Comme nous le savons tous, Linux présente plus d'avantages que Windows en termes de sécurité. Cependant, quelle que soit la distribution Linux que vous choisissez, vous devez effectuer certaines configurations nécessaires une fois l'installation terminée pour améliorer sa sécurité. Voici quelques étapes pour renforcer un serveur Linux. À l'heure actuelle, de nombreux utilisateurs de petite et moyenne taille mettent constamment à jour ou mettent à niveau leurs réseaux en raison du développement de leur activité, ce qui entraîne de grandes différences dans leurs propres environnements utilisateur. La plupart des plates-formes du système réseau utilisent Linux et Unix du côté serveur. Windows et Mac côté PC. Ainsi, dans les applications d’entreprise, les systèmes d’exploitation Linux, Unix et Windows coexistent souvent pour former des réseaux hétérogènes.
1. Installez et configurez un pare-feu
Un pare-feu correctement configuré constitue non seulement la première ligne de défense permettant au système de répondre efficacement aux attaques externes, mais également la ligne de défense la plus importante. Avant que le nouveau système ne se connecte à Internet pour la première fois, le pare-feu doit être installé et configuré. La configuration du pare-feu pour refuser la réception de tous les paquets de données, puis activer la réception des paquets de données, sera bénéfique pour la sécurité du système. Linux nous fournit un très excellent outil de pare-feu, netfilter/iptables (http://www.netfilter.org/). C'est entièrement gratuit et fonctionne très bien sur une vieille machine avec de faibles spécifications. Pour la méthode de configuration spécifique du pare-feu, veuillez vous référer à l'utilisation d'iptables.
2. Fermez les services et ports inutiles
Toutes les connexions réseau sont établies via des ports d'application ouverts. Si nous ouvrons le moins de ports possible, nous rendrons les attaques réseau passives, réduisant ainsi considérablement les chances de succès de l'attaquant. Utiliser Linux comme serveur dédié est une décision judicieuse. Par exemple, si vous souhaitez que Linux devienne un serveur Web, vous pouvez annuler tous les services non essentiels du système et activer uniquement les services essentiels. Cela peut minimiser les portes dérobées, réduire les dangers cachés et allouer de manière rationnelle les ressources système pour améliorer les performances globales de la machine. Voici quelques services moins couramment utilisés :
1. Fingerd (serveur Finger) rapporte les informations personnelles de l'utilisateur spécifié, y compris le nom d'utilisateur, le vrai nom, le shell, le répertoire et les informations de contact. Cela exposera le système à des activités de collecte de renseignements indésirables. Vous devez éviter de démarrer ce service.
2. Les services R (rshd, rlogin, rwhod, rexec) fournissent différents niveaux de commandes. Ils peuvent s'exécuter ou interagir avec des hôtes distants et se connecter dans un environnement réseau fermé sans nécessiter de nom d'utilisateur ni de mot de passe. Cependant, des problèmes seront révélés sur les serveurs publics, entraînant des menaces de sécurité.
3. Supprimez les packages logiciels inutilisés
Lors de la planification du système, le principe général est de supprimer tous les services inutiles. Le Linux par défaut est un système puissant exécutant de nombreux services. Mais de nombreux services ne sont pas nécessaires et peuvent facilement entraîner des risques pour la sécurité. Ce fichier est /etc/xinetd.conf, qui spécifie les services que /usr/sbin/xinetd surveillera. Vous n'en aurez peut-être besoin que d'un seul : ftp et d'autres classes telles que telnet, shell, login, exec, talk, ntalk. , imap, finger, auth, etc., à moins que vous ne souhaitiez vraiment les utiliser, désactivez-les.
4. Ne définissez pas d'itinéraire par défaut
Dans l'hôte, la définition de la route par défaut, c'est-à-dire la route par défaut, doit être strictement interdite. Il est recommandé de définir un itinéraire pour chaque sous-réseau ou segment de réseau, sinon d'autres machines pourraient accéder à l'hôte via certaines méthodes.
