LFCA - Maglumatlary we Linux-y goramak üçin peýdaly maslahatlar - 18-nji bölüm

90-njy ýyllaryň başynda çykandan bäri, Linux durnuklylygy, köptaraplylygy, özboluşlylygy we kemçilikleri düzetmek we gowulaşdyrmak üçin gije-gündiziň dowamynda işleýän açyk çeşme döredijiler köpçüligi sebäpli tehnologiýa jemgyýetiniň haýran galmagyna sebäp boldy. operasiýa ulgamy. Umuman aýdanyňda, Linux köpçülikleýin bulut, serwerler we superkompýuterler üçin saýlama operasiýa ulgamy we Linux-da işleýän internet ýüzleý önümçilik serwerleriniň 75% -e golaýy.

Linux interneti işletmekden başga-da sanly dünýä tarap ýol tapdy we şondan bäri peselmedi. “Android” smartfonlary, planşetleri, akylly sagatlary, akylly displeýleri we başga-da köp sanly akylly enjamy güýçlendirýär.

Linux ygtybarlymy?

Linux iň ýokary derejeli howpsuzlygy bilen meşhurdyr we kärhana şertlerinde iň halanýan saýlamagynyň sebäplerinden biridir. Emma bir hakykat, hiç bir operasiýa ulgamy 100% howpsuz däl. Ulanyjylaryň köpüsi, Linux-yň ýalňyş çaklama bolan samsyk operasiýa ulgamydygyna ynanýarlar. Aslynda, internete birikdirilen islendik operasiýa ulgamy potensial bozulmalara we zyýanly programma üpjünçiligine sezewar bolup biler.

Ilkinji ýyllarynda Linux-da has kiçi tehnologiýa merkezi demografiýasy bardy we zyýanly programma üpjünçiliginiň hüjümlerinden ejir çekmek howpy uzakdy. Häzirki wagtda Linux internetiň ep-esli bölegini güýçlendirýär we bu howp abanýan ýeriň ösmegine itergi berdi. Zyýanly programma üpjünçiliginiň hüjümleri howpy öňküsinden has hakyky.

Linux ulgamlaryna zyýanly programma üpjünçiliginiň hüjüminiň ajaýyp mysaly, Günorta Koreýanyň web hosting kompaniýasy NAYANA-nyň 153 Linux serwerine täsir eden faýl şifrleýän zyýanly programma üpjünçiligi Erebus programma üpjünçiligi.

Şol sebäpli, maglumatlaryňyzy goramak üçin iň islenýän howpsuzlygy üpjün etmek üçin operasiýa ulgamyny hasam berkitmek paýhaslydyr.

Linux serweriniň gatylaşdyryş maslahatlary

Linux serweriňizi goramak, pikir edişiňiz ýaly çylşyrymly däl. Ulgamyňyzyň howpsuzlygyny berkitmek we maglumatlaryň bitewiligini saklamak üçin durmuşa geçirmeli iň oňat howpsuzlyk syýasatlarynyň sanawyny taýýarladyk.

“Equifax” -iň bozulmagynyň başlangyç tapgyrynda hakerler “Equifax” -iň müşderileriň arz-şikaýat web portalynda giňden tanalýan gowşaklygy - Apache Struts-dan peýdalandylar.

Apache Struts, Apache gaznasy tarapyndan işlenip düzülen häzirki zaman we owadan Java web programmalaryny döretmek üçin açyk çeşme çarçuwasydyr. Gazna 2017-nji ýylyň 7-nji martynda gowşaklygy düzetmek üçin patch çykardy we bu barada beýannama berdi.

Gowşak goralanlyk barada “Equifax” habar berildi we ýüz tutmagy maslahat berdi, ýöne gynansak-da, gowşaklyk şol ýylyň iýul aýyna çenli iberilmedi, şol wagt gaty giçdi. Hüjüm edenler kompaniýanyň toruna girip, maglumat bazalaryndan millionlarça gizlin müşderi ýazgylaryny süpürip bildiler. “Equifax” bolup geçýän wakalara şemal alanda, iki aý geçdi.

Ondan näme öwrenip bileris?

Zyýanly ulanyjylar ýa-da hakerler serweriňizi elmydama programma üpjünçiliginiň gowşak taraplaryny barlarlar, soň bolsa ulgamyňyzy bozmak üçin ulanyp bilerler. Ygtybarly tarapda bolmak üçin, bar bolan gowşak ýerlere ýamalary ulanmak üçin programma üpjünçiligiňizi hemişe häzirki wersiýalaryna täzeläň.

Ubuntu ýa-da Debian esasly ulgamlary işleýän bolsaňyz, ilkinji ädim adatça paket sanawlaryňyzy ýa-da ammarlaryňyzy görkezilişi ýaly täzelemekdir.

$ sudo apt update

Elýeterli täzelenmeler bilen ähli paketleri barlamak üçin buýrugy işlediň:

$ sudo apt list --upgradable

Programma üpjünçilik programmalaryňyzy görkezilişi ýaly häzirki wersiýalaryna täzeläň:

$ sudo apt upgrade

Bu ikisini görkezilişi ýaly bir buýrukda birleşdirip bilersiňiz.

