Como todos sabemos, Linux tiene más ventajas que Windows en términos de seguridad. Sin embargo, no importa qué distribución de Linux elija, debe realizar algunas configuraciones necesarias una vez completada la instalación para mejorar su seguridad. A continuación se muestran algunos pasos para reforzar un servidor Linux. En la actualidad, muchos usuarios pequeños y medianos actualizan o actualizan constantemente sus redes debido al desarrollo empresarial, lo que genera grandes diferencias en sus propios entornos de usuario. La mayoría de las plataformas del sistema de red utilizan Linux y Unix en el lado del servidor. Windows y Mac en el lado de la PC. Por lo tanto, en las aplicaciones empresariales, los sistemas operativos Linux, Unix y Windows suelen coexistir para formar redes heterogéneas.
1. Instalar y configurar un firewall
Un firewall configurado correctamente no es sólo la primera línea de defensa para que el sistema responda eficazmente a los ataques externos, sino también la línea de defensa más importante. Antes de que el nuevo sistema se conecte a Internet por primera vez, se debe instalar y configurar el firewall. Configurar el firewall para denegar la recepción de todos los paquetes de datos y luego habilitar la recepción de paquetes de datos será beneficioso para la seguridad del sistema. Linux nos proporciona una excelente herramienta de firewall, que es netfilter/iptables (http://www.netfilter.org/). Es completamente gratuito y funciona bien en una máquina antigua con especificaciones bajas. Para conocer el método de configuración específico del firewall, consulte el uso de iptables.
2. Cerrar servicios y puertos inútiles
Cualquier conexión de red se realiza a través de puertos de aplicaciones abiertos. Si abrimos la menor cantidad de puertos posible, haremos que los ataques a la red sean pasivos, reduciendo así en gran medida las posibilidades de éxito del atacante. Usar Linux como servidor dedicado es una decisión inteligente. Por ejemplo, si desea que Linux se convierta en un servidor web, puede cancelar todos los servicios no esenciales del sistema y habilitar solo los servicios esenciales. Esto puede minimizar las puertas traseras, reducir los peligros ocultos y asignar racionalmente los recursos del sistema para mejorar el rendimiento general de la máquina. Aquí hay algunos servicios menos utilizados:
1. fingerd (servidor de dedos) informa la información personal del usuario especificado, incluido el nombre de usuario, el nombre real, el shell, el directorio y la información de contacto. Expondrá el sistema a actividades de recopilación de inteligencia no deseadas. Debe evitar iniciar este servicio.
2. Los servicios R (rshd, rlogin, rwhod, rexec) proporcionan varios niveles de comandos. Pueden ejecutarse en hosts remotos o interactuar con ellos e iniciar sesión en un entorno de red cerrado sin requerir nombres de usuario ni contraseñas. Sin embargo, los problemas quedarán expuestos en los servidores públicos, lo que generará amenazas a la seguridad.
3. Eliminar paquetes de software no utilizados
Al planificar el sistema, el principio general es eliminar todos los servicios innecesarios. El Linux predeterminado es un sistema potente que ejecuta muchos servicios. Pero hay muchos servicios que no son necesarios y que fácilmente pueden provocar riesgos de seguridad. Este archivo es /etc/xinetd.conf, que especifica los servicios que /usr/sbin/xinetd monitoreará. Es posible que solo necesite uno de ellos: ftp y otras clases como telnet, shell, login, exec, talk, ntalk. , imap, finger, auth, etc., a menos que realmente quieras usarlos, apágalos.
4. No establezcas una ruta predeterminada
En el host, debe estar estrictamente prohibido establecer la ruta predeterminada, es decir, la ruta predeterminada. Se recomienda establecer una ruta para cada subred o segmento de red; de lo contrario, otras máquinas pueden acceder al host a través de ciertos métodos.