5. Gestion des mots de passe
La longueur du mot de passe ne doit généralement pas être inférieure à 8 caractères. La composition du mot de passe doit être une combinaison de lettres majuscules et minuscules irrégulières, de chiffres et de symboles. Évitez strictement d'utiliser des mots ou des expressions anglais pour définir les mots de passe, et le mot de passe de chaque utilisateur doit être utilisé. être changé régulièrement. De plus, la protection par mot de passe implique également la protection des fichiers /etc/passwd et /etc/shadow. Seuls les administrateurs système peuvent accéder à ces deux fichiers. L'installation d'un outil de filtrage de mots de passe et l'ajout de npasswd peuvent vous aider à vérifier si vos mots de passe peuvent résister aux attaques. Si vous n'avez jamais installé un tel outil auparavant, il est recommandé de l'installer maintenant. Si vous êtes un administrateur système et qu'aucun outil de filtrage de mot de passe n'est installé sur votre système, veuillez vérifier immédiatement si les mots de passe de tous les utilisateurs peuvent être recherchés de manière exhaustive, c'est-à-dire effectuer une attaque de recherche exhaustive sur votre fichier /ect/passwd. Utiliser des mots comme mots de passe ne peut pas résister aux attaques par force brute. Les pirates utilisent souvent des mots courants pour déchiffrer les mots de passe. Un pirate informatique américain a déclaré un jour que le simple fait d'utiliser le mot « mot de passe » pouvait ouvrir la plupart des ordinateurs aux États-Unis. D'autres mots couramment utilisés incluent : compte, ald, alpha, bêta, ordinateur, mort, démo, dollar, jeux, corps, bonjour, aide, intro, tuer, amour, non, ok, ok, s'il vous plaît, sexe, secret, superutilisateur, système, test, travail, oui, etc. Paramètres et principes du mot de passe :
1. Il est suffisamment long. Il suffit de déplacer votre doigt pour ajouter un chiffre au mot de passe, ce qui peut décupler l'effort de l'attaquant ;
2. N'utilisez pas de mots complets, n'incluez pas autant que possible des chiffres, des signes de ponctuation, des caractères spéciaux, etc.
3. Mélangez les caractères majuscules et minuscules ;
4. Révisez fréquemment.
6.Gestion des partitions
[Page coupée]
Une attaque potentielle tentera d’abord un débordement de tampon. Au cours des dernières années, les vulnérabilités de sécurité de type débordement de mémoire tampon sont devenues la forme la plus courante. Ce qui est plus grave, c'est que les vulnérabilités de type buffer overflow sont à l'origine de la grande majorité des attaques sur les réseaux distants. Ce type d'attaque peut facilement donner à un internaute anonyme la possibilité de prendre le contrôle partiel ou complet d'un hôte !
Afin de prévenir de telles attaques, nous devons faire attention lors de l’installation du système. Si vous utilisez la partition racine pour enregistrer des données, telles que des fichiers journaux, un grand nombre de journaux ou de spam peuvent être générés en raison d'un déni de service, provoquant un crash du système. Par conséquent, il est recommandé de créer une partition distincte pour /var afin de stocker les journaux et les e-mails afin d'éviter que la partition racine ne déborde. Il est préférable de créer une partition distincte pour les applications spéciales, en particulier les programmes pouvant générer une grande quantité de journaux. Il est également recommandé de créer une partition distincte pour /home afin qu'elles ne puissent pas remplir la partition /, évitant ainsi certaines partitions Linux. débordements.
De nombreux utilisateurs de bureau Linux utilisent souvent des systèmes doubles Windows et Linux. Il est préférable d'utiliser deux disques durs. La méthode est la suivante : retirez d'abord le câble de données du disque dur principal, trouvez un disque dur d'environ 10 Go et accrochez-le à l'ordinateur, définissez le petit disque dur comme disque esclave et installez la version du serveur Linux conformément aux opérations habituelles, sauf que le programme de démarrage est placé dans le MBR, il n'y a pas d'autre différence. Une fois l'installation terminée et le débogage sorti du bureau, éteignez l'ordinateur. Retirez le câble de données du petit disque dur, installez le disque dur d'origine et définissez-le comme disque principal (c'est pour que le disque dur d'origine et le petit disque dur soient connectés au même câble de données en même temps), puis installez le logiciel Windows. Accrochez les deux disques durs au câble de données, qui est l'interface IDE 0. Définissez le disque dur d'origine comme disque maître et le petit disque dur comme disque esclave. Si vous souhaitez démarrer à partir du disque dur d'origine, définissez la séquence de démarrage dans CMOS sur "C, D, CDROM" ou "IDE0 (HDD-0)". De cette façon, lorsque l'ordinateur démarre, il entre dans l'interface Windows. Si vous souhaitez démarrer à partir d'un petit disque dur, modifiez la séquence de démarrage en "D, C, CDROM" ou "IDE1 (HDD-1)". Après le démarrage, vous entrerez dans l'interface Linux. Habituellement, les deux systèmes d'exploitation ne peuvent pas accéder l'un à l'autre.
