Camino de seguridad de Linux para fortalecer los trucos del servidor Linux

Como todos sabemos, la seguridad de la red es un tema muy importante, y los servidores son la parte más crítica de la seguridad de la red. Se considera que Linux es un servidor de Internet relativamente seguro. Como sistema operativo de código abierto, una vez que se descubre una vulnerabilidad de seguridad en un sistema Linux, voluntarios de todo el mundo serán parcheados en Internet. Sin embargo, los administradores de sistemas a menudo no logran obtener información y hacer correcciones de manera oportuna, lo que les da una oportunidad a los piratas informáticos. Sin embargo, en relación con las vulnerabilidades de seguridad de estos sistemas, más problemas de seguridad se deben a una configuración incorrecta y se pueden evitar con una configuración adecuada. Cuantos más servicios se estén ejecutando en el servidor, más oportunidades habrá de configuración incorrecta y mayor será la probabilidad de problemas de seguridad. En este sentido, este artículo presentará algunos conocimientos para mejorar la seguridad de los sistemas de servidor Linux /Unix. Archivo de registro de seguridad del sistema El archivo de registro dentro del sistema operativo es una pista importante para detectar la intrusión en la red. Si su sistema está conectado directamente a Internet, encontrará que muchas personas hacen intentos de inicio de sesión de Telnet /FTP en su sistema. Puede ejecutar " #more /var /log /secure grep rechazado " para verificar el sistema en busca de ataques. Tome las contramedidas adecuadas, como usar SSH para reemplazar Telnet /rlogin. Seguridad de inicio y de inicio de sesión 1. Seguridad de BIOS La configuración de la contraseña de BIOS y la modificación del orden de inicio impiden el inicio del sistema desde un disquete. 2. Contraseña del usuario La contraseña del usuario es un punto de partida básico para la seguridad de Linux. Muchos usuarios utilizan la contraseña del usuario demasiado simple, lo que equivale a abrir la puerta al intruso, aunque en teoría, siempre que haya suficiente tiempo y recursos disponibles, no hay Contraseña de usuario que no se puede descifrar. Pero elegir la contraseña para obtenerla es difícil de descifrar. La mejor contraseña de usuario es una cadena de caracteres que solo él puede recordar y entender fácilmente, y nunca escribirla en ningún lugar. 3. Cuenta predeterminada Todas las cuentas predeterminadas que son iniciadas por el propio sistema operativo y que son innecesarias deben deshabilitarse. Esto se debe hacer la primera vez que instale el sistema. Linux proporciona muchas cuentas predeterminadas, y cuantas más cuentas, más fácil será el sistema. Atacado Puede eliminar la cuenta con el siguiente comando. # userdelusername o elimine la cuenta de usuario del grupo con el siguiente comando. # groupdel nombre de usuario 4. Archivo de contraseña El comando chattr agrega atributos invariables a los siguientes archivos para evitar que usuarios no autorizados obtengan acceso. # chattr + i /etc /passwd # chattr + i /etc /shadow # chattr + i /etc /group # chattr + i /etc /gshadow 5. Desactive Ctrl + Alt + Delete para reiniciar el comando de la máquina Modifique el archivo /etc /inittab Comente una línea de " ca :: ctrlaltdel: /sbin /shutdown -t3 -r ahora y ". Luego restablezca los permisos de todos los archivos en el directorio /etc/rc.d/init.d/y ejecute el siguiente comando: # chmod -R 700 /etc/rc.d/init.d/* Así que solo la raíz puede leer Escribe o ejecuta todos los archivos de script anteriores. 6. Limite el comando su Si no desea que nadie use su como root, puede editar el archivo /etc/pam.d/su agregando las siguientes dos líneas: auth suficiente /lib/security/pam_rootok.so debug auth required /lib /security /pam_wheel.so group = isd En este punto, solo los usuarios del grupo isd pueden usar su como raíz. A partir de entonces, si desea que el administrador del usuario use su como raíz, puede ejecutar el siguiente comando: # usermod -G10 admin 7. Eliminar información de inicio de sesión De forma predeterminada, la información de solicitud de inicio de sesión incluye la distribución de Linux, el nombre de la versión del kernel y el nombre de host del servidor. Esto filtra demasiada información para una máquina con altos requisitos de seguridad. Puede editar la siguiente línea de la información del sistema de salida editando /etc/rc.d/rc.local. # Esto sobrescribirá /etc /issue en cada inicio. Por lo tanto, realice los cambios que # quiera hacer en /etc /issue aquí o los perderá cuando reinicie # echo " "> /etc /issue # echo " " >> /etc /issue # echo " Kernel 100 100uname -r) en 100 100uname -m) " >> /etc /issue # cp -f /etc /issue /etc/issue.net # echo> > /etc /issue Luego, haga lo siguiente: # rm -f /etc /issue # rm -f /etc/issue.net # touch /etc /issue # touch /etc/issue.net Restricción del acceso a la red 1. Acceso NSF Si usa el servicio del Sistema de archivos de red NFS, debe asegurarse de que /etc /exports tenga las configuraciones de acceso más estrictas, lo que significa que no usa ningún comodín, no permite el acceso de escritura de raíz y solo se puede instalar como un sistema de archivos de solo lectura. Edite el archivo /etc /exports y agregue las siguientes dos líneas. /dir /to /export host1.mydomain.com (ro, root_squash) /dir /to /export host2.mydomain.com (ro, root_squash) /dir /to /export es el directorio que desea enviar, host.mydomain.com Es el nombre de la máquina que inicia sesión en este directorio, ro significa montaje al sistema de solo lectura, root_squash prohíbe que la raíz escriba en este directorio. Para que los cambios surtan efecto, ejecute el siguiente comando. # /usr /sbin /exportfs -a 2.Configuración de la entrada de datos Primero asegúrese de que el propietario de /etc/inetd.conf sea root y que los permisos de archivo estén establecidos en 600. Una vez completada la configuración, puede usar el comando " stat " para verificar. # chmod 600 /etc/inetd.conf Luego, edite /etc/inetd.conf para deshabilitar los siguientes servicios. Ftp telnet shell inicio de sesión exec talk ntalk imap pop-2 pop-3 finger auth Si tiene instalado ssh /scp, también puede desactivar Telnet /FTP. Para que los cambios surtan efecto, ejecute el siguiente comando: #killall -HUP inetd De manera predeterminada, la mayoría de los sistemas Linux permiten todas las solicitudes, y usar TCP_WRAPPERS para mejorar la seguridad del sistema es muy sencillo, puede modificar /etc/hosts.deny y /etc /hosts .Para aumentar las restricciones de acceso. Por ejemplo, la configuración de /etc/hosts.deny en " ALL: ALL " puede denegar todos los accesos de forma predeterminada. Luego agregue el acceso permitido en el archivo /etc/hosts.allow. Por ejemplo, " sshd: 192.168.1.10/255.255.255.0 gate.openarch.com " indica que la dirección IP 192.168.1.10 y el nombre de host gate.openarch.com pueden conectarse a través de SSH. Una vez completada la configuración, puede verificar con tcpdchk: # tcpdchk tcpchk es el verificador de configuración TCP_Wrapper, que verifica la configuración de su envoltorio tcp e informa de cualquier problema potencial /existente encontrado. 3. Configuración del terminal de inicio de sesión El archivo /etc /securetty especifica el dispositivo tty que permite el inicio de sesión raíz. El programa /bin /login lo lee. El formato es una lista de nombres permitidos. Puede editar /etc /securetty y comentar lo siguiente. Ok # tty1 # tty2 # tty3 # tty4 # tty5 # tty6 En este punto, la raíz solo puede iniciar sesión en el terminal tty1. 4. Evite mostrar información del sistema y la versión. Si desea que los usuarios que inician sesión de forma remota no vean la información del sistema y la versión, puede cambiar el archivo /etc/inetd.conf haciendo lo siguiente: telnet stream tcp nowait root /usr /sbin /tcpd in.telnetd - h más -h significa que telnet no muestra información del sistema, sino que solo muestra " login: ". Prevenga los ataques 1. Bloquee pings Si nadie puede hacer ping a su sistema, la seguridad aumenta naturalmente. Para hacer esto, agregue la siguiente línea al archivo /etc/rc.d/rc.local: echo 1> /proc /sys /net /ipv4 /icmp_echo_ignore_all 2. Impedir IP spoofing Edite el archivo host.conf y agregue las siguientes líneas a Prevenir los ataques de suplantación de IP. El enlace de la orden, aloja multi de nospoof en 3. Prevenga los ataques DoS Establezca límites de recursos para todos los usuarios del sistema para prevenir ataques de tipo DoS. Como el número máximo de procesos y la cantidad de memoria utilizada. Por ejemplo, puede agregar las siguientes líneas a /etc/security/limits.conf: * hard core 0 * hard rss 5000 * hard nproc 20 Luego debe editar el archivo /etc/pam.d/login para verificar si existe la siguiente línea. Sesión requerida /lib/security/pam_limits.so El comando anterior deshabilita la depuración de archivos, limita el número de procesos a 50 y limita el uso de memoria a 5MB. Después de la configuración anterior, su servidor Linux puede ser inmune a la mayoría de los problemas de seguridad y ciberataques conocidos, pero un buen administrador de sistemas aún debe prestar atención a la dinámica de seguridad de la red en cualquier momento. Las vulnerabilidades de seguridad potenciales están parcheadas.