Nastavenie zabezpečenia siete v ubuntu. Bezpečnosť v Linuxe je relatívny pojem

Nikto z nás nechce, aby sa osobné informácie dostali do nesprávnych rúk. Ako však ochrániť váš systém pred útokmi a krádežou dát? Naozaj musíte čítať kilometrové manuály o nastavovacích a šifrovacích algoritmoch? Vôbec to nie je potrebné. V tomto článku vám poviem, ako zaistiť bezpečnosť systému Linux doslova za 30 minút.

Úvod

Žijeme v dobe mobilných zariadení a trvalo online. Ideme do kaviarne s notebookom a prevádzkujeme webové servery vystavené internetu na našich domácich strojoch. Registrujeme sa na stovkách stránok a používame rovnaké heslá pre webové služby. Vždy máme vo vrecku smartfón s desiatkami hesiel a kľúčmi k niekoľkým SSH serverom. Už sme si natoľko zvykli, že sa o naše súkromie starajú služby tretích strán, že sme tomu prestali venovať pozornosť.

Keď som stratil svoj smartfón, mal som veľké šťastie, že ochrana proti krádeži, ktorá je na ňom nainštalovaná, sa ukázala ako funkčná a umožnila mi na diaľku vymazať všetky údaje z pamäte zariadenia. Keď som neúmyselne otvoril port SSH na domácom počítači s používateľom bez hesla (!). vonkajší svet(!!), Mal som veľké šťastie, že sa na stroj dostali scenáristi a okrem vtipnej histórie shellu nezanechali v systéme žiadne vážnejšie stopy svojej prítomnosti. Keď som náhodou zavesil na internet inzerát s heslom z Gmailu, mal som veľké šťastie, že sa našiel milý človek, ktorý ma na to upozornil.

Možno som blázon, ale som pevne presvedčený, že podobné incidenty sa stali mnohým, ktorí čítajú tieto riadky. A je dobré, ak sa títo ľudia, na rozdiel odo mňa, vážne starajú o ochranu svojho auta. Koniec koncov, ochrana proti krádeži možno nefungovala a namiesto skriptového kiddy sa do auta mohli dostať seriózni ľudia a možno by som stratil nie smartfón, ale notebook, ktorý okrem hesla používateľa nemal inú ochranu. . Nie, v dnešnej dobe by ste sa rozhodne nemali spoliehať na dvojfaktorové overenie Google a hlúpe heslá, potrebujete niečo vážnejšie.

Tento článok je sprievodcom pre paranoidného Unixoida, ktorý sa venuje úplnej ochrane linuxového počítača pred čímkoľvek a všetkým. Váham povedať, že všetko, čo je tu opísané, je povinné. Práve naopak, toto je zbierka receptov, informácií, z ktorých môžete chrániť seba a svoje údaje na tých úrovniach, kde je to potrebné vo vašej konkrétnej situácii.

Heslo!

Všetko to začína heslami. Sú všade: v prihlasovacom okne v distribúcii Linuxu, v registračných formulároch na internetových stránkach, na serveroch FTP a SSH a na uzamknutej obrazovke smartfónu. Dnešným štandardom pre heslá je 8–12 znakov v rôznych malých a veľkých písmenách a vrátane čísel. Generovanie takýchto hesiel vlastnou mysľou je dosť únavné, ale existuje jednoduchý spôsob, ako to urobiť automaticky:

$ openssl rand -base64 6

Žiadne externé aplikácie, žiadne rozšírenia webového prehliadača, OpenSSL je k dispozícii na akomkoľvek počítači. Aj keď, ak je to pre niekoho pohodlnejšie, môže si nainštalovať a používať pwgen na tieto účely (hovoria, že heslo bude silnejšie):

$ pwgen -Bs 8 1

Kam ukladať heslá? Dnes ich má každý používateľ toľko, že uložiť všetko do hlavy je jednoducho nemožné. Dôverovať systému automatického ukladania vášho prehliadača? Je to možné, ale ktovie, ako s nimi bude zaobchádzať Google alebo Mozilla. Snowden povedal, že to nebolo veľmi dobré. Preto musia byť heslá uložené na samotnom stroji v zašifrovanom kontajneri. Otcovia zakladatelia na to odporúčajú používať KeePassX. Tá vec je grafická, čo sa samotným otcom zakladateliam veľmi nepáči, ale funguje to všade, vrátane známej Android Google sondy (KeePassDroid). Zostáva len preniesť databázu s heslami tam, kde je to potrebné.

Poďme šifrovať

Šifrovanie – v tomto slove je toho toľko... Dnes je šifrovanie všade a zároveň nikde. Sme nútení používať HTTPS verzie webových stránok, ale je nám to jedno. Povedia nám: „Zašifrujte svoj domovský adresár“ a my povieme: „Potom to nastavím.“ Hovoria nám: „Obľúbenou zábavou zamestnancov Dropboxu je smiech na osobných fotografiách používateľov“ a my: „Nechajte ich, nech sa smejú.“ Medzitým je dnes šifrovanie jediným absolútnym prostriedkom ochrany. Je tiež veľmi cenovo dostupný a vyhladzuje vrásky.

Linux má veľa možností šifrovania pre všetko od oddielov pevného disku až po jednotlivé súbory. Tri najznámejšie a časom overené nástroje sú dm-crypt/LUKS, ecryptfs a encfs. Prvý zašifruje celé disky a partície, druhý a tretí zašifruje adresáre s dôležitými informáciami, každý súbor zvlášť, čo je veľmi výhodné, ak potrebujete robiť prírastkové zálohy alebo ho používať v spojení s Dropboxom. Existuje aj niekoľko menej známych nástrojov, medzi ktoré patrí napríklad TrueCrypt.

Dovoľte mi hneď urobiť výhradu, že šifrovanie celého disku je náročná úloha a hlavne zbytočná. V koreňovom adresári nie je nič obzvlášť dôverné a ani nemôže byť, ale domovský adresár a swap sú jednoducho pokladnicou informácií. Druhý je navyše ešte väčší ako prvý, keďže dáta a heslá sa tam môžu dostať už v dešifrovanej forme (bežní programátori zakazujú systému ukladať takéto dáta do swapu, ale sú v menšine). Nastavenie šifrovania pre obe je veľmi jednoduché, stačí nainštalovať nástroje na šifrovanie:

$ sudo apt-get install ecryptfs-utils

A v skutočnosti povoliť šifrovanie:

$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private

Ďalej stačí zadať heslo používané na prihlásenie a znova sa prihlásiť do systému. Áno, je to naozaj také jednoduché. Prvý príkaz zašifruje a znova pripojí swap zmenou príslušných riadkov v /etc/fstab. Druhý vytvorí adresár ~/.Private a ~/Private, v ktorom sa budú ukladať zašifrované a dešifrované súbory, resp. Keď sa prihlásite, spustí sa PAM modul pam_ecryptfs.so, ktorý pripojí prvý adresár k druhému s transparentným šifrovaním dát. Po odpojení bude ~/Private prázdne a ~/.Private bude obsahovať všetky súbory v zašifrovanej forme.

Nie je zakázané šifrovať celý domovský adresár. V tomto prípade výkon veľmi neklesne, ale budú chránené všetky súbory vrátane rovnakého sieťového adresára ~/Dropbox. Robí sa to takto:

# ecryptfs-migrate-home -u vasya

Mimochodom, na disku by malo byť 2,5-krát viac miesta ako vasya dát, takže odporúčam vyčistiť ho vopred. Po dokončení operácie by ste sa mali okamžite prihlásiť ako používateľ vasya a skontrolovať funkčnosť:

$mount | grep Private /home/vasya/.Private na /home/vasya typu ecryptfs ...

Ak je všetko v poriadku, nezašifrovanú kópiu údajov možno prepísať:

$ sudo rm -r /home/vasya.*

Zakrývanie našich stôp

OK, heslá sú na bezpečnom mieste, osobné súbory tiež, čo teraz? A teraz sa musíme postarať o to, aby sa niektoré časti našich osobných údajov nedostali do nesprávnych rúk. Nie je žiadnym tajomstvom, že po odstránení súboru zostane jeho aktuálny obsah na médiu, aj keď sa formátovanie vykoná neskôr. Naše zašifrované dáta budú v bezpečí aj po vymazaní, ale čo flash disky a iné pamäťové karty? Tu potrebujeme obslužný program srm, ktorý nielen vymaže súbor, ale vyplní aj zvyšné dátové bloky odpadom:

$ sudo apt-get install secure-delete $ srm secret-file.txt home-video.mpg

# dd if=/dev/zero of=/dev/sdb

Tento príkaz vymaže všetky údaje na sdb flash disku. Ďalej už zostáva len vytvoriť tabuľku oblastí (s jednou oblasťou) a naformátovať ju do požadovaného súborového systému. Na to sa odporúča použiť fdisk a mkfs.vfat, ale vystačíte si aj s grafickým gparted.

Zabránenie útokom BruteForce

Fail2ban je démon, ktorý skenuje protokoly pre pokusy uhádnuť heslá pre sieťové služby. Ak sa takéto pokusy nájdu, podozrivá IP adresa sa zablokuje pomocou iptables alebo TCP Wrapperov. Služba je schopná informovať vlastníka hostiteľa o incidente prostredníctvom e-mailu a resetovať blokovanie prostredníctvom určený čas. Fail2ban bol pôvodne vyvinutý na ochranu SSH, dnes sú ponúkané hotové príklady pre Apache, lighttpd, Postfix, Exim, Cyrus IMAP, Named atď. Navyše jeden Fail2ban proces môže chrániť niekoľko služieb naraz.

V Ubuntu/Debiane na inštaláciu napíšeme:

# apt-get install fail2ban

Konfigurácie sa nachádzajú v adresári /etc/fail2ban. Po zmene konfigurácie by ste mali reštartovať fail2ban príkazom:

# /etc/init.d/fail2ban reštart

Hrozba zvonku

Teraz sa postarajme o hrozby vychádzajúce z hlbín World Wide Web. Tu by som mal začať hovoriť o iptables a pf spustených na vyhradenom stroji s OpenBSD, ale toto všetko je zbytočné, keď existuje ipkungfu. čo to je Ide o skript, ktorý za nás urobí všetku špinavú prácu pri konfigurácii firewallu bez toho, aby sme museli písať kilometrové zoznamy pravidiel. Inštalovať:

$ sudo apt-get install ipkungfu

Úprava konfigurácie:

$ sudo vi /etc/ipkungfu/ipkungfu.conf # Lokálna sieť, ak existuje, napíšte sieťovú adresu spolu s maskou, ak nie, napíšte adresu spätnej slučky LOCAL_NET="127.0.0.1" # Náš počítač nie je brána GATEWAY=0 # Zatvorte potrebné porty FORBIDDEN_PORTS="135 137 139" # Zablokujte pingy, v tejto fáze odpadne 90% detí BLOCK_PINGS=1 # Zahoďte podozrivé pakety (rôzne typy záplav) SUSPECT="DROP" # Zahoďte "nesprávne" pakety (niektoré typy DoS) KNOWN_BAD=" DROP" # Skenovanie portov? Thrash! PORT_SCAN="DROP"

Ak chcete povoliť ipkungfu, otvorte súbor /etc/default/ipkungfu a zmeňte riadok IPKFSTART = 0 na IPKFSTART = 1. Spustite:

$sudo ippungfu

Okrem toho urobme zmeny v /etc/sysctl.conf:

$ sudo vi /etc/systcl.conf # Zrušte presmerovania ICMP (proti útokom MITM) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # Povoľte mechanizmus TCP syncookies net.ipv4 . tcp_syncookies=1 # Rôzne vylepšenia (anti-spoofing, zvýšenie frontu „polootvorených“ pripojení TCP atď.) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_backlog =1280 jadro .core_uses_pid=1

Aktivujte zmeny:

$ sudo sysctl -p

Detekcia prienikov

Snort je jedným z obľúbených nástrojov správcov a hlavnou postavou všetkých bezpečnostných sprievodcov. Vec s dlhou históriou a obrovskými schopnosťami, ktorej sú venované celé knihy. Čo robí v našom sprievodcovi rýchle nastavenie bezpečný systém? A sem to patrí; Snort nie je potrebné konfigurovať:

$ sudo apt-get install snort $ snort -D

Všetky! Nerobím si srandu štandardné nastavenia Snort je viac než dostatočný na ochranu typických sieťových služieb, ak ich, samozrejme, máte. Stačí sa z času na čas pozrieť do denníka. A v ňom nájdete riadky ako tieto:

[**] Pokus o pretečenie odozvy sondy MS-SQL [**] http://www.securityfocus.com/bid/9407]

Ojoj Niekto sa pokúsil spôsobiť pretečenie vyrovnávacej pamäte v MySQL. Je tam aj odkaz na stránku s podrobný popis problémy. Krása.

Niekto zdedil...

Niekto obzvlášť šikovný dokázal obísť náš firewall, dostať sa cez Snort, získať root prístup do systému a teraz sa pravidelne prihlasovať do systému pomocou nainštalovaného zadného vrátka. Nie je dobré, treba nájsť zadné vrátka, odstrániť ich a aktualizovať systém. Na vyhľadávanie rootkitov a backdoorov používame rkhunter:

$ sudo apt-get nainštalovať rkhunter

Poďme spustiť:

$ sudo rkhunter -c --sk

Softvér skontroluje celý systém na prítomnosť rootkitov a zobrazí výsledky na obrazovke. Ak sa malvér stále nájde, rkhunter ukáže na miesto a môže byť vymazané. Podrobnejší protokol sa nachádza tu: /var/log/rkhunter.log. Je lepšie spúšťať rkhunter ako úlohu cron denne:

$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "Výsledky skenovania RKhunter" [chránený e-mailom]

Vasyovu e-mailovú adresu nahradíme našou a skript urobíme spustiteľným:

$ sudo chmod +x /etc/cron.daily/rkhunter.sh

$ sudo rkhunter --update

Mimochodom, môžete ho pridať pred príkaz check v skripte cron. Ďalšie dva nástroje na vyhľadávanie rootkitov:

$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c

V podstate sú to rovnaké vajíčka Faberge z vtáčej perspektívy, ale majú rozdielne základy. Možno s ich pomocou bude možné identifikovať, čo rkhunter vynechal. A na začiatok je debsums nástrojom zmierenia. kontrolné súčty súbory, nainštalované balíky so štandardom. Dali sme:

$ sudo apt-get install debsums

Spustíme kontrolu:

$ sudo debsums -ac

Ako vždy? spustenie možno pridať k úlohám cron.

Vonku

Teraz si povedzme, ako si zachovať anonymitu na internete a získať prístup na stránky a stránky zablokované na žiadosť rôznych organizácií držiteľov autorských práv a iných Mizulínov. Najjednoduchší spôsob, ako to urobiť, je použiť jeden z tisícok proxy serverov po celom svete. Mnohé z nich sú zadarmo, ale často obmedzujú kanál na rýchlosť starého analógového modemu.