7. Empêcher le reniflage du réseau :
La technologie Sniffer est largement utilisée dans la maintenance et la gestion du réseau. Elle fonctionne comme un sonar passif, recevant silencieusement diverses informations du réseau, grâce à l'analyse de ces données, les administrateurs réseau peuvent acquérir une compréhension approfondie de l'état actuel du réseau. pour identifier les vulnérabilités du réseau. Aujourd'hui, alors que la sécurité des réseaux attire de plus en plus l'attention, nous devons non seulement utiliser correctement les renifleurs, mais aussi prévenir raisonnablement les dommages que les renifleurs peuvent causer de grands risques pour la sécurité, principalement parce qu'ils ne sont pas faciles à découvrir. Pour une entreprise ayant des exigences de sécurité strictes, il est nécessaire d'utiliser une topologie sécurisée, un cryptage de session et des adresses ARP statiques.
8. Gestion complète des journaux
Les fichiers journaux enregistrent pour vous à tout moment l'état de fonctionnement de votre système. Lorsque les pirates informatiques arrivent, ils ne peuvent pas échapper aux yeux des journaux. Par conséquent, les pirates modifient souvent les fichiers journaux lors des attaques pour masquer leurs traces. Par conséquent, nous devons restreindre l'accès au fichier /var/log et interdire aux utilisateurs disposant d'autorisations générales d'afficher le fichier journal.
Utilisez également un serveur de journaux. C'est une bonne idée de conserver une copie des informations des journaux du client, de créer un serveur spécifiquement pour stocker les fichiers journaux et de vérifier les journaux pour détecter les problèmes. Modifiez le fichier /etc/sysconfig/syslog pour accepter la journalisation à distance.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
Vous devez également configurer le stockage à distance des journaux. Modifiez le fichier /etc/syslog.conf pour ajouter les paramètres du serveur de journaux, et syslog enregistrera une copie sur le serveur de journaux.
/etc/syslog.conf
*.* @log_server_IP
Des filtres de journaux colorés sont disponibles. Filtre de locomotive à journal couleur, la version actuelle est la 0.32. Utilisez loco /var/log/messages | more pour afficher les journaux en couleur, marquant clairement l'emplacement des commandes racine et anormales dans les journaux. Cela peut réduire les omissions humaines lors de l’analyse des journaux. Des contrôles réguliers des journaux sont également requis. Red Hat Linux fournit l'outil logwatch, qui vérifie automatiquement et régulièrement les journaux et envoie des e-mails à la boîte aux lettres de l'administrateur. Vous devez modifier le fichier /etc/log.d/conf/logwatch.conf et ajouter l'adresse email de l'administrateur après le paramètre MailTo = root. Logwatch vérifiera régulièrement les journaux et filtrera les informations liées à la connexion en utilisant root, sudo, telnet, ftp, etc. pour aider les administrateurs à analyser la sécurité quotidienne. La gestion complète des journaux doit inclure l’exactitude, la validité et la légalité des données du réseau. L'analyse des fichiers journaux peut également empêcher les intrusions. Par exemple, si un utilisateur a 20 enregistrements d'enregistrement ayant échoué en quelques heures, il est probable que l'intrus essaie d'utiliser le mot de passe de l'utilisateur.
[Page coupée]
9. Mettre fin aux attaques en cours
Si vous vérifiez les fichiers journaux et trouvez un utilisateur se connectant à partir d'un hôte inconnu et que vous êtes sûr que cet utilisateur n'a pas de compte sur cet hôte, vous pourriez être attaqué. Tout d'abord, vous devez verrouiller ce compte immédiatement (dans le fichier de mot de passe ou le fichier shadow, ajoutez un Ib ou d'autres caractères avant le mot de passe de l'utilisateur). Si un attaquant est déjà connecté au système, vous devez immédiatement déconnecter physiquement l'hôte du réseau. Si possible, vous devez vérifier davantage l'historique de cet utilisateur pour voir si d'autres utilisateurs ont également été usurpés et si l'attaquant dispose des autorisations root. Tuez tous les processus de cet utilisateur et ajoutez le masque d'adresse IP de cet hôte au fichier hosts.deny.
10. Utilisez des outils et des logiciels de sécurité :
Linux dispose déjà de quelques outils pour assurer la sécurité du serveur. Comme Bastille Linux et Selinux.
Bastille Linux est un logiciel très pratique pour les utilisateurs qui ne sont pas familiers avec les paramètres de sécurité Linux. Le but de Bastille Linux est de créer un environnement sécurisé sur le système Linux existant.
