Ubuntuda tarmoq xavfsizligini sozlash. Linuxda xavfsizlik nisbiy tushunchadir

Hech birimiz shaxsiy ma'lumotlar noto'g'ri qo'llarga tushishini xohlamaymiz. Ammo tizimingizni hujumlar va ma'lumotlarni o'g'irlashdan qanday himoya qilish kerak? Haqiqatan ham sozlash va shifrlash algoritmlari bo'yicha kilometr uzunlikdagi qo'llanmalarni o'qish kerakmi? Aslo kerak emas. Ushbu maqolada men sizga Linux tizimini tom ma'noda 30 daqiqada qanday qilib xavfsiz qilish kerakligini aytaman.

Kirish

Biz bir asrda yashayapmiz mobil qurilmalar va doimiy onlayn. Biz noutbuk bilan kafega boramiz va uy mashinalarimizda Internetga ta'sir qiladigan veb-serverlarni ishga tushiramiz. Biz yuzlab saytlarda ro'yxatdan o'tamiz va veb-xizmatlar uchun bir xil parollardan foydalanamiz. Bizning cho'ntagimizda har doim smartfon bo'ladi, unda o'nlab parollar va bir nechta SSH serverlari kalitlari mavjud. Biz maxfiyligimiz haqida g'amxo'rlik qiladigan uchinchi tomon xizmatlariga shunchalik ko'nikib qolganmizki, biz bunga e'tibor berishni to'xtatdik.

Smartfonimni yo'qotib qo'yganimda, unga o'rnatilgan o'g'irlikka qarshi vosita ishlayotgani va qurilma xotirasidan barcha ma'lumotlarni masofadan o'chirib tashlashimga imkon bergani juda baxtiyor edi. Parolsiz (!) foydalanuvchi bilan uy mashinasida beixtiyor SSH portini ochganimda tashqi dunyo(!!), Men juda omadli edim, skript bolalari mashinaga o'tirdilar va qobiqning kulgili tarixidan tashqari, ular tizimda mavjudligining jiddiy izlarini qoldirmadilar. Men tasodifan Gmail parolim bilan Internetda ro'yxatni joylashtirganimda, bu haqda meni ogohlantirgan mehribon odam borligidan juda baxtiyorman.

Balki men ahmoqdirman, lekin bu satrlarni o'qiganlarning ko'pchiligida shunga o'xshash voqealar sodir bo'lganiga qat'iy aminman. Va bu odamlar, mendan farqli o'laroq, o'z mashinalarini himoya qilishga jiddiy g'amxo'rlik qilsalar yaxshi bo'ladi. Axir, anti-o'g'irlik ishlamagan bo'lishi mumkin va skript bolasi o'rniga jiddiy odamlar mashinaga tushishi mumkin edi va men smartfonni emas, balki foydalanuvchi parolidan boshqa himoyasi bo'lmagan noutbukni yo'qotib qo'ygan bo'lishim mumkin. . Yo'q, bu kun va yoshda Googlening ikki faktorli autentifikatsiyasiga va ahmoq parollarga tayanmasligingiz kerak, sizga jiddiyroq narsa kerak.

Ushbu maqola paranoid Unixoid uchun qo'llanma bo'lib, Linux mashinasini hamma narsadan va hamma narsadan to'liq himoya qilishga bag'ishlangan. Bu erda tasvirlangan hamma narsa foydalanish uchun majburiy ekanligini aytishga ikkilanaman. Aksincha, bu retseptlar to'plami, ma'lumotlardan siz o'zingizni va ma'lumotlaringizni o'zingizning muayyan vaziyatingizda zarur bo'lgan darajalarda himoya qilish uchun foydalanishingiz mumkin.

Parol!

Hammasi parollardan boshlanadi. Ular hamma joyda: Linux distributividagi kirish oynasida, Internet saytlarida ro'yxatdan o'tish shakllarida, FTP va SSH serverlarida va smartfonning qulflangan ekranida. Bugungi kunda parollar uchun standart aralash harflar va raqamlarni o'z ichiga olgan holda 8-12 belgidan iborat. O'zingizning fikringiz bilan bunday parollarni yaratish juda zerikarli, ammo buni avtomatik ravishda qilishning oson yo'li mavjud:

$ openssl rand -base64 6

Hech qanday tashqi ilovalar, veb-brauzer kengaytmalari yo'q, OpenSSL har qanday mashinada mavjud. Garchi, agar kimdir uchun qulayroq bo'lsa, ular ushbu maqsadlar uchun pwgen-ni o'rnatishlari va foydalanishlari mumkin (ular parol kuchliroq bo'lishini aytishadi):

$ pwgen -Bs 8 1

Parollarni qayerda saqlash kerak? Bugungi kunda har bir foydalanuvchida ularning soni shunchalik ko'pki, hamma narsani boshingizda saqlashning iloji yo'q. Brauzeringizning avtomatik saqlash tizimiga ishonasizmi? Bu mumkin, lekin Google yoki Mozilla ularga qanday munosabatda bo'lishini kim biladi. Snouden bu unchalik yaxshi emasligini aytdi. Shuning uchun parollar shifrlangan konteynerda mashinaning o'zida saqlanishi kerak. Ta'sischilar buning uchun KeePassX dan foydalanishni tavsiya etadilar. Bu narsa grafik, asoschilarning o'zlari yoqtirmaydi, lekin u hamma joyda ishlaydi, shu jumladan mashhur Android Google probi (KeePassDroid). Ma'lumotlar bazasini parollar bilan kerakli joyga o'tkazish qoladi.

Keling, shifrlaymiz

Shifrlash - bu so'zda juda ko'p narsa bor ... Bugungi kunda shifrlash bir vaqtning o'zida hamma joyda va hech qaerda. Biz veb-saytlarning HTTPS versiyalaridan foydalanishga majburmiz, lekin biz bunga ahamiyat bermaymiz. Ular bizga: "Uy katalogingizni shifrlang" deyishadi va biz: "Keyin men uni sozlayman" deymiz. Ular bizga: "Dropbox xodimlarining sevimli mashg'uloti foydalanuvchilarning shaxsiy fotosuratlariga kulishdir", biz esa: "Ular kulsin". Shu bilan birga, shifrlash bugungi kunda yagona mutlaq himoya vositasidir. Bu ham juda hamyonbop va ajinlarni tekislaydi.

Linuxda qattiq disk bo'limlaridan tortib bitta fayllargacha bo'lgan har bir narsa uchun tonna shifrlash imkoniyatlari mavjud. Uchta eng taniqli va vaqt sinovidan o'tgan vositalar dm-crypt/LUKS, ecryptfs va encfs. Birinchisi butun disklar va bo'limlarni shifrlaydi, ikkinchi va uchinchisi muhim ma'lumotlarga ega kataloglarni, har bir faylni alohida shifrlaydi, agar siz qo'shimcha zaxira nusxalarini yaratishingiz yoki Dropbox bilan birgalikda ishlatishingiz kerak bo'lsa, bu juda qulaydir. Bundan tashqari, bir nechta kamroq ma'lum vositalar mavjud, masalan, TrueCrypt.

Darhol rezervlashimga ruxsat bering, butun diskni shifrlash qiyin ish va eng muhimi, foydasiz. Ildiz katalogida ayniqsa maxfiy narsa yo'q va bo'lishi ham mumkin emas, lekin uy katalogi va almashtirish shunchaki ma'lumotlar xazinasidir. Bundan tashqari, ikkinchisi birinchisidan ham kattaroqdir, chunki ma'lumotlar va parollar allaqachon shifrlangan shaklda bo'lishi mumkin (oddiy dasturchilar tizimga bunday ma'lumotlarni almashtirishni taqiqlaydi, ammo bunday odamlar ozchilikni tashkil qiladi). Ikkalasi uchun shifrlashni o'rnatish juda oddiy, shunchaki ecrypts vositalarini o'rnating:

$ sudo apt-get o'rnating ecryptfs-utils

Va, aslida, shifrlashni yoqing:

$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private

Keyinchalik, tizimga kirish uchun foydalanilgan parolni kiriting va tizimga qayta kiring. Ha, bu juda oddiy. Birinchi buyruq /etc/fstab-dagi tegishli qatorlarni o'zgartirish orqali almashtirishni shifrlaydi va qayta o'rnatadi. Ikkinchisi ~/.Private va ~/Private kataloglarini yaratadi, ularda mos ravishda shifrlangan va shifrlangan fayllar saqlanadi. Tizimga kirganingizda, pam_ecryptfs.so PAM moduli ishga tushiriladi, bu birinchi katalogni shaffof ma'lumotlarni shifrlash bilan ikkinchisiga o'rnatadi. O'chirilgandan so'ng, ~/Private bo'sh bo'ladi va ~/.Private shifrlangan shakldagi barcha fayllarni o'z ichiga oladi.

Butun uy katalogini shifrlash taqiqlangan emas. Bunday holda, unumdorlik unchalik pasaymaydi, lekin barcha fayllar, shu jumladan bir xil tarmoq katalogi ~/Dropbox himoyalangan bo'ladi. Bu shunday amalga oshiriladi:

# ecryptfs-migrate-home -u vasya

Aytgancha, vasya ma'lumotlaridan 2,5 barobar ko'proq disk maydoni bo'lishi kerak, shuning uchun uni oldindan tozalashni maslahat beraman. Amaliyotni tugatgandan so'ng, siz darhol foydalanuvchi vasya sifatida tizimga kirishingiz va funksionallikni tekshirishingiz kerak:

$mount | grep Xususiy /home/vasya/.Private on /home/vasya type ecryptfs ...