5. Gestión de contraseñas
La longitud de la contraseña generalmente no debe ser inferior a 8 caracteres. La composición de la contraseña debe ser una combinación de letras mayúsculas y minúsculas, números y símbolos irregulares. Evite estrictamente el uso de palabras o frases en inglés para establecer contraseñas, y la contraseña de cada usuario. cambiarse de hábitos periódicamente. Además, la protección con contraseña también implica la protección de los archivos /etc/passwd y /etc/shadow. Sólo los administradores del sistema pueden acceder a estos dos archivos. Instalar una herramienta de filtrado de contraseñas y agregar npasswd puede ayudarlo a verificar si sus contraseñas pueden resistir ataques. Si no ha instalado dicha herramienta antes, se recomienda que la instale ahora. Si es administrador del sistema y no hay ninguna herramienta de filtrado de contraseñas instalada en su sistema, verifique inmediatamente si las contraseñas de todos los usuarios se pueden buscar exhaustivamente, es decir, realice un ataque de búsqueda exhaustiva en su archivo /ect/passwd. El uso de palabras como contraseñas no puede resistir ataques de fuerza bruta. Los piratas informáticos suelen utilizar palabras comunes para descifrar contraseñas. Un hacker estadounidense dijo una vez que con solo usar la palabra "contraseña" se podía abrir la mayoría de las computadoras en los Estados Unidos. Otras palabras de uso común incluyen: cuenta, ald, alfa, beta, computadora, muerto, demo, dólar, juegos, bod, hola, ayuda, introducción, matar, amor, no, vale, vale, por favor, sexo, secreto, superusuario, sistema, prueba, trabajo, sí, etc. Configuración y principios de contraseña:
1. Es lo suficientemente largo. Simplemente mueva el dedo para agregar un dígito a la contraseña, lo que puede multiplicar por diez el esfuerzo del atacante;
2. No utilice palabras completas, incluya números, signos de puntuación, caracteres especiales, etc. en la medida de lo posible;
3. Mezcle caracteres en mayúsculas y minúsculas;
4. Revisar con frecuencia.
6.Gestión de particiones
[Cortar-Página]
Un ataque potencial intentará primero un desbordamiento del búfer. En los últimos años, las vulnerabilidades de seguridad de tipo desbordamiento del buffer se han convertido en la forma más común. Lo que es más grave es que las vulnerabilidades de desbordamiento del búfer representan la gran mayoría de los ataques a redes remotas. ¡Este tipo de ataque puede darle fácilmente a un usuario anónimo de Internet la oportunidad de obtener el control parcial o total de un host!
Para evitar este tipo de ataques, debemos prestar atención al instalar el sistema. Si utiliza la partición raíz para registrar datos, como archivos de registro, es posible que se genere una gran cantidad de registros o spam debido a la denegación de servicio, lo que provocará que el sistema falle. Por lo tanto, se recomienda crear una partición separada para /var para almacenar registros y correos electrónicos para evitar que la partición raíz se desborde. Es mejor crear una partición separada para aplicaciones especiales, especialmente programas que pueden generar una gran cantidad de registros. También se recomienda crear una partición separada para /home para que no puedan llenar la partición /, evitando así algunas particiones de Linux. desbordes. ataques maliciosos.
Muchos usuarios de escritorio Linux suelen utilizar sistemas duales Windows y Linux. Lo mejor es utilizar discos duros duales. El método es el siguiente: primero retire el cable de datos del disco duro principal, busque un disco duro de aproximadamente 10 GB y cuélguelo en la computadora, configure el disco duro pequeño como disco esclavo e instale la versión del servidor Linux de acuerdo con Operaciones habituales, excepto que el programa de inicio se coloca en el MBR, no hay otra diferencia. Una vez completada la instalación y la depuración salga del escritorio, apague la computadora. Retire el cable de datos del disco duro pequeño, instale el disco duro original y configúrelo como disco principal (esto es para que el disco duro original y el disco duro pequeño estén conectados al mismo cable de datos al mismo tiempo). y luego instale el software de Windows. Cuelgue ambos discos duros en el cable de datos, que es la interfaz IDE 0. Configure el disco duro original como disco maestro y el disco duro pequeño como disco esclavo. Si desea iniciar desde el disco duro original, configure la secuencia de inicio en CMOS en "C, D, CDROM" o "IDE0 (HDD-0)". De esta forma, cuando la computadora se inicia, ingresa a la interfaz de Windows. Si desea iniciar desde un disco duro pequeño, cambie la secuencia de inicio a "D, C, CDROM" o "IDE1 (HDD-1)". Después de iniciar, ingresará a la interfaz de Linux. Normalmente los dos sistemas operativos no pueden acceder entre sí.