Security Enhanced Linux (SELinux) est un projet de recherche et développement du département américain de la sécurité. Son objectif est d'améliorer le noyau Linux du code développé pour fournir des mesures de protection plus strictes afin d'empêcher certaines applications liées à la sécurité de faire des détours et d'atténuer les logiciels malveillants. catastrophe. La sécurité des systèmes Linux ordinaires dépend du noyau, et cette dépendance est générée via setuid/setgid. Dans le cadre du mécanisme de sécurité traditionnel, certains problèmes d'autorisation d'application, de configuration ou d'exécution de processus sont exposés, entraînant des problèmes de sécurité pour l'ensemble du système. Ces problèmes existent dans les systèmes d'exploitation actuels en raison de leur complexité et de leur interopérabilité avec d'autres programmes. SELinux s'appuie uniquement sur les politiques de configuration du noyau et de la sécurité du système. Une fois que vous avez configuré correctement le système, une configuration d'application incorrecte ou des erreurs ne renverront des erreurs qu'au programme de l'utilisateur et à ses démons système. La sécurité des autres programmes utilisateur et de leurs programmes en arrière-plan peut toujours fonctionner normalement et maintenir la structure de leur système de sécurité. Pour faire simple : aucune erreur de configuration de programme ne peut provoquer le crash de l’ensemble du système. Installation de SELinux Le noyau SELinux, les outils, les programmes/kits d'outils et la documentation peuvent être téléchargés à partir du site Web Enhanced Security Linux. Vous devez disposer d'un système Linux existant pour compiler votre nouveau noyau afin d'accéder au package de correctifs système inchangé.
11. Utilisez des adresses IP réservées :
---- Le moyen le plus simple de maintenir la sécurité du réseau est de garantir que les hôtes du réseau ne sont pas exposés au monde extérieur. La méthode la plus élémentaire consiste à s’isoler du réseau public. Cependant, cette stratégie de sécurité par l’isolement est inacceptable dans de nombreuses situations. À l’heure actuelle, l’utilisation d’adresses IP réservées constitue une méthode simple et réalisable, qui permet aux utilisateurs d’accéder à Internet tout en garantissant un certain degré de sécurité. - La RFC 1918 spécifie la plage d'adresses IP pouvant être utilisée par les réseaux TCP/IP locaux. Ces adresses IP ne sont pas acheminées sur Internet, il n'est donc pas nécessaire de les enregistrer. En attribuant des adresses IP dans cette plage, le trafic réseau est effectivement limité au réseau local. Il s'agit d'un moyen rapide et efficace de refuser l'accès aux ordinateurs externes tout en autorisant l'interconnexion des ordinateurs internes. Réserver une plage d'adresses IP :
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
Le trafic réseau provenant d'une adresse IP réservée ne passe pas par un routeur Internet, de sorte que tout ordinateur attribué à une adresse IP réservée n'est pas accessible depuis l'extérieur du réseau. Cependant, cette approche ne permet pas non plus aux utilisateurs d'accéder aux réseaux externes. Le masquage IP peut résoudre ce problème.
[Page coupée]
12. Choisissez raisonnablement une distribution Linux :
Pour la version Linux utilisée par le serveur, n'utilisez pas la dernière version ni choisissez une version trop ancienne. Une version plus mature doit être utilisée : la dernière version publiée du produit précédent, comme RHEL 3.0, etc. Après tout, la sécurité et la stabilité passent avant tout pour les serveurs.
13. Déployez un logiciel antivirus Linux
Le système d'exploitation Linux a toujours été considéré comme un rival sérieux du système Windows car il est non seulement sûr, stable et peu coûteux, mais il est également rarement susceptible de propager des virus. Mais comme de plus en plus de serveurs, de postes de travail et de PC utilisent le logiciel Linux, les créateurs de virus informatiques commencent également à attaquer le système. La sécurité et le contrôle des autorisations des systèmes Linux, que ce soit sur des serveurs ou des postes de travail, sont relativement puissants. Cela est principalement dû à son excellente conception technique, qui rend non seulement le système d'exploitation difficile à planter, mais également les abus. Après plus de 20 ans de développement et d'amélioration, Unix est devenu très solide et Linux a essentiellement hérité de ses avantages. Sous Linux, si vous n'êtes pas un super utilisateur, il sera difficile pour les programmes qui infectent de manière malveillante les fichiers système de réussir. Bien que les programmes malveillants tels que les virus Slammer, Blast, Sobig, Mimail et Win32.Xorala n'endommagent pas le serveur Linux, ils se propageront aux personnes qui y accèdent sur l'ordinateur de la plate-forme système Windows.
