ご存知のとおり、Linux はセキュリティの点で Windows よりも優れています。ただし、どの Linux ディストリビューションを選択する場合でも、インストールの完了後にセキュリティを強化するために必要な構成をいくつか行う必要があります。 Linux サーバーを強化するためのいくつかの手順を次に示します。現在、多くの中小規模のユーザーはビジネスの発展によりネットワークの更新やアップグレードを頻繁に行っており、その結果、サーバー側で Linux と Unix を使用しているネットワーク システム全体の環境に大きな差異が生じています。 PC側はWindowsとMac。したがって、エンタープライズ アプリケーションでは、Linux、Unix、および Windows オペレーティング システムが共存して異種ネットワークを形成することがよくあります。
1. ファイアウォールをインストールして構成する
適切に構成されたファイアウォールは、システムが外部攻撃に効果的に対応するための最初の防御線であるだけでなく、最も重要な防御線でもあります。新しいシステムが初めてインターネットに接続する前に、ファイアウォールをインストールして構成する必要があります。すべてのデータ パケットの受信を拒否し、その後データ パケットの受信を有効にするようにファイアウォールを構成すると、システムのセキュリティにとって有益です。 Linux は、netfilter/iptables (http://www.netfilter.org/) という非常に優れたファイアウォール ツールを提供します。完全に無料で、スペックの低い古いマシンでも問題なく動作します。ファイアウォールの具体的な設定方法については、iptablesの使い方を参照してください。
2. 無駄なサービスとポートを閉じる
すべてのネットワーク接続は、開いているアプリケーション ポートを通じて行われます。できるだけ少ないポートを開くと、ネットワーク攻撃が受動的になり、攻撃者の成功の可能性が大幅に減少します。 Linux を専用サーバーとして使用するのは賢明な選択です。たとえば、Linux を Web サーバーとして使用したい場合は、システム内の必須でないサービスをすべてキャンセルし、必須のサービスのみを有効にすることができます。これにより、バックドアを最小限に抑え、隠れた危険を軽減し、システム リソースを合理的に割り当ててマシン全体のパフォーマンスを向上させることができます。あまり一般的には使用されないサービスをいくつか紹介します。
1.fingerd (フィンガー サーバー) は、ユーザー名、本名、シェル、ディレクトリ、連絡先情報など、指定されたユーザーの個人情報を報告します。これにより、システムが望ましくない情報収集活動にさらされることになります。このサービスを開始しないでください。
2. R サービス (rshd、rlogin、rwhod、rexec) は、さまざまなレベルのコマンドを提供し、リモート ホスト上で実行したり、リモート ホストと対話したりすることができ、ユーザー名やパスワードを必要とせずに閉じたネットワーク環境にログインできます。ただし、公開サーバーでは問題が露呈し、セキュリティ上の脅威につながります。
3. 使用していないソフトウェア パッケージを削除する
システムを計画するときの一般原則は、不要なサービスをすべて削除することです。デフォルトの Linux は、多くのサービスを実行する強力なシステムです。しかし、不要なサービスも多く、簡単にセキュリティ リスクを引き起こす可能性があります。このファイルは /etc/xinetd.conf で、/usr/sbin/xinetd が監視するサービスを指定します。ftp と、telnet、shell、login、exec、talk、ntalk などの他のクラスのうち 1 つだけが必要です。 、imap、finger、auth などは、本当に使いたくない場合はオフにしてください。
4. デフォルトルートを設定しない
ホストでは、デフォルトルート、つまりデフォルトルートの設定は厳禁とする。サブネットまたはネットワーク セグメントごとにルートを設定することをお勧めします。そうしないと、他のマシンが特定の方法でホストにアクセスする可能性があります。
5. パスワード管理