7. Evite el rastreo de redes:
La tecnología Sniffer se utiliza ampliamente en el mantenimiento y la gestión de redes. Funciona como un sonar pasivo, recibiendo silenciosamente diversa información de la red. A través del análisis de estos datos, los administradores de la red pueden obtener una comprensión profunda del estado actual de la red. para identificar vulnerabilidades en la red. Hoy en día, cuando la seguridad de la red está atrayendo cada vez más atención, no solo debemos utilizar los rastreadores correctamente, sino también prevenir razonablemente el daño que los rastreadores pueden causar grandes riesgos de seguridad, principalmente porque no son fáciles de descubrir. Para una empresa con estrictos requisitos de seguridad, es necesario utilizar una topología segura, cifrado de sesión y direcciones ARP estáticas.
8. Gestión completa de registros
Los archivos de registro registran el estado de ejecución de su sistema en todo momento. Cuando llegan los piratas informáticos, no pueden escapar de los ojos de los registros. Por lo tanto, los piratas informáticos suelen modificar los archivos de registro durante los ataques para ocultar sus rastros. Por lo tanto, debemos restringir el acceso al archivo /var/log y prohibir a los usuarios con permisos generales ver el archivo de registro.
Utilice también un servidor de registro. Es una buena idea conservar una copia de la información de registro del cliente, crear un servidor específicamente para almacenar los archivos de registro y verificar los registros para encontrar problemas. Modifique el archivo /etc/sysconfig/syslog para aceptar el registro remoto.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-señor 0"
También debe configurar el almacenamiento remoto de registros. Modifique el archivo /etc/syslog.conf para agregar la configuración del servidor de registro y syslog guardará una copia en el servidor de registro.
/etc/syslog.conf
*.* @log_server_IP
Hay filtros de registro de colores disponibles. Filtro de locomotora de registro de color, la versión actual es 0.32. Utilice loco /var/log/messages | more para mostrar registros coloreados, marcando claramente la ubicación de los comandos raíz y anormales en los registros. Esto puede reducir las omisiones humanas al analizar registros. También se requieren controles periódicos de los registros. Red Hat Linux proporciona la herramienta logwatch, que verifica automáticamente los registros con regularidad y envía correos electrónicos al buzón del administrador. Debe modificar el archivo /etc/log.d/conf/logwatch.conf y agregar la dirección de correo electrónico del administrador después del parámetro MailTo = root. Logwatch comprobará periódicamente los registros y filtrará la información relacionada con el inicio de sesión mediante root, sudo, telnet, ftp, etc. para ayudar a los administradores a analizar la seguridad diaria. La gestión completa de registros debe incluir la exactitud, validez y legalidad de los datos de la red. El análisis de los archivos de registro también puede prevenir intrusiones. Por ejemplo, si un usuario tiene 20 registros fallidos en unas pocas horas, es probable que el intruso esté intentando obtener la contraseña del usuario.
[Cortar-Página]
9. Poner fin a los ataques en curso
Si está revisando los archivos de registro y encuentra un usuario iniciando sesión desde un host desconocido para usted, y está seguro de que este usuario no tiene una cuenta en este host, es posible que esté bajo ataque. Primero, debe bloquear esta cuenta inmediatamente (en el archivo de contraseña o en el archivo oculto, agregue un Ib u otros caracteres antes de la contraseña del usuario). Si un atacante ya está conectado al sistema, debe desconectar físicamente inmediatamente el host de la red. Si es posible, deberías comprobar más a fondo el historial de este usuario para ver si otros usuarios también han sido suplantados y si el atacante tiene permisos de root. Elimine todos los procesos de este usuario y agregue la máscara de dirección IP de este host al archivo hosts.deny.
10. Utilice herramientas y software de seguridad:
Linux ya cuenta con algunas herramientas para garantizar la seguridad del servidor. Como bastilla linux y Selinux.
Bastille Linux es un software muy conveniente para usuarios que no están familiarizados con la configuración de seguridad de Linux. El propósito de Bastille Linux es crear un entorno seguro en el sistema Linux existente.