Na jednoduché prehliadanie webových stránok a zapnutie proxy len v prípade potreby môžete použiť jedno z mnohých rozšírení pre prehliadače Chrome a Firefox, ktoré možno na žiadosť prepínača proxy jednoducho nájsť v adresári. Nainštalujeme, zadáme zoznam požadovaných proxy a prepneme sa na požadovaný, pričom namiesto stránky sa zobrazí nápis „Prístup na stránku je obmedzený na žiadosť pána Skumbrieviča“.

V situáciách, keď sa celý web dostal pod filter a jeho adresa bola na čiernej listine na strane serverov DNS poskytovateľov, môžete použiť bezplatné servery DNS, ktorých adresy sú zverejnené. Stačí vziať ľubovoľné dve adresy, ktoré sa vám páčia, a pridať ich do /etc/resolv.conf:

Nameserver 156.154.70.22 nameserver 156.154.71.22

Aby sme zabránili rôznym klientom DHCP a správcom siete prepísať súbor adresami prijatými od poskytovateľa alebo smerovača, pomocou rozšírených atribútov je súbor neprepisovateľný:

$ sudo chattr +i /etc/resolv.conf

Potom bude súbor chránený proti zápisu pre všetkých, vrátane rootov.

Ak chcete ešte viac anonymizovať svoje prehliadanie, môžete použiť aj démona dnscrypt, ktorý okrem proxy servera používaného na pripojenie k samotnej stránke zašifruje všetky požiadavky na server DNS. Inštalovať:

$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install

Zadajte adresu spätnej slučky v /etc/resolv.conf:

$ vi /etc/resolv.conf nameserver 127.0.0.1

Začnime s démonom:

$ sudo dnscrypt-proxy --daemonize

Mimochodom, existujú verzie dnscrypt pre Windows, iOS a Android.

Cibuľové smerovanie

Čo je to cibuľové smerovanie? Toto je Tor. A Tor je zasa systém, ktorý vám umožní vytvoriť úplne anonymnú sieť s prístupom na internet. Pojem „cibuľa“ sa tu používa v súvislosti s operačným modelom, v ktorom bude akýkoľvek sieťový paket „zabalený“ do troch vrstiev šifrovania a na ceste k príjemcovi prejde cez tri uzly, z ktorých každý odstráni svoju vlastnú vrstvu. a preniesť výsledok ďalej. Všetko je, samozrejme, komplikovanejšie, ale pre nás je dôležité iba to, že ide o jeden z mála typov organizácie siete, ktorý vám umožňuje zachovať úplnú anonymitu.

Kde je však anonymita, tam sú aj problémy s pripojením. A Tor má aspoň tri z nich: je neuveriteľne pomalý (vďaka šifrovaniu a prenosu cez reťaz uzlov), zaťažuje vašu sieť (pretože vy sami budete jedným z uzlov) a je zraniteľný. na zachytenie dopravy. Ten je prirodzeným dôsledkom možnosti prístupu na internet zo siete Tor: posledný uzol (výstup) odstráni poslednú vrstvu šifrovania a môže získať prístup k údajom.

Tor sa však veľmi ľahko inštaluje a používa:

$ sudo apt-get install tor

To je všetko, teraz bude mať lokálny počítač proxy server vedúci do siete Tor. Adresa: 127.0.0.1:9050, môžete ju zadať do prehliadača pomocou rovnakej prípony alebo pridať cez nastavenia. Majte na pamäti, že toto je SOCKS, nie HTTP proxy.

INFO

Vstúpiť do príkazový riadok heslo nebolo uložené v histórii, môžete použiť šikovný trik s názvom „pridať medzeru na začiatok príkazu“.

Práve ecryptfs sa používa na šifrovanie domovského adresára v Ubuntu.

Boj proti povodniam

Dám niekoľko príkazov, ktoré môžu pomôcť pri zaplavení vášho hostiteľa.

Počítanie počtu pripojení na konkrétnom porte:

$ netstat -na | grep ":port\ " | wc -l

Počítanie počtu „polootvorených“ pripojení TCP:

$ netstat -na | grep ":port\ " | grep SYN_RCVD | wc -l

Pozrite si zoznam adries IP, z ktorých prichádzajú žiadosti o pripojenie:

$ netstat -na | grep ":port\ " | triediť | uniq -c | zoradiť -č | menej

Analýza podozrivých paketov pomocou tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port port a hostiteľ IP servera

Zrušíme spojenie útočníka:

# iptables -A INPUT -s IP útočníka -p tcp --destination-port port -j DROP

Obmedzujeme maximálny počet „polootvorených“ pripojení z jednej IP na konkrétny port:

# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-above 10 -j DROP

Zakázať odpovede na požiadavky ICMP ECHO:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

Závery

To je všetko. Bez toho, aby sme zachádzali do detailov a bez nutnosti študovať manuály, sme vytvorili Linux-box, ktorý je chránený pred vonkajšími prienikmi, pred rootkitmi a inými infekciami, pred priamym zásahom človeka, pred odpočúvaním a sledovaním dopravy. Zostáva len pravidelne aktualizovať systém, zakázať prihlasovanie heslom cez SSH, odstrániť nepotrebné služby a vyhnúť sa chybám v konfigurácii.

Existuje všeobecná mylná predstava, že servery s operačným systémom Linux sú najbezpečnejšie a chránené pred vonkajšími prienikmi. Žiaľ, nie je to tak, bezpečnosť akéhokoľvek servera závisí od množstva faktorov a opatrení na jej zabezpečenie a je prakticky nezávislá od použitého operačného systému.

Rozhodli sme sa začať sériu článkov o bezpečnosti siete Server Ubuntu, keďže o riešenia na tejto platforme majú naši čitatelia veľký záujem a keďže mnohí veria, že Linuxové riešenia sú samé o sebe bezpečné.

Router s vyhradenou IP adresou je zároveň „bránou“ do lokálnej siete a bude záležať len na správcovi, či táto brána bude spoľahlivou bariérou alebo sa ukáže ako brána krajiny uzavretá klinec.

Ďalšou častou mylnou predstavou je uvažovanie v štýle: „kto to potrebuje, náš server, nemáme nič zaujímavé“. Vaša lokálna sieť nemusí byť pre útočníkov zaujímavá, ale môžu použiť napadnutý server na odosielanie spamu, útoky na iné servery, anonymný proxy, skrátka, ako východiskový bod pre svoje pochybné akcie.

A to je už nepríjemné a môže slúžiť ako zdroj rôznych problémov: od poskytovateľa až po orgány činné v trestnom konaní. A o šírení vírusov, krádežiach a ničení dôležité informácie Nemali by ste zabúdať ani na skutočnosť, že prestoje podniku vedú k celkom hmatateľným stratám.

Aj keď je tento článok o serveri Ubuntu, najprv sa naň pozrieme všeobecné otázky bezpečnosti, ktoré sa rovnako vzťahujú na akúkoľvek platformu a sú základom, bez ktorého zvládnutia nemá zmysel podrobnejšie rozoberať problematiku.

Kde začína bezpečnosť?

Nie, bezpečnosť nezačína firewallom, nezačína firewallom vôbec. technické prostriedky, bezpečnosť začína u používateľa. Koniec koncov, na čo sú najlepšie kovové dvere inštalované najlepšími odborníkmi, ak majiteľ nechá kľúč pod kobercom?

Preto prvá vec, ktorú by ste mali urobiť, je vykonať bezpečnostný audit. Nezľaknite sa tohto slova, všetko nie je také zložité: nakreslite si schematický plán siete, na ktorom označíte bezpečnú zónu, zónu potenciálneho nebezpečenstva a zónu vysokého nebezpečenstva, a tiež vytvorte zoznam používateľov, ktorí majú (mali by mať prístup) do týchto zón.

