Como todos sabemos, o Linux tem mais vantagens sobre o Windows em termos de segurança. No entanto, não importa qual distribuição Linux você escolha, você deve fazer algumas configurações necessárias após a conclusão da instalação para aumentar sua segurança. Aqui estão algumas etapas para proteger um servidor Linux. Atualmente, muitos usuários de pequeno e médio porte atualizam ou atualizam constantemente suas redes devido ao desenvolvimento de negócios, resultando em grandes diferenças em seus próprios ambientes de usuário. Toda a plataforma do sistema de rede é desigual. A maioria usa Linux e Unix no lado do servidor. Windows e Mac no lado do PC. Portanto, em aplicações empresariais, os sistemas operacionais Linux, Unix e Windows frequentemente coexistem para formar redes heterogêneas.
1. Instale e configure um firewall
Um firewall configurado corretamente não é apenas a primeira linha de defesa para o sistema responder com eficácia a ataques externos, mas também a linha de defesa mais importante. Antes de o novo sistema se conectar à Internet pela primeira vez, o firewall deverá ser instalado e configurado. Configurar o firewall para negar o recebimento de todos os pacotes de dados e, em seguida, ativar a recepção de pacotes de dados será benéfico para a segurança do sistema. O Linux nos fornece uma excelente ferramenta de firewall, que é netfilter/iptables (http://www.netfilter.org/). É totalmente gratuito e funciona perfeitamente em uma máquina antiga com especificações baixas. Para o método de configuração específico do firewall, consulte o uso de iptables.
2. Feche serviços e portas inúteis
Quaisquer conexões de rede são feitas através de portas de aplicativos abertas. Se abrirmos o mínimo de portas possível, tornaremos passivos os ataques à rede, reduzindo assim enormemente as chances de sucesso do invasor. Usar o Linux como servidor dedicado é uma jogada inteligente. Por exemplo, se quiser que o Linux se torne um servidor web, você pode cancelar todos os serviços não essenciais do sistema e ativar apenas os serviços essenciais. Isso pode minimizar backdoors, reduzir perigos ocultos e alocar racionalmente os recursos do sistema para melhorar o desempenho geral da máquina. Aqui estão alguns serviços menos usados:
1. Fingerd (servidor Finger) relata as informações pessoais do usuário especificado, incluindo nome de usuário, nome real, shell, diretório e informações de contato. Isso exporá o sistema a atividades indesejadas de coleta de inteligência.
2. Os serviços R (rshd, rlogin, rwhod, rexec) fornecem vários níveis de comandos. Eles podem ser executados ou interagir com hosts remotos e fazer login em um ambiente de rede fechado sem exigir nomes de usuário e senhas. No entanto, os problemas serão expostos em servidores públicos, levando a ameaças à segurança.
3. Exclua pacotes de software não utilizados
Ao planejar o sistema, o princípio geral é remover todos os serviços desnecessários. O Linux padrão é um sistema poderoso que executa muitos serviços. Mas existem muitos serviços que não são necessários e podem facilmente causar riscos de segurança. Este arquivo é /etc/xinetd.conf, que especifica os serviços que /usr/sbin/xinetd irá monitorar. Você pode precisar apenas de um deles: ftp e outras classes como telnet, shell, login, exec, talk, ntalk. , imap, finger, auth, etc., a menos que você realmente queira usá-los, desative-os.
4. Não defina uma rota padrão
No host, definir a rota padrão, ou seja, a rota padrão, deve ser estritamente proibida. Recomenda-se definir uma rota para cada sub-rede ou segmento de rede, caso contrário outras máquinas poderão acessar o host através de determinados métodos.
5. Gerenciamento de senhas
O comprimento da senha geralmente não deve ser inferior a 8 caracteres. A composição da senha deve ser uma combinação de letras maiúsculas e minúsculas irregulares, números e símbolos. Evite estritamente o uso de palavras ou frases em inglês para definir senhas. ser mudado hábitos regularmente. Além disso, a proteção por senha também envolve a proteção dos arquivos /etc/passwd e /etc/shadow. Somente administradores de sistema podem acessar esses dois arquivos. Instalar uma ferramenta de filtragem de senha e adicionar npasswd pode ajudá-lo a verificar se suas senhas resistem a ataques. Se você ainda não instalou essa ferramenta, é recomendável instalá-la agora. Se você é um administrador de sistema e não há nenhuma ferramenta de filtragem de senha instalada em seu sistema, verifique imediatamente se as senhas de todos os usuários podem ser pesquisadas exaustivamente, ou seja, execute um ataque de pesquisa exaustivo em seu arquivo /ect/passwd. Usar palavras como senhas não resiste a ataques de força bruta. Os hackers costumam usar palavras comuns para quebrar senhas. Um hacker americano disse certa vez que apenas usar a palavra “senha” pode abrir a maioria dos computadores nos Estados Unidos. Outras palavras comumente usadas incluem: conta, ald, alfa, beta, computador, morto, demo, dólar, jogos, bod, olá, ajuda, introdução, matar, amor, não, ok, ok, por favor, sexo, segredo, superusuário, sistema, teste, trabalho, sim, etc. Configurações e princípios de senha:
1. É longo o suficiente, basta mover o dedo para adicionar um dígito à senha, o que pode aumentar em dez vezes o esforço do invasor;
2. Não utilize palavras completas, inclua números, sinais de pontuação, caracteres especiais, etc., tanto quanto possível;
3. Misture caracteres maiúsculos e minúsculos;
4. Revise com frequência.
6. Gerenciamento de partição
[Página cortada]
Um ataque potencial tentará primeiro um buffer overflow. Nos últimos anos, as vulnerabilidades de segurança do tipo buffer overflow tornaram-se a forma mais comum. O que é mais sério é que as vulnerabilidades de buffer overflow são responsáveis pela grande maioria dos ataques remotos à rede. Esse tipo de ataque pode facilmente dar a um usuário anônimo da Internet a oportunidade de obter controle parcial ou total de um host.
Para evitar tais ataques, devemos prestar atenção ao instalar o sistema. Se você usar a partição raiz para registrar dados, como arquivos de log, um grande número de logs ou spam poderá ser gerado devido à negação de serviço, causando falha no sistema. Portanto, é recomendado criar uma partição separada para /var para armazenar logs e e-mails para evitar que a partição raiz transborde. É melhor criar uma partição separada para aplicativos especiais, especialmente programas que podem gerar uma grande quantidade de logs. Também é recomendado criar uma partição separada para /home para que eles não possam preencher a partição /, evitando assim alguma partição Linux. transborda.
Muitos usuários de desktop Linux costumam usar sistemas duplos Windows e Linux. É melhor usar discos rígidos duplos. O método é o seguinte: primeiro remova o cabo de dados do disco rígido principal, encontre um disco rígido de cerca de 10 GB e pendure-o no computador, defina o disco rígido pequeno como disco escravo e instale a versão do servidor Linux de acordo com o operações normais, exceto que o programa de inicialização é colocado no MBR, não há outra diferença. Depois que a instalação for concluída e a depuração sair da área de trabalho, desligue o computador. Remova o cabo de dados do disco rígido pequeno, instale o disco rígido original e defina-o como disco principal (isso é para que o disco rígido original e o disco rígido pequeno sejam conectados ao mesmo cabo de dados ao mesmo tempo), e instale o software Windows. Pendure ambos os discos rígidos no cabo de dados, que é a interface IDE 0. Defina o disco rígido original como disco mestre e o disco rígido pequeno como disco escravo. Se você deseja inicializar a partir do disco rígido original, defina a sequência de inicialização no CMOS para “C, D, CDROM” ou “IDE0 (HDD-0)”. Desta forma, ao iniciar o computador, ele entra na interface do Windows. Se você quiser inicializar a partir de um disco rígido pequeno, altere a sequência de inicialização para "D, C, CDROM" ou "IDE1 (HDD-1)". Normalmente, os dois sistemas operacionais não conseguem acessar um ao outro.