パスワードの長さは通常 8 文字以上で、不規則な大文字、小文字、数字、記号を組み合わせたものにする必要があり、パスワードの設定に英語の単語や語句を使用することは絶対に避けてください。習慣を定期的に変えること。さらに、パスワード保護には、/etc/passwd ファイルと /etc/shadow ファイルの保護も含まれます。これら 2 つのファイルにアクセスできるのはシステム管理者だけです。パスワード フィルタリング ツールをインストールし、npasswd を追加すると、パスワードが攻撃に耐えられるかどうかを確認できます。このようなツールをこれまでにインストールしたことがない場合は、今すぐインストールすることをお勧めします。あなたがシステム管理者で、システムにパスワード フィルタリング ツールがインストールされていない場合は、すべてのユーザーのパスワードを徹底的に検索できるかどうかを直ちに確認してください。つまり、/ect/passwd ファイルに対して徹底的な検索攻撃を実行してください。単語をパスワードとして使用すると、ブルート フォース攻撃に耐えることができません。ハッカーはパスワードを解読するために一般的な単語を使用することがよくあります。かつてアメリカのハッカーは、「パスワード」という単語を使用するだけで、アメリカのほとんどのコンピューターを開くことができると言いました。その他の一般的に使用される単語には、アカウント、アルド、アルファ、ベータ、コンピューター、デッド、デモ、ドル、ゲーム、ボディ、こんにちは、ヘルプ、イントロ、キル、愛、いいえ、オーケー、オーケー、プリーズ、セックス、シークレット、スーパーユーザー、などがあります。システム、テスト、作業、はいなど。パスワードの設定と原則:
1. 指を動かしてパスワードに 1 桁追加するだけで十分な長さがあり、攻撃者の労力は 10 倍に増加する可能性があります。
2. 完全な単語を使用せず、数字、句読点、特殊文字などを可能な限り含めます。
3. 大文字と小文字を混ぜてください。
4. 頻繁に見直します。
6.パーティション管理
[カットページ]
潜在的な攻撃は、まずバッファ オーバーフローを試みます。ここ数年、バッファ オーバーフロー タイプのセキュリティ脆弱性が最も一般的な形式になっています。さらに深刻なのは、バッファ オーバーフローの脆弱性がリモート ネットワーク攻撃の大部分を占めており、この種の攻撃により、匿名のインターネット ユーザーがホストの部分的または完全な制御を簡単に取得できる可能性があることです。
このような攻撃を防ぐためには、システムをインストールするときに注意する必要があります。ルート パーティションを使用してログ ファイルなどのデータを記録すると、サービス妨害により大量のログやスパムが生成され、システムがクラッシュする可能性があります。したがって、ルート パーティションのオーバーフローを防ぐために、ログと電子メールを保存する /var 用の別のパーティションを作成することをお勧めします。特殊なアプリケーション、特に大量のログを生成する可能性のあるプログラム用に別のパーティションを作成することをお勧めします。また、/home 用に別のパーティションを作成して、/ パーティションがいっぱいになるのを防ぎ、一部の Linux パーティションを回避することもお勧めします。悪意のある攻撃が溢れます。
Linux デスクトップ ユーザーの多くは、Windows と Linux のデュアル システムを使用することがよくあります。デュアルハードドライブを使用するのが最善です。方法は次のとおりです。まず、メイン ハードディスクのデータ ケーブルを取り外し、約 10GB のハードディスクを見つけてコンピュータに掛け、小さなハードディスクをスレーブ ディスクとして設定し、規定に従って Linux サーバーのバージョンをインストールします。通常の操作では、起動ブート プログラムが MBR に配置されることを除いて、その他の違いはありません。 インストールが完了し、デスクトップにデバッグが表示されたら、コンピューターをシャットダウンします。小型ハードディスクのデータ ケーブルを取り外し、元のハードディスクを取り付け、それをメイン ディスクとして設定します (これは、元のハードディスクと小型ハードディスクが同時に同じデータ ケーブルに接続されるためです)。そして Windows ソフトウェアをインストールします。両方のハードディスクを IDE 0 インターフェイスであるデータ ケーブルに接続し、元のハードディスクをマスター ディスクとして、小さいハードディスクをスレーブ ディスクとして設定します。元のハードディスクから起動したい場合は、CMOS の起動順序を「C、D、CDROM」または「IDE0 (HDD-0)」に設定してください。このようにして、コンピュータが起動すると、Windows インターフェイスが表示されます。小さなハードディスクから起動する場合は、起動順序を「D、C、CDROM」または「IDE1 (HDD-1)」に変更します。起動後、Linux インターフェイスが表示されます。通常、2 つのオペレーティング システムは相互にアクセスできません。
7. ネットワーク スニッフィングを防止します。
