23 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 2-nji bölüm
Howpsuzlyk we Harden CentOS serwerini nädip howpsuzlandyrmalydygy baradaky öňki sapagy dowam etdirip, bu makalada aşakdaky gözegçilik sanawynda görkeziljek beýleki howpsuzlyk maslahatlaryny ara alyp maslahatlaşarys.
- 20 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 1-nji bölüm
21. Peýdasyz SUID we SGID buýruklaryny öçüriň
Setuid we setgid bitleri ikilik programmalarynda düzülen bolsa, bu buýruklar beýleki ulanyjy ýa-da topar hukuklary bilen çynlakaý howpsuzlyk meselelerini paş edip biljek kök artykmaçlyklary ýaly işleri ýerine ýetirip biler.
Köplenç bufer artykmaç hüjümleri, kök güýji ulanyjynyň hukuklary bilen rugsatsyz kody işletmek üçin şeýle ýerine ýetirilýän ikiliklerden peýdalanyp biler.
# find / -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;
Setuid bitini düzmek üçin aşakdaky buýrugy ýerine ýetiriň:
# chmod u-s /path/to/binary_file
Setgid bitini düzmek üçin aşakdaky buýrugy işlediň:
# chmod g-s /path/to/binary_file
22. Belli däl faýllary we kataloglary barlaň
Dogry hasaby bolmadyk faýllar ýa-da kataloglar pozulmaly ýa-da ulanyjynyň we toparyň rugsady bilen berilmeli.
Ulanyjy we topar ýok faýllary ýa-da kataloglary sanawlamak üçin aşakdaky tapma buýrugyny beriň.
# find / -nouser -o -nogroup -exec ls -l {} \;
23. Dünýä ýazyp boljak faýllary sanaň
Dünýäde ýazyp boljak faýly ulgamda saklamak, her kimiň üýtgedip biljekdigi sebäpli howply bolup biler. Elmydama dünýä ýazyp bilýän Symlinks-den başga söz bilen ýazylyp bilinýän faýllary görkezmek üçin aşakdaky buýrugy ýerine ýetiriň.
# find / -path /proc -prune -o -perm -2 ! -type l –ls
24. Güýçli parol dörediň
Iň azyndan sekiz simwoldan parol dörediň. Parolda sanlar, ýörite nyşanlar we baş harplar bolmaly./Dev/urandom faýlyndan 128 bitli parol döretmek üçin pwmake ulanyň.
# pwmake 128
25. Güýçli parol syýasatyny ulanyň
Ulgamy /etc/pam.d/passwd faýlyna aşakdaky setiri goşup güýçli parollary ulanmaga mejbur ediň.
password required pam_pwquality.so retry=3
Aboveokardaky setiri goşmak bilen, girizilen parol abcd ýaly monoton yzygiderlilikde 3 simwoldan we 1111 ýaly yzygiderli 3 simwoldan ybarat bolup bilmez.
Ulanyjylary iň az uzynlygy 8 simwoldan ybarat bolan paroly ulanmaga mejbur etmek, şol sanda nyşanlaryň ähli synplaryny, nyşanlaryň yzygiderliligini barlamak we yzygiderli simwollar /etc/security/pwquality.conf faýlyna aşakdaky setirleri goşuň.
minlen = 8 minclass = 4 maxsequence = 3 maxrepeat = 3
26. Parol garrylygyny ulanyň
Chage buýrugy ulanyjy parolynyň garramagy üçin ulanylyp bilner. Ulanyjynyň parolyny 45 günüň içinde gutarmak üçin aşakdaky buýrugy ulanyň:
# chage -M 45 username
Parolyň gutarýan wagtyny öçürmek üçin buýrugy ulanyň:
# chage -M -1 username
Aşakdaky buýrugy işletmek bilen derrew parolyň möhletini gutarmaly (ulanyjy indiki girişde paroly üýtgetmeli):
# chage -d 0 username
27. Hasaplary gulplamak
Ulanyjy hasaplary passwd ýa-da usermod buýrugyny ýerine ýetirip gulplanyp bilner:
# passwd -l username # usermod -L username
Hasaplary açmak üçin passwd buýrugy üçin -u
opsiýasyny we usermod üçin -U
opsiýasyny ulanyň.
28. Hasaplaryň gabygynyň girmeginiň öňüni alyň
Ulgam hasaby (adaty hasap ýa-da hyzmat hasaby) baş gabygyna girmeginiň öňüni almak üçin aşakdaky buýrugy bermek bilen kök gabygyny/usr/sbin/nologin ýa-da/bin/false/etc/passwd faýlyna üýtgediň:
# usermod -s /bin/false username
Täze ulanyjy döredilende gabygy üýtgetmek üçin aşakdaky buýruk berilýär:
# useradd -s /usr/sbin/nologin username
29. Wirtual ulanyjy konsolyny vlock bilen gulplaň
vlock Linux konsolynda bir köp sessiýany gulplamak üçin ulanylýan programma. Programmany guruň we aşakdaky buýruklary işledip, terminal sessiýaňyzy gulplap başlaň:
# yum install vlock # vlock
30. Hasaplary we tassyklamany dolandyrmak üçin merkezleşdirilen ulgamy ulanyň
Merkezleşdirilen tanamaklyk ulgamyny ulanmak hasaby dolandyrmagy we gözegçiligi ep-esli aňsatlaşdyryp biler. Hasap dolandyryşynyň bu görnüşini hödürläp biljek hyzmatlar IPA Server, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS ýa-da Winbind.
Bu hyzmatlaryň käbiri, Kerberos ýaly kriptografiki protokollar we simmetrik açar kriptografiýa bilen ýokary derejede üpjün edilýär.
31. “USB Media” -ny diňe okamaga mejbur etmek
Blokdew kömekçi programmasyny ulanyp, aýrylýan ähli serişdeleri diňe okalýan ýaly gurnamaga mejbur edip bilersiňiz. Mysal üçin, aşakdaky mazmunly /etc/udev/rules.d/ katalogynda 80-readonly-usb.rules atly täze udev konfigurasiýa faýly dörediň:
SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"
Soňra düzgüni aşakdaky buýruk bilen ulanyň:
# udevadm control -reload
32. TTY arkaly kök ygtyýaryny öçürmek
Kök hasabynyň ähli konsol enjamlary (TTY) arkaly ulgam girişini amala aşyrmagynyň öňüni almak üçin, aşakdaky buýruk terminalyny kök hökmünde ýazyp, ygtybarly faýlyň mazmunyny pozuň.
# cp /etc/securetty /etc/securetty.bak # cat /dev/null > /etc/securetty
Bu düzgüniň SSH giriş sessiýalaryna degişli däldigini ýadyňyzdan çykarmaň
SSH arkaly kök girmeginiň öňüni almak üçin/etc/ssh/sshd_config faýlyny redaktirläň we aşakdaky setiri goşuň:
PermitRootLogin no
33. Ulgam rugsatlaryny giňeltmek üçin POSIX ACL-lerini ulanyň
Giriş dolandyryş sanawlary diňe bir ulanyjy ýa-da topar däl-de, eýsem ygtyýarlyk hukuklaryny kesgitläp biler we programmalar, amallar, faýllar we kataloglar üçin hukuklary kesgitläp biler. ACL-i katalogda goýsaňyz, onuň nesilleri şol hukuklary awtomatiki miras alarlar.
Mysal üçin,
# setfacl -m u:user:rw file # getfacl file
34. SELinux-ny Enforce rejesinde guruň
Linux ýadrosyna SELinux gowulandyrmagy, ulanyjylara ähli ulanyjylara, programmalara, amallara, faýllara we enjamlara granular rugsatlaryny üpjün edýän howpsuzlyk syýasatyny kesgitlemäge mümkinçilik berýän hökmany giriş gözegçiligi (MAC) syýasatyny durmuşa geçirýär.
Ernadro ygtyýaryna gözegçilik kararlary, tassyklanan ulanyjy şahsyýetine däl-de, howpsuzlyk bilen baglanyşykly ähli mazmuna esaslanýar.
Selinux statusyny almak we syýasaty ýerine ýetirmek üçin aşakdaky buýruklary işlediň:
# getenforce # setenforce 1 # sestatus
35. SELinux goşmaça enjamlary guruň
SELinux-y işletmek üçin goşmaça Python enjamlaryny üpjün edýän policycoreutils-python paketini guruň: audit2allow, audit2why, chcat we semanage.
Bohli bahalary gysga düşündiriş bilen bilelikde görkezmek üçin aşakdaky buýrugy ulanyň:
# semanage boolean -l
Mysal üçin, httpd_enable_ftp_server-iň bahasyny görkezmek we bellemek üçin aşakdaky buýrugy işlediň:
# getsebool httpd_enable_ftp_server
Boolean-yň bahasyny täzeden açmak üçin dowam etdirmek üçin aşakdaky mysalda görkezilişi ýaly setsebool üçin -P
opsiýasyny görkeziň:
# setsebool -P httpd_enable_ftp_server on
36. Merkezleşdirilen Log Serwerini ulanyň
Merkezleşdirilen log serwerine duýgur kömekçi gündelik habarlaryny ibermek üçin rsyslog daemonyny sazlaň. Şeýle hem, logwatch programmasynyň kömegi bilen gündelik faýllaryna gözegçilik ediň.
Uzakdaky serwere gündelik habarlary ibermek, ulgam bozulansoň, zyýanly ulanyjylar işjeňligini doly gizläp bilmejekdigini, elmydama uzakdaky faýllarda yz galdyrýandygyny kepillendirýärler.
37. Amal hasaby açmak
Psacct kömekçi programmasyny gurup, amal hasaba alnyşyny işjeňleşdiriň we ulgam hasapçylyk faýlynda ýazylyşy ýaly ozal ýerine ýetirilen buýruklar barada maglumatlary görkezmek üçin lastcomm buýrugyny ulanyň.
38. Gatylaşdyrmak /etc/sysctl.conf
Ulgamy goramak üçin aşakdaky ýadro parametrleriniň düzgünlerini ulanyň:
net.ipv4.conf.all.accept_source_route=0
ipv4.conf.all.forwarding=0
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1
Aýratyn talap edilmedik halatynda ICMP gönükdirilen paketleri kabul etmegi we ibermegi öçüriň.
net.ipv4.conf.all.accept_redirects=0 net.ipv4.conf.all.secure_redirects=0 net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.rp_filter=2
ICMP echo talaplarynyň hemmesine ähmiýet bermäň (işletmek üçin 1-e düzüldi)
net.ipv4.icmp_echo_ignore_all = 0
39. Goragsyz jemgyýetçilik torlaryndaky jaýlaryňyza girmek üçin VPN hyzmatlaryny ulanyň
Daşaýjylar üçin internet arkaly LAN jaýlaryna uzakdan girmek üçin elmydama VPN hyzmatlaryny ulanyň. Şeýle hyzmatlaryň görnüşleri, Epel ammarlary ýaly mugt açyk çeşme çözgüdi arkaly düzülip bilner.
40. Daşarky ulgam skanerini ýerine ýetiriň
Gowşaklyklar üçin ulgam howpsuzlygyňyzy LAN-yň üstündäki uzak nokatlardan skanirläp, aşakdaky ýaly gurallary ulanyp baha beriň:
- Nmap - tor skaneri 29 Nmap buýrugynyň mysallary
- Nessus - howpsuzlyk skaneri
- OpenVAS - gowşak ýerleri gözlemek we gowşak goralanlygy dolandyrmak üçin ulanylýar.
- Nikto - ajaýyp umumy şlýuz interfeýsi (CGI) skript skaneri Linux-da Web gowşaklygy skanirläň
41. Ulgamy içerde gora
Wiruslardan, kök böleklerinden, zyýanly programma üpjünçiliginden içerki ulgam goragyny ulanyň we oňat tejribe hökmünde birugsat işjeňligi (DDOS hüjümleri, port skanerleri) kesgitläp bilýän çozuşlary kesgitlemek ulgamlaryny guruň:
- Kömek - Giňişleýin çozuşy kesgitlemek gurşawy - http://aide.sourceforge.net/
- ClamAV - Antivirus skaneri https://www.clamav.net
- Rhunter - Rootkit skaneri
- Lynis - Linux üçin howpsuzlyk barlagy we skaner guraly
- Tripwire - Howpsuzlyk we maglumatlaryň bitewiligi http://www.tripwire.com/
- Fail2Ban - Çozuş torunyň öňüni almak
- OSSEC - (HIDS) Host esasly çozuşy kesgitlemek ulgamy http://ossec.github.io/
- Mod_Security - Zalym güýçleri ýa-da DDoS hüjümlerini goraň
42. Ulanyjy gurşawynyň üýtgeýjilerini üýtgediň
Aşakdaky buýrugy bermek bilen buýruklaryň ýerine ýetirilişini saklamak üçin senäni we wagt formatyny goşuň:
# echo 'HISTTIMEFORMAT="%d/%m/%y %T "' >> .bashrc'
Her gezek buýruk ýazylanda (çykyşyň ýerine) HISTFILE-ni derrew ýazga geçirmäge mejbur ediň:
# echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc
Giriş sessiýasyny çäklendiriň. Boş wagtyň dowamynda hiç hili iş edilmese, gabygy awtomatiki ýyrtyň. SSH sessiýalaryny awtomatiki aýyrmak üçin gaty peýdaly.
# echo ‘TMOUT=120’ >> .bashrc
Ruleshli düzgünleri ýerine ýetirmek bilen ulanyň:
# source .bashrc
43. uptiýaçlyk maglumatlar
Ulgam näsazlygy ýüze çykan halatynda ulgamyňyzyň göçürmesini, has gowusy, daşynda saklamak üçin LVM suratlaryny we ş.m. ulanyň.
Ulgam bozulsa, öňki ätiýaçlyk nusgalaryndan maglumatlary dikeltmegi ýerine ýetirip bilersiňiz.
Netijede, ulgamyňyzy howpsuz saklamak üçin näçe howpsuzlyk çäreleri we garşylyklaýyn çäreleri görseňizem, enjamyňyz birikdirilen we işledilen ýagdaýynda hiç haçan 100% doly howpsuz bolmaz.