7. Evite a detecção de rede:
A tecnologia Sniffer é amplamente utilizada na manutenção e gerenciamento de redes. Ela funciona como um sonar passivo, recebendo silenciosamente diversas informações da rede. Por meio da análise desses dados, os administradores de rede podem obter uma compreensão aprofundada da saúde atual da rede. para identificar vulnerabilidades na rede. Hoje, quando a segurança da rede atrai cada vez mais atenção, não devemos apenas usar os farejadores corretamente, mas também prevenir razoavelmente os danos dos farejadores que podem causar grandes riscos à segurança, principalmente porque não são fáceis de serem descobertos. Para uma empresa com requisitos rígidos de segurança, é necessário usar uma topologia segura, criptografia de sessão e endereços ARP estáticos.
8. Gerenciamento completo de logs
Os arquivos de log registram o status de execução do seu sistema para você em todos os momentos. Quando os hackers chegam, eles não conseguem escapar dos olhos das toras. Portanto, os hackers costumam modificar os arquivos de log durante os ataques para ocultar seus rastros. Portanto, precisamos restringir o acesso ao arquivo /var/log e proibir usuários com permissões gerais de visualizar o arquivo de log.
Use também um servidor de log. É uma boa ideia manter uma cópia das informações de log do cliente, criar um servidor específico para armazenar os arquivos de log e verificar os logs para encontrar problemas. Modifique o arquivo /etc/sysconfig/syslog para aceitar o registro remoto.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
Você também deve configurar o armazenamento remoto de logs. Modifique o arquivo /etc/syslog.conf para adicionar as configurações do servidor de log e o syslog salvará uma cópia no servidor de log.
/etc/syslog.conf
*.* @log_server_IP
Filtros de log coloridos estão disponíveis. Filtro loco de log colorido, a versão atual é 0.32. Use loco /var/log/messages | more para exibir logs coloridos, marcando claramente a localização da raiz e dos comandos anormais nos logs. Isso pode reduzir as omissões humanas ao analisar os logs. Verificações regulares dos registros também são necessárias. O Red Hat Linux fornece a ferramenta logwatch, que verifica automaticamente os logs regularmente e envia e-mails para a caixa de correio do administrador. Você precisa modificar o arquivo /etc/log.d/conf/logwatch.conf e adicionar o endereço de e-mail do administrador após o parâmetro MailTo = root. O Logwatch verificará regularmente os logs e filtrará as informações relacionadas ao login usando root, sudo, telnet, ftp, etc. para auxiliar os administradores na análise da segurança diária. O gerenciamento completo de logs deve incluir a exatidão, validade e legalidade dos dados da rede. A análise dos arquivos de log também pode evitar invasões. Por exemplo, se um usuário tiver 20 registros com falha em algumas horas, é provável que o invasor esteja tentando a senha do usuário.
[Página cortada]
9. Encerre os ataques em andamento
Se você estiver verificando os arquivos de log e encontrar um usuário efetuando login em um host desconhecido e tiver certeza de que esse usuário não possui uma conta nesse host, você poderá estar sob ataque. Primeiro, você precisa bloquear esta conta imediatamente (no arquivo de senha ou arquivo shadow, adicione um Ib ou outros caracteres antes da senha do usuário). Se um invasor já estiver conectado ao sistema, você deverá desconectar fisicamente imediatamente o host da rede. Se possível, você deve verificar ainda mais o histórico desse usuário para ver se outros usuários também foram representados e se o invasor tem permissões de root. Mate todos os processos deste usuário e adicione a máscara de endereço IP deste host ao arquivo hosts.deny.
10. Use ferramentas e software de segurança:
O Linux já possui algumas ferramentas para garantir a segurança do servidor. Como Bastille Linux e Selinux.
Bastille linux é um software muito conveniente para usuários que não estão familiarizados com as configurações de segurança do Linux. O objetivo do bastille linux é construir um ambiente seguro no sistema Linux existente.