スニッファー テクノロジーはネットワークの保守と管理に広く使用されており、パッシブ ソナーのように機能し、ネットワークからさまざまな情報を静かに受信し、ネットワーク管理者はネットワークの現在の状態を深く理解できます。ネットワーク内の脆弱性を特定します。ネットワーク セキュリティがますます注目を集めている今日、スニファーを正しく使用するだけでなく、スニファーは発見されにくいため、セキュリティ上大きな危険を引き起こす可能性があることを合理的に防ぐ必要があります。厳格なセキュリティ要件を持つ企業の場合、安全なトポロジ、セッション暗号化、および静的 ARP アドレスを使用する必要があります。
8. 完全なログ管理
ログ ファイルには、システムの実行ステータスが常に記録されます。ハッカーがやってくると、ログの目から逃れることはできません。したがって、ハッカーは攻撃中にログ ファイルを変更して痕跡を隠すことがよくあります。したがって、/var/log ファイルへのアクセスを制限し、一般権限を持つユーザーがログ ファイルを表示することを禁止する必要があります。
ログサーバーも使用します。クライアントのログ情報のコピーを保持し、ログ ファイルを保存するための専用のサーバーを作成し、ログをチェックして問題を見つけることをお勧めします。リモートログを受け入れるように /etc/sysconfig/syslog ファイルを変更します。
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
ログのリモート ストレージも設定する必要があります。 /etc/syslog.conf ファイルを変更してログ サーバー設定を追加すると、syslog はログ サーバーにコピーを保存します。
/etc/syslog.conf
*.* @log_server_IP
色付きのログフィルターが利用可能です。カラーログロコフィルター、現在のバージョンは0.32です。 loco /var/log/messages more を使用すると、ログ内の root および異常なコマンドの位置が明確にマークされ、色付きのログが表示されます。これにより、ログ分析時の人間による漏れを減らすことができます。ログの定期的なチェックも必要です。 Red Hat Linux は、ログを定期的に自動的にチェックし、管理者のメールボックスに電子メールを送信する Logwatch ツールを提供します。 /etc/log.d/conf/logwatch.conf ファイルを変更し、MailTo = root パラメータの後に管理者の電子メール アドレスを追加する必要があります。 Logwatch は定期的にログをチェックし、root、sudo、telnet、ftp などを使用したログインに関連する情報をフィルタリングして、管理者が日常のセキュリティを分析できるようにします。完全なログ管理には、ネットワーク データの正確性、有効性、合法性が含まれている必要があります。ログファイルを分析することで侵入を防ぐこともできます。たとえば、ユーザーが数時間以内に失敗した登録レコードが 20 件ある場合、侵入者がユーザーのパスワードを試行している可能性があります。
[カットページ]
9. 進行中の攻撃を停止する
ログ ファイルをチェックしていて、未知のホストからログインしているユーザーを見つけ、このユーザーがこのホストにアカウントを持っていないことが確実な場合は、攻撃を受けている可能性があります。まず、このアカウントを直ちにロックする必要があります (パスワード ファイルまたはシャドウ ファイルで、ユーザーのパスワードの前に Ib またはその他の文字を追加します)。攻撃者がすでにシステムに接続している場合は、直ちにホストをネットワークから物理的に切断する必要があります。可能であれば、このユーザーの履歴をさらに確認して、他のユーザーも偽装されていないか、攻撃者が root 権限を持っているかどうかを確認する必要があります。このユーザーのすべてのプロセスを強制終了し、このホストの IP アドレス マスクをファイル hosts.deny に追加します。
10. セキュリティ ツールとソフトウェアを使用します。
Linux には、サーバーのセキュリティを確保するためのツールがすでにいくつかあります。 bastille linux や Selinux など。
Bastille linux は、Linux のセキュリティ設定に詳しくないユーザーにとって非常に便利なソフトウェアです。bastille linux の目的は、既存の Linux システム上に安全な環境を構築することです。
