23 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 2-nji bölüm

Howpsuzlyk we Harden CentOS serwerini nädip howpsuzlandyrmalydygy baradaky öňki sapagy dowam etdirip, bu makalada aşakdaky gözegçilik sanawynda görkeziljek beýleki howpsuzlyk maslahatlaryny ara alyp maslahatlaşarys.

  1. 20 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 1-nji bölüm

21. Peýdasyz SUID we SGID buýruklaryny öçüriň

Setuid we setgid bitleri ikilik programmalarynda düzülen bolsa, bu buýruklar beýleki ulanyjy ýa-da topar hukuklary bilen çynlakaý howpsuzlyk meselelerini paş edip biljek kök artykmaçlyklary ýaly işleri ýerine ýetirip biler.

Köplenç bufer artykmaç hüjümleri, kök güýji ulanyjynyň hukuklary bilen rugsatsyz kody işletmek üçin şeýle ýerine ýetirilýän ikiliklerden peýdalanyp biler.

# find /  -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

Setuid bitini düzmek üçin aşakdaky buýrugy ýerine ýetiriň:

# chmod u-s /path/to/binary_file

Setgid bitini düzmek üçin aşakdaky buýrugy işlediň:

# chmod g-s /path/to/binary_file

22. Belli däl faýllary we kataloglary barlaň

Dogry hasaby bolmadyk faýllar ýa-da kataloglar pozulmaly ýa-da ulanyjynyň we toparyň rugsady bilen berilmeli.

Ulanyjy we topar ýok faýllary ýa-da kataloglary sanawlamak üçin aşakdaky tapma buýrugyny beriň.

# find / -nouser -o -nogroup -exec ls -l {} \;

23. Dünýä ýazyp boljak faýllary sanaň

Dünýäde ýazyp boljak faýly ulgamda saklamak, her kimiň üýtgedip biljekdigi sebäpli howply bolup biler. Elmydama dünýä ýazyp bilýän Symlinks-den başga söz bilen ýazylyp bilinýän faýllary görkezmek üçin aşakdaky buýrugy ýerine ýetiriň.

# find / -path /proc -prune -o -perm -2 ! -type l –ls

24. Güýçli parol dörediň

Iň azyndan sekiz simwoldan parol dörediň. Parolda sanlar, ýörite nyşanlar we baş harplar bolmaly./Dev/urandom faýlyndan 128 bitli parol döretmek üçin pwmake ulanyň.

# pwmake 128

25. Güýçli parol syýasatyny ulanyň

Ulgamy /etc/pam.d/passwd faýlyna aşakdaky setiri goşup güýçli parollary ulanmaga mejbur ediň.

password required pam_pwquality.so retry=3

Aboveokardaky setiri goşmak bilen, girizilen parol abcd ýaly monoton yzygiderlilikde 3 simwoldan we 1111 ýaly yzygiderli 3 simwoldan ybarat bolup bilmez.

Ulanyjylary iň az uzynlygy 8 simwoldan ybarat bolan paroly ulanmaga mejbur etmek, şol sanda nyşanlaryň ähli synplaryny, nyşanlaryň yzygiderliligini barlamak we yzygiderli simwollar /etc/security/pwquality.conf faýlyna aşakdaky setirleri goşuň.

minlen = 8
minclass = 4
maxsequence = 3
maxrepeat = 3

26. Parol garrylygyny ulanyň

Chage buýrugy ulanyjy parolynyň garramagy üçin ulanylyp bilner. Ulanyjynyň parolyny 45 günüň içinde gutarmak üçin aşakdaky buýrugy ulanyň:

# chage -M 45 username

Parolyň gutarýan wagtyny öçürmek üçin buýrugy ulanyň:

# chage -M -1 username

Aşakdaky buýrugy işletmek bilen derrew parolyň möhletini gutarmaly (ulanyjy indiki girişde paroly üýtgetmeli):

# chage -d 0 username

27. Hasaplary gulplamak

Ulanyjy hasaplary passwd ýa-da usermod buýrugyny ýerine ýetirip gulplanyp bilner:

# passwd -l username
# usermod -L username

Hasaplary açmak üçin passwd buýrugy üçin -u opsiýasyny we usermod üçin -U opsiýasyny ulanyň.

28. Hasaplaryň gabygynyň girmeginiň öňüni alyň

Ulgam hasaby (adaty hasap ýa-da hyzmat hasaby) baş gabygyna girmeginiň öňüni almak üçin aşakdaky buýrugy bermek bilen kök gabygyny/usr/sbin/nologin ýa-da/bin/false/etc/passwd faýlyna üýtgediň:

# usermod -s /bin/false username

Täze ulanyjy döredilende gabygy üýtgetmek üçin aşakdaky buýruk berilýär:

# useradd -s /usr/sbin/nologin username

29. Wirtual ulanyjy konsolyny vlock bilen gulplaň

vlock Linux konsolynda bir köp sessiýany gulplamak üçin ulanylýan programma. Programmany guruň we aşakdaky buýruklary işledip, terminal sessiýaňyzy gulplap başlaň:

# yum install vlock
# vlock

30. Hasaplary we tassyklamany dolandyrmak üçin merkezleşdirilen ulgamy ulanyň

Merkezleşdirilen tanamaklyk ulgamyny ulanmak hasaby dolandyrmagy we gözegçiligi ep-esli aňsatlaşdyryp biler. Hasap dolandyryşynyň bu görnüşini hödürläp biljek hyzmatlar IPA Server, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS ýa-da Winbind.

Bu hyzmatlaryň käbiri, Kerberos ýaly kriptografiki protokollar we simmetrik açar kriptografiýa bilen ýokary derejede üpjün edilýär.

31. “USB Media” -ny diňe okamaga mejbur etmek

Blokdew kömekçi programmasyny ulanyp, aýrylýan ähli serişdeleri diňe okalýan ýaly gurnamaga mejbur edip bilersiňiz. Mysal üçin, aşakdaky mazmunly /etc/udev/rules.d/ katalogynda 80-readonly-usb.rules atly täze udev konfigurasiýa faýly dörediň:

SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"

Soňra düzgüni aşakdaky buýruk bilen ulanyň:

# udevadm control -reload

32. TTY arkaly kök ygtyýaryny öçürmek

Kök hasabynyň ähli konsol enjamlary (TTY) arkaly ulgam girişini amala aşyrmagynyň öňüni almak üçin, aşakdaky buýruk terminalyny kök hökmünde ýazyp, ygtybarly faýlyň mazmunyny pozuň.

# cp /etc/securetty /etc/securetty.bak
# cat /dev/null > /etc/securetty

Bu düzgüniň SSH giriş sessiýalaryna degişli däldigini ýadyňyzdan çykarmaň
SSH arkaly kök girmeginiň öňüni almak üçin/etc/ssh/sshd_config faýlyny redaktirläň we aşakdaky setiri goşuň:

PermitRootLogin no

33. Ulgam rugsatlaryny giňeltmek üçin POSIX ACL-lerini ulanyň

Giriş dolandyryş sanawlary diňe bir ulanyjy ýa-da topar däl-de, eýsem ygtyýarlyk hukuklaryny kesgitläp biler we programmalar, amallar, faýllar we kataloglar üçin hukuklary kesgitläp biler. ACL-i katalogda goýsaňyz, onuň nesilleri şol hukuklary awtomatiki miras alarlar.

Mysal üçin,

# setfacl -m u:user:rw file
# getfacl file

34. SELinux-ny Enforce rejesinde guruň

Linux ýadrosyna SELinux gowulandyrmagy, ulanyjylara ähli ulanyjylara, programmalara, amallara, faýllara we enjamlara granular rugsatlaryny üpjün edýän howpsuzlyk syýasatyny kesgitlemäge mümkinçilik berýän hökmany giriş gözegçiligi (MAC) syýasatyny durmuşa geçirýär.

Ernadro ygtyýaryna gözegçilik kararlary, tassyklanan ulanyjy şahsyýetine däl-de, howpsuzlyk bilen baglanyşykly ähli mazmuna esaslanýar.

Selinux statusyny almak we syýasaty ýerine ýetirmek üçin aşakdaky buýruklary işlediň:

# getenforce
# setenforce 1
# sestatus

35. SELinux goşmaça enjamlary guruň

SELinux-y işletmek üçin goşmaça Python enjamlaryny üpjün edýän policycoreutils-python paketini guruň: audit2allow, audit2why, chcat we semanage.

Bohli bahalary gysga düşündiriş bilen bilelikde görkezmek üçin aşakdaky buýrugy ulanyň:

# semanage boolean -l

Mysal üçin, httpd_enable_ftp_server-iň bahasyny görkezmek we bellemek üçin aşakdaky buýrugy işlediň:

# getsebool httpd_enable_ftp_server

Boolean-yň bahasyny täzeden açmak üçin dowam etdirmek üçin aşakdaky mysalda görkezilişi ýaly setsebool üçin -P opsiýasyny görkeziň:

# setsebool -P httpd_enable_ftp_server on

36. Merkezleşdirilen Log Serwerini ulanyň

Merkezleşdirilen log serwerine duýgur kömekçi gündelik habarlaryny ibermek üçin rsyslog daemonyny sazlaň. Şeýle hem, logwatch programmasynyň kömegi bilen gündelik faýllaryna gözegçilik ediň.

Uzakdaky serwere gündelik habarlary ibermek, ulgam bozulansoň, zyýanly ulanyjylar işjeňligini doly gizläp bilmejekdigini, elmydama uzakdaky faýllarda yz galdyrýandygyny kepillendirýärler.

37. Amal hasaby açmak

Psacct kömekçi programmasyny gurup, amal hasaba alnyşyny işjeňleşdiriň we ulgam hasapçylyk faýlynda ýazylyşy ýaly ozal ýerine ýetirilen buýruklar barada maglumatlary görkezmek üçin lastcomm buýrugyny ulanyň.

38. Gatylaşdyrmak /etc/sysctl.conf

Ulgamy goramak üçin aşakdaky ýadro parametrleriniň düzgünlerini ulanyň:

net.ipv4.conf.all.accept_source_route=0

ipv4.conf.all.forwarding=0

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Aýratyn talap edilmedik halatynda ICMP gönükdirilen paketleri kabul etmegi we ibermegi öçüriň.

net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.all.rp_filter=2

ICMP echo talaplarynyň hemmesine ähmiýet bermäň (işletmek üçin 1-e düzüldi)

net.ipv4.icmp_echo_ignore_all = 0

39. Goragsyz jemgyýetçilik torlaryndaky jaýlaryňyza girmek üçin VPN hyzmatlaryny ulanyň

Daşaýjylar üçin internet arkaly LAN jaýlaryna uzakdan girmek üçin elmydama VPN hyzmatlaryny ulanyň. Şeýle hyzmatlaryň görnüşleri, Epel ammarlary ýaly mugt açyk çeşme çözgüdi arkaly düzülip bilner.

40. Daşarky ulgam skanerini ýerine ýetiriň

Gowşaklyklar üçin ulgam howpsuzlygyňyzy LAN-yň üstündäki uzak nokatlardan skanirläp, aşakdaky ýaly gurallary ulanyp baha beriň:

  1. Nmap - tor skaneri 29 Nmap buýrugynyň mysallary
  2. Nessus - howpsuzlyk skaneri
  3. OpenVAS - gowşak ýerleri gözlemek we gowşak goralanlygy dolandyrmak üçin ulanylýar.
  4. Nikto - ajaýyp umumy şlýuz interfeýsi (CGI) skript skaneri Linux-da Web gowşaklygy skanirläň

41. Ulgamy içerde gora

Wiruslardan, kök böleklerinden, zyýanly programma üpjünçiliginden içerki ulgam goragyny ulanyň we oňat tejribe hökmünde birugsat işjeňligi (DDOS hüjümleri, port skanerleri) kesgitläp bilýän çozuşlary kesgitlemek ulgamlaryny guruň:

  1. Kömek - Giňişleýin çozuşy kesgitlemek gurşawy - http://aide.sourceforge.net/
  2. ClamAV - Antivirus skaneri https://www.clamav.net
  3. Rhunter - Rootkit skaneri
  4. Lynis - Linux üçin howpsuzlyk barlagy we skaner guraly
  5. Tripwire - Howpsuzlyk we maglumatlaryň bitewiligi http://www.tripwire.com/
  6. Fail2Ban - Çozuş torunyň öňüni almak
  7. OSSEC - (HIDS) Host esasly çozuşy kesgitlemek ulgamy http://ossec.github.io/
  8. Mod_Security - Zalym güýçleri ýa-da DDoS hüjümlerini goraň

42. Ulanyjy gurşawynyň üýtgeýjilerini üýtgediň

Aşakdaky buýrugy bermek bilen buýruklaryň ýerine ýetirilişini saklamak üçin senäni we wagt formatyny goşuň:

# echo 'HISTTIMEFORMAT="%d/%m/%y  %T  "' >> .bashrc'

Her gezek buýruk ýazylanda (çykyşyň ýerine) HISTFILE-ni derrew ýazga geçirmäge mejbur ediň:

# echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc

Giriş sessiýasyny çäklendiriň. Boş wagtyň dowamynda hiç hili iş edilmese, gabygy awtomatiki ýyrtyň. SSH sessiýalaryny awtomatiki aýyrmak üçin gaty peýdaly.

# echo ‘TMOUT=120’ >> .bashrc

Ruleshli düzgünleri ýerine ýetirmek bilen ulanyň:

# source .bashrc

43. uptiýaçlyk maglumatlar

Ulgam näsazlygy ýüze çykan halatynda ulgamyňyzyň göçürmesini, has gowusy, daşynda saklamak üçin LVM suratlaryny we ş.m. ulanyň.

Ulgam bozulsa, öňki ätiýaçlyk nusgalaryndan maglumatlary dikeltmegi ýerine ýetirip bilersiňiz.

Netijede, ulgamyňyzy howpsuz saklamak üçin näçe howpsuzlyk çäreleri we garşylyklaýyn çäreleri görseňizem, enjamyňyz birikdirilen we işledilen ýagdaýynda hiç haçan 100% doly howpsuz bolmaz.