Security Enhanced Linux (SELinux) es un proyecto de investigación y desarrollo del Departamento de Seguridad de EE. UU. Su propósito es mejorar el kernel de Linux del código desarrollado para proporcionar medidas de protección más sólidas para evitar que algunas aplicaciones relacionadas con la seguridad tomen desvíos y mitiguen el malware. desastre. La seguridad de los sistemas Linux normales depende del kernel, y esta dependencia se genera a través de setuid/setgid. Bajo el mecanismo de seguridad tradicional, algunos problemas de autorización de aplicaciones, problemas de configuración o problemas de ejecución de procesos quedan expuestos, lo que genera problemas de seguridad para todo el sistema. Estos problemas existen en los sistemas operativos actuales debido a su complejidad e interoperabilidad con otros programas. SELinux se basa únicamente en el kernel del sistema y las políticas de configuración de seguridad. Una vez que haya configurado el sistema correctamente, la configuración incorrecta de la aplicación o los errores solo devolverán errores al programa del usuario y sus demonios del sistema. La seguridad de otros programas de usuario y sus programas en segundo plano aún pueden ejecutarse normalmente y mantener la estructura de su sistema de seguridad. En pocas palabras: ningún error de configuración del programa puede provocar que todo el sistema falle. Instalación de SELinux El kernel, las herramientas, los programas/kits de herramientas y la documentación de SELinux se pueden descargar desde el sitio web de Enhanced Security Linux. Debe tener un sistema Linux existente para compilar su nuevo kernel y poder acceder al paquete de parches del sistema sin cambios.
11. Utilice direcciones IP reservadas:
---- La forma más sencilla de mantener la seguridad de la red es garantizar que los hosts de la red no estén expuestos al mundo exterior. El método más básico es aislarse de la red pública. Sin embargo, esta estrategia de seguridad mediante el aislamiento es inaceptable en muchas situaciones. En este momento, utilizar direcciones IP reservadas es un método simple y factible, que permite a los usuarios acceder a Internet garantizando al mismo tiempo un cierto grado de seguridad. - RFC 1918 especifica el rango de direcciones IP que pueden utilizar las redes TCP/IP locales. Estas direcciones IP no se enrutan en Internet, por lo que no es necesario registrarlas. Al asignar direcciones IP en este rango, el tráfico de red se restringe efectivamente a la red local. Esta es una forma rápida y efectiva de negar el acceso a computadoras externas y al mismo tiempo permitir la interconexión de computadoras internas. Reservar rango de direcciones IP:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
El tráfico de red desde una dirección IP reservada no pasa a través de un enrutador de Internet, por lo que no se puede acceder a ninguna computadora a la que se le asigne una dirección IP reservada desde fuera de la red. Sin embargo, este enfoque tampoco permite a los usuarios acceder a redes externas. El enmascaramiento de IP puede resolver este problema.
[Cortar-Página]
12. Elija una distribución de Linux de manera razonable:
Para la versión de Linux utilizada por el servidor, no utilice la última versión ni elija una versión que sea demasiado antigua. Se debe utilizar una versión más madura: la última versión lanzada del producto anterior, como RHEL 3.0, etc. Después de todo, la seguridad y la estabilidad son lo primero para los servidores.
13. Implementar software antivirus para Linux
El sistema operativo Linux siempre ha sido considerado un fuerte rival del sistema Windows porque no sólo es seguro, estable y de bajo costo, sino que además rara vez propaga virus. Pero a medida que más y más servidores, estaciones de trabajo y PC utilizan software Linux, los creadores de virus informáticos también están empezando a atacar el sistema. La seguridad y el control de permisos de los sistemas Linux, ya sea en servidores o estaciones de trabajo, son relativamente poderosos. Esto se debe principalmente a su excelente diseño técnico, que no solo hace que el sistema operativo sea difícil de bloquear, sino que también dificulta su abuso. Después de más de 20 años de desarrollo y mejora, Unix se ha vuelto muy sólido y Linux básicamente ha heredado sus ventajas. En Linux, si no eres un superusuario, será difícil que los programas que infectan maliciosamente archivos del sistema tengan éxito. Aunque los programas maliciosos como los virus Slammer, Blast, Sobig, Mimail y Win32.Xorala no dañan el servidor Linux, se propagan a las personas que acceden a él.
[Cortar-Página]
Clasificación de virus bajo plataforma Linux:
1. Virus de archivos ejecutables: los virus de archivos ejecutables se refieren a virus que pueden parasitar archivos y utilizarlos como principales objetivos de infección. No importa qué arma utilicen los fabricantes de virus, ensamblados o C, es fácil infectar archivos ELF. Los virus en esta área incluyen Lindose.