Agar hamma narsa yaxshi bo'lsa, siz ma'lumotlarning shifrlanmagan nusxasini qayta yozishingiz mumkin:

$ sudo rm -r /home/vasya.*

Bizning izlarimizni qoplash

OK, parollar xavfsiz joyda, shaxsiy fayllar ham, endi nima bo'ladi? Va endi biz shaxsiy ma'lumotlarimizning ba'zi qismlari noto'g'ri qo'llarga tushmasligi uchun ehtiyot bo'lishimiz kerak. Hech kimga sir emaski, fayl o'chirilganda, keyinchalik formatlash amalga oshirilsa ham, uning joriy tarkibi ommaviy axborot vositalarida qoladi. Bizning shifrlangan ma'lumotlarimiz o'chirilgandan keyin ham xavfsiz bo'ladi, lekin flesh-disklar va boshqa xotira kartalari haqida nima deyish mumkin? Bu erda bizga srm yordam dasturi kerak, u nafaqat faylni o'chiradi, balki qolgan ma'lumotlar bloklarini ham axlat bilan to'ldiradi:

$ sudo apt-get install safe-delete $ srm secret-file.txt home-video.mpg

# dd if=/dev/zero of=/dev/sdb

Ushbu buyruq sdb flesh-diskidagi barcha ma'lumotlarni o'chirib tashlaydi. Keyinchalik, faqat bo'lim jadvalini yaratish (bitta bo'lim bilan) va uni kerakli fayl tizimiga formatlash qoladi. Buning uchun fdisk va mkfs.vfat dan foydalanish tavsiya etiladi, lekin siz grafik gparted bilan ham shug'ullanishingiz mumkin.

BruteForce hujumlarining oldini olish

Fail2ban - bu tarmoq xizmatlari uchun parollarni topishga urinishlar uchun jurnallarni skanerlaydigan demon. Agar bunday urinishlar aniqlansa, shubhali IP-manzil iptables yoki TCP Wrappers yordamida bloklanadi. Xizmat elektron pochta orqali voqea haqida xost egasini xabardor qilishi va orqali blokirovkani tiklashi mumkin belgilangan vaqt. Fail2ban dastlab SSHni himoya qilish uchun ishlab chiqilgan bo'lib, bugungi kunda Apache, lighttpd, Postfix, Exim, Cyrus IMAP, nomli va hokazolar uchun tayyor misollar taklif etiladi. Bundan tashqari, bitta Fail2ban jarayoni bir vaqtning o'zida bir nechta xizmatlarni himoya qilishi mumkin.

Ubuntu/Debian-da o'rnatish uchun biz quyidagilarni yozamiz:

# apt-get install fail2ban

Konfiguratsiyalar /etc/fail2ban katalogida joylashgan. Konfiguratsiyani o'zgartirgandan so'ng, buyruq bilan fail2banni qayta ishga tushirishingiz kerak:

# /etc/init.d/fail2ban qayta ishga tushirish

Tashqaridan tahdid

Keling, chuqurlikdan kelayotgan tahdidlarga e'tibor beraylik Internet. Bu erda men OpenBSD bilan ishlaydigan maxsus mashinada ishlaydigan iptables va pf haqida gapirishni boshlashim kerak, ammo ipkungfu mavjud bo'lganda bularning barchasi ortiqcha. Bu nima? Bu biz uchun xavfsizlik devorini sozlash bo'yicha barcha iflos ishlarni bajaradigan skript, kilometr uzunlikdagi qoidalar ro'yxatini yozmasdan. O'rnatish:

$ sudo apt-get o'rnatish ipkungfu

Konfiguratsiyani tahrirlash:

$ sudo vi /etc/ipkungfu/ipkungfu.conf # Mahalliy tarmoq, agar mavjud bo'lsa, tarmoq manzilini niqob bilan birga yozing, bo'lmasa, loopback manzilini yozing LOCAL_NET="127.0.0.1" # Bizning mashinamiz shlyuz emas GATEWAY=0 # Zarur bo'lgan portlarni yoping FORBIDDEN_PORTS="135 137 139" # Pinglarni bloklang, bu bosqichda bolalarning 90% yiqilib tushadi BLOCK_PINGS=1 # Shubhali paketlarni tashlab yuboring (har xil turdagi suv toshqini) SUSPECT="DROP" # Tush "noto'g'ri" paketlar (ba'zi DoS turlari) KNOWN_BAD=" DROP" # Portlar skanerlanmoqdami? Thrash! PORT_SCAN="TOSHLASH"

Ipkungfu-ni yoqish uchun /etc/default/ipkungfu faylini oching va IPKFSTART = 0 qatorini IPKFSTART = 1 ga o'zgartiring. Ishga tushiring:

$sudo ipkungfu

Bundan tashqari, /etc/sysctl.conf ga o'zgartirish kiritamiz:

$ sudo vi /etc/systcl.conf # ICMP yo'naltirishlarini o'chirish (MITM hujumlariga qarshi) net.ipv4.conf.all.accept_redirects=0 net.ipv6.conf.all.accept_redirects=0 # TCP sinxronlash mexanizmini yoqing net.ipv4 . tcp_syncookies=1 # Turli sozlashlar (spoofingga qarshi, “yarim ochiq” TCP ulanishlari navbatini oshirish va hokazo) net.ipv4.tcp_timestamps=0 net.ipv4.conf.all.rp_filter=1 net.ipv4.tcp_max_syn_back =1280 yadro .core_uses_pid=1

O'zgarishlarni faollashtiring:

$ sudo sysctl -p

Intrusionlarni aniqlash

Snort administratorlarning sevimli vositalaridan biri va barcha xavfsizlik qo'llanmalarining asosiy figurasidir. Butun kitoblar bag'ishlangan uzoq tarix va ulkan imkoniyatlarga ega narsa. Bizning qo'llanmamizda u nima qiladi tez sozlash xavfsiz tizim? Va bu erda Snortni sozlash shart emas:

$ sudo apt-get install snort $ snort -D

Hammasi! Men hazillashayotganim yo‘q standart sozlamalar Snort odatiy tarmoq xizmatlarini himoya qilish uchun etarli, agar sizda ular mavjud bo'lsa. Siz shunchaki vaqti-vaqti bilan jurnalga qarashingiz kerak. Va unda siz quyidagi qatorlarni topishingiz mumkin:

[**] MS-SQL tekshiruvi javobini to‘ldirishga urinish [**] http://www.securityfocus.com/bid/9407]

Voy. Kimdir MySQL-da buferni to'ldirishga harakat qildi. bilan sahifaga havola ham mavjud batafsil tavsif muammolar. Go'zallik.

Kimdir meros bo'lib qoldi ...

Ayniqsa aqlli kimdir bizning xavfsizlik devorimizni chetlab o'tib, Snort-dan o'tib, tizimga ildiz kirishiga ega bo'ldi va endi o'rnatilgan orqa eshikdan foydalanib tizimga muntazam kirishga muvaffaq bo'ldi. Yaxshi emas, orqa eshikni topish, olib tashlash va tizimni yangilash kerak. Rutkitlarni va orqa eshiklarni qidirish uchun biz rkhunter-dan foydalanamiz:

$ sudo apt-get o'rnatish rkhunter

Keling, ishga tushiramiz:

$ sudo rkhunter -c --sk

Dasturiy ta'minot butun tizimni rootkitlarning mavjudligini tekshiradi va natijalarni ekranda ko'rsatadi. Zararli dastur hali ham topilgan bo'lsa, rkhunter manzilga ishora qiladi va uni o'chirib tashlash mumkin. Batafsilroq jurnal bu yerda joylashgan: /var/log/rkhunter.log. Rkhunterni har kuni cron ishi sifatida ishlatish yaxshiroqdir:

$ sudo vi /etc/cron.daily/rkhunter.sh #!/bin/bash /usr/bin/rkhunter -c --cronjob 2>&1 | mail -s "RKhunter Scan natijalari" [elektron pochta himoyalangan]

Vasyaning elektron pochta manzilini biznikiga almashtiramiz va skriptni bajariladigan qilib qo'yamiz:

$ sudo chmod +x /etc/cron.daily/rkhunter.sh

$ sudo rkhunter --yangilash

Aytgancha, uni cron skriptida tekshirish buyrug'idan oldin qo'shishingiz mumkin. Yana ikkita rootkit qidirish vositalari:

$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get o'rnatish lynis $ sudo lynis -c

Aslini olganda, ular bir xil Faberge tuxumlari, ammo ular turli xil asoslarga ega. Ehtimol, ularning yordami bilan rxunter nimani o'tkazib yuborganini aniqlash mumkin bo'ladi. Yangi boshlanuvchilar uchun debsumlar yarashtirish vositasidir. nazorat summalari fayllar, o'rnatilgan paketlar standart bilan. Biz qo'yamiz:

$ sudo apt-get install debsums

Keling, tekshirishni boshlaymiz:

$ sudo debsums -ac

Doimgidek? ishga tushirish cron ishlariga qo'shilishi mumkin.