Security Enhanced Linux (SELinux) は、米国安全保障省の研究開発プロジェクトであり、その目的は、開発されたコードの Linux カーネルを強化して、一部のセキュリティ関連アプリケーションの迂回を防ぎ、マルウェアの侵入を軽減することです。災害。通常の Linux システムのセキュリティはカーネルに依存しており、この依存関係は setuid/setgid を通じて生成されます。従来のセキュリティ メカニズムでは、アプリケーションの承認の問題、構成の問題、プロセス実行の問題の一部が露呈し、システム全体にセキュリティの問題が発生します。今日のオペレーティング システムには、その複雑さと他のプログラムとの相互運用性により、これらの問題が存在します。 SELinux は、システムのカーネルとセキュリティ構成ポリシーのみに依存します。システムを正しく設定すると、不適切なアプリケーション設定やエラーが発生しても、ユーザーのプログラムとそのシステム デーモンにエラーが返されるだけです。他のユーザー プログラムとそのバックグラウンド プログラムのセキュリティは引き続き正常に実行され、セキュリティ システム構造が維持されます。簡単に言うと、プログラム構成エラーによってシステム全体がクラッシュすることはありません。 SELinux のインストール SELinux カーネル、ツール、プログラム/ツールキット、およびドキュメントは、Enhanced Security Linux Web サイトからダウンロードできます。変更されていないシステム パッチ パッケージにアクセスするには、新しいカーネルをコンパイルするための既存の Linux システムが必要です。
11. 予約済みの IP アドレスを使用します。
---- ネットワーク セキュリティを維持する最も簡単な方法は、ネットワーク内のホストが外部に公開されないようにすることです。最も基本的な方法は、パブリック ネットワークから自分自身を隔離することです。ただし、分離によるこのセキュリティ戦略は、多くの状況では受け入れられません。現時点では、予約された IP アドレスを使用することが簡単かつ実現可能な方法であり、ユーザーはある程度のセキュリティを確保しながらインターネットにアクセスできます。 - RFC 1918 は、ローカル TCP/IP ネットワークで使用できる IP アドレスの範囲を指定しています。これらの IP アドレスはインターネット上でルーティングされないため、これらのアドレスを登録する必要はありません。この範囲の IP アドレスを割り当てることにより、ネットワーク トラフィックがローカル ネットワークに効果的に制限されます。これは、内部コンピュータの相互接続を許可しながら、外部コンピュータへのアクセスを拒否する迅速かつ効果的な方法です。 予約IPアドレス範囲:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
予約された IP アドレスからのネットワーク トラフィックはインターネット ルーターを通過しないため、予約された IP アドレスが割り当てられたコンピュータにはネットワークの外部からアクセスできません。ただし、このアプローチでもユーザーは外部ネットワークにアクセスできません。 IP マスカレードはこの問題を解決できます。
[カットページ]
12. Linux ディストリビューションを合理的に選択します。
サーバーで使用される Linux のバージョンについては、最新のリリース バージョンを使用したり、古すぎるバージョンを選択したりしないでください。より成熟したバージョン、つまり以前の製品の最後にリリースされたバージョン (RHEL 3.0 など) を使用する必要があります。結局のところ、サーバーにとってセキュリティと安定性は最優先です。
13. Linux ウイルス対策ソフトウェアの導入
Linux オペレーティング システムは、安全で安定しており、低コストであるだけでなく、ウイルスの拡散がほとんど見られないため、Windows システムの強力なライバルであると常に考えられてきました。しかし、Linux ソフトウェアを使用するサーバー、ワークステーション、PC が増えるにつれ、コンピューター ウイルス作成者もシステムを攻撃し始めています。 Linux システムのセキュリティと権限制御は、サーバー上でもワークステーション上でも比較的強力です。これは主に、オペレーティング システムがクラッシュしにくいだけでなく、悪用も困難にするその優れた技術設計によるものです。 20 年以上の開発と改善を経て、Unix は非常に堅牢になり、Linux は基本的にその利点を継承しています。 Linux では、スーパー ユーザーでない場合、システム ファイルに悪意を持って感染するプログラムが成功するのは困難です。 Slammer、Blast、Sobig、Mimail、Win32.Xorala ウイルスなどの悪意のあるプログラムは、Linux サーバーに損害を与えることはありませんが、Windows システム プラットフォームのコンピュータにアクセスする人々に広がります。