Bezpečná zóna by mala zahŕňať interné sieťové zdroje, ktoré nie sú prístupné zvonku a pre ktoré je prijateľná nízka úroveň zabezpečenia. Môžu to byť pracovné stanice, súborové servery atď. zariadenia, ku ktorým je prístup obmedzený na podnikovú lokálnu sieť.

Zóna potenciálneho nebezpečenstva zahŕňa servery a zariadenia, ktoré nemajú priamy prístup do vonkajšej siete, ale ktorých jednotlivé služby sú prístupné zvonku, napríklad webové a poštové servery umiestnené za firewallom, ale stále obsluhujúce požiadavky z vonkajšej siete.

Nebezpečná zóna by mala zahŕňať zariadenia priamo prístupné zvonku, v ideálnom prípade by to mal byť jeden router.

Ak je to možné, potenciálne nebezpečná zóna by mala byť umiestnená na samostatnej podsieti - demilitarizovanej zóne (DMZ), ktorá je oddelená od hlavnej siete dodatočným firewallom.

Zariadenia LAN by mali mať prístup len k tým službám v DMZ, ktoré potrebujú, ako sú SMTP, POP3, HTTP a iné pripojenia by mali byť blokované. To vám umožní spoľahlivo izolovať útočníka alebo malvér, ktorý zneužil zraniteľnosť v samostatnej službe v demilitarizovanej zóne, a zakázal im prístup do hlavnej siete.

Fyzicky môže byť DMZ organizovaná inštaláciou samostatného servera / hardvérového firewallu alebo pridaním ďalšej sieťovej karty k smerovaču, ale v druhom prípade budete musieť venovať veľkú pozornosť bezpečnosti smerovača. V každom prípade je však oveľa jednoduchšie zabezpečiť bezpečnosť jedného servera ako skupiny serverov.

Ďalším krokom by mala byť analýza zoznamu používateľov, či všetci potrebujú prístup do DMZ a do smerovača (s výnimkou verejných služieb), osobitnú pozornosť je potrebné venovať používateľom pripájajúcim sa zvonku.

Zvyčajne si to vyžaduje veľmi nepopulárny krok presadzovania politiky hesiel. Všetky heslá pre používateľov, ktorí majú prístup ku kritickým službám a majú možnosť pripojiť sa zvonku, musia obsahovať aspoň 6 znakov a okrem malých písmen obsahovať aj znaky z dvoch kategórií z troch: veľké písmená, čísla, iné ako abecedné znaky. .

Okrem toho by heslo nemalo obsahovať prihlasovacie meno používateľa alebo jeho časť, nemalo by obsahovať dátumy alebo mená, ktoré možno priradiť k používateľovi, a pokiaľ možno, nemalo by to byť slovo zo slovníka.

Je dobré začať meniť heslá každých 30 až 40 dní. Je jasné, že takáto politika môže spôsobiť odmietnutie zo strany používateľov, ale vždy by ste mali pamätať na to, že heslá sa páčia 123 alebo qwerty ekvivalentné nechať kľúč pod kobercom.

Zabezpečenie servera - nič extra.

Teraz, keď máme predstavu o tom, čo chceme chrániť a pred čím, prejdime k samotnému serveru. Urobte si zoznam všetkých služieb a služieb a potom sa zamyslite nad tým, či sú všetky potrebné na tomto konkrétnom serveri, alebo či sa dajú presunúť niekam inam.

Čím menej služieb, tým ľahšie je zaistiť bezpečnosť a tým menšia je pravdepodobnosť, že server bude ohrozený kritickou zraniteľnosťou v jednej z nich.

Nakonfigurujte služby, ktoré obsluhujú lokálnu sieť (napríklad chobotnice), aby prijímali požiadavky výlučne z lokálneho rozhrania. Čím menej služieb je dostupných externe, tým lepšie.

Skener zraniteľnosti bude dobrým pomocníkom pri zaistení bezpečnosti, mal by skenovať externé rozhranie servera. Použili sme demo verziu jedného z najznámejších produktov - XSpider 7.7.

Skener ukazuje otvorené porty, sa pokúsi určiť typ spustenej služby a v prípade úspechu aj jej zraniteľnosti. Ako vidíte, správne nakonfigurovaný systém je celkom bezpečný, ale nemali by ste nechať kľúč pod kobercom; dobrý dôvod zamyslieť sa nad politikou hesiel.

Mali by sme tiež hovoriť o bezpečnosti SSH; túto službu zvyčajne používajú správcovia diaľkové ovládanie a je predmetom zvýšeného záujmu útočníkov. Nastavenia SSH sú uložené v súbore /etc/ssh/sshd_config, sú v ňom vykonané všetky zmeny popísané nižšie. Najprv by ste mali zakázať autorizáciu pod užívateľom root, aby ste to urobili, pridajte možnosť:

PermitRootLogin č

Teraz bude musieť útočník uhádnuť nielen heslo, ale aj prihlasovacie meno a stále nebude poznať heslo superužívateľa (dúfame, že sa nezhoduje s vaším heslom). Všetky administratívne úkony pri pripájaní zvonku by sa mali vykonávať zdola sudo prihlásiť sa ako neprivilegovaný používateľ.

Stojí za to explicitne špecifikovať zoznam povolených používateľov a môžete použiť položky ako užívateľ@hostiteľ, ktorý umožňuje zadanému používateľovi pripojiť sa iba z určeného hostiteľa. Napríklad, aby ste umožnili používateľovi ivanov pripojiť sa z domu (IP 1.2.3.4), mali by ste pridať nasledujúci záznam:

AllowUser [chránený e-mailom]

Zakážte tiež používanie zastaraného a menej bezpečného protokolu SSH1, ktorý umožňuje iba druhú verziu protokolu, ak to chcete urobiť, zmeňte nasledujúci riadok na formulár:

Protokol 2

Napriek všetkým prijatým opatreniam budú stále existovať pokusy o pripojenie k SSH a iným verejným službám, aby ste zabránili hádaniu hesla fail2ban, ktorý umožňuje automaticky zablokovať používateľa po niekoľkých neúspešných pokusoch o prihlásenie. Môžete ho nainštalovať pomocou príkazu:

Sudo apt-get install fail2ban

Tento nástroj je pripravený na prácu ihneď po inštalácii, odporúčame vám však okamžite zmeniť niektoré parametre, aby ste to urobili, vykonajte zmeny v súbore /etc/fail2ban/jail.conf. Štandardne je kontrolovaný iba prístup k SSH a čas zákazu je 10 minút (600 sekúnd), podľa nášho názoru sa ho oplatí zvýšiť zmenou nasledujúcej možnosti:

Bantime = 6000

Potom prejdite cez súbor a povoľte sekcie pre služby bežiace na vašom systéme nastavením parametra za názvom príslušnej sekcie povolené v stave pravda, napríklad za službu profpd bude to vyzerať takto:

povolené = pravda

Ďalší dôležitý parameter maxretry, ktorá je zodpovedná za maximálny počet pokusov o pripojenie. Po zmene nastavení nezabudnite reštartovať službu:

Sudo /etc/init.d/fail2ban reštartujte

Denník pomôcky si môžete pozrieť na /var/log/fail2ban.log.

Bezpochyby len nainštalované Linuxový systém oveľa odolnejšie voči rôznym malvér, spyware a hackerské aktivity ako rovnaké Verzia systému Windows. Väčšina systémov Linux však používa predvolené nastavenia, ktoré nie sú vo svojej podstate úplne bezpečné.