Security Enhanced Linux (SELinux) é um projeto de pesquisa e desenvolvimento do Departamento de Segurança dos EUA. Seu objetivo é aprimorar o kernel Linux do código desenvolvido para fornecer medidas de proteção mais fortes para evitar que alguns aplicativos relacionados à segurança façam desvios e mitigem malware. desastre. A segurança dos sistemas Linux comuns depende do kernel, e essa dependência é gerada através de setuid/setgid. No mecanismo de segurança tradicional, alguns problemas de autorização de aplicativos, problemas de configuração ou problemas de execução de processos são expostos, causando problemas de segurança para todo o sistema. Esses problemas existem nos sistemas operacionais atuais devido à sua complexidade e interoperabilidade com outros programas. O SELinux depende exclusivamente do kernel do sistema e das políticas de configuração de segurança. Depois de configurar o sistema corretamente, erros ou configurações inadequadas do aplicativo retornarão erros apenas para o programa do usuário e seus daemons do sistema. A segurança de outros programas de usuário e seus programas em segundo plano ainda pode funcionar normalmente e manter a estrutura do sistema de segurança. Simplificando: nenhum erro de configuração do programa pode causar a falha de todo o sistema. Instalando o SELinux O kernel do SELinux, ferramentas, programas/kits de ferramentas e documentação podem ser baixados do site Enhanced Security Linux. Você deve ter um sistema Linux existente para compilar seu novo kernel para acessar o pacote de patch do sistema inalterado.
11. Use endereços IP reservados:
---- A maneira mais simples de manter a segurança da rede é garantir que os hosts da rede não sejam expostos ao mundo exterior. O método mais básico é isolar-se da rede pública. Contudo, esta estratégia de segurança através do isolamento é inaceitável em muitas situações. Neste momento, a utilização de endereços IP reservados é um método simples e viável, que permite aos utilizadores aceder à Internet garantindo um certo grau de segurança. - RFC 1918 especifica o intervalo de endereços IP que podem ser usados por redes TCP/IP locais. Esses endereços IP não são roteados na Internet, portanto não há necessidade de registrar esses endereços. Ao atribuir endereços IP neste intervalo, o tráfego de rede fica efetivamente restrito à rede local. Esta é uma forma rápida e eficaz de negar acesso a computadores externos e, ao mesmo tempo, permitir a interconexão de computadores internos. Intervalo de endereços IP de reserva:
---- 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
O tráfego de rede de um endereço IP reservado não passa por um roteador de Internet, portanto, qualquer computador atribuído a um endereço IP reservado não pode ser acessado de fora da rede. No entanto, esta abordagem também não permite que os utilizadores acedam a redes externas. O mascaramento de IP pode resolver esse problema.
[Página cortada]
12. Escolha uma distribuição Linux de maneira razoável:
Para a versão Linux usada pelo servidor, não use a versão mais recente nem escolha uma versão muito antiga. Deve ser usada uma versão mais madura: a última versão lançada do produto anterior, como RHEL 3.0, etc. Afinal, a segurança e a estabilidade estão em primeiro lugar para os servidores.
13. Implante software antivírus Linux
O sistema operacional Linux sempre foi considerado um forte rival do sistema Windows porque não é apenas seguro, estável e de baixo custo, mas também raramente espalha vírus. Mas à medida que mais e mais servidores, estações de trabalho e PCs utilizam software Linux, os criadores de vírus de computador também começam a atacar o sistema. A segurança e o controle de permissões dos sistemas Linux, seja em servidores ou estações de trabalho, são relativamente poderosos. Isso se deve principalmente ao seu excelente design técnico, que não só dificulta o travamento do sistema operacional, mas também dificulta o abuso. Após mais de 20 anos de desenvolvimento e aprimoramento, o Unix tornou-se muito sólido e o Linux basicamente herdou suas vantagens. No Linux, se você não for um superusuário, será difícil que programas que infectam maliciosamente os arquivos do sistema tenham sucesso. Embora programas maliciosos como os vírus Slammer, Blast, Sobig, Mimail e Win32.Xorala não danifiquem o servidor Linux, eles se espalharão para as pessoas que o acessam no computador da plataforma do sistema Windows.