2. Virus gusano (gusano): Después de que estalló el gusano Morris en 1988, Eugene H. Spafford dio una definición técnica de gusano para distinguir los gusanos de los virus: “Los gusanos informáticos pueden ejecutarse de forma independiente y pueden contener todos los virus por sí solos. body.” La versión funcional se propaga a otras computadoras. "En la plataforma Linux, los gusanos están muy extendidos, como ramen, lion, Slapper, etc., que aprovechan las vulnerabilidades del sistema para propagarse. Estos virus han infectado una gran cantidad de sistemas Linux. y causó enormes pérdidas.
3. Virus de script: actualmente, hay más virus escritos en lenguaje de script de shell. Este tipo de virus es relativamente sencillo de escribir, pero su poder destructivo es igualmente sorprendente. Sabemos que hay muchos archivos de script que terminan en .sh en el sistema Linux, y un script de shell con solo diez líneas aproximadamente puede atravesar todos los archivos de script en todo el disco duro e infectarlos en poco tiempo.
4. Programa de puerta trasera: en la definición amplia de virus, la puerta trasera también se ha incluido en la categoría de virus. La puerta trasera activa en los sistemas Windows, un arma para los intrusos, también está extremadamente activa en las plataformas Linux. Desde simples puertas traseras que agregan cuentas de superusuario del sistema hasta la carga de servicios del sistema, inyección de archivos de biblioteca compartida, kits de herramientas de rootkit e incluso módulos de kernel cargables (LKM), la tecnología de puerta trasera en la plataforma Linux es muy madura, altamente oculta y difícil de eliminar. Es un problema extremadamente problemático para los administradores de sistemas Linux.
En términos generales, los virus informáticos suponen pocos peligros para los sistemas Linux. Sin embargo, por diversas razones, los sistemas operativos Linux y Windows suelen coexistir en aplicaciones empresariales para formar redes heterogéneas. Por tanto, la estrategia antivirus de Linux se divide en dos partes:
1. Estrategias de prevención para el propio Linux (servidores y ordenadores que lo utilizan como escritorio).
La prevención de virus de archivos ejecutables, virus de gusanos y virus de secuencias de comandos se puede evitar básicamente instalando un software de comprobación y eliminación de virus GPL. En el lado del servidor, puede utilizar AntiVir (http://www.hbedv.com/), que funciona bajo la línea de comandos y ocupa menos recursos del sistema cuando se ejecuta.
Para la prevención de programas de puerta trasera, puede utilizar LIDS (http://www.lids.org/) y Chkrootkit (http://www.chkrootkit.org/ LIDS es un parche del kernel de Linux y una herramienta de administración del sistema (lidsadm). lo que fortalece el kernel de Linus. Se pueden proteger los archivos importantes en el directorio dev/. Chkrootkit puede detectar registros y archivos del sistema para ver si algún programa malicioso ha invadido el sistema y buscar señales asociadas con diferentes programas maliciosos. La última versión de Chkrootkit0.45 puede detectar 59 tipos de rastreadores, troyanos, gusanos, rootkits, etc.
2. Estrategias de prevención de virus para sistemas Windows que utilizan servidores backend de Linux.
Muchas empresas utilizan servidores proxy para acceder a Internet. Muchos usuarios de Windows se infectan con virus cuando navegan por páginas web HTTP y descargan archivos. Por lo tanto, puede agregar un filtro de virus al servidor proxy para detectar virus en las páginas web HTTP navegadas por los usuarios. Si se descubre que un usuario está infectado con un virus mientras navega por la web, el servidor proxy lo bloqueará, descartará las solicitudes que contengan virus, bloqueará los procesos inseguros en el servidor proxy y prohibirá que los datos que contienen virus se propaguen a la computadora cliente. . Squid es un excelente software de servidor proxy, pero no tiene una función de filtrado de virus dedicada. Puede considerar el uso de un servidor proxy de filtrado de virus basado en Linux desarrollado por entusiastas alemanes del código abierto: HAVP (http://www.server-side.de/). El software del servidor proxy de filtrado de virus HAVP se puede utilizar de forma independiente o en serie con Squid para mejorar la función de filtrado de virus del servidor proxy Squid.