Niektoré distribúcie Linuxu sú navrhnuté tak, aby boli mimoriadne bezpečné hneď po vybalení, ale pre nováčikov, najmä pre nezabezpečených odborníkov, bývajú veľmi mätúce.

Ubuntu je dnes najpopulárnejšia distribúcia Linuxu. Je to spôsobené mnohými faktormi, jedným z nich je, že je to najjednoduchšie pre začínajúcich používateľov. Má to svoje pozitívne stránky, ale aj z tohto dôvodu má systém niekoľko slabých miest, ktoré vývojári zanechali pri výbere užívateľského komfortu. V tomto článku sa pozrieme na to, ako je nakonfigurované zabezpečenie v Ubuntu 16.04. Tieto nastavenia nie sú také zložité, ale pomôžu vám zvýšiť odolnosť vášho systému voči najbežnejším metódam útoku.

Prvá vec, ktorú by ste mali vedieť, je udržiavať váš systém neustále aktualizovaný a aktuálny. V jadre sa neustále objavujú nové zraniteľnosti softvér, príkladom je tá istá Drity COW. Vývojári opravujú tieto chyby veľmi rýchlo, ale ak chcete tieto opravy použiť vo svojom systéme, musíte ho okamžite aktualizovať.

Iné dôležitá poznámka je heslo používateľa. Nepoužívajte používateľa bez hesla. Ak potrebujete poskytnúť iným ľuďom prístup k vášmu počítaču, vytvorte si nový účet, napríklad účet hosťa. Vždy však používajte heslá. Operačný systém Linux bol od základov vytvorený ako systém pre viacerých používateľov s ohľadom na bezpečnosť pre všetkých používateľov, takže túto príležitosť nepremeškajte. Ale to sú všetko tipy, ktoré už pravdepodobne poznáte, pozrime sa na skutočne užitočné spôsoby, ako zvýšiť bezpečnosť ubuntu.

1. Nastavenie zdieľanej pamäte

V predvolenom nastavení je celé množstvo zdieľanej pamäte v /run/shm čitateľné a zapisovateľné, čo umožňuje spúšťanie programov. Toto sa považuje za bezpečnostnú dieru a mnoho exploitov používa /run/shm na útok na bežiace služby. Pre väčšinu stolných a najmä serverových zariadení sa odporúča pripojiť tento súbor v režime iba na čítanie. Ak to chcete urobiť, pridajte nasledujúci riadok do /etc/fstab:

sudo vi /etc/fstab

none /run/shm tmpfs defaults,ro 0 0

Niektoré programy sa však nespustia, ak je /run/shm iba na čítanie, jeden z nich áno Google Chrome. Ak používate prehliadač Google Chrome, musíme si ponechať možnosť zaznamenávať, ale môžeme zakázať spúšťanie programov, ak to chcete urobiť, pridajte nasledujúci riadok namiesto vyššie uvedeného:

none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

2. Zakázať používanie su pre neadministrátorov

Okrem vášho účtu má Ubuntu aj účet hosťa, ktorý môžete použiť na zdieľanie notebooku s priateľom. Pomôcka su vám umožňuje spúšťať programy ako iný používateľ. Je to veľmi užitočné pri správe systému a pri správnom používaní je to nevyhnutné. K tomuto nástroju však má prístup každý Používatelia Linuxu, a to už je zneužívanie. Ak chcete zamietnuť prístup účtu hosťa k príkazu su, spustite:

sudo dpkg-statoverride --update--add root sudo 4750 /bin/su

3. Chráňte svoj domovský adresár

Váš predvolený domovský adresár bude prístupný každému používateľovi v systéme. Ak teda máte účet hosťa, hosť bude môcť mať úplný prístup ku všetkým vašim osobné súbory a dokumenty. Môžete ho však sprístupniť iba vám. Otvorte terminál a spustite nasledujúci príkaz:

chmod 0700 /home/username

Nastaví práva tak, že vlastník priečinka, teda vy, má prístup ku všetkému a ostatní používatelia si obsah nemôžu ani pozrieť. Alternatívne môžete nastaviť povolenia na 750, čo umožní používateľom v rovnakej skupine, ako ste vy, prístup k vášmu priečinku na čítanie:

chmod 0750 /home/username

Teraz bude bezpečnosť Ubuntu 16.04 a najmä vašich osobných údajov o niečo vyššia.

4. Zakážte prihlásenie SSH ako root

V predvolenom nastavení sa v Ubuntu môžete prihlásiť cez SSH ako superuser. Aj keď nastavíte heslo pre používateľa root, môže to byť potenciálne nebezpečné, pretože ak je heslo veľmi jednoduché, útočník ho môže brutálne vynútiť a prevziať nad ním plnú kontrolu. počítač. Služba sshd nemusí byť nainštalovaná vo vašom systéme. Ak chcete skontrolovať, spustite:

Ak dostanete správu o odmietnutí pripojenia, znamená to, že server SSH nie je nainštalovaný a tento krok môžete preskočiť. Ak je však nainštalovaný, je potrebné ho nakonfigurovať pomocou konfiguračného súboru /etc/ssh/sshd_config. Otvorte tento súbor a nahraďte riadok:

PermitRootLogin áno

PermitRootLogin č

Hotovo, teraz bude ťažšie preniknúť do vášho systému cez ssh, ale nastavenie zabezpečenia v ubuntu 16.04 ešte nie je dokončené.

5. Nainštalujte bránu firewall

Je možné, že na vašom počítači je nainštalovaný nielen ssh server, ale aj databázová služba a webový server apache alebo nginx. Ak ide o domáci počítač, pravdepodobne by ste nechceli, aby sa k vašej lokálnej lokalite alebo databáze mohol pripojiť niekto iný. Aby ste tomu zabránili, musíte nainštalovať bránu firewall. Na Ubuntu sa odporúča použiť gufw, pretože je navrhnutý špeciálne pre tento systém.

Inštalácia:

sudo apt install gufw

Potom musíte program otvoriť, povoliť ochranu a zablokovať všetky prichádzajúce pripojenia. Povoľte iba potrebné porty pre prehliadač a iné známe programy. Prečítajte si viac v návode.

6. Ochrana proti útokom MITM

Podstata Útoky MITM alebo „Man in the Middle“ útoky, pri ktorých iná osoba zachytí všetky pakety, ktoré posielate na server, a tak bude môcť získať všetky vaše heslá a osobné údaje. Nedokážeme sa ochrániť pred všetkými útokmi tohto druhu, no na verejnosti je dosť populárny lokálnych sietí Typ útoku MITM je útok ARP. Pomocou funkcií protokolu ARP sa útočník pred vaším počítačom vydáva za smerovač a vy mu posielate všetky svoje dátové pakety. Veľmi jednoducho sa pred tým môžete chrániť pomocou pomôcky TuxCut.

Program nie je dostupný v oficiálnych úložiskách, takže na jeho inštaláciu si musíte stiahnuť balík z GitHub:

wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb

Potom nainštalujte výsledný balík:

sudo apt install tuxcut_6.1_amd64.deb

Pred spustením programu spustite jeho službu:

sudo systemctl spustiť tuxcutd

Hlavné okno pomôcky vyzerá takto:

Zobrazia sa adresy IP všetkých používateľov pripojených k sieti, ako aj adresy MAC zodpovedajúce každému z nich. Ak začiarknete políčko Režim ochrany, program bude chrániť pred útokmi ARP. Môžete ho použiť na verejných sieťach, ako je verejná wifi, kde sa obávate o svoju bezpečnosť.