[Página cortada]
Classificação de vírus na plataforma Linux:
1. Vírus de arquivos executáveis: Os vírus de arquivos executáveis referem-se a vírus que podem parasitar arquivos e usá-los como principais alvos de infecção. Não importa qual arma os fabricantes de vírus usem, assembly ou C, é fácil infectar arquivos ELF. Os vírus nesta área incluem Lindose.
2. Vírus Worm (worm): Após o surgimento do worm Morris em 1988, Eugene H. Spafford deu uma definição técnica de worm para distinguir worms de vírus “Os worms de computador podem funcionar de forma independente e podem conter todos os vírus por conta própria. body.” A versão funcional é espalhada para outros computadores. “Na plataforma Linux, os worms são extremamente comuns, como ramen, lion, Slapper, etc., que exploram vulnerabilidades do sistema para se espalhar. e causou enormes perdas.
3. Vírus de script: Atualmente, existem mais vírus escritos em linguagem shell script. Este tipo de vírus é relativamente simples de escrever, mas o seu poder destrutivo é igualmente surpreendente. Sabemos que existem muitos arquivos de script que terminam com .sh no sistema Linux, e um script de shell com apenas dez linhas ou mais pode percorrer todos os arquivos de script em todo o disco rígido para infecção em um curto espaço de tempo.
4. Programa backdoor: Na definição ampla de vírus, o backdoor também foi incluído na categoria de vírus. O backdoor que atua em sistemas Windows, uma arma para invasores, também é extremamente ativo em plataformas Linux. Desde backdoors simples que adicionam contas de superusuário do sistema até carregamento de serviços do sistema, injeção de arquivos de biblioteca compartilhada, kits de ferramentas de rootkit e até módulos de kernel carregáveis (LKM), a tecnologia de backdoor na plataforma Linux é muito madura, altamente oculta e difícil de remover. É um problema extremamente problemático para administradores de sistema Linux.
De modo geral, os vírus de computador representam pouco perigo para os sistemas Linux. No entanto, devido a vários motivos, os sistemas operacionais Linux e Windows frequentemente coexistem em aplicações empresariais para formar redes heterogêneas. Portanto, a estratégia antivírus do Linux é dividida em duas partes:
1. Estratégias de prevenção para o próprio Linux (servidores e computadores que o utilizam como desktop).
A prevenção de vírus de arquivos executáveis, vírus worm e vírus de script pode basicamente ser evitada com a instalação de software de verificação e eliminação de vírus GPL. No lado do servidor, você pode usar o AntiVir (http://www.hbedv.com/), que funciona na linha de comando e consome menos recursos do sistema durante a execução.
Para prevenção de programas backdoor, você pode usar LIDS (http://www.lids.org/) e Chkrootkit (http://www.chkrootkit.org/). LIDS é um patch do kernel Linux e uma ferramenta de administrador de sistema (lidsadm). o que fortalece o kernel do Linus. Arquivos importantes no diretório dev/ podem ser protegidos. O Chkrootkit pode detectar logs e arquivos do sistema para ver se algum programa malicioso invadiu o sistema e procurar sinais associados a diferentes programas maliciosos. A versão mais recente do Chkrootkit0.45 pode detectar 59 tipos de farejadores, cavalos de Tróia, worms, rootkits, etc.
2. Estratégias de prevenção de vírus para sistemas Windows usando backends de servidor Linux.
Muitas empresas usam servidores proxy para acessar a Internet. Muitos usuários do Windows são infectados por vírus ao navegar em páginas HTTP e baixar arquivos. Portanto, você pode adicionar um filtro de vírus ao servidor proxy para detectar vírus nas páginas HTTP navegadas pelos usuários. Se for descoberto que um usuário está infectado por um vírus enquanto navega na web, o servidor proxy irá bloqueá-lo, descartar solicitações que contenham vírus, bloquear processos inseguros no servidor proxy e proibir que dados contendo vírus se espalhem para o computador cliente . O Squid é um excelente software de servidor proxy, mas não possui uma função dedicada de filtragem de vírus. Você pode considerar o uso de um servidor proxy de filtragem de vírus baseado em Linux desenvolvido por entusiastas alemães de código aberto - HAVP (http://www.server-side.de/). O software de servidor proxy de filtragem de vírus HAVP pode ser usado independentemente ou em série com o Squid para aprimorar a função de filtragem de vírus do servidor proxy Squid.