Tashqarida

Keling, Internetda anonimlikni qanday saqlash va turli mualliflik huquqi egalari tashkilotlari va boshqa Mizulinlar iltimosiga binoan bloklangan saytlar va sahifalarga qanday kirish haqida gapiraylik. Buning eng oson yo'li butun dunyo bo'ylab minglab proksi-serverlardan birini ishlatishdir. Ularning ko'pchiligi bepul, lekin ko'pincha kanalni qadimgi analog modem tezligiga qisqartiradi.

Veb-saytlarni osongina ko'rib chiqish va faqat kerak bo'lganda proksi-serverni yoqish uchun siz Chrome va Firefox uchun ko'plab kengaytmalardan birini ishlatishingiz mumkin, ularni proksi-server so'rovi bo'yicha katalogda osongina topish mumkin. Biz o'rnatamiz, kerakli proksi-serverlar ro'yxatini kiritamiz va sahifa o'rniga "Janob Skumbrievichning iltimosiga binoan sahifaga kirish cheklangan" belgisini ko'rib, keraklisiga o'tamiz.

Agar butun sayt filtr ostida bo'lsa va uning manzili provayderlarning DNS serverlari tomonida qora ro'yxatga kiritilgan bo'lsa, siz manzillari e'lon qilingan bepul DNS serverlaridan foydalanishingiz mumkin. O'zingizga yoqqan ikkita manzilni oling va ularni /etc/resolv.conf ga qo'shing:

Nameserver 156.154.70.22 nom serveri 156.154.71.22

Turli DHCP mijozlari va NetworkManagerlar provayder yoki routerdan olingan manzillar bilan faylni qayta yozishni oldini olish uchun kengaytirilgan atributlar yordamida faylni qayta yozilmaydi:

$ sudo chattr +i /etc/resolv.conf

Shundan so'ng, fayl hamma uchun, shu jumladan root uchun yozishdan himoyalangan bo'ladi.

Ko'rib chiqish tajribangizni yanada anonimlashtirish uchun siz saytning o'ziga ulanish uchun ishlatiladigan proksi-serverdan tashqari DNS serveriga barcha so'rovlarni shifrlaydigan dnscrypt demonidan ham foydalanishingiz mumkin. O'rnatish:

$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy-*.tar.bz2 | tar xvf - $ cd dnscrypt-proxy-* $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install

/etc/resolv.conf da qayta tiklash manzilini belgilang:

$ vi /etc/resolv.conf nom serveri 127.0.0.1

Demonni boshlaylik:

$ sudo dnscrypt-proksi --daemonizatsiya

Aytgancha, Windows, iOS va Android uchun dnscrypt versiyalari mavjud.

Piyozni yo'naltirish

Piyoz marshruti nima? Bu Tor. Tor esa, o'z navbatida, Internetga kirish imkoniga ega bo'lgan mutlaqo anonim tarmoq yaratish imkonini beruvchi tizimdir. Bu erda "piyoz" atamasi operatsion modelga nisbatan qo'llaniladi, unda har qanday tarmoq paketi shifrlashning uchta qatlamiga "o'raladi" va qabul qiluvchiga yo'lda uchta tugun orqali o'tadi, ularning har biri o'z qatlamini olib tashlaydi. va natijani keyingi uzating. Albatta, hamma narsa murakkabroq, ammo biz uchun yagona muhim narsa shundaki, bu tarmoqni tashkil etishning bir nechta turlaridan biri bo'lib, u sizga to'liq anonimlikni saqlashga imkon beradi.

Biroq, anonimlik mavjud bo'lgan joyda, ulanish bilan bog'liq muammolar ham mavjud. Tor-da ulardan kamida uchtasi bor: u juda sekin (shifrlash va tugunlar zanjiri orqali uzatish tufayli), u sizning tarmog'ingizga yuk yaratadi (chunki siz o'zingiz tugunlardan biri bo'lasiz) va u zaif trafikni to'xtatish uchun. Ikkinchisi Tor tarmog'idan Internetga kirish imkoniyatining tabiiy natijasidir: oxirgi tugun (chiqish) shifrlashning oxirgi qatlamini olib tashlaydi va ma'lumotlarga kirish huquqiga ega bo'ladi.

Biroq, Torni o'rnatish va ishlatish juda oson:

$ sudo apt-get o'rnatish tor

Hammasi shu, endi mahalliy mashinada Tor tarmog'iga olib boradigan proksi-server bo'ladi. Manzil: 127.0.0.1:9050, siz uni xuddi shu kengaytmadan foydalanib brauzerga kiritishingiz yoki sozlamalar orqali qo'shishingiz mumkin. Bu HTTP proksi-server emas, balki SOCKS ekanligini unutmang.

MA'LUMOT

Kirish uchun buyruq qatori parol tarixda saqlanmagan bo'lsa, siz "buyruqning boshida bo'sh joy qo'shish" deb nomlangan aqlli hiyladan foydalanishingiz mumkin.

Bu Ubuntu-da uy katalogini shifrlash uchun ishlatiladigan ecryptfs.

Suv toshqiniga qarshi kurash

Men uy egasiga suv bosishga yordam beradigan bir nechta buyruqlar beraman.

Muayyan portdagi ulanishlar sonini hisoblash:

$ netstat -na | grep ":port\ " | wc -l

"Yarim ochiq" TCP ulanishlar sonini hisoblash:

$ netstat -na | grep ":port\ " | grep SYN_RCVD | wc -l

Ulanish so'rovlari keladigan IP manzillar ro'yxatini ko'ring:

$ netstat -na | grep ":port\ " | saralash | uniq -c | sort -nr | Ozroq

tcpdump yordamida shubhali paketlarni tahlil qilish:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port porti va IP server hosti

Biz tajovuzkorning ulanishlarini to'xtatamiz:

# iptables -A INPUT - tajovuzkorning IP-si -p tcp --destination-port port -j DROP

Biz bitta IP dan ma'lum bir portga "yarim ochiq" ulanishlarning maksimal sonini cheklaymiz:

# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-10 dan yuqori -j DROP

ICMP ECHO so'rovlariga javoblarni o'chirib qo'ying:

# iptables -A INPUT -p icmp -j DROP --icmp-turi 8

Xulosa

Bo'ldi shu. Tafsilotlarga kirmasdan va qo'llanmalarni o'rganishga hojat qoldirmasdan, biz Linux-boksni yaratdik, u tashqi hujumlardan, rootkitlardan va boshqa infektsiyalardan, insonning bevosita aralashuvidan, trafikni ushlab turish va kuzatuvdan himoyalangan. Tizimni muntazam yangilash, SSH orqali parolga kirishni taqiqlash, keraksiz xizmatlarni olib tashlash va konfiguratsiya xatolaridan qochish qoladi.

Linux operatsion tizimida ishlaydigan serverlar eng xavfsiz va tashqi hujumlardan himoyalangan degan noto'g'ri tushuncha mavjud. Afsuski, bunday emas, har qanday serverning xavfsizligi uni ta'minlash uchun bir qator omillar va chora-tadbirlarga bog'liq va amalda ishlatiladigan operatsion tizimdan mustaqildir;

Biz tarmoq xavfsizligi bo'yicha bir qator maqolalarni boshlashga qaror qildik Ubuntu serveri, chunki ushbu platformadagi echimlar bizning o'quvchilarimiz uchun katta qiziqish uyg'otadi va ko'pchilik Linux echimlari o'z-o'zidan xavfsiz ekanligiga ishonishadi.

Shu bilan birga, maxsus IP-manzilga ega marshrutizator mahalliy tarmoqqa "eshik" bo'lib, bu darvoza ishonchli to'siq bo'ladimi yoki mamlakat darvozasi bo'ladimi, bu faqat ma'murga bog'liq bo'ladi. tirnoq.

Yana bir keng tarqalgan noto'g'ri tushuncha bu: "kimga kerak, bizning serverimiz, bizda qiziq narsa yo'q" uslubidagi fikrlashdir. Haqiqatan ham, sizning mahalliy tarmog'ingiz tajovuzkorlarni qiziqtirmasligi mumkin, ammo ular spam yuborish, boshqa serverlarga hujumlar, anonim proksi-serverdan, qisqasi, o'zlarining xira muomalalari uchun boshlang'ich nuqta sifatida foydalanishlari mumkin.

Va bu allaqachon yoqimsiz va turli muammolarning manbai bo'lib xizmat qilishi mumkin: provayderdan tortib huquqni muhofaza qilish organlarigacha. Va viruslarning tarqalishi, o'g'irlik va halokat haqida muhim ma'lumotlar Shuni ham unutmaslik kerak, shuningdek, korxonaning to'xtab qolishi sezilarli yo'qotishlarga olib keladi.

Ushbu maqola Ubuntu serveri haqida bo'lsa-da, biz birinchi navbatda ko'rib chiqamiz umumiy savollar har qanday platformaga teng darajada qo'llaniladigan va asoslar bo'lgan xavfsizlik, uni o'zlashtirmasdan, masalani batafsilroq muhokama qilishning ma'nosi yo'q.

Xavfsizlik qaerdan boshlanadi?