[Page coupée]
Classification des virus sous plateforme Linux :
1. Virus de fichiers exécutables : Les virus de fichiers exécutables font référence à des virus qui peuvent parasiter les fichiers et utiliser les fichiers comme principales cibles d'infection. Quel que soit le type d'arme utilisé par les créateurs de virus, assembly ou C, il est facile d'infecter les fichiers ELF. Les virus dans cette zone incluent Lindose.
2. Virus du ver : Après l'apparition du ver Morris en 1988, Eugene H. Spafford a donné une définition technique du ver afin de distinguer les vers des virus : « Les vers informatiques peuvent fonctionner indépendamment et peuvent contenir tous les virus à eux seuls. body. » La version fonctionnelle se propage à d'autres ordinateurs. « Sur la plate-forme Linux, les vers sont extrêmement répandus, tels que Ramen, Lion, Slapper, etc., qui exploitent les vulnérabilités du système pour se propager. Ces virus ont infecté un grand nombre de systèmes Linux. et causé d'énormes pertes.
3. Virus de script : actuellement, il existe davantage de virus écrits en langage de script shell. Ce type de virus est relativement simple à écrire, mais son pouvoir destructeur est tout aussi étonnant. Nous savons qu'il existe de nombreux fichiers de script se terminant par .sh dans le système Linux, et qu'un script shell comportant seulement une dizaine de lignes peut parcourir tous les fichiers de script de l'ensemble du disque dur pour les infecter en peu de temps.
4. Programme de porte dérobée : Dans la définition large du virus, la porte dérobée a également été incluse dans la catégorie des virus. La porte dérobée active sur les systèmes Windows, arme contre les intrus, est également extrêmement active sur les plateformes Linux. Des simples portes dérobées qui ajoutent des comptes de superutilisateur système au chargement de services système, à l'injection de fichiers de bibliothèque partagée, aux kits d'outils rootkit et même aux modules de noyau chargeables (LKM), la technologie de porte dérobée sous la plate-forme Linux est très mature, hautement dissimulée et difficile à supprimer. Il s'agit d'un problème extrêmement gênant pour les administrateurs système Linux.
D'une manière générale, les virus informatiques présentent peu de danger pour les systèmes Linux. Cependant, pour diverses raisons, les systèmes d'exploitation Linux et Windows coexistent souvent dans les applications d'entreprise pour former des réseaux hétérogènes. Par conséquent, la stratégie antivirus de Linux est divisée en deux parties :
1. Stratégies de prévention pour Linux lui-même (serveurs et ordinateurs qui l'utilisent comme bureau).
La prévention des virus de fichiers exécutables, des virus de vers et des virus de script peut essentiellement être évitée en installant un logiciel de détection et de suppression de virus GPL. Côté serveur, vous pouvez utiliser AntiVir (http://www.hbedv.com/), qui fonctionne en ligne de commande et consomme moins de ressources système lors de son exécution.
Pour la prévention des programmes de porte dérobée, vous pouvez utiliser LIDS (http://www.lids.org/) et Chkrootkit (http://www.chkrootkit.org/) LIDS est un correctif du noyau Linux et un outil d'administrateur système (lidsadm). ce qui renforce le noyau Linus. Les fichiers importants du répertoire dev/ peuvent être protégés. Chkrootkit peut détecter les journaux et les fichiers système pour voir si des programmes malveillants ont envahi le système et rechercher des signaux associés à différents programmes malveillants. La dernière version de Chkrootkit0.45 peut détecter 59 types de renifleurs, chevaux de Troie, vers, rootkits, etc.
2. Stratégies de prévention des virus pour les systèmes Windows utilisant des backends de serveur Linux.
De nombreuses entreprises utilisent des serveurs proxy pour accéder à Internet. De nombreux utilisateurs Windows sont infectés par des virus lorsqu'ils parcourent des pages Web HTTP et téléchargent des fichiers. Par conséquent, vous pouvez ajouter un filtre antivirus au serveur proxy pour détecter les virus sur les pages Web HTTP parcourues par les utilisateurs. S'il s'avère qu'un utilisateur est infecté par un virus lors de sa navigation sur le Web, le serveur proxy le bloquera, rejettera les requêtes contenant des virus, bloquera les processus dangereux dans le serveur proxy et empêchera les données contenant des virus de se propager à l'ordinateur client. . Squid est un très excellent logiciel de serveur proxy, mais il ne dispose pas de fonction de filtrage antivirus dédiée. Vous pouvez envisager d'utiliser un serveur proxy de filtrage de virus basé sur Linux développé par des passionnés allemands de l'open source - HAVP (http://www.server-side.de/). Le logiciel de serveur proxy de filtrage des virus HAVP peut être utilisé indépendamment ou en série avec Squid pour améliorer la fonction de filtrage des virus du serveur proxy Squid.