Fornecer serviços de e-mail é uma aplicação importante em servidores Linux. Você pode usar o ClamAV (http://www.clamwin.com/). O nome completo do ClamAV é Clam AntiVirus. Assim como o Liunx, ele enfatiza os conceitos de código de programa aberto e licenciamento gratuito. worms, programas cavalos de Tróia e atualizam o banco de dados a qualquer momento. Existe um grupo de especialistas em vírus distribuídos por todo o mundo que atualiza e mantém o banco de dados de vírus 24 horas por dia. Qualquer pessoa que encontrar um vírus suspeito pode contatá-los a qualquer momento. e atualize o código do vírus imediatamente Em poucos dias, os servidores de e-mail que usam o ClamAV na rede concluíram as ações de proteção mais recentes.
[Página cortada]
14. Fortaleça a segurança de login
Ao modificar o arquivo /etc/login.defs, você pode adicionar configurações como atraso de erro de login, registro, limite de comprimento da senha de login e limite de expiração.
/etc/login.defs #A senha de login é válida por 90 dias
PASS_MAX_DAYS 90 #O tempo mínimo de modificação da senha de login para evitar que usuários ilegais a alterem várias vezes em um curto período de tempo
PASS_MIN_DAYS 0 #O comprimento mínimo da senha de login é de 8 caracteres
PASS_MIN_LEN 8 #Prompt para alterar a senha de login com 7 dias de antecedência quando ela expirar
PASS_WARN_AGE 7 #Tempo de espera 10 segundos quando ocorre erro de login
FAIL_DELAY 10 #Erro de login registrado no log
FAILLOG_ENAB sim #Use ao restringir superusuários para gerenciar logs
SYSLOG_SU_ENAB sim #Usar ao limitar logs de gerenciamento de grupo de superusuários
SYSLOG_SG_ENAB sim #Use ao usar md5 como método de criptografia de senha
15. Use OPENSSH em vez de FTP e Telnet
Os programas de transmissão de rede que normalmente usamos, como FTP e Telnet, são inerentemente inseguros porque transmitem senhas e dados em texto simples na rede. É muito fácil para os hackers interceptarem essas senhas e dados usando sniffers. O nome completo em inglês do SSH é Secure SHell. Ao usar SSH, os usuários podem criptografar todos os dados transmitidos, de modo que mesmo que um hacker na rede possa sequestrar os dados transmitidos pelo usuário, se não puderem ser descriptografados, não representarão uma ameaça real à transmissão de dados. Além disso, os dados transmitidos são compactados, para que a velocidade de transmissão possa ser acelerada. O SSH tem muitas funções. Ele pode não apenas substituir o Telnet, mas também fornecer um "canal de transmissão" seguro para FTP. Em um ambiente de comunicação de rede inseguro, fornece um mecanismo de autenticação forte e um ambiente de comunicação muito seguro. O SSH (Secure Shell) foi originalmente desenvolvido por uma empresa na Finlândia, mas devido a restrições de direitos autorais e algoritmos de criptografia, muitas pessoas recorreram ao software alternativo gratuito OpenSSH. Usar OPENSSH na linha de comando é problemático. Aqui apresentamos gFTP e OPENSSH integrados para fornecer uma solução gráfica de transmissão criptografada. O gFTP é muito fácil de usar como o CuteFtp no Windows, e quase todas as distribuições Linux vêm com o gFTP, que pode ser usado sem instalação. Existem muitos softwares clientes que suportam SSH no Windows, e Putty e Filezilla são recomendados.