Yo'q, xavfsizlik xavfsizlik devoridan boshlanmaydi, u umuman xavfsizlik devoridan boshlanmaydi. texnik vositalar, xavfsizlik foydalanuvchidan boshlanadi. Axir, agar egasi kalitni gilam ostida qoldirsa, eng yaxshi mutaxassislar tomonidan o'rnatilgan eng zo'r metall eshikdan nima foyda?

Shuning uchun, siz qilishingiz kerak bo'lgan birinchi narsa - xavfsizlik auditini o'tkazish. Bu so'zdan qo'rqmang, hamma narsa unchalik murakkab emas: sxematik tarmoq rejasini tuzing, unda siz xavfsiz zonani, potentsial xavfli zonani va yuqori xavfli zonani belgilang, shuningdek (bo'lishi kerak) foydalanuvchilar ro'yxatini tuzing. ushbu zonalarga kirish).

Xavfsiz zona tashqaridan kirish imkoni bo'lmagan va xavfsizlikning past darajasi maqbul bo'lgan ichki tarmoq resurslarini o'z ichiga olishi kerak. Bu ish stantsiyalari bo'lishi mumkin, fayl serverlari va hokazo. kirish korporativ mahalliy tarmoq bilan cheklangan qurilmalar.

Potentsial xavfli zonaga tashqi tarmoqqa to'g'ridan-to'g'ri kirish imkoni bo'lmagan, lekin alohida xizmatlariga tashqaridan kirish mumkin bo'lgan serverlar va qurilmalar kiradi, masalan, xavfsizlik devori orqasida joylashgan, ammo tashqi tarmoqdan so'rovlarga xizmat qiladigan veb va pochta serverlari.

Xavfli zonaga tashqi tomondan to'g'ridan-to'g'ri kirish mumkin bo'lgan qurilmalar bo'lishi kerak, bu bitta yo'riqnoma bo'lishi kerak;

Iloji bo'lsa, potentsial xavfli zonani alohida quyi tarmoqqa joylashtirish kerak - asosiy tarmoqdan qo'shimcha xavfsizlik devori bilan ajratilgan demilitarizatsiya zonasi (DMZ).

LAN qurilmalari faqat SMTP, POP3, HTTP kabi kerakli DMZ xizmatlaridan foydalanishi kerak va boshqa ulanishlar bloklanishi kerak. Bu qurolsizlantirilgan zonadagi alohida xizmatdagi zaiflikdan foydalangan tajovuzkor yoki zararli dasturni ishonchli tarzda izolyatsiya qilish imkonini beradi va ularga asosiy tarmoqqa kirishni taqiqlaydi.

Jismoniy jihatdan, DMZ alohida server / apparat xavfsizlik devorini o'rnatish yoki marshrutizatorga qo'shimcha tarmoq kartasini qo'shish orqali tashkil etilishi mumkin, ammo ikkinchi holatda siz yo'riqnoma xavfsizligiga katta e'tibor qaratishingiz kerak bo'ladi. Lekin har qanday holatda ham bir guruh serverlarga qaraganda bitta server xavfsizligini ta'minlash ancha oson.

Keyingi qadam foydalanuvchilar ro'yxatini tahlil qilish bo'lishi kerak, ularning barchasi DMZ va marshrutizatorga kirishga muhtojmi yoki yo'qmi (davlat xizmatlari bundan mustasno), tashqaridan ulanadigan foydalanuvchilarga alohida e'tibor berilishi kerak.

Odatda, bu parol siyosatini qo'llash bo'yicha juda mashhur bo'lmagan qadamni talab qiladi. Muhim xizmatlarga kirish huquqiga ega bo'lgan va tashqi ulanish imkoniyatiga ega bo'lgan foydalanuvchilar uchun barcha parollar kamida 6 ta belgidan iborat bo'lishi kerak va kichik harflardan tashqari, uchta toifadan ikkita toifadagi belgilar: katta harflar, raqamlar, alifbo bo'lmagan belgilar.

Bundan tashqari, parol foydalanuvchi logini yoki uning bir qismini o'z ichiga olmaydi, foydalanuvchi bilan bog'lanishi mumkin bo'lgan sanalar yoki nomlarni o'z ichiga olmaydi va afzalroq, lug'at so'zi bo'lmasligi kerak.

Har 30-40 kunda parollarni o'zgartirish amaliyotiga kirishish yaxshidir. Bunday siyosat foydalanuvchilar tomonidan rad etilishiga olib kelishi aniq, ammo parollar yoqadi 123 yoki qwerty gilam ostida kalit qoldirishga teng.

Server xavfsizligi - ortiqcha narsa yo'q.

Endi biz nimani va nimadan himoya qilmoqchi ekanligimiz haqida tasavvurga ega bo'lib, serverning o'ziga o'tamiz. Barcha xizmatlar va xizmatlar ro'yxatini tuzing, so'ngra ularning barchasi ushbu serverda kerakmi yoki boshqa joyga ko'chirilishi mumkinmi, deb o'ylang.

Xizmatlar qanchalik kam bo'lsa, xavfsizlikni ta'minlash shunchalik oson bo'ladi va ulardan biridagi muhim zaiflik tufayli serverning buzilishi ehtimoli shunchalik kam bo'ladi.

Mahalliy tarmoqqa xizmat ko'rsatadigan xizmatlarni (masalan, squid) sozlang, shunda ular so'rovlarni faqat mahalliy interfeysdan qabul qiladi. Tashqarida qancha kam xizmatlar mavjud bo'lsa, shuncha yaxshi.

Zaiflik skaneri xavfsizlikni ta'minlashda yaxshi yordamchi bo'ladi, u serverning tashqi interfeysini skanerlashi kerak; Biz eng mashhur mahsulotlardan biri - XSpider 7.7 ning demo versiyasidan foydalandik.

Skaner ko'rsatadi ochiq portlar, ishlayotgan xizmat turini va agar muvaffaqiyatli bo'lsa, uning zaif tomonlarini aniqlashga harakat qiladi. Ko'rib turganingizdek, to'g'ri sozlangan tizim juda xavfsiz, ammo siz kalitni gilam ostida qoldirmasligingiz kerak, yo'riqnomada 1723 (VPN) va 3389 (terminal serveriga yo'naltirilgan RDP) portlari mavjudligi; parol siyosati haqida o'ylash uchun yaxshi sabab.

Biz SSH xavfsizligi haqida ham gapirishimiz kerak, bu xizmat odatda ma'murlar tomonidan qo'llaniladi masofadan boshqarish pulti server va tajovuzkorlar uchun katta qiziqish uyg'otadi. SSH sozlamalari faylda saqlanadi /etc/ssh/sshd_config, quyida tavsiflangan barcha o'zgarishlar unga kiritilgan. Buning uchun avvalo, siz root foydalanuvchisi ostida avtorizatsiyani o'chirib qo'yishingiz kerak, variantni qo'shing:

PermitRootLogin raqami

Endi tajovuzkor nafaqat parolni, balki loginni ham taxmin qilishi kerak bo'ladi va u hali ham superuser parolini bilmaydi (u sizning parolingizga mos kelmaydi deb umid qilamiz). Tashqaridan ulanishda barcha ma'muriy vazifalar pastdan bajarilishi kerak sudo imtiyozsiz foydalanuvchi sifatida tizimga kirish.

Ruxsat etilgan foydalanuvchilar ro'yxatini aniq ko'rsatishga arziydi va siz kabi yozuvlardan foydalanishingiz mumkin user@host, bu ko'rsatilgan foydalanuvchiga faqat belgilangan xostdan ulanish imkonini beradi. Masalan, foydalanuvchi ivanovga uydan ulanishga ruxsat berish uchun (IP 1.2.3.4), siz quyidagi yozuvni qo'shishingiz kerak:

AllowUser [elektron pochta himoyalangan]

Shuningdek, protokolning faqat ikkinchi versiyasiga ruxsat beruvchi eskirgan va kamroq xavfsiz SSH1 protokolidan foydalanishni o'chirib qo'ying, buning uchun quyidagi qatorni shaklga o'zgartiring:

Protokol 2

Qabul qilingan barcha choralarga qaramay, parolni taxmin qilishni oldini olish uchun SSH va boshqa davlat xizmatlariga ulanishga urinishlar bo'ladi fail2ban, bu sizga bir nechta muvaffaqiyatsiz kirish urinishlaridan keyin foydalanuvchini avtomatik ravishda taqiqlash imkonini beradi. Siz uni quyidagi buyruq bilan o'rnatishingiz mumkin:

Sudo apt-get install fail2ban

Ushbu yordamchi dastur o'rnatilgandan so'ng darhol ishlashga tayyor, ammo buni amalga oshirish uchun ba'zi parametrlarni darhol o'zgartirishni maslahat beramiz, faylga o'zgartirishlar kiriting; /etc/fail2ban/jail.conf. Odatiy bo'lib, faqat SSH-ga kirish nazorat qilinadi va taqiqlash vaqti 10 daqiqa (600 soniya), bizning fikrimizcha, quyidagi variantni o'zgartirish orqali uni oshirishga arziydi:

Bantime = 6000

Keyin faylni aylantiring va tegishli bo'lim nomidan keyin parametrni o'rnatib, tizimingizda ishlaydigan xizmatlar uchun bo'limlarni yoqing. yoqilgan bir holatda rost, masalan, xizmat uchun proftpd u shunday ko'rinadi:

yoqilgan = rost

Yana bir muhim parametr maxretry, bu ulanish urinishlarining maksimal soni uchun javobgardir. Sozlamalarni o'zgartirgandan so'ng, xizmatni qayta ishga tushirishni unutmang:

Sudo /etc/init.d/fail2ban qayta ishga tushiring

Utility jurnalini quyidagi manzilda ko'rishingiz mumkin /var/log/fail2ban.log.