$ sudo apt update && sudo apt upgrade

RHEL & CentOS üçin buýrugy işledip programmalaryňyzy täzeläň:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Anotherene bir amatly wariant, CentOS/RHEL üçin awtomatiki täzelenmeleri gurnamakdyr.

Köp sanly uzakdaky protokollary goldaýandygyna garamazdan, rlogin, telnet, TFTP we FTP ýaly miras hyzmatlary ulgamyňyz üçin uly howpsuzlyk meselelerini döredip biler. Bular köne, köne we ygtybarly protokollar, bu ýerde maglumatlar ýönekeý tekstde iberilýär. Bular bar bolsa, görkezilişi ýaly aýyrmagy göz öňünde tutuň.

Ubuntu/Debian esasly ulgamlar üçin ýerine ýetiriň:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

RHEL/CentOS esasly ulgamlar üçin ýerine ýetiriň:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Howpsuz hyzmatlaryň hemmesini aýyranyňyzdan soň, açyk portlar üçin serweriňizi skanirlemek we hakerler tarapyndan giriş nokady bolup biläýjek ulanylmaýan portlary ýapmak möhümdir.

UFW gorag diwarynda 7070 porty blokirlemek isleýärsiňiz öýdýän. Munuň buýrugy:

$ sudo ufw deny 7070/tcp

Soňra üýtgeşmeleriň güýje girmegi üçin gorag diwaryny täzeden açyň.

$ sudo ufw reload

Firewalld üçin buýrugy işlediň:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Gorag diwaryny täzeden açmagy ýatdan çykarmaň.

$ sudo firewall-cmd --reload

Soňra gorag diwarynyň düzgünlerini görkezilişi ýaly kesiň:

$ sudo firewall-cmd --list-all

SSH protokoly, tordaky enjamlara ygtybarly birikmäge mümkinçilik berýän uzakdaky protokoldyr. Howpsuz hasaplanylsa-da, deslapky sazlamalar ýeterlik däl we zyýanly ulanyjylaryň ulgamyňyzy bozmagynyň öňüni almak üçin käbir goşmaça düzedişler talap edilýär.

SSH protokolyny nädip berkitmelidigi barada giňişleýin gollanmamyz bar. Ine esasy pursatlar.

  • Parolsyz SSH girişini sazlaň we şahsy/açyk açary tassyklamagy işjeňleşdiriň.
  • SSH uzakdaky kök girişini öçüriň.
  • Boş parolly ulanyjylardan SSH girişlerini öçüriň.
  • Paroly tassyklamagy düýbünden öçüriň we SSH şahsy/açyk açar tassyklamasyna ýapyşyň.
  • Aýratyn SSH ulanyjylaryna girişi çäklendiriň.
  • Parol synanyşyklarynyň çägini düzüň.

Fail2ban, serweriňizi zalym hüjümlerden goraýan açyk çeşmeli çozuşyň öňüni alyş ulgamy. Giriş synanyşyklary ýaly zyýanly işjeňligi görkezýän IP-leri gadagan etmek bilen Linux ulgamyňyzy goraýar. Gutujykdan, Apache web serweri, vsftpd we SSH ýaly meşhur hyzmatlar üçin süzgüçler bilen iberilýär.

SSH protokolyny hasam berkitmek üçin Fail2ban-y nädip sazlamalydygy barada gollanmamyz bar.

Parollary gaýtadan ulanmak ýa-da gowşak we ýönekeý parollary ulanmak ulgamyňyzyň howpsuzlygyny ep-esli derejede bozýar. Parol syýasatyny ýerine ýetirýärsiňiz, parolyň berk talaplaryny düzmek ýa-da düzmek üçin pam_cracklib ulanyň.

PAM modulyny ulanyp, /etc/pam.d/system-auth faýlyny redaktirläp parol güýjüni kesgitläp bilersiňiz. Mysal üçin, parol çylşyrymlylygyny düzüp, parollaryň gaýtadan ulanylmagynyň öňüni alyp bilersiňiz.

Web sahypasyny işleýän bolsaňyz, ulanyjylaryň brauzeri bilen web serweriniň arasynda alyş-çalyş edilýän maglumatlary şifrlemek üçin SSL/TLS şahadatnamasyny ulanyp, domeniňizi elmydama üpjün ediň.

Sahypaňyzy şifrläniňizden soň, gowşak şifrlemek protokollaryny öçürmegi göz öňünde tutuň. Bu gollanmany ýazan wagtyňyz iň soňky protokol TLS 1.3 bolup, iň köp ýaýran we giňden ulanylýan protokoldyr. TLS 1.0, TLS 1.2 we SSLv1-den SSLv3 ýaly öňki wersiýalar belli gowşak goralanlyklar bilen baglanyşyklydy.

[Şeýle hem halap bilersiňiz: Apache we Nginx-de TLS 1.3-i nädip işletmeli]

Bu, Linux ulgamyňyz üçin maglumat howpsuzlygyny we gizlinligini üpjün etmek üçin ädip boljak käbir ädimleriň gysgaça mazmunydy.