Introduction au durcissement de la sécurité du serveur Linux
Améliorez votre noyau
Le noyau obsolète est toujours sujet à plusieurs attaques d'escalade de réseau et de privilèges. Afin que vous puissiez mettre à jour votre noyau en utilisant apte Dans Debian ou Miam en Fedora.
$ sudo apt-get updat
$ sudo apt-get-dist
Désactivation des travaux de racine cron
Les travaux Cron exécutés par racine ou un compte de privilèges élevé peuvent être utilisés comme moyen d'obtenir des privilèges élevés par les attaquants. Vous pouvez voir courir des travaux cron par
$ ls / etc / cron *
Règles de pare-feu strictes
Vous devez bloquer toute connexion entrante ou sortante inutile sur des ports inhabituels. Vous pouvez mettre à jour vos règles de pare-feu en utilisant iptables. Iptable est un utilitaire très flexible et facile à utiliser utilisé pour bloquer ou permettre un trafic entrant ou sortant. Pour installer, écrire
$ sudo apt-get install iptables
Voici un exemple pour bloquer entrant sur le port FTP en utilisant iptables
$ iptables -a entrée -p tcp --dport ftp -j drop
Désactiver les services inutiles
Arrêtez tous les services indésirables et démons fonctionnant sur votre système. Vous pouvez répertorier les services d'exécution à l'aide des commandes suivantes.
ubuntu @ ubuntu: ~ $ service --status-all
[+] ACPID
[-] Alsa-utils
[-] Anacron
[+] Apache-htcacheclean
[+] apache2
[+] Apparmor
[+] Apport
[+] avahi-daemon
[+] Support binfmt
[+] Bluetooth
[-] CGroupfs-mont
… Snip…
Ou en utilisant la commande suivante
$ chkconfig - list | grep '3: on'
Pour arrêter un service, tapez
$ sudo service [service_name] stop
OU
$ sudo systemctl stop [service_name]
Vérifiez les déambulations et les rootkits
Des services publics comme Rkhunter et Chkrootkit peuvent être utilisés pour détecter les arrière et les rootkits connues et inconnues. Ils vérifient les packages et configurations installés pour vérifier la sécurité du système. Pour installer l'écriture,
ubuntu @ ubuntu: ~ $ sudo apt-get install rkhunter -y
Pour scanner votre système, tapez
ubuntu @ ubuntu: ~ $ sudo rkhunter --check
[ROOTKIT HUNTER Version 1.4.6]
Vérification des commandes du système…
Effectuer des vérifications de commande «Strings»
Vérification de la commande 'Strings' [OK]
Effectuer des chèques de «bibliothèques partagées»
Vérification des variables de préchargement [Aucune trouvée]
Vérification des bibliothèques préchargées [Aucune trouvée]
Vérification de la variable LD_LIBRARY_PATH [INTOLUSE]
Exécution de chèques de propriétés du fichier
Vérification des conditions préalables [OK]
/ usr / sbin / addUser [ok]
/ usr / sbin / chroot [ok]
… Snip…
Vérifiez les ports d'écoute
Vous devriez vérifier les ports d'écoute qui ne sont pas utilisés et les désactiver. Pour vérifier les ports ouverts, écrivez.
azad @ ubuntu: ~ $ sudo netstat -ulpnt
Connexions Internet actives (uniquement des serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse étrangère État PID / Nom du programme
TCP 0 0 127.0.0.1: 6379 0.0.0.0: * Écoutez 2136 / redis-server 1
TCP 0 0 0.0.0.0: 111 0.0.0.0: * Écoutez 1273 / RPCBIND
TCP 0 0 127.0.0.1: 5939 0.0.0.0: * Écoutez 2989 / TeamViewerd
TCP 0 0 127.0.0.53:53 0.0.0.0: * Écoutez 1287 / Systemd-Resolv
TCP 0 0 0.0.0.0:22 0.0.0.0: * Écoutez 1939 / SSHD
TCP 0 0 127.0.0.1: 631 0.0.0.0: * Écoutez 20042 / CUPSD
TCP 0 0 127.0.0.1: 5432 0.0.0.0: * Écoutez 1887 / Postgres
TCP 0 0 0.0.0.0:25 0.0.0.0: * Écoutez 31259 / Maître
… Snip…
Utilisez un IDS (système de test d'intrusion)
Utilisez des ID pour vérifier les journaux réseau et pour prévenir toute activité malveillante. Il y a un snort d'identification open source disponible pour Linux. Vous pouvez l'installer par,
$ wget https: // www.renifler.org / téléchargements / snort / daq-2.0.6.le goudron.gz
$ wget https: // www.renifler.org / téléchargements / snort / snort-2.9.12.le goudron.gz
$ TAR XVZF DAQ-2.0.6.le goudron.gz
$ cd daq-2.0.6
$ ./ configurer && make && sudo faire l'installation
$ TAR XVZF SNORT-2.9.12.le goudron.gz
$ cd snort-2.9.12
$ ./ Configure --enable-Sourcefire && make && sudo faire l'installation
Pour surveiller le trafic réseau, tapez
ubuntu @ ubuntu: ~ $ sudo snort
Exécution en mode de vidage des paquets
--== Initialisation de Snort ==--
Initialisation des plugins de sortie!
PCAP DAQ configuré sur passif.
Acquisition du trafic réseau à partir de "Tun0".
Décodage IP4 brut
--== Initialisation complète ==--
… Snip…
Désactiver la journalisation comme racine
Root agit comme un utilisateur avec des privilèges complets, il a le pouvoir de faire quoi que ce soit avec le système. Au lieu de cela, vous devez appliquer l'utilisation de Sudo pour exécuter les commandes administratives.
Supprimer aucun fichier de propriétaire
Les fichiers détenus par aucun utilisateur ou groupe peuvent constituer une menace de sécurité. Vous devez rechercher ces fichiers et les supprimer ou leur attribuer un utilisateur approprié un groupe. Pour rechercher ces fichiers, tapez
$ find / dir -xdev \ (-nouser -o -nogroup \) -print
Utilisez SSH et SFTP
Pour le transfert de fichiers et l'administration à distance, utilisez SSH et SFTP au lieu de Telnet et d'autres protocoles non sécurisés, ouverts et non cryptés. Pour installer, tapez
$ sudo apt-get install vsftpd -y
$ sudo apt-get install openssh-server -y
Surveiller les journaux
Installer et configurer un utilitaire d'analyseur de journaux pour vérifier régulièrement les journaux système et les données d'événements pour éviter toute activité suspecte. Taper
$ sudo apt-get install -y Loganalyzer
Désinstaller des logiciels inutilisés
Installez les logiciels aussi minimum que possible pour maintenir une petite surface d'attaque. Plus vous avez de logiciels, plus vous avez de chances d'attaques. Alors supprimez tout logiciel inutile de votre système. Pour voir les packages installés, écrivez
$ dpkg - liste
$ dpkg - info
$ apt-get list [package_name]
Pour supprimer un package
$ sudo apt-get retire [package_name] -y
$ sudo apt-get net
Conlusion
Le durcissement de la sécurité du serveur Linux est très important pour les entreprises et les entreprises. C'est une tâche difficile et fastidieuse pour les administrateurs du système. Certains processus peuvent être automatisés par certains services publics automatisés comme SELINUX et d'autres logiciels similaires. De plus, garder les logiciels minimus et désactiver les services et les ports inutilisés réduit la surface d'attaque.