritä salasanaton SSH-kirjautuminen ja ota käyttöön yksityisen/julkisen avaimen todennus.
  • Poista SSH-etäpääkirjautuminen käytöstä.
  • Poista SSH-kirjautuminen käytöstä käyttäjiltä, joilla on tyhjä salasana.
  • Poista salasanatodennus kokonaan käytöstä ja pysy SSH:n yksityisen/julkisen avaimen todentamisessa.
  • Rajoita pääsy tiettyihin SSH-käyttäjiin.
  • Määritä salasanayritysten raja.

5. Asenna ja ota käyttöön Fail2ban

Fail2ban on avoimen lähdekoodin tunkeutumisen estojärjestelmä, joka suojaa palvelintasi bruteforce-hyökkäyksiltä. Se suojaa Linux-järjestelmääsi estämällä IP-osoitteet, jotka osoittavat haitallista toimintaa, kuten liian monta kirjautumisyritystä. Pakkauksesta lähtien se toimitetaan suodattimilla suosittuja palveluita varten, kuten Apache-verkkopalvelin, vsftpd ja SSH.

Meillä on opas Fail2banin määrittämiseen SSH-protokollan vahvistamiseksi.

6. Pakota salasanan vahvuus PAM-moduulin avulla

Salasanojen uudelleenkäyttö tai heikkojen ja yksinkertaisten salasanojen käyttö heikentää suuresti järjestelmän turvallisuutta. Pakotat salasanakäytännön, käytät pam_cracklib-parametria salasanan vahvuusvaatimusten määrittämiseen tai määrittämiseen.

PAM-moduulin avulla voit määrittää salasanan vahvuuden muokkaamalla tiedostoa /etc/pam.d/system-auth. Voit esimerkiksi asettaa salasanan monimutkaisuuden ja estää salasanojen uudelleenkäytön.

7. Asenna SSL/TLS-sertifikaatti

Jos käytät verkkosivustoa, varmista aina, että verkkotunnuksesi on suojattu SSL/TLS-varmenteen avulla käyttäjien selaimen ja verkkopalvelimen välillä vaihdettavien tietojen salaamiseksi.

8. Poista käytöstä heikot salausprotokollat ja salausavaimet

Kun olet salannut sivustosi, harkitse myös heikkojen salausprotokollien poistamista käytöstä. Tätä opasta kirjoitettaessa uusin protokolla on TLS 1.3, joka on yleisin ja laajimmin käytetty protokolla. Aiemmat versiot, kuten TLS 1.0, TLS 1.2 ja SSLv1 - SSLv3, on liitetty tunnettuihin haavoittuvuuksiin.

Käärimistä

Tämä oli yhteenveto joistakin vaiheista, joita voit tehdä varmistaaksesi Linux-järjestelmäsi tietoturvan ja yksityisyyden.