[カットページ]
Linux プラットフォームでのウイルス分類:
1. 実行可能ファイル ウイルス: 実行可能ファイル ウイルスとは、ファイルに寄生し、ファイルを主な感染ターゲットとして使用する可能性のあるウイルスを指します。アセンブリや C など、ウイルス作成者がどのような兵器を使用しても、ELF ファイルは簡単に感染します。この領域のウイルスにはリンドースが含まれます。
2. ワーム (ワーム) ウイルス: 1988 年にモリス ワームが発生した後、ユージン H. スパフォードはワームとウイルスを区別するためにワームの技術的定義を与えました。 「Linux プラットフォームでは、システムの脆弱性を悪用して拡散する、ラーメン、ライオン、スラッパーなどのワームが非常に蔓延しています。これらのウイルスは、多数の Linux システムに感染しています。」そして巨額の損失を引き起こした。
3. スクリプト ウイルス: 現在、シェル スクリプト言語で書かれたウイルスが増えています。このタイプのウイルスは作成が比較的簡単ですが、その破壊力は同様に驚くべきものです。 Linux システムには .sh で終わるスクリプト ファイルが多数あり、わずか 10 行程度のシェル スクリプトで、ハードディスク全体のすべてのスクリプト ファイルを短時間で走査して感染する可能性があることがわかっています。
4. バックドア プログラム: 広義のウイルスでは、バックドアもウイルスのカテゴリーに含まれます。 Windows システムで活動している侵入者用の武器であるバックドアは、Linux プラットフォームでも非常に活発です。システム スーパーユーザー アカウントを追加する単純なバックドアから、システム サービスの読み込み、共有ライブラリ ファイルの挿入、ルートキット ツールキット、さらには読み込み可能なカーネル モジュール (LKM) に至るまで、Linux プラットフォームのバックドア テクノロジーは非常に成熟しており、高度に隠蔽されており、削除するのが困難です。 Linux システム管理者にとって、これは非常に厄介な問題です。
一般に、コンピュータ ウイルスが Linux システムに危険をもたらすことはほとんどありません。ただし、さまざまな理由により、Linux オペレーティング システムと Windows オペレーティング システムがエンタープライズ アプリケーション内で共存して、異種ネットワークを形成することがよくあります。したがって、Linux のウイルス対策戦略は 2 つの部分に分かれています。
1. Linux 自体 (サーバーおよび Linux をデスクトップとして使用するコンピューター) の防止戦略。
実行ファイルウイルス、ワームウイルス、スクリプトウイルスの防止は、基本的にGPLのウイルスチェック・駆除ソフトをインストールすることで防ぐことができます。サーバー側では、AntiVir (http://www.hbedv.com/) を使用できます。これはコマンド ラインで動作し、実行時に消費するシステム リソースが少なくなります。
バックドア プログラムを防止するには、LIDS (http://www.lids.org/) および Chkrootkit (http://www.chkrootkit.org/) を使用できます。LIDS は、Linux カーネル パッチおよびシステム管理者ツール (lidsadm) です。これにより Linus カーネルが強化されます。 dev/ ディレクトリ内の重要なファイルを保護できます。 Chkrootkit は、システム ログとファイルを検出して、悪意のあるプログラムがシステムに侵入したかどうかを確認し、さまざまな悪意のあるプログラムに関連する信号を探すことができます。最新版のChkrootkit0.45は、59種類のスニファー、トロイの木馬、ワーム、ルートキットなどを検出できる。
2. Linux サーバー バックエンドを使用する Windows システムのウイルス防止戦略。
多くの企業では、インターネットにアクセスするためにプロキシ サーバーを使用しています。多くの Windows ユーザーは、HTTP Web ページの閲覧やファイルのダウンロード時にウイルスに感染します。そのため、プロキシ サーバーにウイルス フィルターを追加して、ユーザーが閲覧する HTTP Web ページ上のウイルスを検出できます。ユーザーが Web 閲覧中にウイルスに感染していることが判明した場合、プロキシ サーバーはそのユーザーをブロックし、ウイルスを含むリクエストを破棄し、プロキシ サーバー内の安全でないプロセスをブロックして、ウイルスを含むデータがクライアント コンピュータに拡散するのを防ぎます。 。 Squidは非常に優れたプロキシサーバーソフトですが、専用のウイルスフィルタリング機能はありません。ドイツのオープンソース愛好家によって開発された Linux ベースのウイルス フィルタリング プロキシ サーバー、HAVP (http://www.server-side.de/) の使用を検討できます。 HAVP ウイルス フィルタリング プロキシ サーバー ソフトウェアは、単独で使用することも、Squid と連続して使用することもでき、Squid プロキシ サーバーのウイルス フィルタリング機能を強化できます。