Shubhasiz, shunchaki o'rnatilgan Linux tizimi turli xillarga nisbatan ancha chidamli zararli dastur, josuslik dasturlari va xakerlik faoliyati bir xil Windows versiyasi. Biroq, aksariyat Linux tizimlari tabiatan butunlay xavfsiz bo'lmagan standart sozlamalardan foydalanadi.

Ba'zi Linux tarqatishlari qutidan tashqarida juda xavfsiz bo'lishi uchun yaratilgan, ammo ular yangi boshlanuvchilar, ayniqsa xavfsizlik bo'yicha bo'lmagan mutaxassislar uchun juda chalkash bo'ladi.

Ubuntu bugungi kunda ishlatiladigan eng mashhur Linux distributoridir. Bu ko'plab omillarga bog'liq, ulardan biri bu yangi boshlanuvchilar uchun eng oson. Bu o'zining ijobiy tomonlariga ega, ammo shu sababli tizimda ishlab chiquvchilar foydalanuvchi qulayligini tanlash orqali ortda qoldirgan bir nechta zaif tomonlari mavjud. Ushbu maqolada biz Ubuntu 16.04 da xavfsizlik qanday sozlanganligini ko'rib chiqamiz. Ushbu sozlamalar unchalik murakkab emas, lekin ular sizning tizimingizni eng keng tarqalgan hujum usullariga chidamliroq qilishga yordam beradi.

Siz bilishingiz kerak bo'lgan birinchi narsa - tizimingizni doimiy ravishda yangilab turish va yangilab turishdir. Yadroda doimiy ravishda yangi zaifliklar topiladi va dasturiy ta'minot, misol, bir xil Dry COW. Ishlab chiquvchilar bu xatolarni juda tez tuzatadilar, ammo bu tuzatishlarni tizimingizda qo'llash uchun uni zudlik bilan yangilashingiz kerak.

Boshqa muhim eslatma foydalanuvchi parolidir. Parolsiz foydalanuvchidan foydalanmang. Agar boshqa odamlarga kompyuteringizga kirishga ruxsat berishingiz kerak bo'lsa, mehmon hisobi kabi yangi hisob yarating. Lekin har doim parollardan foydalaning. Linux operatsion tizimi dastlab barcha foydalanuvchilar uchun xavfsizlikni hisobga olgan holda ko'p foydalanuvchili tizim sifatida yaratilgan, shuning uchun bu imkoniyatni qo'ldan boy bermang. Ammo bularning barchasi siz allaqachon biladigan maslahatlar, keling, ubuntu xavfsizligini oshirishning haqiqatan ham foydali usullarini ko'rib chiqaylik.

1. Umumiy xotirani sozlash

Odatiy bo'lib, /run/shm-dagi umumiy xotiraning butun hajmi o'qilishi va yozilishi mumkin, bu esa dasturlarni bajarishga imkon beradi. Bu xavfsizlik teshigi hisoblanadi va ko'plab ekspluatatsiyalar ishlaydigan xizmatlarga hujum qilish uchun /run/shm dan foydalanadi. Ko'pgina ish stoli va ayniqsa server qurilmalari uchun ushbu faylni faqat o'qish rejimida o'rnatish tavsiya etiladi. Buning uchun /etc/fstab ga quyidagi qatorni qo'shing:

sudo vi /etc/fstab

yo'q /run/shm tmpfs sukut bo'yicha,ro 0 0

Ammo shunga qaramay, ba'zi dasturlar /run/shm faqat o'qish uchun bo'lsa, ulardan biri ishlamaydi Google Chrome. Agar siz Google Chrome-dan foydalansangiz, biz yozib olish imkoniyatini saqlab qolishimiz kerak, ammo buni amalga oshirish uchun dasturlarning bajarilishini taqiqlashimiz mumkin, yuqorida tavsiya etilgan qatorni qo'shing:

hech /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

2. Administrator bo'lmaganlar uchun su dan foydalanishni taqiqlash

Hisob qaydnomangizga qo'shimcha ravishda Ubuntu'da noutbukni do'stingiz bilan baham ko'rish uchun foydalanishingiz mumkin bo'lgan mehmon hisobi ham mavjud. Su yordam dasturi boshqa foydalanuvchi sifatida dasturlarni ishga tushirishga imkon beradi. Bu tizim boshqaruvida juda foydali va to'g'ri ishlatilganda juda muhimdir. Ammo, shunga qaramay, har bir kishi ushbu yordam dasturidan foydalanishi mumkin Linux foydalanuvchilari, va bu allaqachon suiiste'mol. Mehmon hisobiga su buyrug'iga kirishni rad qilish uchun quyidagilarni bajaring:

sudo dpkg-statoverride --yangilash - sudo 4750 /bin/su ildizini qo'shing

3. Uy katalogingizni himoya qiling

Sizning standart uy katalogingiz tizimdagi har bir foydalanuvchi uchun ochiq bo'ladi. Shunday qilib, agar sizda mehmon hisobi bo'lsa, u holda mehmon sizning barchangizga to'liq kirish imkoniyatiga ega bo'ladi shaxsiy fayllar va hujjatlar. Lekin siz uni faqat o'zingiz uchun ochiq qilishingiz mumkin. Terminalni oching va quyidagi buyruqni bajaring:

chmod 0700 /home/foydalanuvchi nomi

U shunday huquqlarni o'rnatadiki, jild egasi, ya'ni siz hamma narsaga kirish huquqiga ega bo'ladi va boshqa foydalanuvchilar hatto tarkibni ko'ra olmaydilar. Shu bilan bir qatorda siz ruxsatlarni 750 ga o'rnatishingiz mumkin, bu siz bilan bir guruhdagi foydalanuvchilarga jildni o'qishga ruxsat beradi:

chmod 0750 /home/foydalanuvchi nomi

Endi Ubuntu 16.04 xavfsizligi va ayniqsa shaxsiy ma'lumotlaringiz biroz yuqoriroq bo'ladi.

4. SSH loginni ildiz sifatida o'chirib qo'ying

Odatiy bo'lib, Ubuntu'da siz SSH orqali superfoydalanuvchi sifatida tizimga kirishingiz mumkin, garchi siz root foydalanuvchisi uchun parol o'rnatgan bo'lsangiz ham, bu potentsial xavfli bo'lishi mumkin, chunki agar parol juda oddiy bo'lsa, tajovuzkor uni qo'pol ravishda majburlab, to'liq nazorat qilishi mumkin. kompyuter. sshd xizmati tizimingizda o'rnatilmagan bo'lishi mumkin. Tekshirish uchun ishga tushiring:

Agar ulanish rad etilganligi haqidagi xabarni olsangiz, bu SSH serveri o'rnatilmaganligini anglatadi va siz ushbu bosqichni o'tkazib yuborishingiz mumkin. Ammo agar u o'rnatilgan bo'lsa, uni /etc/ssh/sshd_config konfiguratsiya fayli yordamida sozlash kerak. Ushbu faylni oching va qatorni almashtiring:

PermitRootLogin ha

PermitRootLogin raqami

Bajarildi, endi ssh orqali tizimingizga kirish qiyinroq bo'ladi, lekin ubuntu 16.04 da xavfsizlikni sozlash hali tugallanmagan.

5. Xavfsizlik devorini o'rnating

Ehtimol, kompyuteringizda nafaqat ssh serveri, balki ma'lumotlar bazasi xizmati va apache veb-server yoki nginx. Agar bu uy kompyuteri bo'lsa, ehtimol siz boshqa hech kimning mahalliy saytingizga yoki ma'lumotlar bazasiga ulanishini xohlamaysiz. Buning oldini olish uchun siz xavfsizlik devorini o'rnatishingiz kerak. Ubuntu'da gufw dan foydalanish tavsiya etiladi, chunki u ushbu tizim uchun maxsus ishlab chiqilgan.

O'rnatish uchun:

sudo apt install gufw

Keyin dasturni ochishingiz, himoyani yoqishingiz va barcha kiruvchi ulanishlarni bloklashingiz kerak. Brauzer va boshqa ma'lum dasturlar uchun faqat kerakli portlarga ruxsat bering. Ko'rsatmalarda ko'proq o'qing.

6. MITM hujumlaridan himoya qilish

mohiyati MITM hujumlari va yoki "O'rtadagi odam" hujumlari, bunda boshqa shaxs siz serverga yuborgan barcha paketlarni tutib oladi va shu bilan barcha parollaringiz va shaxsiy ma'lumotlaringizni olish imkoniyatiga ega bo'ladi. Biz o'zimizni bunday turdagi barcha hujumlardan himoya qila olmaymiz, lekin u jamoatchilik orasida juda mashhur mahalliy tarmoqlar MITM hujumining bir turi ARP hujumidir. ARP protokolining xususiyatlaridan foydalanib, tajovuzkor kompyuteringiz oldida o'zini router sifatida ko'rsatadi va siz unga barcha ma'lumotlar paketlaringizni yuborasiz. TuxCut yordam dasturi yordamida o'zingizni juda oson himoya qilishingiz mumkin.