La fourniture de services de messagerie est une application importante sur les serveurs Linux. Vous pouvez utiliser ClamAV (http://www.clamwin.com/). Le nom complet de ClamAV est Clam AntiVirus. Comme Liunx, il met l'accent sur les concepts de code de programme ouvert et de licence gratuite. vers, des chevaux de Troie et mettent à jour la base de données à tout moment. Il existe un groupe d'experts en virus répartis dans le monde entier qui mettent à jour et maintiennent la base de données virale 24 heures sur 24. Toute personne trouvant un virus suspect peut les contacter à tout moment. et mettez à jour le code du virus immédiatement. En très peu de temps. En quelques jours, les serveurs de messagerie utilisant ClamAV sur le réseau ont terminé les dernières actions de protection.
[Page coupée]
14. Renforcer la sécurité de connexion
En modifiant le fichier /etc/login.defs, vous pouvez ajouter des paramètres tels que le délai d'erreur de connexion, la journalisation, la limite de longueur du mot de passe de connexion et la limite d'expiration.
/etc/login.defs #Le mot de passe de connexion est valable 90 jours
PASS_MAX_DAYS 90 #Le temps minimum de modification du mot de passe de connexion pour empêcher les utilisateurs illégaux de le modifier plusieurs fois dans un court laps de temps
PASS_MIN_DAYS 0 #La longueur minimale du mot de passe de connexion est de 8 caractères
PASS_MIN_LEN 8 #Demander de modifier le mot de passe de connexion 7 jours à l'avance lorsqu'il expire
PASS_WARN_AGE 7 #Temps d'attente 10 secondes lorsqu'une erreur de connexion se produit
FAIL_DELAY 10 #Erreur de connexion enregistrée dans le journal
FAILLOG_ENAB yes #Utiliser pour restreindre les super utilisateurs à gérer les journaux
SYSLOG_SU_ENAB yes #Utiliser pour limiter les journaux de gestion des groupes de super-utilisateurs
SYSLOG_SG_ENAB yes #À utiliser lors de l'utilisation de md5 comme méthode de cryptage du mot de passe
15. Utilisez OPENSSH au lieu de FTP et Telnet
Les programmes de transmission réseau que nous utilisons habituellement, tels que FTP et Telnet, sont intrinsèquement dangereux car ils transmettent des mots de passe et des données en texte brut sur le réseau. Il est très facile pour les pirates d'intercepter ces mots de passe et ces données à l'aide de renifleurs. Le nom anglais complet de SSH est Secure SHell. En utilisant SSH, les utilisateurs peuvent crypter toutes les données transmises, de sorte que même si un pirate informatique sur le réseau peut détourner les données transmises par l'utilisateur, si elles ne peuvent pas être déchiffrées, cela ne constituera pas une menace réelle pour la transmission des données. De plus, les données transmises sont compressées, ce qui permet d'accélérer la vitesse de transmission. SSH a de nombreuses fonctions. Il peut non seulement remplacer Telnet, mais également fournir un « canal de transmission » sécurisé pour FTP. Dans un environnement de communication réseau non sécurisé, il fournit un mécanisme d'authentification fort et un environnement de communication très sécurisé. SSH (Secure Shell) a été initialement développé par une entreprise finlandaise, mais en raison de restrictions sur les droits d'auteur et les algorithmes de cryptage, de nombreuses personnes se sont tournées vers le logiciel alternatif gratuit OpenSSH. Utiliser OPENSSH à partir de la ligne de commande est problématique. Nous présentons ici gFTP et OPENSSH intégrés ensemble pour fournir une solution de transmission graphique cryptée. gFTP est très simple à utiliser comme CuteFtp sous Windows, et presque toutes les distributions Linux sont livrées avec gFTP, qui peut être utilisé sans installation. Il existe de nombreux logiciels clients prenant en charge SSH sous Windows, et Putty et Filezilla sont recommandés.