電子メール サービスの提供は、Linux サーバーの重要なアプリケーションです。 ClamAV (http://www.clamwin.com/) を使用できます。ClamAV の正式名は、Liunx と同様に、オープン プログラム コードと無料ライセンスの概念を強調しており、現在 40,000 を超えるウイルスを検出できます。ワーム、トロイの木馬プログラムを検出し、いつでもデータベースを更新できます。ウイルス データベースを 24 時間体制で更新および管理するウイルス専門家のグループがいつでも連絡できます。非常に短時間で、ウイルス コードを即座に更新します。ネットワーク上で ClamAV を使用するメール サーバーは、最新の保護アクションを完了します。
[カットページ]
14. ログインセキュリティの強化
/etc/login.defs ファイルを変更することで、ログイン エラーの遅延、ログ記録、ログイン パスワードの長さ制限、有効期限制限などの設定を追加できます。
/etc/login.defs #ログインパスワードは90日間有効です
PASS_MAX_DAYS 90 #不正なユーザーが短期間に複数回変更することを防ぐためのログインパスワードの最小変更時間
PASS_MIN_DAYS 0 #ログインパスワードの最小長は 8 文字です
PASS_MIN_LEN 8 #ログイン パスワードの有効期限が切れる 7 日前に、ログイン パスワードの変更を求めるプロンプトを表示します
PASS_WARN_AGE 7 #ログインエラー時の待ち時間10秒
FAIL_DELAY 10 #ログインエラーがログに記録されました
FAILLOG_ENAB はい #スーパー ユーザーによるログの管理を制限する場合に使用します
SYSLOG_SU_ENAB はい #スーパーユーザーグループ管理ログを制限する場合に使用します
SYSLOG_SG_ENAB はい #パスワード暗号化方式として md5 を使用する場合に使用します
15. FTP と Telnet の代わりに OPENSSH を使用する
私たちが通常使用する FTP や Telnet などのネットワーク送信プログラムは、パスワードやデータをネットワーク上で平文で送信するため、本質的に安全ではありません。ハッカーがスニファーを使用してこれらのパスワードやデータを傍受するのは非常に簡単です。 SSH の正式な英語名は Secure SHell です。 SSH を使用すると、ユーザーはすべての送信データを暗号化できるため、ネットワーク上のハッカーがユーザーが送信したデータを乗っ取ったとしても、復号化できなければ、データ送信に実質的な脅威をもたらすことはありません。また、送信データは圧縮されるため、通信速度を高速化することができます。 SSH には多くの機能があり、Telnet を置き換えるだけでなく、FTP に安全な「伝送チャネル」を提供することもできます。安全でないネットワーク通信環境において、強力な認証メカニズムと非常に安全な通信環境を提供します。 SSH (Secure Shell) はもともとフィンランドの会社によって開発されましたが、著作権と暗号化アルゴリズムの制限のため、多くの人が無料の代替ソフトウェア OpenSSH に注目しました。 コマンドラインからOPENSSHを使うのは面倒です。ここでは、グラフィカルな暗号化送信ソリューションを提供するために統合された gFTP と OPENSSH を紹介します。 gFTP は、Windows での CuteFtp と同様に非常に使いやすく、ほとんどすべての Linux ディストリビューションには gFTP が付属しており、インストールせずに使用できます。 Windows では SSH をサポートするクライアント ソフトウェアが多数あり、Putty と Filezilla が推奨されます。
16. 重要なファイルをバックアップする
多くのトロイの木馬、ワーム、バックドアは、重要なファイルを置き換えることによって身を隠します。最も重要でよく使用されるコマンドをバックアップすることをお勧めします。読み取り専用メディア、CD、または USB フラッシュ ドライブのセットを準備するか、オンラインでダウンロードすることもできます。つまり、必要に応じて、システムに感染する可能性のあるコマンドではなく、独自のコマンドを使用します。バックアップに関する注意事項は以下のとおりです。