Dastur rasmiy omborlarda mavjud emas, shuning uchun uni o'rnatish uchun paketni GitHub'dan yuklab olishingiz kerak:

wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb

Keyin olingan paketni o'rnating:

sudo apt install tuxcut_6.1_amd64.deb

Dasturni ishga tushirishdan oldin uning xizmatini ishga tushiring:

sudo systemctl start tuxcutd

Yordamchi dasturning asosiy oynasi quyidagicha ko'rinadi:

Bu tarmoqqa ulangan barcha foydalanuvchilarning IP manzillarini, shuningdek ularning har biriga mos keladigan MAC manzilini ko'rsatadi. Himoya rejimi katagiga belgi qo'ysangiz, dastur ARP hujumlaridan himoya qiladi. Siz undan xavfsizligingiz haqida qayg'uradigan umumiy Wi-Fi kabi umumiy tarmoqlarda foydalanishingiz mumkin.

Xulosa

Hammasi shu, endi Ubuntu 16.04 xavfsizlikni sozlash tugallandi va tizimingiz ancha xavfsizroq. Biz xakerlar tomonidan ishlatiladigan eng keng tarqalgan hujum vektorlari va tizimga kirish usullarini blokladik. Agar Ubuntu-da xavfsizlikni yaxshilashning boshqa foydali usullarini bilsangiz, izohlarda yozing!

cvedetails.com ma'lumotlariga ko'ra, 1999 yildan beri Linux yadrosi 1305 ta zaiflik aniqlangan, shundan 68 tasi 2015 yilda aniqlangan. Ularning aksariyati hech qanday maxsus muammolarni keltirib chiqarmaydi, ular Mahalliy va Past deb belgilangan, ba'zilari esa faqat ma'lum ilovalar yoki OS sozlamalariga ulanganda chaqirilishi mumkin. Aslida, raqamlar kichik, ammo yadro butun OS emas. Zaifliklar GNU Coreutils, Binutils, glibs va, albatta, foydalanuvchi ilovalarida ham mavjud. Keling, eng qiziqarlilarini ko'rib chiqaylik.

LINUX KERNELDAGI YO'G'ULLIKLAR

OS: Linux
Daraja: O'rta, past
Vektor: Masofadan
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Foydalanish: kontseptsiya, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Iyun oyida Linux yadrosida arch/x86/crypto/aesni-intel_glue.c saytidagi __driver_rfc4106_decrypt funksiyasida 3.19.3 dan oldin topilgan zaiflik AES ko‘rsatmalar to‘plami AES-NI kengaytmasini qo‘llab-quvvatlovchi x86 protsessorlari uchun RFC4106 ning amalga oshirilishi bilan bog‘liq. Intel, Intel Advanced Encryption Standard Instructions) ba'zi hollarda bufer manzillarini to'g'ri hisoblamaydi. Agar IPsec tunneli ushbu rejimdan foydalanish uchun sozlangan bo'lsa (AES algoritmi - CONFIG_CRYPTO_AES_NI_INTEL), zaiflik xotira buzilishiga, ishdan chiqishga va CryptoAPI kodining potentsial masofadan bajarilishiga olib kelishi mumkin. Bundan tashqari, eng qiziq narsa shundaki, muammo o'z-o'zidan, butunlay qonuniy trafikda, tashqi aralashuvsiz paydo bo'lishi mumkin. Nashr qilingan paytda muammo hal qilindi.

Eksperimental maqomga ega Linux 4.0.5 ozwpan drayverida beshta zaiflik aniqlangan, ulardan to'rttasi maxsus ishlab chiqilgan paketlarni jo'natish orqali yadroni ishdan chiqarish orqali DoS hujumini tashkil qilish imkonini beradi. Muammo imzolangan tamsayılar noto'g'ri ishlov berilganligi sababli bufer to'lib ketishi bilan bog'liq bo'lib, bunda memcpy'da talab_size va ofset o'rtasidagi hisoblash manfiy raqamni qaytardi, natijada ma'lumotlar to'pga ko'chiriladi.

Drivers/staging/ozwpan/ozhcd.c da oz_hcd_get_desc_cnf funksiyasida va drivers/staging/ozwpan/ozusbsvc1.c da oz_usb_rx va oz_usb_handle_ep_data funksiyalarida topilgan. Boshqa zaifliklar 0 ga bo'linishi, tizimning aylanishi yoki ajratilgan bufer chegarasidan tashqaridagi joylardan o'qish qobiliyatini o'z ichiga oladi.

Yangi Linux mahsulotlaridan biri bo'lgan ozwpan drayveri mavjud bilan interfeysga kirishi mumkin simsiz qurilmalar Ozmo Devices texnologiyasi (Wi-Fi Direct) bilan mos keladi. USB xost boshqaruvchisini amalga oshirishni ta'minlaydi, ammo hiyla shundaki, jismoniy ulanish o'rniga periferik Wi-Fi orqali aloqa qiladi. Haydovchi qabul qiladi tarmoq paketlari c turi (ethertype) 0x892e, so'ngra ularni tahlil qiladi va ularni turli USB funksiyalariga tarjima qiladi. Hozircha u kamdan-kam hollarda qo'llaniladi, shuning uchun ozwpan.ko modulini tushirish orqali uni o'chirib qo'yish mumkin.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (asosiy 2015 yil 15 iyungacha)
Daraja: Tanqidiy
Vektor: Mahalliy
CVE: CVE-2015-1328
Foydalanish: https://www.exploit-db.com/exploits/37292/

OverlayFS fayl tizimidagi muhim zaiflik Ubuntu tizimlarida ildizga kirish imkonini beradi, bu esa imtiyozsiz foydalanuvchi tomonidan OverlayFS bo'limlarini o'rnatish imkonini beradi. Zaiflikdan foydalanish uchun zarur bo'lgan standart sozlamalar Ubuntu 12.04–15.04 ning barcha filiallarida qo'llaniladi. OverlayFS o'zi Linux yadrosida nisbatan yaqinda paydo bo'lgan - 3.18-rc2 (2014) dan boshlab, UnionFS va AUFS o'rnini bosuvchi SUSE ishlanmasi. OverlayFS boshqa fayl tizimlarining bir nechta qismlarini birlashtirgan virtual ko'p qatlamli fayl tizimini yaratishga imkon beradi.

Fayl tizimi har biri alohida kataloglarga biriktirilgan quyi va yuqori qatlamdan yaratilgan. Pastki qatlam faqat Linuxda qo'llab-quvvatlanadigan har qanday fayl tizimlarining kataloglarini, shu jumladan tarmoqni o'qish uchun ishlatiladi. Yuqori qatlam odatda yozilishi mumkin va agar fayllar takrorlangan bo'lsa, pastki qatlamdagi ma'lumotlarni bekor qiladi. U Live tarqatishlarda, konteyner virtualizatsiya tizimlarida va ba'zi ish stoli ilovalari uchun konteynerlarning ishlashini tashkil qilishda talabga ega. Foydalanuvchi nomlari bo'shliqlari konteynerlarda o'z foydalanuvchi va guruh identifikatorlarini yaratishga imkon beradi. Zaiflik asosiy fayl tizimining katalogida yangi fayllarni yaratishda kirish huquqlarini noto'g'ri tekshirish natijasida yuzaga keladi.

Agar yadro CONFIG_USER_NS=y (foydalanuvchi nom maydonini yoqish) bilan qurilgan bo'lsa va o'rnatish vaqtida FS_USERNS_MOUNT bayrog'i ko'rsatilgan bo'lsa, OverlayFS o'rnatilishi mumkin muntazam foydalanuvchi boshqa nom maydonida, shu jumladan bilan operatsiyalar qaerda ildiz huquqlari. Bunday holda, bunday nomlar bo'shliqlarida amalga oshiriladigan ildiz huquqlariga ega fayllar bilan operatsiyalar asosiy fayl tizimi bilan amallarni bajarishda bir xil imtiyozlarni oladi. Shunday qilib, siz istalgan FS bo'limini o'rnatishingiz va istalgan fayl yoki katalogni ko'rishingiz yoki o'zgartirishingiz mumkin.

Nashr qilingan vaqtda Ubuntu-dan qattiq OverlayFS moduli bilan yadro yangilanishi allaqachon mavjud edi. Va agar tizim yangilangan bo'lsa, hech qanday muammo bo'lmasligi kerak. Xuddi shu holatda, yangilash mumkin bo'lmaganda, vaqtinchalik chora sifatida, overlayfs.ko modulini olib tashlash orqali OverlayFS-dan foydalanishni to'xtatishingiz kerak.