16. Sauvegardez les fichiers importants
De nombreux chevaux de Troie, vers et portes dérobées se cachent en remplaçant des fichiers importants. C'est une bonne habitude de sauvegarder les commandes les plus importantes et les plus couramment utilisées. Préparez un ensemble de supports en lecture seule, de CD ou de clés USB, ou même téléchargez-les en ligne. En bref, utilisez les commandes originales lorsque cela est nécessaire plutôt que les commandes susceptibles d'être infectées dans le système. Les points à noter concernant la sauvegarde sont les suivants :
/bin/su
/bin/ps
/bin/rpm
/usr/bin/haut
/sbin/ifconfig
/bin/monter
17. Problèmes de correctifs
Vous devez toujours vous rendre sur la page d'accueil de l'éditeur du système que vous installez pour rechercher les derniers correctifs. Le système d'exploitation est l'âme du système informatique, maintenant la couche inférieure du système et gérant et planifiant les sous-systèmes tels que la mémoire et les processus. S'il existe une vulnérabilité dans le système d'exploitation lui-même, l'impact sera fatal. Le noyau du système d'exploitation est crucial pour la sécurité du réseau. Actuellement, la maintenance du noyau est principalement divisée en deux modes : pour les systèmes d'exploitation privés, comme Windows/Solaris, etc., puisque les utilisateurs individuels ne peuvent pas accéder directement à leur code source, leur code est maintenu par les développeurs internes de l'entreprise et sa sécurité est garantie. par la même équipe. Les correctifs du noyau sont publiés dans des packages de correctifs/SP, tout comme les autres applications. Pour un système ouvert comme Linux, il s'agit d'une structure ouverte. Il faut dire que le modèle ouvert est une arme à double tranchant. Mécaniquement parlant, les développeurs du monde entier peuvent obtenir le code source et en découvrir les failles. Il semble que la sécurité devrait être meilleure, mais en même temps, si les gestionnaires de réseau ne peuvent pas mettre à jour le noyau à temps, les risques de sécurité le seront également ; gauche. De plus, de nombreux facteurs affectent la sécurité du système d’exploitation. Du niveau de compilation au niveau d'utilisation de l'utilisateur, etc., ils affecteront tous la sécurité du système. Les problèmes de sécurité ne peuvent pas être fondamentalement résolus simplement en ouvrant ou en fermant le code source. Si vous êtes un administrateur réseau Linux, vous devez souvent vous rendre sur le site Web correspondant pour voir s'il existe des correctifs, s'il existe des corrections de bogues et si des mises à niveau sont nécessaires. Ne prenez pas de risques, sinon un script Shell pourrait faire tomber votre site Web. Pour paraphraser un dicton célèbre : votre serveur peut toujours être piraté le lendemain par des pirates.
Les logiciels exécutés sur le serveur Linux comprennent principalement : Samba, Ftp, Telnet, Ssh, Mysql, Php, Apache, Mozilla, etc. La plupart de ces logiciels sont des logiciels open source, et ils sont constamment mis à jour, avec des versions stables et des versions bêta apparaissant. alternativement. Sur www.samba.org et www.apache.org, le dernier ChangeLog indique : correction de bug, correction de bug de sécurité. Par conséquent, les administrateurs réseau Linux doivent toujours prêter attention aux corrections de bogues et aux mises à niveau des sites Web concernés, et mettre à niveau ou ajouter des correctifs en temps opportun.
Résumer:
Tout comme il n’existe pas de bouclier incassable, aucun système n’est totalement sécurisé. De même dans le domaine de la sécurité, personne ne peut dire qu’il est un maître. La sécurité du système est assurée grâce à la sueur et à la sagesse de nombreux prédécesseurs.
[Page coupée]Une attaque potentielle tentera d’abord un débordement de tampon. Au cours des dernières années, les vulnérabilités de sécurité de type débordement de mémoire tampon sont devenues la forme la plus courante. Ce qui est plus grave, c'est que les vulnérabilités de type buffer overflow sont à l'origine de la grande majorité des attaques sur les réseaux distants. Ce type d'attaque peut facilement donner à un internaute anonyme la possibilité de prendre le contrôle partiel ou complet d'un hôte !
Afin de prévenir de telles attaques, nous devons faire attention lors de l’installation du système. Si vous utilisez la partition racine pour enregistrer des données, telles que des fichiers journaux, un grand nombre de journaux ou de spam peuvent être générés en raison d'un déni de service, provoquant un crash du système. Par conséquent, il est recommandé de créer une partition distincte pour /var afin de stocker les journaux et les e-mails afin d'éviter que la partition racine ne déborde. Il est préférable de créer une partition distincte pour les applications spéciales, en particulier les programmes pouvant générer une grande quantité de journaux. Il est également recommandé de créer une partition distincte pour /home afin qu'elles ne puissent pas remplir la partition /, évitant ainsi certaines partitions Linux. débordements.
De nombreux utilisateurs de bureau Linux utilisent souvent des systèmes doubles Windows et Linux. Il est préférable d'utiliser deux disques durs. La méthode est la suivante : retirez d'abord le câble de données du disque dur principal, trouvez un disque dur d'environ 10 Go et accrochez-le à l'ordinateur, définissez le petit disque dur comme disque esclave et installez la version du serveur Linux conformément aux opérations habituelles, sauf que le programme de démarrage est placé dans le MBR, il n'y a pas d'autre différence. Une fois l'installation terminée et le débogage sorti du bureau, éteignez l'ordinateur. Retirez le câble de données du petit disque dur, installez le disque dur d'origine et définissez-le comme disque principal (c'est pour que le disque dur d'origine et le petit disque dur soient connectés au même câble de données en même temps), puis installez le logiciel Windows. Accrochez les deux disques durs au câble de données, qui est l'interface IDE 0. Définissez le disque dur d'origine comme disque maître et le petit disque dur comme disque esclave. Si vous souhaitez démarrer à partir du disque dur d'origine, définissez la séquence de démarrage dans CMOS sur "C, D, CDROM" ou "IDE0 (HDD-0)". De cette façon, lorsque l'ordinateur démarre, il entre dans l'interface Windows. Si vous souhaitez démarrer à partir d'un petit disque dur, modifiez la séquence de démarrage en "D, C, CDROM" ou "IDE1 (HDD-1)". Après le démarrage, vous entrerez dans l'interface Linux. Habituellement, les deux systèmes d'exploitation ne peuvent pas accéder l'un à l'autre.
7. Empêcher le reniflage du réseau :
La technologie Sniffer est largement utilisée dans la maintenance et la gestion du réseau. Elle fonctionne comme un sonar passif, recevant silencieusement diverses informations du réseau, grâce à l'analyse de ces données, les administrateurs réseau peuvent acquérir une compréhension approfondie de l'état actuel du réseau. pour identifier les vulnérabilités du réseau. Aujourd'hui, alors que la sécurité des réseaux attire de plus en plus l'attention, nous devons non seulement utiliser correctement les renifleurs, mais aussi prévenir raisonnablement les dommages que les renifleurs peuvent causer de grands risques pour la sécurité, principalement parce qu'ils ne sont pas faciles à découvrir. Pour une entreprise ayant des exigences de sécurité strictes, il est nécessaire d'utiliser une topologie sécurisée, un cryptage de session et des adresses ARP statiques.
8. Gestion complète des journaux
Les fichiers journaux enregistrent pour vous à tout moment l'état de fonctionnement de votre système. Lorsque les pirates informatiques arrivent, ils ne peuvent pas échapper aux yeux des journaux. Par conséquent, les pirates modifient souvent les fichiers journaux lors des attaques pour masquer leurs traces. Par conséquent, nous devons restreindre l'accès au fichier /var/log et interdire aux utilisateurs disposant d'autorisations générales d'afficher le fichier journal.
Utilisez également un serveur de journaux. C'est une bonne idée de conserver une copie des informations des journaux du client, de créer un serveur spécifiquement pour stocker les fichiers journaux et de vérifier les journaux pour détecter les problèmes. Modifiez le fichier /etc/sysconfig/syslog pour accepter la journalisation à distance.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
Vous devez également configurer le stockage à distance des journaux. Modifiez le fichier /etc/syslog.conf pour ajouter les paramètres du serveur de journaux, et syslog enregistrera une copie sur le serveur de journaux.
/etc/syslog.conf
*.* @log_server_IP
Des filtres de journaux colorés sont disponibles. Filtre de locomotive à journal couleur, la version actuelle est la 0.32. Utilisez loco /var/log/messages | more pour afficher les journaux en couleur, marquant clairement l'emplacement des commandes racine et anormales dans les journaux. Cela peut réduire les omissions humaines lors de l’analyse des journaux. Des contrôles réguliers des journaux sont également requis. Red Hat Linux fournit l'outil logwatch, qui vérifie automatiquement et régulièrement les journaux et envoie des e-mails à la boîte aux lettres de l'administrateur. Vous devez modifier le fichier /etc/log.d/conf/logwatch.conf et ajouter l'adresse email de l'administrateur après le paramètre MailTo = root. Logwatch vérifiera régulièrement les journaux et filtrera les informations liées à la connexion en utilisant root, sudo, telnet, ftp, etc. pour aider les administrateurs à analyser la sécurité quotidienne. La gestion complète des journaux doit inclure l’exactitude, la validité et la légalité des données du réseau. L'analyse des fichiers journaux peut également empêcher les intrusions. Par exemple, si un utilisateur a 20 enregistrements d'enregistrement ratés en quelques heures, il est probable que l'intrus essaie le mot de passe de l'utilisateur.