/bin/su
/bin/ps
/bin/rpm
/usr/bin/トップ
/sbin/ifconfig
/bin/マウント
17. パッチの問題
常に、インストールしているシステムの発行元のホームページにアクセスして、最新のパッチを探す必要があります。オペレーティング システムはコンピュータ システムの魂であり、システムの最下層を維持し、メモリやプロセスなどのサブシステムを管理およびスケジュールします。 OS自体に脆弱性があった場合、その影響は致命的となります。オペレーティング システムのカーネルは、ネットワーク セキュリティにとって非常に重要です。現在、カーネルのメンテナンスは主に 2 つのモードに分かれています。Windows/Solaris などのプライベート OS の場合、個人ユーザーがソース コードに直接アクセスできないため、コードは社内の開発者によって保守され、セキュリティが保証されています。カーネル修正は、他のアプリケーションと同様にパッチ/SP パッケージでリリースされます。 Linux のようなオープン システムの場合、それはオープンな構造です。オープンモデルは諸刃の剣と言うべきだろう。仕組み的に言えば、世界中の開発者がソース コードを入手してその抜け穴を見つけることができれば、セキュリティは向上するはずですが、同時に、ネットワーク管理者がカーネルを適時に更新できない場合、セキュリティ リスクも発生します。左。さらに、オペレーティング システムのセキュリティに影響を与える要因は数多くあります。コンパイル レベルからユーザーの使用レベルなどに至るまで、それらはすべてシステムのセキュリティに影響します。セキュリティ問題は、ソースコードを開いたり閉じたりするだけでは根本的に解決できません。 Linux ネットワーク管理者は、多くの場合、対応する Web サイトにアクセスして、パッチがあるかどうか、バグ修正があるかどうか、アップグレードが必要かどうかを確認する必要があります。危険を冒さないでください。そうしないと、シェル スクリプトによって Web サイトがダウンする可能性があります。有名な格言を言い換えると、次の日にはサーバーが常にハッカーに乗っ取られる可能性があります。
Linux サーバー上で動作するソフトウェアには、主に Samba、Ftp、Telnet、Ssh、Mysql、Php、Apache、Mozilla などが含まれます。これらのソフトウェアのほとんどはオープン ソース ソフトウェアであり、常にアップグレードされ、安定版とベータ版が表示されます。交互に。 www.samba.org と www.apache.org の最新の ChangeLog には、バグ修正、セキュリティ バグ修正と記載されています。したがって、Linux ネットワーク管理者は、関連する Web サイトのバグ修正とアップグレードに常に注意を払い、適時にアップグレードまたはパッチを追加する必要があります。
要約:
壊れない盾がないのと同じように、完全に安全なシステムもありません。セキュリティ分野でも同様に、自分が達人であるとは誰も言えません。システムの安全性は、多くの先人の汗と知恵によって実現されています。
[カットページ]潜在的な攻撃は、まずバッファ オーバーフローを試みます。ここ数年、バッファ オーバーフロー タイプのセキュリティ脆弱性が最も一般的な形式になっています。さらに深刻なのは、バッファ オーバーフローの脆弱性がリモート ネットワーク攻撃の大部分を占めており、この種の攻撃により、匿名のインターネット ユーザーがホストの部分的または完全な制御を簡単に取得できる可能性があることです。
このような攻撃を防ぐためには、システムをインストールするときに注意する必要があります。ルート パーティションを使用してログ ファイルなどのデータを記録すると、サービス妨害により大量のログやスパムが生成され、システムがクラッシュする可能性があります。したがって、ルート パーティションのオーバーフローを防ぐために、ログと電子メールを保存する /var 用の別のパーティションを作成することをお勧めします。特殊なアプリケーション、特に大量のログを生成する可能性のあるプログラム用に別のパーティションを作成することをお勧めします。また、/home 用に別のパーティションを作成して、/ パーティションがいっぱいになるのを防ぎ、一部の Linux パーティションを回避することもお勧めします。悪意のある攻撃が溢れます。