16. Faça backup de arquivos importantes
Muitos Trojans, worms e backdoors se escondem substituindo arquivos importantes. É um bom hábito fazer backup dos comandos mais importantes e comumente usados. Prepare um conjunto de mídias somente leitura, CDs ou unidades flash USB, ou até mesmo baixe-os online. Resumindo, use comandos originais quando necessário, em vez de comandos que podem estar infectados no sistema. Os itens a serem observados sobre o backup são os seguintes:
/bin/su
/bin/ps
/bin/rpm
/usr/bin/topo
/sbin/ifconfig
/bin/montar
17. Problemas de correção
Você deve sempre ir à página inicial do editor do sistema que está instalando para procurar os patches mais recentes. O sistema operacional é a alma do sistema computacional, mantendo a camada inferior do sistema e gerenciando e agendando subsistemas como memória e processos. Se houver vulnerabilidade no próprio sistema operacional, o impacto será fatal. O kernel do sistema operacional é crucial para a segurança da rede. Atualmente, a manutenção do kernel é dividida principalmente em dois modos: para sistemas operacionais privados, como Windows/Solaris, etc., uma vez que usuários individuais não podem acessar diretamente seu código-fonte, seu código é mantido por desenvolvedores internos da empresa e sua segurança é garantida pela mesma equipe. As correções do kernel são lançadas em pacotes de patch/SP, assim como outros aplicativos. Para um sistema aberto como o Linux, é uma estrutura aberta. Deve-se dizer que o modelo aberto é uma faca de dois gumes. Falando mecanicamente, desenvolvedores de todo o mundo podem obter o código-fonte e descobrir as lacunas nele. Parece que a segurança deveria ser melhor, mas ao mesmo tempo, se os gerentes de rede não conseguirem atualizar o kernel a tempo, os riscos de segurança também serão; esquerda. Além disso, existem muitos fatores que afetam a segurança do sistema operacional. Do nível de compilação ao nível de uso do usuário, etc., todos afetarão a segurança do sistema. Os problemas de segurança não podem ser resolvidos fundamentalmente simplesmente abrindo ou fechando o código-fonte. Se você é um administrador de rede Linux, muitas vezes precisa ir ao site correspondente para ver se há patches, correções de bugs e se atualizações são necessárias. Não se arrisque, caso contrário um script Shell pode derrubar seu site. Parafraseando um ditado famoso: seu servidor sempre pode ser controlado por hackers no dia seguinte.
O software executado no servidor Linux inclui principalmente: Samba, FTP, Telnet, Ssh, Mysql, Php, Apache, Mozilla, etc. A maioria desses softwares são softwares de código aberto e são constantemente atualizados, com versões estáveis e versões beta aparecendo alternadamente. Em www.samba.org e www.apache.org, o ChangeLog mais recente diz: correção de bug, correção de bug de segurança. Portanto, os administradores de rede Linux devem sempre prestar atenção às correções de bugs e atualizações de sites relevantes, e atualizar ou adicionar patches em tempo hábil.
Resumir:
Assim como não existe escudo inquebrável, nenhum sistema é completamente seguro. Da mesma forma, na área de segurança, ninguém pode dizer que é um mestre. A segurança do sistema é alcançada através do suor e da sabedoria de muitos antecessores.
[Página cortada]Um ataque potencial tentará primeiro um buffer overflow. Nos últimos anos, as vulnerabilidades de segurança do tipo buffer overflow tornaram-se a forma mais comum. O que é mais sério é que as vulnerabilidades de buffer overflow são responsáveis pela grande maioria dos ataques remotos à rede. Esse tipo de ataque pode facilmente dar a um usuário anônimo da Internet a oportunidade de obter controle parcial ou total de um host.
Para evitar tais ataques, devemos prestar atenção ao instalar o sistema. Se você usar a partição raiz para registrar dados, como arquivos de log, um grande número de logs ou spam poderá ser gerado devido à negação de serviço, causando falha no sistema. Portanto, é recomendado criar uma partição separada para /var para armazenar logs e e-mails para evitar que a partição raiz transborde. É melhor criar uma partição separada para aplicativos especiais, especialmente programas que podem gerar uma grande quantidade de logs. Também é recomendado criar uma partição separada para /home para que eles não possam preencher a partição /, evitando assim alguma partição Linux. transborda.