Proporcionar servicios de correo electrónico es una aplicación importante en los servidores Linux. Puede utilizar ClamAV (http://www.clamwin.com/). El nombre completo de ClamAV es Clam AntiVirus. Al igual que Liunx, enfatiza los conceptos de código de programa abierto y licencia gratuita. Actualmente, ClamAV puede detectar más de 40.000 virus. gusanos, programas troyanos y actualizan la base de datos en cualquier momento. Hay un grupo de expertos en virus distribuidos por todo el mundo que actualizan y mantienen la base de datos de virus las 24 horas del día. Cualquiera que encuentre un virus sospechoso puede contactarlos en cualquier momento. y actualice el código del virus inmediatamente. En muy poco tiempo. En unos pocos días, los servidores de correo que utilizan ClamAV en la red han completado las últimas acciones de protección.
[Cortar-Página]
14. Fortalecer la seguridad de inicio de sesión
Al modificar el archivo /etc/login.defs, puede agregar configuraciones como retraso de error de inicio de sesión, registro, límite de longitud de la contraseña de inicio de sesión y límite de caducidad.
/etc/login.defs #La contraseña de inicio de sesión es válida por 90 días
PASS_MAX_DAYS 90 #El tiempo mínimo de modificación de la contraseña de inicio de sesión para evitar que usuarios ilegales la cambien varias veces en un corto período de tiempo
PASS_MIN_DAYS 0 #La longitud mínima de la contraseña de inicio de sesión es de 8 caracteres
PASS_MIN_LEN 8 # Solicitar cambiar la contraseña de inicio de sesión con 7 días de anticipación cuando caduque
PASS_WARN_AGE 7 #Tiempo de espera 10 segundos cuando se produce un error de inicio de sesión
FAIL_DELAY 10 #Error de inicio de sesión registrado en el registro
FAILLOG_ENAB sí #Úselo al restringir a los superusuarios para administrar registros
SYSLOG_SU_ENAB sí #Usar al limitar los registros de administración de grupos de superusuarios
SYSLOG_SG_ENAB sí #Utilizar cuando se utiliza md5 como método de cifrado de contraseña
15. Utilice OPENSSH en lugar de FTP y Telnet
Los programas de transmisión de red que utilizamos habitualmente, como FTP y Telnet, son intrínsecamente inseguros porque transmiten contraseñas y datos en texto plano en la red. Es muy fácil para los piratas informáticos interceptar estas contraseñas y datos mediante rastreadores. El nombre completo en inglés de SSH es Secure SHell. Al utilizar SSH, los usuarios pueden cifrar todos los datos transmitidos, de modo que incluso si un pirata informático en la red puede secuestrar los datos transmitidos por el usuario, si no se pueden descifrar, no representará una amenaza real para la transmisión de datos. Además, los datos transmitidos se comprimen, por lo que se puede acelerar la velocidad de transmisión. SSH tiene muchas funciones. No solo puede reemplazar a Telnet, sino que también proporciona un "canal de transmisión" seguro para FTP. En un entorno de comunicación de red inseguro, proporciona un mecanismo de autenticación sólido y un entorno de comunicación muy seguro. SSH (Secure Shell) fue desarrollado originalmente por una empresa de Finlandia, pero debido a restricciones de derechos de autor y algoritmos de cifrado, muchas personas recurrieron al software alternativo gratuito OpenSSH. Usar OPENSSH desde la línea de comando es problemático. Aquí presentamos gFTP y OPENSSH integrados para proporcionar una solución de transmisión gráfica cifrada. gFTP es muy fácil de usar al igual que CuteFtp en Windows, y casi todas las distribuciones de Linux vienen con gFTP, que se puede utilizar sin instalación. Hay muchos software de cliente que admiten SSH en Windows y se recomiendan Putty y Filezilla.