Linux デスクトップ ユーザーの多くは、Windows と Linux のデュアル システムを使用することがよくあります。デュアルハードドライブを使用するのが最善です。方法は次のとおりです。まず、メイン ハードディスクのデータ ケーブルを取り外し、約 10GB のハードディスクを見つけてコンピュータに掛け、小さなハードディスクをスレーブ ディスクとして設定し、規定に従って Linux サーバーのバージョンをインストールします。通常の操作では、起動ブート プログラムが MBR に配置されることを除いて、その他の違いはありません。 インストールが完了し、デスクトップにデバッグが表示されたら、コンピューターをシャットダウンします。小型ハードディスクのデータ ケーブルを取り外し、元のハードディスクを取り付け、それをメイン ディスクとして設定します (これは、元のハードディスクと小型ハードディスクが同時に同じデータ ケーブルに接続されるためです)。そして Windows ソフトウェアをインストールします。両方のハードディスクを IDE 0 インターフェイスであるデータ ケーブルに接続し、元のハードディスクをマスター ディスクとして、小さいハードディスクをスレーブ ディスクとして設定します。元のハードディスクから起動したい場合は、CMOS の起動順序を「C、D、CDROM」または「IDE0 (HDD-0)」に設定してください。このようにして、コンピュータが起動すると、Windows インターフェイスが表示されます。小さなハードディスクから起動する場合は、起動順序を「D、C、CDROM」または「IDE1 (HDD-1)」に変更します。起動後、Linux インターフェイスが表示されます。通常、2 つのオペレーティング システムは相互にアクセスできません。
7. ネットワーク スニッフィングを防止します。
スニッファー テクノロジーはネットワークの保守と管理に広く使用されており、パッシブ ソナーのように機能し、ネットワークからさまざまな情報を静かに受信し、ネットワーク管理者はネットワークの現在の状態を深く理解できます。ネットワーク内の脆弱性を特定します。ネットワーク セキュリティがますます注目を集めている今日、スニファーを正しく使用するだけでなく、スニファーは発見されにくいため、セキュリティ上大きな危険を引き起こす可能性があることを合理的に防ぐ必要があります。厳格なセキュリティ要件を持つ企業の場合、安全なトポロジ、セッション暗号化、および静的 ARP アドレスを使用する必要があります。
8. 完全なログ管理
ログ ファイルには、システムの実行ステータスが常に記録されます。ハッカーがやってくると、ログの目から逃れることはできません。したがって、ハッカーは攻撃中にログ ファイルを変更して痕跡を隠すことがよくあります。したがって、/var/log ファイルへのアクセスを制限し、一般権限を持つユーザーがログ ファイルを表示することを禁止する必要があります。
ログサーバーも使用します。クライアントのログ情報のコピーを保持し、ログ ファイルを保存するための専用のサーバーを作成し、ログをチェックして問題を見つけることをお勧めします。リモートログを受け入れるように /etc/sysconfig/syslog ファイルを変更します。
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
ログのリモート ストレージも設定する必要があります。 /etc/syslog.conf ファイルを変更してログ サーバー設定を追加すると、syslog はログ サーバーにコピーを保存します。
/etc/syslog.conf
*.* @log_server_IP
色付きのログフィルターが利用可能です。カラーログロコフィルター、現在のバージョンは0.32です。 loco /var/log/messages more を使用して色付きのログを表示し、ログ内の root コマンドと異常なコマンドの位置を明確に示します。これにより、ログ分析時の人間による漏れを減らすことができます。ログの定期的なチェックも必要です。 Red Hat Linux は、ログを定期的に自動的にチェックし、管理者のメールボックスに電子メールを送信する Logwatch ツールを提供します。 /etc/log.d/conf/logwatch.conf ファイルを変更し、MailTo = root パラメータの後に管理者の電子メール アドレスを追加する必要があります。 Logwatch は定期的にログをチェックし、root、sudo、telnet、ftp などを使用したログインに関連する情報をフィルタリングして、管理者が日常のセキュリティを分析できるようにします。完全なログ管理には、ネットワーク データの正確性、有効性、合法性が含まれている必要があります。ログファイルを分析することで侵入を防ぐこともできます。たとえば、ユーザーが数時間以内に20の登録レコードに失敗した場合、侵入者がユーザーのパスワードを試している可能性があります。