Muitos usuários de desktop Linux costumam usar sistemas duplos Windows e Linux. É melhor usar discos rígidos duplos. O método é o seguinte: primeiro remova o cabo de dados do disco rígido principal, encontre um disco rígido de cerca de 10 GB e pendure-o no computador, defina o disco rígido pequeno como disco escravo e instale a versão do servidor Linux de acordo com o operações normais, exceto que o programa de inicialização é colocado no MBR, não há outra diferença. Depois que a instalação for concluída e a depuração sair da área de trabalho, desligue o computador. Remova o cabo de dados do disco rígido pequeno, instale o disco rígido original e defina-o como disco principal (isso é para que o disco rígido original e o disco rígido pequeno sejam conectados ao mesmo cabo de dados ao mesmo tempo), e instale o software Windows. Pendure ambos os discos rígidos no cabo de dados, que é a interface IDE 0. Defina o disco rígido original como disco mestre e o disco rígido pequeno como disco escravo. Se você deseja inicializar a partir do disco rígido original, defina a sequência de inicialização no CMOS para “C, D, CDROM” ou “IDE0 (HDD-0)”. Desta forma, ao iniciar o computador, ele entra na interface do Windows. Se você quiser inicializar a partir de um disco rígido pequeno, altere a sequência de inicialização para "D, C, CDROM" ou "IDE1 (HDD-1)". Normalmente, os dois sistemas operacionais não conseguem acessar um ao outro.
7. Evite a detecção de rede:
A tecnologia Sniffer é amplamente utilizada na manutenção e gerenciamento de redes. Ela funciona como um sonar passivo, recebendo silenciosamente diversas informações da rede. Por meio da análise desses dados, os administradores de rede podem obter uma compreensão aprofundada da saúde atual da rede. para identificar vulnerabilidades na rede. Hoje, quando a segurança da rede atrai cada vez mais atenção, não devemos apenas usar os farejadores corretamente, mas também prevenir razoavelmente os danos dos farejadores que podem causar grandes riscos à segurança, principalmente porque não são fáceis de serem descobertos. Para uma empresa com requisitos rígidos de segurança, é necessário usar uma topologia segura, criptografia de sessão e endereços ARP estáticos.
8. Gerenciamento completo de logs
Os arquivos de log registram o status de execução do seu sistema para você em todos os momentos. Quando os hackers chegam, eles não conseguem escapar dos olhos das toras. Portanto, os hackers costumam modificar os arquivos de log durante os ataques para ocultar seus rastros. Portanto, precisamos restringir o acesso ao arquivo /var/log e proibir usuários com permissões gerais de visualizar o arquivo de log.
Use também um servidor de log. É uma boa ideia manter uma cópia das informações de log do cliente, criar um servidor específico para armazenar os arquivos de log e verificar os logs para encontrar problemas. Modifique o arquivo /etc/sysconfig/syslog para aceitar o registro remoto.
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-mr 0"
Você também deve configurar o armazenamento remoto de logs. Modifique o arquivo /etc/syslog.conf para adicionar as configurações do servidor de log e o syslog salvará uma cópia no servidor de log.
/etc/syslog.conf
*.* @log_server_IP
Filtros de log coloridos estão disponíveis. Filtro loco de log colorido, a versão atual é 0.32. Use loco /var/log/messages | more para exibir logs coloridos, marcando claramente a localização da raiz e dos comandos anormais nos logs. Isso pode reduzir as omissões humanas ao analisar os logs. Verificações regulares dos registros também são necessárias. O Red Hat Linux fornece a ferramenta logwatch, que verifica automaticamente os logs regularmente e envia e-mails para a caixa de correio do administrador. Você precisa modificar o arquivo /etc/log.d/conf/logwatch.conf e adicionar o endereço de e-mail do administrador após o parâmetro MailTo = root. O Logwatch verificará regularmente os logs e filtrará as informações relacionadas ao login usando root, sudo, telnet, ftp, etc. para auxiliar os administradores na análise da segurança diária. O gerenciamento completo de logs deve incluir a exatidão, validade e legalidade dos dados da rede. A análise dos arquivos de log também pode impedir invasões. Por exemplo, se um usuário tiver 20 registros de registro com falha em poucas horas, é provável que o intruso esteja tentando a senha do usuário.