ASOSIY ILOVALARDAGI YOZIFLIKLAR

OS: Linux
Daraja: Tanqidiy
Vektor: mahalliy, uzoq
CVE: CVE-2015-0235
Foydalanish: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Linux operatsion tizimining asosiy qismi boʻlgan GNU glibc standart kutubxonasida hamda Oracle Communications Applications va Oracle Pillar Axiomning baʼzi versiyalarida Qualys xakerlari tomonidan kod tekshiruvi vaqtida aniqlangan xavfli zaiflik. GHOST kod nomini oldi. Bu __nss_hostname_digits_dots() funksiyasi ichidagi bufer to'lib ketishi bo'lib, u gethostbyname() va gethostbyname2() kabi glibc funktsiyalari tomonidan xost nomini (shuning uchun GetHOST nomi) olish uchun ishlatiladi. Zaiflikdan foydalanish uchun DNS orqali nomni aniqlashni amalga oshiruvchi ilovaga noto‘g‘ri xost nomi argumenti yordamida bufer to‘lib ketishiga olib kelishi kerak. Ya'ni, nazariy jihatdan, bu zaiflik tarmoqdan u yoki bu darajada foydalanadigan har qanday dasturga nisbatan qo'llanilishi mumkin. O'zboshimchalik bilan kodni bajarishga imkon beruvchi mahalliy va masofadan chaqirilishi mumkin.

Eng qizig'i shundaki, xato 2013 yil may oyida tuzatilgan, glibc 2.17 va 2.18 versiyalari o'rtasida yamoq taqdim etilgan, ammo muammo xavfsizlik yamog'i sifatida tasniflanmagan, shuning uchun unga e'tibor berilmagan. Natijada, ko'plab tarqatishlar zaif bo'lib chiqdi. Dastlab, birinchi zaif versiya 2000 yil 10-noyabrda 2.2 bo'lgani haqida xabar berilgan edi, ammo u 2.0 ga qadar paydo bo'lishi ehtimoli bor. Boshqalar qatorida RHEL/CentOS 5.x–7.x, Debian 7 va Ubuntu 12.04 LTS distributivlari taʼsir koʻrsatdi. Hozirda tuzatishlar mavjud. Xakerlarning o'zlari zaiflikning mohiyatini tushuntiruvchi va tizimingizni tekshirish imkonini beruvchi yordamchi dasturni taklif qilishdi. Ubuntu 12.04.4 LTS da hamma narsa yaxshi:

Tizimni GHOST da tekshirish

Deyarli darhol x86 va x86_64 Linux-da ishlaydigan dastur bilan kodni masofadan bajarish imkonini beruvchi modul chiqarildi. pochta serveri Exim (helo_try_verify_hosts yoki helo_verify_hosts yoqilgan). Keyinchalik, boshqa ilovalar paydo bo'ldi, masalan, WordPress-da blogni tekshirish uchun Metasploit moduli.

Biroz vaqt o'tgach, 2015 yilda GNU glibc-da yana uchta zaiflik aniqlandi, ular masofaviy foydalanuvchiga DoS hujumini amalga oshirish yoki stek chegarasidan tashqarida xotira hujayralarini qayta yozish imkonini berdi: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781 yil.

OS: Linux (GNU Coreutils)
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-9471
Foydalanish: Yo'q

GNU Coreutils asosiy *nix paketlaridan biri boʻlib, deyarli barcha asosiy yordamchi dasturlarni (cat, ls, rm, date...) oʻz ichiga oladi. Muammo sanada topildi. parse_datetime funksiyasidagi xato masofaviy tajovuzkorga ruxsatsiz ruxsat beradi hisob tizimda xizmat ko'rsatishni rad etishga sabab bo'ladi va, ehtimol, vaqt mintaqasidan foydalangan holda maxsus tayyorlangan sana qatoridan foydalanib, o'zboshimchalik bilan kodni amalga oshirishi mumkin. Zaiflik quyidagicha ko'rinadi:

GNU Coreutils-da zaiflik

Agar zaiflik bo'lmasa, biz noto'g'ri sana formati haqida xabar olamiz. Deyarli barcha Linux tarqatish ishlab chiquvchilari zaiflik mavjudligi haqida xabar berishdi. Hozirda yangilanish mavjud.

OS: Linux (grep 2.19–2.21)
Daraja: Past
Vektor: Mahalliy
CVE: CVE-2015-1345
Foydalanish: Yo'q

Zaifliklar grep yordam dasturida kamdan-kam uchraydi, u naqsh yordamida matnni qidirish uchun ishlatiladi. Ammo bu yordamchi dastur ko'pincha boshqa dasturlar, shu jumladan tizim dasturlari tomonidan chaqiriladi, shuning uchun zaifliklarning mavjudligi birinchi qarashda ko'rinadiganidan ancha muammoli. kwset.c-dagi bmexec_trans funksiyasidagi xato ajratilgan buferdan tashqaridagi hududdan ishga tushirilmagan ma'lumotlarni o'qishga yoki ilovaning ishdan chiqishiga olib kelishi mumkin. Hacker grep -F yordamida ilova kiritish uchun taqdim etilgan maxsus ma'lumotlar to'plamini yaratish orqali bundan foydalanishi mumkin. Hozirda yangilanishlar mavjud. Zaiflikdan yoki Metasploit modulidan foydalanadigan ekspluatatsiyalar mavjud emas.

FREEBSD DASTURIDA HOZAFLIK

OS: FreeBSD
Daraja: Past
Vektor: Mahalliy, masofaviy
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Foydalanish: https://www.exploit-db.com/exploits/35938/

2015 yil uchun CVE ma'lumotlar bazasida juda ko'p zaifliklar mavjud emas, aniqrog'i - atigi oltita. 2015-yil yanvar oyi oxirida Core Exploit Writers Team tadqiqotchilari tomonidan FreeBSD 8.4–10.x-da uchta zaiflik topilgan. CVE-2014-0998 VT konsoli drayverini (Newcons) amalga oshirish bilan bog'liq bo'lib, u /boot/loader.conf-dagi kern.vty=vt parametri bilan faollashtirilgan bir nechta virtual terminallarni ta'minlaydi.
CVE-2014-8612 SCTP protokolidan foydalanganda yuzaga keladi va SCTP soketlarini (mahalliy port 4444) amalga oshiradigan SCTP oqim identifikatorini tekshirish kodidagi xatolik tufayli yuzaga keladi. Mohiyati sctp_setopt() funksiyasidagi (sys/netinet/sctp_userreq.c) xotiradan qolgan xatodir. Bu mahalliy imtiyozsiz foydalanuvchiga 16 bit yadro xotirasi ma'lumotlarini yozish yoki o'qish va tizimdagi imtiyozlarini oshirish, nozik ma'lumotlarni ochish yoki tizimni buzish qobiliyatini beradi.

CVE-2014-8613 SCTP_SS_VALUE SCTP soket opsiyasi o'rnatilganda, tashqi qabul qilingan SCTP paketini qayta ishlashda NULL ko'rsatkichni yo'qotishga ruxsat beradi. Oldingi versiyalardan farqli o'laroq, CVE-2014-8613 maxsus ishlab chiqilgan paketlarni yuborish orqali yadro ishdan chiqishiga olib kelishi uchun masofadan foydalanish mumkin. FreeBSD 10.1 da siz net.inet.sctp.reconfig_enable o'zgaruvchisini 0 ga o'rnatish orqali o'zingizni himoya qilishingiz mumkin va shu bilan RE_CONFIG bloklarini qayta ishlashni o'chirib qo'yishingiz mumkin. Yoki shunchaki ilovalarni taqiqlang (brauzerlar, pochta mijozlari va hokazo). Garchi nashr paytida ishlab chiquvchilar allaqachon yangilanishni chiqargan bo'lsalar ham.

OPENSSL DA HOZAFLIK

OS: OpenSSL
Daraja: Masofadan
Vektor: Mahalliy
CVE: CVE-2015-1793
Foydalanish: Yo'q

2014-yilda SSL/TLS bilan ishlash uchun keng qo‘llaniladigan kriptografik paket bo‘lgan OpenSSL-da Heartbleed-ning muhim zaifligi aniqlandi. Voqea bir vaqtning o'zida kodning sifati bo'yicha katta tanqidlarga sabab bo'ldi va bu, bir tomondan, LibreSSL kabi alternativalarning paydo bo'lishiga olib keldi, boshqa tomondan, ishlab chiquvchilarning o'zlari nihoyat biznesga kirishdi.

Kritik zaiflikni Google’dan Adam Langli va BoringSSL’dan Devid Benjamin aniqlagan. OpenSSL 1.0.1n va 1.0.2b versiyalarida amalga oshirilgan o'zgarishlar, agar ishonch zanjirini yaratishga birinchi urinish muvaffaqiyatsiz bo'lsa, OpenSSL sertifikatni tekshirishning alternativ zanjirini topishga harakat qildi. Bu sizga sertifikatni tekshirish protsedurasini chetlab o'tish va soxta sertifikat yordamida tasdiqlangan ulanishni tashkil qilish imkonini beradi, boshqacha qilib aytganda - foydalanuvchini soxta saytlar yoki serverlarga xotirjam jalb qilish. elektron pochta yoki sertifikat ishlatiladigan har qanday MITM hujumini amalga oshiring.

Zaiflik aniqlangandan so'ng, ishlab chiquvchilar 9 iyulda 1.0.1p va 1.0.2d relizlarini chiqardilar, bu esa ushbu muammoni hal qildi. 0.9.8 yoki 1.0.0 versiyalarida bu zaiflik mavjud emas.