16. Haga una copia de seguridad de archivos importantes
Muchos troyanos, gusanos y puertas traseras se ocultan reemplazando archivos importantes. Es un buen hábito realizar copias de seguridad de los comandos más importantes y utilizados con mayor frecuencia. Prepare un conjunto de medios de sólo lectura, CD o unidades flash USB, o incluso descárguelos en línea. En resumen, utilice comandos originales cuando sea necesario en lugar de comandos que puedan estar infectados en el sistema. Los aspectos a tener en cuenta sobre la copia de seguridad son los siguientes:
/bin/su
/bin/ps
/bin/rpm
/usr/bin/arriba
/sbin/ifconfig
/bin/montaje
17. Problemas con parches
Siempre debes ir a la página de inicio del editor del sistema que estás instalando para buscar los parches más recientes. El sistema operativo es el alma del sistema informático, mantiene la capa inferior del sistema y gestiona y programa subsistemas como la memoria y los procesos. Si hay una vulnerabilidad en el propio sistema operativo, el impacto será fatal. El núcleo del sistema operativo es crucial para la seguridad de la red. Actualmente, el mantenimiento del kernel se divide principalmente en dos modos: para sistemas operativos privados, como Windows/Solaris, etc., dado que los usuarios individuales no pueden acceder directamente a su código fuente, su código lo mantienen los desarrolladores internos de la empresa y su seguridad está garantizada. por el mismo equipo, las correcciones del kernel se publican en paquetes de parches/SP al igual que otras aplicaciones. Para un sistema abierto como Linux, es una estructura abierta. Hay que decir que el modelo abierto es un arma de doble filo. Hablando mecánicamente, los desarrolladores de todo el mundo pueden obtener el código fuente y descubrir sus lagunas. Parece que la seguridad debería ser mejor, pero al mismo tiempo, si los administradores de red no pueden actualizar el kernel a tiempo, también habrá riesgos de seguridad; izquierda. Además, existen muchos factores que afectan la seguridad del sistema operativo. Desde el nivel de compilación hasta el nivel de uso del usuario, etc., todos afectarán la seguridad del sistema. Los problemas de seguridad no se pueden resolver fundamentalmente simplemente abriendo o cerrando el código fuente. Si es administrador de red Linux, a menudo deberá visitar el sitio web correspondiente para ver si hay parches, si hay correcciones de errores y si se necesitan actualizaciones. No se arriesgue, de lo contrario un script de Shell podría desactivar su sitio web. Parafraseando un dicho famoso: los piratas informáticos siempre pueden apoderarse de su servidor al día siguiente.
El software que se ejecuta en el servidor Linux incluye principalmente: Samba, Ftp, Telnet, Ssh, Mysql, Php, Apache, Mozilla, etc. La mayoría de estos software son de código abierto y se actualizan constantemente, apareciendo versiones estables y beta. alternativamente. En www.samba.org y www.apache.org, el último ChangeLog dice: corrección de errores, corrección de errores de seguridad. Por lo tanto, los administradores de redes Linux siempre deben prestar atención a las correcciones de errores y actualizaciones de los sitios web relevantes, y actualizar o agregar parches de manera oportuna.
Resumir:
Así como no existe un escudo irrompible, ningún sistema es completamente seguro. Del mismo modo, en el campo de la seguridad nadie puede decir que es un maestro. La seguridad del sistema se logra gracias al sudor y la sabiduría de muchos predecesores.
[Cortar-Página]Un ataque potencial intentará primero un desbordamiento del búfer. En los últimos años, las vulnerabilidades de seguridad de tipo desbordamiento del buffer se han convertido en la forma más común. Lo que es más grave es que las vulnerabilidades de desbordamiento del búfer representan la gran mayoría de los ataques a redes remotas. ¡Este tipo de ataque puede darle fácilmente a un usuario anónimo de Internet la oportunidad de obtener el control parcial o total de un host!
Para evitar este tipo de ataques, debemos prestar atención al instalar el sistema. Si utiliza la partición raíz para registrar datos, como archivos de registro, es posible que se genere una gran cantidad de registros o spam debido a la denegación de servicio, lo que provocará que el sistema falle. Por lo tanto, se recomienda crear una partición separada para /var para almacenar registros y correos electrónicos para evitar que la partición raíz se desborde. Es mejor crear una partición separada para aplicaciones especiales, especialmente programas que pueden generar una gran cantidad de registros. También se recomienda crear una partición separada para /home para que no puedan llenar la partición /, evitando así algunas particiones de Linux. desbordes. ataques maliciosos.
Muchos usuarios de escritorio Linux suelen utilizar sistemas duales Windows y Linux. Lo mejor es utilizar discos duros duales. El método es el siguiente: primero retire el cable de datos del disco duro principal, busque un disco duro de aproximadamente 10 GB y cuélguelo en la computadora, configure el disco duro pequeño como disco esclavo e instale la versión del servidor Linux de acuerdo con Operaciones habituales, excepto que el programa de inicio se coloca en el MBR, no hay otra diferencia. Una vez completada la instalación y la depuración salga del escritorio, apague la computadora. Retire el cable de datos del disco duro pequeño, instale el disco duro original y configúrelo como disco principal (esto es para que el disco duro original y el disco duro pequeño estén conectados al mismo cable de datos al mismo tiempo). y luego instale el software de Windows. Cuelgue ambos discos duros en el cable de datos, que es la interfaz IDE 0. Configure el disco duro original como disco maestro y el disco duro pequeño como disco esclavo. Si desea iniciar desde el disco duro original, configure la secuencia de inicio en CMOS en "C, D, CDROM" o "IDE0 (HDD-0)". De esta forma, cuando la computadora se inicia, ingresa a la interfaz de Windows. Si desea iniciar desde un disco duro pequeño, cambie la secuencia de inicio a "D, C, CDROM" o "IDE1 (HDD-1)". Después de iniciar, ingresará a la interfaz de Linux. Normalmente los dos sistemas operativos no pueden acceder entre sí.
7. Evite el rastreo de redes:
La tecnología Sniffer se utiliza ampliamente en el mantenimiento y la gestión de redes. Funciona como un sonar pasivo, recibiendo silenciosamente diversa información de la red. A través del análisis de estos datos, los administradores de la red pueden obtener una comprensión profunda del estado actual de la red. para identificar vulnerabilidades en la red. Hoy en día, cuando la seguridad de la red está atrayendo cada vez más atención, no solo debemos utilizar los rastreadores correctamente, sino también prevenir razonablemente el daño que los rastreadores pueden causar grandes riesgos de seguridad, principalmente porque no son fáciles de descubrir. Para una empresa con estrictos requisitos de seguridad, es necesario utilizar una topología segura, cifrado de sesión y direcciones ARP estáticas.
8. Gestión completa de registros
Los archivos de registro registran el estado de ejecución de su sistema en todo momento. Cuando llegan los piratas informáticos, no pueden escapar de los ojos de los registros. Por lo tanto, los piratas informáticos suelen modificar los archivos de registro durante los ataques para ocultar sus rastros. Por lo tanto, debemos restringir el acceso al archivo /var/log y prohibir a los usuarios con permisos generales ver el archivo de registro.
Utilice también un servidor de registro. Es una buena idea conservar una copia de la información de registro del cliente, crear un servidor específicamente para almacenar los archivos de registro y verificar los registros para encontrar problemas. Modifique el archivo /etc/sysconfig/syslog para aceptar el registro remoto.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-señor 0"
También debe configurar el almacenamiento remoto de registros. Modifique el archivo /etc/syslog.conf para agregar la configuración del servidor de registro y syslog guardará una copia en el servidor de registro.
/etc/syslog.conf
*.* @log_server_IP
Hay filtros de registro de colores disponibles. Filtro de locomotora de registro de color, la versión actual es 0.32. Utilice loco /var/log/messages | more para mostrar registros coloreados, marcando claramente la ubicación de los comandos raíz y anormales en los registros. Esto puede reducir las omisiones humanas al analizar registros. También se requieren controles periódicos de los registros. Red Hat Linux proporciona la herramienta logwatch, que verifica automáticamente los registros con regularidad y envía correos electrónicos al buzón del administrador. Debe modificar el archivo /etc/log.d/conf/logwatch.conf y agregar la dirección de correo electrónico del administrador después del parámetro MailTo = root. Logwatch comprobará periódicamente los registros y filtrará la información relacionada con el inicio de sesión mediante root, sudo, telnet, ftp, etc. para ayudar a los administradores a analizar la seguridad diaria. La gestión completa de registros debe incluir la exactitud, validez y legalidad de los datos de la red. El análisis de los archivos de registro también puede prevenir intrusiones. Por ejemplo, si un usuario tiene 20 registros de registro fallidos en unas pocas horas, es probable que el intruso esté probando la contraseña del usuario.