Závery

To je všetko, teraz je nastavenie zabezpečenia Ubuntu 16.04 dokončené a váš systém je oveľa bezpečnejší. Zablokovali sme najbežnejšie vektory útokov a metódy prieniku do systému používané hackermi. Ak poznáte ďalšie užitočné spôsoby, ako zlepšiť bezpečnosť v Ubuntu, napíšte do komentárov!

Podľa cvedetails.com od roku 1999 Linuxové jadro Našlo sa 1 305 zraniteľností, z toho 68 v roku 2015. Väčšina z nich nespôsobuje žiadne špeciálne problémy, sú označené ako lokálne a nízke a niektoré je možné vyvolať len pri prepojení s určitými aplikáciami alebo nastaveniami OS. V zásade sú čísla malé, ale jadro nie je celý OS. Zraniteľnosť sa nachádza aj v GNU Coreutils, Binutils, glibs a samozrejme v používateľských aplikáciách. Pozrime sa na tie najzaujímavejšie.

ZRANITEĽNOSTI V JADE LINUX

OS: Linux
Úroveň: Stredná, Nízka
vektor: Diaľkové ovládanie
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Využiť: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Zraniteľnosť zistená v júni v jadre Linuxu pred verziou 3.19.3 vo funkcii __driver_rfc4106_decrypt v arch/x86/crypto/aesni-intel_glue.c je spôsobená implementáciou RFC4106 pre procesory x86 podporujúce rozšírenie inštrukčnej sady AES AES-NI (navrhované Intel, Intel Advanced Encryption Standard Instructions) v niektorých prípadoch nevypočítava adresy vyrovnávacej pamäte správne. Ak je tunel IPsec nakonfigurovaný na používanie tohto režimu (algoritmus AES – CONFIG_CRYPTO_AES_NI_INTEL), zraniteľnosť môže viesť k poškodeniu pamäte, zlyhaniam a potenciálne vzdialenému spusteniu kódu CryptoAPI. Navyše, najzaujímavejšie je, že problém môže vzniknúť sám o sebe, pri úplne legálnej premávke, bez vonkajšieho zásahu. V čase zverejnenia bol problém vyriešený.

V ovládači ozwpan Linuxu 4.0.5, ktorý má experimentálny stav, bolo identifikovaných päť zraniteľností, z ktorých štyri vám umožňujú zorganizovať útok DoS zrútením jadra odoslaním špeciálne navrhnutých paketov. Problém súvisí s pretečením vyrovnávacej pamäte v dôsledku nesprávneho spracovania celých čísel so znamienkom, pri ktorom výpočet v memcpy medzi požadovanou_veľkosťou a offsetom vrátil záporné číslo, čo malo za následok skopírovanie údajov do haldy.

Nachádza sa vo funkcii oz_hcd_get_desc_cnf v ovládačoch/staging/ozwpan/ozhcd.c a vo funkciách oz_usb_rx a oz_usb_handle_ep_data v ovládačoch/staging/ozwpan/ozusbsvc1.c. Ďalšie zraniteľnosti sa týkali možného delenia 0, zacyklenia systému alebo schopnosti čítať z oblastí mimo hraníc pridelenej vyrovnávacej pamäte.

Ovládač ozwpan, jeden z nových produktov Linuxu, môže byť prepojený s existujúcimi bezdrôtové zariadenia kompatibilný s technológiou Ozmo Devices (Wi-Fi Direct). Poskytuje implementáciu hostiteľského radiča USB, ale trik je v tom, že namiesto fyzického pripojenia periféria komunikuje cez Wi-Fi. Vodič akceptuje sieťové pakety c typu (ethertype) 0x892e, potom ich analyzuje a preloží do rôznych funkcií USB. Zatiaľ sa používa v ojedinelých prípadoch, takže ho možno deaktivovať uvoľnením modulu ozwpan.ko.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (jadro do 15. júna 2015)
Úroveň: Kritické
vektor: Miestne
CVE: CVE-2015-1328
Využiť: https://www.exploit-db.com/exploits/37292/

Kritická zraniteľnosť v súborovom systéme OverlayFS umožňuje prístup root na systémoch Ubuntu, ktoré umožňujú pripojenie oddielov OverlayFS neprivilegovaným používateľom. Vo všetkých vetvách Ubuntu 12.04–15.04 sa používajú predvolené nastavenia potrebné na zneužitie tejto chyby zabezpečenia. Samotný OverlayFS sa objavil v jadre Linuxu relatívne nedávno – počnúc 3.18-rc2 (2014) ide o vývoj SUSE, ktorý nahrádza UnionFS a AUFS. OverlayFS vám umožňuje vytvoriť virtuálny viacvrstvový súborový systém, ktorý kombinuje niekoľko častí iných súborových systémov.

Súborový systém je vytvorený z nižšej a hornej vrstvy, pričom každá z nich je pripojená k samostatným adresárom. Spodná vrstva sa používa iba na čítanie v adresároch ľubovoľných súborových systémov podporovaných v Linuxe, vrátane sieťových. Horná vrstva je zvyčajne zapisovateľná a prepíše údaje v spodnej vrstve, ak sú súbory duplikované. Je žiadaný v Live distribúciách, systémoch virtualizácie kontajnerov a na organizovanie prevádzky kontajnerov pre niektoré desktopové aplikácie. Priestory názvov používateľov vám umožňujú vytvárať vlastné sady ID používateľov a skupín v kontajneroch. Zraniteľnosť je spôsobená nesprávnou kontrolou prístupových práv pri vytváraní nových súborov v adresári základného súborového systému.

Ak je jadro zostavené s CONFIG_USER_NS=y (umožňuje užívateľský menný priestor) a pri pripájaní je zadaný príznak FS_USERNS_MOUNT, je možné pripojiť OverlayFS bežný používateľ v inom mennom priestore vrátane toho, kde sa operuje s root práva. V tomto prípade operácie so súbormi s právami root vykonávané v takýchto menných priestoroch získajú rovnaké privilégiá pri vykonávaní akcií so základným súborovým systémom. Preto môžete pripojiť ľubovoľný oddiel FS a zobraziť alebo upraviť ľubovoľný súbor alebo adresár.

V čase zverejnenia už bola dostupná aktualizácia jadra s pevným modulom OverlayFS od Ubuntu. A ak je systém aktualizovaný, nemali by byť žiadne problémy. V rovnakom prípade, keď aktualizácia nie je možná, ako dočasné opatrenie by ste mali prestať používať OverlayFS odstránením modulu overlayfs.ko.

ZRANITEĽNÉ SCHOPNOSTI KĽÚČOVÝCH APLIKÁCIÍ

OS: Linux
Úroveň: Kritické
vektor: lokálne, vzdialené
CVE: CVE-2015-0235
Využiť: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Nebezpečná zraniteľnosť v štandardnej knižnici GNU glibc, ktorá je základnou súčasťou operačného systému Linux, a v niektorých verziách Oracle Communications Applications a Oracle Pillar Axiom, objavená počas auditu kódu hackermi zo spoločnosti Qualys. Dostal kódové meno GHOST. Toto je pretečenie vyrovnávacej pamäte vo funkcii __nss_hostname_digits_dots(), ktorú používajú funkcie glibc ako gethostbyname() a gethostbyname2() na získanie názvu hostiteľa (odtiaľ názov GetHOST). Ak chcete zneužiť túto zraniteľnosť, musíte spôsobiť pretečenie vyrovnávacej pamäte pomocou neplatného argumentu názvu hostiteľa pre aplikáciu vykonávajúcu preklad názvov prostredníctvom DNS. To znamená, že teoreticky môže byť táto zraniteľnosť aplikovaná na akúkoľvek aplikáciu, ktorá používa sieť v tej či onej miere. Dá sa volať lokálne aj vzdialene, čo umožňuje spustenie ľubovoľného kódu.

Najzaujímavejšie je, že chyba bola opravená už v máji 2013, medzi vydaniami glibc 2.17 a 2.18 bola predstavená oprava, ale problém nebol klasifikovaný ako bezpečnostná oprava, takže sa mu nevenovala žiadna pozornosť. V dôsledku toho sa mnohé distribúcie ukázali ako zraniteľné. Pôvodne sa uvádzalo, že úplne prvá zraniteľná verzia bola 2.2 z 10. novembra 2000, ale existuje možnosť, že sa objaví až 2.0. Okrem iného boli ovplyvnené distribúcie RHEL/CentOS 5.x–7.x, Debian 7 a Ubuntu 12.04 LTS. Aktuálne sú dostupné rýchle opravy. Samotní hackeri navrhli nástroj, ktorý vysvetľuje podstatu zraniteľnosti a umožňuje vám skontrolovať váš systém. V Ubuntu 12.04.4 LTS je všetko v poriadku:

Kontrola systému na GHOST

Takmer okamžite bol vydaný modul umožňujúci vzdialené spúšťanie kódu na x86 a x86_64 Linuxe s funkčným poštový server Exim (s povoleným helo_try_verify_hosts alebo helo_verify_hosts). Neskôr sa objavili ďalšie implementácie, napríklad modul Metasploit na kontrolu blogu na WordPress.

O niečo neskôr, v roku 2015, boli v GNU glibc objavené tri ďalšie zraniteľnosti, ktoré umožňovali vzdialenému používateľovi vykonať útok DoS alebo prepísať pamäťové bunky mimo hranice zásobníka: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

OS: Linux (GNU Coreutils)
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-9471
Využiť: Nie

GNU Coreutils je jedným z hlavných *nix balíkov, vrátane takmer všetkých základných utilít (cat, ls, rm, date...). Problém bol zistený v dátume. Chyba vo funkcii parse_datetime umožňuje vzdialenému útočníkovi bez účtu v systéme spôsobiť odmietnutie služby a prípadne spustiť ľubovoľný kód prostredníctvom špeciálne vytvoreného reťazca dátumu pomocou časového pásma. Zraniteľnosť vyzerá takto:

Zraniteľnosť v GNU Coreutils

Ak neexistuje žiadna chyba zabezpečenia, dostaneme správu o nesprávnom formáte dátumu. Takmer všetci vývojári distribúcie Linuxu nahlásili prítomnosť tejto zraniteľnosti. Aktuálne je k dispozícii aktualizácia.

OS: Linux (grep 2.19–2.21)
Úroveň: Nízka
vektor: Miestne
CVE: CVE-2015-1345
Využiť: Nie

V nástroji grep, ktorý sa používa na vyhľadávanie textu pomocou vzoru, sa zriedkavo nachádzajú zraniteľné miesta. Ale tento nástroj je často nazývaný inými programami, vrátane systémových, takže prítomnosť zraniteľností je oveľa problematickejšia, ako sa zdá na prvý pohľad. Chyba vo funkcii bmexec_trans v kwset.c by mohla spôsobiť čítanie neinicializovaných údajov z oblasti mimo pridelenej vyrovnávacej pamäte alebo spôsobiť zlyhanie aplikácie. Hacker to môže využiť vytvorením špeciálnej sady údajov dodávaných do vstupu aplikácie pomocou grep -F. Aktuálne sú dostupné aktualizácie. Neexistujú žiadne exploity, ktoré využívajú túto zraniteľnosť alebo modul pre Metasploit.

ZRANITEĽNOSŤ V FREEBSD

OS: FreeBSD
Úroveň: Nízka
vektor: Lokálne, vzdialené
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Využiť: https://www.exploit-db.com/exploits/35938/

V databáze CVE za rok 2015 nie je veľa zraniteľností, presnejšie - iba šesť. Výskumníci z Core Exploit Writers Team našli na konci januára 2015 vo FreeBSD 8.4–10.x tri zraniteľnosti. CVE-2014-0998 súvisí s implementáciou ovládača konzoly VT (Newcons), ktorý poskytuje viacero virtuálnych terminálov, povolených parametrom kern.vty=vt v /boot/loader.conf.
CVE-2014-8612 sa vyskytuje pri používaní protokolu SCTP a je spôsobená chybou v overovacom kóde ID streamu SCTP, ktorý implementuje zásuvky SCTP (lokálny port 4444). Podstatou je chyba nedostatku pamäte vo funkcii sctp_setopt() (sys/netinet/sctp_userreq.c). To dáva miestnemu neprivilegovanému používateľovi možnosť zapisovať alebo čítať 16 bitov údajov z pamäte jadra a eskalovať svoje privilégiá v systéme, odhaliť citlivé údaje alebo zlyhať systém.

CVE-2014-8613 umožňuje spustenie dereferencie ukazovateľa NULL pri spracovaní externe prijatého paketu SCTP, keď je nastavená možnosť SCTP soketu SCTP_SS_VALUE. Na rozdiel od predchádzajúcich prípadov je možné CVE-2014-8613 použiť na vzdialené spôsobenie zlyhania jadra odoslaním špeciálne vytvorených paketov. Vo FreeBSD 10.1 sa môžete chrániť nastavením premennej net.inet.sctp.reconfig_enable na 0, čím zakážete spracovanie blokov RE_CONFIG. Alebo jednoducho zakázať aplikácie (prehliadače, poštových klientov a tak ďalej). Hoci v čase zverejnenia už vývojári vydali aktualizáciu.

ZRANITEĽNOSŤ V OPENSSL

OS: OpenSSL
Úroveň: Diaľkové ovládanie
vektor: Miestne
CVE: CVE-2015-1793
Využiť: Nie

V roku 2014 bola objavená kritická zraniteľnosť Heartbleed v OpenSSL, široko používanom kryptografickom balíku na prácu s SSL/TLS. Incident svojho času vyvolal masívnu kritiku kvality kódu a na jednej strane to viedlo k vzniku alternatív ako LibreSSL, na druhej strane sa samotní vývojári konečne pustili do práce.

Kritická zraniteľnosť bola objavená Adamom Langleym z Google a Davidom Benjaminom z BoringSSL. Zmeny vykonané vo verziách OpenSSL 1.0.1n a 1.0.2b spôsobili, že sa OpenSSL pokúsilo nájsť alternatívny reťazec overovania certifikátov, ak bol prvý pokus o vytvorenie reťazca dôveryhodnosti neúspešný. To vám umožní obísť postup overovania certifikátu a zorganizovať potvrdené pripojenie pomocou falošného certifikátu, inými slovami - pokojne nalákať používateľa na falošné stránky alebo servery. e-mailom alebo vykonať akýkoľvek útok MITM, kde sa certifikát používa.

Po zistení zraniteľnosti vydali vývojári 9. júla vydania 1.0.1p a 1.0.2d, ktoré tento problém vyriešili. Verzie 0.9.8 alebo 1.0.0 túto chybu zabezpečenia nemajú.

Linux.Encoder

Koniec jesene sa niesol v znamení objavenia sa množstva šifrovacích vírusov, najskôr Linux.Encoder.0, po ňom nasledovali modifikácie Linux.Encoder.1 a Linux.Encoder.2, ktoré infikovali viac ako 2500 stránok. Podľa antivírusových spoločností sú napadnuté servery Linux a FreeBSD s webovými stránkami využívajúcimi rôzne CMS - WordPress, Magento CMS, Joomla a ďalšie. Hackeri využívajú neidentifikovanú zraniteľnosť. Ďalej bol umiestnený shell skript (file error.php), pomocou ktorého sa vykonávali ďalšie akcie (cez prehliadač). Konkrétne bol spustený linuxový kodér Trojan.

Encoder, ktorý určil architektúru OS a spustil ransomvér. Kódovač bol spustený s právami webového servera (Ubuntu - www-data), čo úplne postačuje na šifrovanie súborov v adresári, v ktorom sú uložené súbory a komponenty CMS. Šifrované súbory dostanú novú príponu.encrypted.

Ransomware sa tiež pokúša obísť iné adresáre operačného systému, ak sú práva nakonfigurované nesprávne, môže ľahko presiahnuť hranice webovej stránky. Ďalej bol do adresára uložený súbor README_FOR_DECRYPT.txt, ktorý obsahuje pokyny na dešifrovanie súborov a požiadavky hackera. Zapnuté momentálne antivírusové spoločnosti zaviedli nástroje, ktoré vám umožňujú dešifrovať adresáre. Napríklad sada od Bitdefender. Musíte si však uvedomiť, že všetky nástroje určené na dešifrovanie súborov neodstraňujú shell kód a všetko sa môže stať znova.

Vzhľadom na to, že mnohí používatelia, ktorí vyvíjajú alebo experimentujú s administráciou webových stránok, často inštalujú webový server domáci počítač, mali by ste sa starať o bezpečnosť: blokujte prístup zvonku, aktualizujte softvér, vykonávajte experimenty na virtuálnom počítači. A samotná myšlienka by mohla byť v budúcnosti použitá na útoky na domáce systémy.

ZÁVER

Komplexný softvér bez chýb fyzicky neexistuje, takže sa musíte zmieriť s tým, že zraniteľnosti budú objavované neustále. Ale nie všetky môžu byť skutočne problematické. A môžete sa chrániť jednoduchými krokmi: odstráňte nepoužívaný softvér, sledujte nové zraniteľné miesta a nezabudnite nainštalovať aktualizácie zabezpečenia, nakonfigurovať bránu firewall a nainštalovať antivírus. A nezabudnite na špeciálne technológie, ako je SELinux, ktoré sú celkom schopné ohroziť démona alebo používateľskú aplikáciu.

Inštalácia a konfigurácia nástrojov na správu, konfigurácia siete

Potom, čo sme nainštalovali zákl operačný systém ubuntu14.04 z minimálnej distribúcie, prvá vec, o ktorú sa musíte starať je, ako ju pohodlne spravovať. Ssh/telnet sa v podstate používa na konfiguráciu a správu serverov založených na *nix, ale v v poslednej dobe Na tento účel sa objavili aj celkom vhodné nástroje založené na webových rozhraniach. používam bezplatné riešenia Webmin A Ajenti. Obidva tieto panely si zaslúžia pozornosť a napriek tomu, že môžu robiť všetko samostatne, každý z nich sa na niektoré veci hodí lepšie, preto je lepšie mať oboje. Mal by som poznamenať, že na bojových produkčných serveroch takéto riešenia nie sú nainštalované na základe bezpečnosti. Napriek tomu, čím viac riadiacich systémov, tým pravdepodobnejšie nájsť v nich zraniteľnosť. Preto, ak sú vaše bezpečnostné požiadavky na „paranoidnej“ úrovni, jednoducho akceptujte skutočnosť, že so serverom budete musieť pracovať iba cez ssh (cez konzolu).

Nastavenie siete v ubuntu 14.04

Ak chcete komunikovať s naším serverom cez sieť, musíte ho najprv nakonfigurovať. V predvolenom nastavení bola sieť počas inštalácie nakonfigurovaná automaticky a ak inštalačný program zistil v sieti DHCP server, s najväčšou pravdepodobnosťou už nakonfiguroval všetko podľa potreby. Ak v sieti nie je žiadny server DHCP, potom inštalátor stále všetko nakonfiguroval na základe dotazovania smerovača, ku ktorému je sieťová karta pripojená. Ak chcete vidieť, ako je sieť momentálne nakonfigurovaná, stačí zadať terminál:

Čo tu vidíme:

Máme dve sieťové rozhrania eth0 a lo, kde lo je „rozhranie spätnej slučky“ a eth0 je názov našej sieťovej karty, a ak je lo nezmenené sieťové rozhranie, všetky ostatné rozhrania sa môžu líšiť v názve. Ak v systémová jednotka sú nainštalované dve sieťové karty, ich rozhrania budú s najväčšou pravdepodobnosťou vyzerať ako eth0 a eth1 atď. Vzhľad názvu rozhrania závisí od typu sieťová karta, takže ak napríklad sieťová karta funguje pomocou protokolu WiFi, potom bude s najväčšou pravdepodobnosťou jej názov wlan0.

Ak chcete nakonfigurovať sieť, upravte nasledujúci súbor:

sudo nano /etc/network/interfaces

Uveďme to do tejto podoby:

iface eth0 inet statický
adresa 192.168.0.184
sieťová maska ​​255.255.255.0
brána 192.168.0.1
auto eth0
dns-nameservery 8.8.8.8 8.8.4.4

kde: iface eth0 inet statický— označuje, že rozhranie (iface eth0) je v rozsahu adries IPv4 (inet) so statickou ip (statická);
adresa 192.168.0.184— označuje, že adresa IP našej sieťovej karty je 192.168.0.184;
sieťová maska ​​255.255.255.0— označuje, že naša maska ​​podsiete (maska ​​siete) je 255.255.255.0;
brána 192.168.0.1— adresa predvolenej brány 192.168.0.254;
auto eth0— signalizuje systému, že rozhranie eth0 sa musí povoliť automaticky, keď sa systém zavedie s vyššie uvedenými parametrami.
eth0— názov rozhrania, ktoré sa má pripojiť. Zoznam rozhraní je možné zobraziť zadaním ifconfig
DNS-nameservery— DNS servery sa píšu oddelené medzerou.

Ako vidíte v mojom prípade, rozhodol som sa nastaviť statickú IP 192.168.0.184

reštartujte server pomocou príkazu

Pingujeme náš server zo siete a ubezpečujeme sa, že je viditeľný. Teraz je čas nadviazať spojenie cez SSH, aby sme to urobili, skutočne nainštalujeme ssh server:

sudo apt-get nainštalovať ssh

Teraz sa môžete pripojiť k nášmu serveru cez ssh prostredníctvom programu putty, napríklad teraz môžete zadávať príkazy nie ručne, ale skopírovaním a vložením riadkov, ktoré potrebujeme do ssh klient, pretože to v budúcnosti prekvapivo uľahčí nastavenie, ako čoskoro sami uvidíte:

VŠETKY PRÍKAZY POD TÝMTO RIADKOM SA ZADAJÚ AKO SUPERUŽÍVATEĽ a ak chcete prejsť do režimu superužívateľa, musíte zadať:

Inštaluje sa webmin

echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key add jcameron-key.asc apt-get update apt-get install -y webmin

Všetky! 6 postupne zadávaných príkazov a webmin je nainštalovaný a nakonfigurovaný. Teraz sa môžete prihlásiť do prehliadača na adrese:

https://192.168.0.184:10000

V predvolenom nastavení webmin vyzerá minimalisticky, predvolené rozhranie je zobrazené na angličtina, ale všetko je prispôsobiteľné!

Robíme to takto:

Dopadá to takto: