LFCA: Linux ulgamyny goramak üçin esasy howpsuzlyk maslahatlary - 17-nji bölüm


Indi öňküsinden has ýokary derejede gymmatly we ägirt uly maliýe sylagyny döredýän ýokary duýgur we gizlin maglumatlary edinmek bilen guramalaryň howpsuzlyk düzgünleri tarapyndan yzygiderli bombalanýan dünýäsinde ýaşaýarys.

Weýrançylykly kiberhüjümden ejir çekmek howpunyň ýokarydygyna garamazdan, kompaniýalaryň köpüsiniň gowy taýyn däldigi ýa-da köplenç weýrançylykly netijeler bilen gyzyl baýdaklara üns bermeýändigi geň zat.

2016-njy ýylda “Equifax” katastrofiki maglumatlaryň bozulmagyna sezewar boldy, bir topar howpsuzlyk ýalňyşlyklaryndan soň millionlarça gizlin müşderi ýazgylary ogurlandy. Jikme-jik hasabat, Equifax-da howpsuzlyk topary tarapyndan dogry howpsuzlyk çäreleri durmuşa geçirilen halatynda bozulmagyň öňüni alyp boljakdygyny görkezdi.

Aslynda, düzgün bozulmadan birnäçe aý öň, Equifax-a web portalynda howpsuzlygyna zyýan ýetirip biljek gowşak goralanlyk barada duýduryş berildi, ýöne gynansak-da, duýduryş agyr netijelere üns bermedi. Beýleki iri korporasiýalaryň köpüsi, her pursat bilen çylşyrymlylykda ösmegini dowam etdirýän hüjümleriň pidasy boldy.

Linux ulgamyňyzyň howpsuzlygynyň näderejede möhümdigini ýeterlik derejede belläp bilmeris. Düzgünleri bozup biljek ýokary derejeli maliýe guramasy bolup bilmersiňiz, ýöne garawulyňyzy goýbermeli diýmek däl.

Linux serweriňizi gurnanyňyzda, esasanam internete birikdirilen we uzakdan girip boljak bolsa, howpsuzlyk aňyňyzda bolmaly. Linux serweriňizi goramak üçin esasy howpsuzlyk endiklerine eýe bolmak möhümdir.

Bu gollanmada ulgamyňyzy hyýanatçylardan goramak üçin alyp boljak käbir esasy howpsuzlyk çärelerine ünsi jemleýäris.

Kiber hüjüm wektorlary

Girip görýänler Linux serweriňize girmek üçin dürli hüjüm usullaryny ulanarlar. Ulgamyňyzy goramak üçin görüp boljak käbir çärelere başlamazdan ozal, hakeriň ulgamlara aralaşmak üçin ulanyp biljek umumy hüjüm wektorlaryny ulanalyň.

Zalym güýç bilen hüjüm, hakeriň ulanyjynyň giriş maglumatlaryny çaklamak üçin synag we ýalňyşlyklary ulanýan hüjümdir. Adatça, ulanyjy adynyň we parolynyň dogry kombinasiýasy alynýança yzygiderli girmek üçin awtomatiki skriptleri ulanar. Bu hili hüjüm, gowşak we aňsat çak edilýän parollar ulanylanda has täsirli bolýar.

Ozal bellenip geçilişi ýaly, parol1234 ýaly gysga we aňsat çaklap boljak parollar ýaly gowşak şahsyýetnamalar ulgamyňyza howp salýar. Parol näçe gysga we çylşyrymly bolsa, ulgamyňyzyň bozulmak ähtimallygy şonça ýokarydyr.

Balyk tutmak, sosial in engineeringenerçilik usuly bolup, hüjümçi pidany kanuny edaradan ýa-da tanaýan ýa-da işleýän biriňizden gelýän ýaly e-poçta iberýär.

Adatça, e-poçta pidanyň duýgur maglumatlary ýaýratmagyna itergi berýän ýa-da kompaniýanyň sahypasy hökmünde ýasama sahypa ugrukdyrýan baglanyşygy bolup biler. Pidany girmäge synanyşansoň, şahsyýetnamalary hüjümçi tarapyndan ele alynýar.

Zyýanly programma üpjünçiligi üçin zyýanly programma üpjünçiligi gysga. Wiruslar, trojanlar, gurçuklar we töleg programma üpjünçiligi ýaly giň ýaýran programmalary öz içine alýar, olar çalt ýaýramak we pidanyň ulgamyny girew almak üçin gurban bermek üçin niýetlenendir.

Şeýle hüjümler gowşak bolup biler we bir guramanyň işini ysmaz edip biler. Käbir zyýanly programma üpjünçiligi şekil, wideo, söz ýa-da PowerPoint resminamalary ýaly resminamalara sanjym edilip, balykçy e-poçta bilen gaplanyp bilner.

DoS hüjümi serweriň ýa-da kompýuter ulgamynyň elýeterliligini çäklendirýän ýa-da täsir edýän hüjümdir. Haker serweri uzak wagtlap ulanyjylara elýeterli bolmadyk trafik ýa-da ping paketleri bilen doldurýar.

DDoS (Hyzmatyň paýlanan inkär edilmegi) hüjümi, nyşana elýeterli bolmadyk trafik bilen köp sanly ulgamy ulanýan DoS görnüşidir.

Düzülen talaplar diliniň gysgaldylyşy, SQL maglumat bazalary bilen aragatnaşyk saklamak üçin ulanylýan dil. Ulanyjylara maglumatlar bazasyndaky ýazgylary döretmäge, pozmaga we täzelemäge mümkinçilik berýär. Serwerleriň köpüsi maglumatlar bazasy bilen täsirleşmek üçin SQL ulanýan baglanyşyk bazalarynda maglumatlary saklaýar.

SQL sanjym hüjümi, belli bir SQL gowşaklygyny ýokarlandyrýar, bu serweri zyýanly SQL kody sanjym edip, başgaça maglumat bazasynyň maglumatlaryny ýaýradýar. Maglumatlar bazasy kredit kartoçkalarynyň belgileri, sosial üpjünçilik belgileri we parollar ýaly şahsyýeti anyklaýan maglumatlary saklasa, bu uly töwekgelçilik döredýär.

Adatça gysgaldylan MITM, ortadaky adam hüjümçi iki tarapyň arasyndaky traffigi diňlemek ýa-da üýtgetmek maksady bilen iki nokadyň arasynda maglumat almagyny öz içine alýar. Maksat pidany içaly etmek, maglumatlary bozmak ýa-da gizlin maglumatlary ogurlamak.

Linux serweriňizi goramak üçin esasy maslahatlar

Hüjümçiniň ulgamyňyzy bozmak üçin ulanyp biljek potensial şlýuzalaryna göz aýlap, ulgamyňyzy goramak üçin görüp boljak käbir esasy çärelere geçeliň.

Serweriňiziň fiziki ýerleşişi we howpsuzlygy barada kän bir pikir edilmeýär, ýöne serweriňizi deslapky gurşawda saklamak isleýän bolsaňyz, adatça başlajak ýeriňiz şu.

Serweriňiziň ätiýaçlyk güýji, artykmaç internet birikmesi we ýeterlik sowadyş bilen maglumat merkezinde ygtybarly üpjün edilmegi möhümdir. Maglumat merkezine girmek diňe ygtyýarly işgärler bilen çäklenmeli.

Serwer gurlansoň, ilkinji ädim ammarlary we amaly programma üpjünçilik paketlerini aşakdaky ýaly täzelemekdir. Bukjany täzelemek, amaly programmalaryň bar bolan wersiýalarynda ýüze çykyp biljek islendik kemçilikleri tapýar.

Ubuntu/Debian paýlamalary üçin:

$ sudo apt update -y
$ sudo apt upgrade -y

RHEL/CentOS paýlamalary üçin:

$ sudo yum upgrade -y

Gorag diwary, gelýän we gidýän traffigi süzýän programma. UFW gorag diwary ýaly berk gorag diwaryny gurmaly we oňa diňe zerur hyzmatlara we degişli portlara rugsat bermäge mümkinçilik bermeli.

Mysal üçin, buýrugy ulanyp, Ubuntu-da gurup bilersiňiz:

$ sudo apt install ufw

Gurlandan soň, aşakdaky ýaly işlediň:

$ sudo ufw enable

HTTPS ýaly hyzmata rugsat bermek üçin buýrugy işlediň;

$ sudo ufw allow https

Ativea-da bolmasa, degişli porta 443-e rugsat berip bilersiňiz.

$ sudo ufw allow 443/tcp

Soňra üýtgeşmeleriň güýje girmegi üçin täzeden ýükläň.

$ sudo ufw reload

Gorag diwaryňyzyň ýagdaýyny barlamak üçin rugsat edilen hyzmatlary we açyk portlary goşmak bilen işlediň

$ sudo ufw status

Mundan başga-da, gorag diwaryndaky ulanylmaýan ýa-da gereksiz hyzmatlary we portlary öçürmegi göz öňünde tutuň. Ulanylmaýan birnäçe portuň bolmagy diňe hüjüm meýdanyny artdyrýar.

Adaty SSH sazlamalary ygtybarly däl, şonuň üçin käbir düzedişler talap edilýär. Aşakdaky sazlamalary ýerine ýetiriň:

  • Kök ulanyjyny uzakdan girişden öçüriň.
  • SSH açyk/şahsy açarlary ulanyp parolsyz SSH tassyklamasyny açyň.

Birinji nokat üçin/etc/ssh/sshd_config faýlyny redaktirläň we görkezilişi ýaly aşakdaky parametrleri üýtgediň.

PermitRootLogin no

Kök ulanyjyny uzakdan girmekden öçüreniňizden soň, yzygiderli ulanyjy dörediň we sudo aýratynlyklaryny belläň. Mysal üçin.

$ sudo adduser user 
$ sudo usermod -aG sudo user 

Parolsyz tassyklamany işjeňleşdirmek üçin ilki bilen başga bir Linux kompýuterine geçiň - has gowusy kompýuteriňize we SSH açar jübütini dörediň.

$ ssh-keygen

Soňra açyk açary serweriňize göçüriň

$ ssh-copy-id [email 

Hasaba gireniňizden soň/etc/ssh/sshd_config faýlyny redaktirläp we görkezilen parametri üýtgedip parol tassyklamasyny öçüriň.

PasswordAuthentication no

Ssh şahsy açaryňyzy ýitirmezlige üns beriň, sebäbi girmek üçin ulanyp boljak ýeke-täk şaýol. Howpsuzlygy saklaň we has gowusy bulutda ätiýaçlaň.

Netijede, üýtgeşmeleri amala aşyrmak üçin SSH-ni täzeden açyň

$ sudo systemctl restart sshd

Ösüp barýan kiber howplar bilen dünýäde Linux serweriňizi gurup başlanyňyzda howpsuzlyk ileri tutulýan ugur bolmaly. Bu gollanmada serweriňizi berkitmek üçin alyp boljak käbir esasy howpsuzlyk çärelerini belledik. Indiki mowzukda, has çuňňur öwreneris we serweriňizi berkitmek üçin görüp boljak goşmaça ädimlere serederis.