Linux.Encoder

Kuzning oxiri bir qator shifrlash viruslarining paydo bo'lishi bilan belgilandi, birinchi navbatda Linux.Encoder.0, keyin esa 2500 dan ortiq saytlarni zararlangan Linux.Encoder.1 va Linux.Encoder.2 modifikatsiyalari. Antivirus kompaniyalari ma'lumotlariga ko'ra, turli CMS-lar - WordPress, Magento CMS, Joomla va boshqalar yordamida ishlaydigan veb-saytlari bo'lgan Linux va FreeBSD serverlari hujumga uchramoqda. Xakerlar noma'lum zaiflikdan foydalanmoqda. Keyinchalik, qobiq skripti joylashtirildi (fayl error.php), uning yordamida keyingi harakatlar (brauzer orqali) amalga oshirildi. Xususan, Linux kodlovchi troyan ishga tushirildi.

OT arxitekturasini aniqlagan va to'lov dasturini ishga tushirgan kodlovchi. Kodlovchi veb-server huquqlari (Ubuntu - www-data) bilan ishga tushirildi, bu CMS fayllari va komponentlari saqlanadigan katalogdagi fayllarni shifrlash uchun etarli. Shifrlangan fayllar yangi kengaytmani oladi.encrypted.

Ransomware boshqa OS kataloglarini ham chetlab o'tishga harakat qiladi, agar huquqlar noto'g'ri sozlangan bo'lsa, u veb-sayt chegarasidan osongina chiqib ketishi mumkin. Keyinchalik, README_FOR_DECRYPT.txt fayli katalogda saqlandi, unda fayllar shifrini ochish bo'yicha ko'rsatmalar va xaker talablari mavjud. Yoniq hozirgi paytda antivirus kompaniyalari kataloglarni shifrlash imkonini beruvchi yordamchi dasturlarni taqdim etdi. Masalan, Bitdefender-dan to'plam. Ammo shuni yodda tutish kerakki, fayllarni shifrlash uchun mo'ljallangan barcha yordamchi dasturlar qobiq kodini olib tashlamaydi va hamma narsa yana sodir bo'lishi mumkin.

Veb-sayt ma'muriyatini ishlab chiqadigan yoki sinab ko'radigan ko'plab foydalanuvchilar ko'pincha veb-serverni o'rnatishini hisobga olsak uy kompyuteri, siz xavfsizlik haqida qayg'urishingiz kerak: tashqaridan kirishni bloklash, dasturiy ta'minotni yangilash, VMda tajribalar o'tkazish. Va g'oyaning o'zi kelajakda uy tizimlariga hujum qilish uchun ishlatilishi mumkin.

XULOSA

Jismonan xatosiz murakkab dasturiy ta'minot mavjud emas, shuning uchun siz zaifliklar doimo aniqlanishi bilan kelishishingiz kerak bo'ladi. Ammo ularning hammasi ham haqiqatan ham muammoli bo'lishi mumkin emas. Va siz oddiy qadamlar bilan o'zingizni himoya qilishingiz mumkin: foydalanilmagan dasturiy ta'minotni olib tashlang, yangi zaifliklarni kuzatib boring va xavfsizlik yangilanishlarini o'rnatishni unutmang, xavfsizlik devorini sozlang, antivirusni o'rnating. Va SELinux kabi maxsus texnologiyalar haqida unutmang, ular demon yoki foydalanuvchi dasturini buzishga qodir.

Boshqaruv vositalarini o'rnatish va sozlash, tarmoq konfiguratsiyasi

Asosiysini o'rnatganimizdan so'ng operatsion tizim ubuntu14.04 ni minimal taqsimlashdan boshlab, siz tashvishlanishingiz kerak bo'lgan birinchi narsa - uni qanday qilib qulay boshqarish. Asosan, ssh/telnet * nix-ga asoslangan serverlarni sozlash va boshqarish uchun ishlatiladi, lekin ichida yaqinda Shu maqsadda veb-interfeyslarga asoslangan juda mos vositalar ham paydo bo'ldi. foydalanaman bepul echimlar Webmin Va Ajenti. Ushbu panellarning ikkalasi ham e'tiborga loyiqdir va ular hamma narsani alohida qilishlari mumkinligiga qaramay, ularning har biri ba'zi narsalar uchun ko'proq mos keladi, shuning uchun ikkalasiga ham ega bo'lish yaxshiroqdir. Shuni ta'kidlash kerakki, jangovar ishlab chiqarish serverlarida bunday echimlar xavfsizlik asosida o'rnatilmagan. Shunga qaramay, nazorat qilish tizimlari qanchalik ko'p bo'lsa, shuncha ko'p ehtimoli ko'proq ulardagi zaiflikni toping. Shuning uchun, agar sizning xavfsizlik talablaringiz "paranoyak" darajada bo'lsa, server bilan faqat ssh orqali (konsol orqali) ishlashingiz kerakligini qabul qiling.

Ubuntu 14.04 da tarmoqni sozlash

Tarmoq orqali serverimiz bilan bog'lanish uchun avval uni sozlashingiz kerak. Odatiy bo'lib, o'rnatish vaqtida tarmoq avtomatik ravishda sozlangan va agar o'rnatuvchi tarmoqdagi DHCP serverini aniqlasa, u kerak bo'lganda hamma narsani allaqachon sozlagan. Agar tarmoqda DHCP serveri bo'lmasa, o'rnatuvchi hali ham tarmoq kartasi ulangan yo'riqnoma so'rovi asosida hamma narsani sozlagan. Tarmoq qanday sozlanganligini ko'rish uchun terminalga kiriting:

Bu erda biz nimani ko'ramiz:

Bizda ikkita tarmoq interfeysi mavjud eth0 va lo, bu erda lo "qayta ishlash interfeysi" va eth0 bizning tarmoq kartamiz nomidir va agar lo o'zgarmagan tarmoq interfeysi bo'lsa, boshqa barcha interfeyslar nom jihatidan farq qilishi mumkin. Agarda tizim birligi ikkita tarmoq kartasi o'rnatilgan, ularning interfeyslari katta ehtimol bilan eth0 va eth1 va hokazo kabi ko'rinadi. Interfeys nomining ko'rinishi turiga bog'liq tarmoq kartasi, masalan, agar tarmoq kartasi WiFi protokoli yordamida ishlayotgan bo'lsa, uning nomi wlan0 bo'lishi mumkin.

Tarmoqni sozlash uchun quyidagi faylni tahrirlaymiz:

sudo nano /etc/network/interfaces

Keling, uni ushbu shaklga keltiramiz:

iface eth0 inet statik
manzil 192.168.0.184
tarmoq niqobi 255.255.255.0
shlyuz 192.168.0.1
avtomatik eth0
dns-nom serverlari 8.8.8.8 8.8.4.4

Qayerda: iface eth0 inet statik— interfeys (iface eth0) statik ip (statik) bilan IPv4 (inet) manzillari oralig‘ida ekanligini ko‘rsatadi;
manzil 192.168.0.184— tarmoq kartamizning IP manzili 192.168.0.184 ekanligini bildiradi;
tarmoq niqobi 255.255.255.0— bizning pastki tarmoq niqobimiz (netmask) 255.255.255.0 ekanligini ko'rsatadi;
shlyuz 192.168.0.1— standart shlyuz manzili 192.168.0.254;
avtomatik eth0— tizimga yuqoridagi parametrlar bilan yuklanganda eth0 interfeysi avtomatik ravishda yoqilishi kerakligini bildiradi.
et0— ulanadigan interfeys nomi. Interfeyslar ro'yxatini ifconfig yozish orqali ko'rish mumkin
dns-nom serverlari— DNS serverlari bo'sh joy bilan ajratilgan holda yoziladi.

Mening ishimda ko'rib turganingizdek, men statik IP 192.168.0.184 ni o'rnatishga qaror qildim.

buyruq bilan serverni qayta ishga tushiring

Biz serverimizga tarmoqdan ping yuboramiz va uning ko'rinadiganligiga ishonch hosil qilamiz. Buni amalga oshirish uchun SSH orqali u bilan aloqa o'rnatish vaqti keldi, biz ssh serverini o'rnatamiz:

sudo apt-get install ssh

Endi siz bizning serverimizga ssh orqali macun dasturi orqali ulanishingiz mumkin, masalan, endi siz buyruqlarni qo'lda emas, balki kerakli qatorlarni nusxalash va joylashtirish orqali kiritishingiz mumkin. ssh mijozi, chunki kelajakda bu sozlashni hayratlanarli darajada osonlashtiradi, buni o'zingiz ko'rasiz:

USHBU SATIR OSHIGIDAGI BARCHA BUYRUQLAR SUPERUSER SIFATIDA KIRILANGAN, va superuser rejimiga kirish uchun quyidagilarni kiritishingiz kerak:

Webmin o'rnatilmoqda

echo "deb https://download.webmin.com/download/repository sarge hissasi" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge hissasi" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key qo'shing jcameron-key.asc apt-get update apt-get install -y webmin

Hammasi! 6 ta ketma-ket kiritilgan buyruqlar va webmin o'rnatildi va sozlandi. Endi siz brauzeringizga quyidagi manzil orqali kirishingiz mumkin:

https://192.168.0.184:10000

Odatiy bo'lib webmin minimalistik ko'rinadi, standart interfeys yoqilgan Ingliz, lekin hamma narsani sozlash mumkin!

Biz buni shunday qilamiz:

Bu shunday chiqadi: