Spisie treści
Bezpieczeństwo serwera jest bardzo ważne, aby chronić dane przed potencjalnymi intruzami. Za bezpieczeństwo serwera odpowiada administrator systemu. Po pierwsze, można powiedzieć, że fizyczne bezpieczeństwo systemów jest ważne.Fizyczne bezpieczeństwo systemów dostępowych i serwerów
ten Hartowanie to wzmocnienie lub utwardzenie systemu, to proces zabezpieczania systemu poprzez ograniczanie podatności. System jest bardziej podatny na ataki, gdy zapewnia więcej funkcji lub usług.Niektóre rzeczy, o których należy pamiętać, aby uniknąć ataków, zazwyczaj obejmują usuwanie niepotrzebnego oprogramowania, niepotrzebnych nazw użytkowników lub loginów oraz wyłączanie lub usuwanie niepotrzebnych usług.
Istnieje kilka Metody hartowania w systemach Unix i Linux. Może to obejmować m.in. zamknięcie otwartych portów sieciowych. W innych samouczkach widzieliśmy, jak zatrzymać usługi Stosowanie środków bezpieczeństwa dla serwerów VPS oraz Jak skonfigurować zaporę sieciową, aby chronić serwer z systemem Linux.
Ustanowienie systemów wykrywania włamań, zapory i systemów zapobiegania włamaniom, takich jak Bastille Linux, Zwiększ bezpieczeństwo systemu Linux z Bastille, na przykład w celu wyłączenia funkcji, które nie są konieczne w plikach konfiguracyjnych lub wdrożenia innych zadań ochrony.
Instrukcje zawarte w tym samouczku dotyczą Linux CentOS / RHEL lub dystrybucja Linuksa oparta na Ubuntu/Debianie, które są najczęściej używane w serwerach.
Protokół komunikacyjny SSH
CelZablokuj dostęp do użytkownika root i utwórz nowego administratora
Aby to zrobić, przechodzimy do okna terminala i piszemy następujące polecenie
sudo gedit / etc / ssh / sshd_configNastępnie szukamy linii:
Port 22i zmienimy go na inny numer to zmieni port SSH:
Port 4655A potem szukamy linii i zmieniamy login root na no:
PermitRootZaloguj się nieZapisujemy, a następnie ponownie uruchamiamy ssh za pomocą następującego polecenia:
restart ssh usługi sudoDzięki temu to się stanie.
Zabezpieczenia, które musi posiadać każdy serwer, aby zapobiec atakom
System wykrywania włamań
IDS lub system wykrywania włamań to oprogramowanie, które jest używane w celu wykrycia nieautoryzowanego dostępu do komputera w sieci. Te dostępy mogą być atakami lub użytkownikami bez pozwolenia.
Trochę Znane IDS dla Linuksa są:
Tripwireto narzędzie do sprawdzania integralności i bezpieczeństwa danych służące do monitorowania i ostrzegania o zmianach określonych plików na poziomie systemów. Jeśli jakiekolwiek pliki zostaną zmodyfikowane lub zmienione, do administratora zostanie wysłany alert. Jeśli zmiany są prawidłowe, można je dodać lub zaakceptować za pośrednictwem bazy danych Tripwire. W ten sposób nie zostanie wykryty podczas kolejnego skanowania.
Aby go zainstalować, otwieramy okno terminala i wpisujemy następujące polecenia:
sudo apt-get install tripwireAby z niego skorzystać, piszemy następujący kod:
sudo tripwire -init
sudo tripwire --sprawdź --interaktywnyPo zakończeniu analizy zostanie wygenerowany raport ze wszystkimi informacjami o systemie, jeśli istnieją podatne sektory i które są plikami:
Inni IDS które możemy przetestować to:
- Parsknięcie
- Pokrywki
- Snoby
System wykrywania włamań w hoście
UKRYTE ten rodzaj oprogramowania nazywa się System wykrywania włamań hosta o System wykrywania włamań w hoście. Działa poprzez monitorowanie i analizę systemu, próbując wykryć anomalie, które mogą narazić sieć lub system na ryzyko. To oprogramowanie weryfikuje czynności wykonywane na komputerze hosta.
Trochę Znany HDIS są:
TygrysJest to narzędzie HIDS, ponieważ przeprowadza audyt bezpieczeństwa, a także różne kontrole bezpieczeństwa, sprawdza słabe hasła, skanuje system w poszukiwaniu wywołań backdoora, które są trojanami, które otwierają port w systemie i pozwalają innym atakującym wejść. Wynik można sformatować w dokument HTML, który można następnie otworzyć w dowolnej przeglądarce.
Aby go zainstalować, przechodzimy do okna terminala i wykonujemy następujące polecenie
sudo apt-get zainstaluj tygrysAby przeprowadzić pełną kontrolę systemu, piszemy następującą komendę:
tygrys sudo -HWygeneruje to raport ze zmianami, raport zapisze go w folderze:
/var/log/tiger/security.report.myuser.150905-17:45.html
System wykrywania włamań do sieci
NIDS to programowy system wykrywania włamań w sieci. Monitoruje sieć próbując wykryć anomalie, takie jak ataki DDOS lub odmowa usługi, skanowanie portów wewnętrznych i zewnętrznych lub próby uzyskania dostępu do komputera bez autoryzacji, wykrywanie to odbywa się poprzez analizę przychodzącego i wychodzącego ruchu sieciowego w czasie rzeczywistym .
Metodologia stosowana przez oprogramowanie NIDS polega na analizie wszystkich pakietów w poszukiwaniu możliwych znanych i podejrzanych działań lub kodów. NIDS analizuje ruch przychodzący, a także wychodzący w sieci, a także ruch wewnątrz sieci, ponieważ niektóre ataki mogą być inicjowane z wewnątrz sieci z certyfikatami autoryzowanymi przez sam chroniony system. Analiza NIDS nie zużywa wielu zasobów sieciowych, mimo że działa w czasie rzeczywistym
Szeroko stosowanym NIDS jest Snort Parsknięcie
ParsknięcieSnort to sniffer pakietów i sniffer, który analizuje pakiety sieci, które wchodzą i wychodzą. Posiadają bazy danych ze znanymi działaniami oraz implementują silnik wykrywania ataków i skanowania portów, który umożliwia rejestrację, alarmowanie każdej anomalii zdefiniowanej w bazie danych lub rejestrację nowej. W ten sposób nie tylko zapobiega włamaniom, ale także weryfikuje pakiety wysyłane i odbierane przez sieć, dzięki czemu możemy zapobiegać próbom ataków, skanowaniu protokołów itp. Wszystko to w czasie rzeczywistym.
Zainstalujmy zainstalować Snormuj na Linuksie, aby użyć tego NIDS:
aktualizacja sudo apt-get
sudo apt-get install snortNa początku instalacji poprosi nas o wskazanie zakresu IP w sieci.
Pamiętaj, że maska podsieci będzie wskazywać liczbę komputerów lub adresów IP dostępnych w tej sieci, aby mieć odniesienie, mamy poniższą tabelę, która pokazuje liczbę komputerów lub adresów IP zgodnie z maską podsieci, której używamy:
Aby sprawdzić, czy został poprawnie zainstalowany, z okna terminala piszemy następujące polecenie:
parskać --wersjaNastępnie będziemy musieli skonfigurować Snorta, aby wykonać to zadanie z okna terminala, napiszemy następujące polecenie:
sudo dpkg rekonfiguruj snortW tym przypadku widzimy, że mam sieć ethernet 192.168.0.1 i sieć wlan 192.168.0.0, dla tej konfiguracji moja wewnętrzna sieć to ethernet routera, a wlan ip to modem kablowy.
Dlatego jako konfigurację użyjemy etho0. Konfigurujemy niektóre dane, takie jak ilość alertów, e-mail gdzie wysyłać alerty, sprawdzamy wszystkie pakiety w sieci lub tylko te z wybranego interfejsu itp.
Na końcu konfiguracji wskazujemy, że snort uruchamia się jako usługa przy każdym uruchomieniu komputera lub serwera, można to zrobić za pomocą następującego polecenia:
sudo /etc/init.d/snort restartAby sprawdzić, czy od samego początku działa poprawnie, używamy następujących poleceń:
sudo /etc/init.d/snort statusPodobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt