อย่างที่เราทราบกันดีว่า Linux มีข้อได้เปรียบเหนือ Windows มากกว่าในแง่ของความปลอดภัย อย่างไรก็ตาม ไม่ว่าคุณจะเลือก Linux รุ่นใด คุณควรกำหนดค่าที่จำเป็นบางอย่างหลังจากการติดตั้งเสร็จสิ้นเพื่อเพิ่มความปลอดภัย ต่อไปนี้เป็นขั้นตอนบางส่วนในการเสริมความแข็งแกร่งให้กับเซิร์ฟเวอร์ Linux ปัจจุบัน ผู้ใช้ขนาดเล็กและขนาดกลางจำนวนมากอัปเดตหรืออัปเกรดเครือข่ายอย่างต่อเนื่องเนื่องจากการพัฒนาทางธุรกิจ ส่งผลให้เกิดความแตกต่างอย่างมากในสภาพแวดล้อมผู้ใช้ของตนเอง แพลตฟอร์มระบบเครือข่ายทั้งหมดไม่สม่ำเสมอ ส่วนใหญ่ใช้ Linux และ Unix บนฝั่งเซิร์ฟเวอร์ และ Windows และ Mac บนฝั่งพีซี ดังนั้นในแอปพลิเคชันระดับองค์กร ระบบปฏิบัติการ Linux, Unix และ Windows มักจะอยู่ร่วมกันเพื่อสร้างเครือข่ายที่ต่างกัน
1. ติดตั้งและกำหนดค่าไฟร์วอลล์
ไฟร์วอลล์ที่ได้รับการกำหนดค่าอย่างเหมาะสมไม่เพียงแต่เป็นแนวป้องกันด่านแรกสำหรับระบบในการตอบสนองต่อการโจมตีภายนอกอย่างมีประสิทธิภาพ แต่ยังเป็นแนวป้องกันที่สำคัญที่สุดอีกด้วย ก่อนที่ระบบใหม่จะเชื่อมต่ออินเทอร์เน็ตเป็นครั้งแรก ควรติดตั้งและกำหนดค่าไฟร์วอลล์ การกำหนดค่าไฟร์วอลล์เพื่อปฏิเสธการรับแพ็กเก็ตข้อมูลทั้งหมด จากนั้นเปิดใช้งานการรับแพ็กเก็ตข้อมูลจะเป็นประโยชน์ต่อความปลอดภัยของระบบ Linux มีเครื่องมือไฟร์วอลล์ที่ยอดเยี่ยมมาให้เรา ซึ่งได้แก่ netfilter/iptables (http://www.netfilter.org/) ใช้งานได้ฟรีโดยสมบูรณ์และทำงานได้ดีบนเครื่องเก่าที่มีสเปคต่ำ สำหรับวิธีการตั้งค่าไฟร์วอลล์เฉพาะ โปรดดูการใช้งาน iptables
2. ปิดบริการและพอร์ตที่ไม่มีประโยชน์
การเชื่อมต่อเครือข่ายใดๆ จะทำผ่านพอร์ตแอปพลิเคชันที่เปิดอยู่ หากเราเปิดพอร์ตน้อยที่สุดเท่าที่จะเป็นไปได้ เราก็จะทำให้การโจมตีเครือข่ายเป็นแบบพาสซีฟ ซึ่งจะช่วยลดโอกาสสำเร็จของผู้โจมตีได้อย่างมาก การใช้ Linux เป็นเซิร์ฟเวอร์เฉพาะถือเป็นการเคลื่อนไหวที่ชาญฉลาด ตัวอย่างเช่น หากคุณต้องการให้ Linux กลายเป็นเว็บเซิร์ฟเวอร์ คุณสามารถยกเลิกบริการที่ไม่จำเป็นทั้งหมดในระบบและเปิดใช้งานเฉพาะบริการที่จำเป็นเท่านั้น สิ่งนี้สามารถลดแบ็คดอร์ ลดอันตรายที่ซ่อนอยู่ และจัดสรรทรัพยากรระบบอย่างมีเหตุผลเพื่อปรับปรุงประสิทธิภาพของเครื่องโดยรวม ต่อไปนี้คือบริการบางส่วนที่ใช้กันโดยทั่วไป:
1. fingerd (ฟิงเกอร์เซิร์ฟเวอร์) รายงานข้อมูลส่วนบุคคลของผู้ใช้ที่ระบุ รวมถึงชื่อผู้ใช้ ชื่อจริง เชลล์ ไดเร็กทอรี และข้อมูลการติดต่อ จะทำให้ระบบเปิดเผยกิจกรรมการรวบรวมข่าวกรองที่ไม่พึงประสงค์ คุณควรหลีกเลี่ยงการเริ่มบริการนี้
2. บริการ R (rshd, rlogin, rwhod, rexec) มีคำสั่งหลายระดับ สามารถทำงานหรือโต้ตอบกับโฮสต์ระยะไกล และเข้าสู่ระบบในสภาพแวดล้อมเครือข่ายแบบปิดโดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน ซึ่งค่อนข้างสะดวก อย่างไรก็ตาม ปัญหาจะเกิดขึ้นบนเซิร์ฟเวอร์สาธารณะ ซึ่งนำไปสู่ภัยคุกคามด้านความปลอดภัย
3. ลบแพ็คเกจซอฟต์แวร์ที่ไม่ได้ใช้
เมื่อวางแผนระบบ หลักการทั่วไปคือการลบบริการที่ไม่จำเป็นทั้งหมดออก Linux เริ่มต้นคือระบบที่มีประสิทธิภาพซึ่งใช้บริการต่างๆ มากมาย แต่มีบริการมากมายที่ไม่จำเป็นและอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้ง่าย ไฟล์นี้คือ /etc/xinetd.conf ซึ่งระบุบริการที่ /usr/sbin/xinetd จะตรวจสอบ คุณอาจต้องการเพียงหนึ่งในนั้น: ftp และคลาสอื่น ๆ เช่น telnet, shell, login, exec, talk, ntalk , imap, finger, auth ฯลฯ เว้นแต่ว่าคุณต้องการใช้มันจริงๆ ให้ปิดมัน
4. อย่ากำหนดเส้นทางเริ่มต้น
ในโฮสต์ การตั้งค่าเส้นทางเริ่มต้น ซึ่งก็คือ เส้นทางเริ่มต้น ไม่ควรกระทำโดยเด็ดขาด ขอแนะนำให้กำหนดเส้นทางสำหรับแต่ละเครือข่ายย่อยหรือส่วนเครือข่าย มิฉะนั้นเครื่องอื่นอาจเข้าถึงโฮสต์ด้วยวิธีการบางอย่าง
5. การจัดการรหัสผ่าน
โดยทั่วไปความยาวของรหัสผ่านไม่ควรน้อยกว่า 8 ตัวอักษร องค์ประกอบของรหัสผ่านควรประกอบด้วยตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์ที่ไม่สม่ำเสมอ หลีกเลี่ยงการใช้คำหรือวลีภาษาอังกฤษในการตั้งรหัสผ่านอย่างเคร่งครัด และรหัสผ่านของผู้ใช้แต่ละคนควร จะต้องเปลี่ยนนิสัยอย่างสม่ำเสมอ นอกจากนี้ การป้องกันด้วยรหัสผ่านยังเกี่ยวข้องกับการป้องกันไฟล์ /etc/passwd และ /etc/shadow มีเพียงผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึงไฟล์ทั้งสองนี้ การติดตั้งเครื่องมือกรองรหัสผ่านและการเพิ่ม npasswd สามารถช่วยให้คุณตรวจสอบว่ารหัสผ่านของคุณสามารถต้านทานการโจมตีได้หรือไม่ หากคุณไม่เคยติดตั้งเครื่องมือดังกล่าวมาก่อน ขอแนะนำให้คุณติดตั้งทันที หากคุณเป็นผู้ดูแลระบบและไม่มีเครื่องมือกรองรหัสผ่านติดตั้งอยู่ในระบบของคุณ โปรดตรวจสอบทันทีว่ารหัสผ่านของผู้ใช้ทั้งหมดสามารถค้นหาได้อย่างละเอียดถี่ถ้วนหรือไม่ กล่าวคือ ทำการค้นหาโจมตีไฟล์ /ect/passwd ของคุณอย่างละเอียดถี่ถ้วน การใช้คำเป็นรหัสผ่านไม่สามารถต้านทานการโจมตีแบบดุร้ายได้ แฮกเกอร์มักใช้คำทั่วไปในการถอดรหัสรหัสผ่าน แฮกเกอร์ชาวอเมริกันเคยกล่าวไว้ว่าเพียงใช้คำว่า "รหัสผ่าน" ก็สามารถเปิดคอมพิวเตอร์ส่วนใหญ่ในสหรัฐอเมริกาได้ คำอื่นๆ ที่ใช้กันทั่วไป ได้แก่: บัญชี, ald, อัลฟ่า, เบต้า, คอมพิวเตอร์, ตาย, สาธิต, ดอลลาร์, เกม, bod, สวัสดี, ช่วยด้วย, คำนำ, ฆ่า, รัก, ไม่, โอเค, โอเค, ได้โปรด, เพศ, ความลับ, superuser , ระบบ ทดสอบ ทำงาน ใช่ ฯลฯ การตั้งค่ารหัสผ่านและหลักการ:
1. ยาวพอ เพียงเลื่อนนิ้วของคุณเพื่อเพิ่มรหัสผ่านหนึ่งหลักซึ่งสามารถเพิ่มความพยายามของผู้โจมตีได้สิบเท่า
2. ห้ามใช้คำที่สมบูรณ์ ใส่ตัวเลข เครื่องหมายวรรคตอน ตัวอักษรพิเศษ ฯลฯ ให้มากที่สุด
3. ผสมอักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก
4. ทบทวนบ่อยๆ
6.การจัดการพาร์ทิชัน
[ตัดหน้า]
การโจมตีที่อาจเกิดขึ้นจะพยายามทำให้บัฟเฟอร์ล้นก่อน ในช่วงไม่กี่ปีที่ผ่านมา ช่องโหว่ด้านความปลอดภัยประเภทบัฟเฟอร์ล้นได้กลายเป็นรูปแบบที่พบบ่อยที่สุด ที่ร้ายแรงกว่านั้นคือช่องโหว่บัฟเฟอร์ล้นเป็นสาเหตุของการโจมตีเครือข่ายระยะไกลส่วนใหญ่ การโจมตีประเภทนี้สามารถให้โอกาสผู้ใช้อินเทอร์เน็ตที่ไม่ระบุชื่อได้รับการควบคุมโฮสต์บางส่วนหรือทั้งหมดได้อย่างง่ายดาย!
เพื่อป้องกันการโจมตีดังกล่าว เราควรให้ความสนใจเมื่อทำการติดตั้งระบบ หากคุณใช้พาร์ติชันรากเพื่อบันทึกข้อมูล เช่น ไฟล์บันทึก บันทึกหรือสแปมจำนวนมากอาจถูกสร้างขึ้นเนื่องจากการปฏิเสธการให้บริการ ส่งผลให้ระบบหยุดทำงาน ดังนั้นจึงขอแนะนำให้สร้างพาร์ติชันแยกต่างหากสำหรับ /var เพื่อจัดเก็บบันทึกและอีเมลเพื่อป้องกันไม่ให้พาร์ติชันรากล้น วิธีที่ดีที่สุดคือสร้างพาร์ติชันแยกต่างหากสำหรับแอปพลิเคชันพิเศษ โดยเฉพาะโปรแกรมที่สามารถสร้างบันทึกจำนวนมาก ขอแนะนำให้สร้างพาร์ติชันแยกต่างหากสำหรับ /home เพื่อไม่ให้พาร์ติชันเต็ม / พาร์ติชัน ดังนั้นจึงหลีกเลี่ยงพาร์ติชัน Linux บางส่วน การโจมตีที่เป็นอันตรายล้น
ผู้ใช้เดสก์ท็อป Linux จำนวนมากมักใช้ระบบคู่ของ Windows และ Linux เป็นการดีที่สุดที่จะใช้ฮาร์ดไดรฟ์คู่ วิธีการดังต่อไปนี้: ขั้นแรกให้ถอดสายข้อมูลของฮาร์ดดิสก์หลักออก ค้นหาฮาร์ดดิสก์ขนาดประมาณ 10GB แล้ววางลงบนคอมพิวเตอร์ ตั้งค่าฮาร์ดดิสก์ขนาดเล็กเป็นดิสก์ทาส และติดตั้งเวอร์ชันเซิร์ฟเวอร์ Linux ตาม การดำเนินการตามปกติ ยกเว้นว่าโปรแกรมบูตเริ่มต้นถูกวางไว้ใน MBR ไม่มีความแตกต่างอื่นใด หลังจากการติดตั้งเสร็จสมบูรณ์และการดีบักออกมาจากเดสก์ท็อป ให้ปิดเครื่องคอมพิวเตอร์ ถอดสายเคเบิลข้อมูลของฮาร์ดดิสก์ขนาดเล็ก ติดตั้งฮาร์ดดิสก์เดิม และตั้งค่าเป็นดิสก์หลัก (เพื่อให้ฮาร์ดดิสก์เดิมและฮาร์ดดิสก์ขนาดเล็กเชื่อมต่อกับสายเคเบิลข้อมูลเดียวกันในเวลาเดียวกัน) แล้วติดตั้งซอฟต์แวร์ Windows วางฮาร์ดดิสก์ทั้งสองไว้บนสายเคเบิลข้อมูลซึ่งเป็นอินเทอร์เฟซ IDE 0 ตั้งค่าฮาร์ดดิสก์เดิมเป็นดิสก์หลักและฮาร์ดดิสก์ขนาดเล็กเป็นดิสก์ทาส หากคุณต้องการบู๊ตจากฮาร์ดดิสก์ตัวเดิม ให้ตั้งค่าลำดับการบู๊ตใน CMOS เป็น "C, D, CDROM" หรือ "IDE0 (HDD-0)" ด้วยวิธีนี้ เมื่อคอมพิวเตอร์เริ่มทำงาน คอมพิวเตอร์จะเข้าสู่อินเทอร์เฟซ Windows หากคุณต้องการบูตจากฮาร์ดดิสก์ขนาดเล็ก ให้เปลี่ยนลำดับการบูตเป็น "D, C, CDROM" หรือ "IDE1 (HDD-1)" หลังจากบูต คุณจะเข้าสู่อินเทอร์เฟซ Linux โดยปกติแล้วระบบปฏิบัติการทั้งสองจะไม่สามารถเข้าถึงได้ซึ่งกันและกัน
7. ป้องกันการดักฟังเครือข่าย:
เทคโนโลยี Sniffer ถูกนำมาใช้กันอย่างแพร่หลายในการบำรุงรักษาและการจัดการเครือข่าย โดยทำงานเหมือนกับโซนาร์แบบพาสซีฟ โดยได้รับข้อมูลต่างๆ จากเครือข่ายอย่างเงียบๆ ผ่านการวิเคราะห์ข้อมูลเหล่านี้ ผู้ดูแลระบบเครือข่ายสามารถทำความเข้าใจเชิงลึกเกี่ยวกับความสมบูรณ์ของเครือข่ายในปัจจุบันได้ตามลำดับ เพื่อระบุช่องโหว่ในเครือข่าย ทุกวันนี้ เมื่อความปลอดภัยของเครือข่ายดึงดูดความสนใจมากขึ้นเรื่อยๆ เราไม่เพียงแต่จะต้องใช้การดมกลิ่นอย่างถูกต้องเท่านั้น แต่ยังต้องป้องกันอันตรายจากการดมกลิ่นอย่างสมเหตุสมผลอีกด้วย สาเหตุหลักมาจากการที่พวกมันไม่ง่ายที่จะค้นพบ สำหรับองค์กรที่มีข้อกำหนดด้านความปลอดภัยที่เข้มงวด จำเป็นต้องใช้โทโพโลยีที่ปลอดภัย การเข้ารหัสเซสชัน และที่อยู่ ARP แบบคงที่
8. การจัดการบันทึกที่สมบูรณ์
ไฟล์บันทึกจะบันทึกสถานะการทำงานของระบบของคุณให้คุณตลอดเวลา เมื่อแฮกเกอร์เข้ามา พวกเขาไม่สามารถรอดสายตาของท่อนไม้ได้ ดังนั้นแฮกเกอร์จึงมักจะแก้ไขไฟล์บันทึกระหว่างการโจมตีเพื่อซ่อนร่องรอยของพวกเขา ดังนั้นเราจึงจำเป็นต้องจำกัดการเข้าถึงไฟล์ /var/log และห้ามไม่ให้ผู้ใช้ที่มีสิทธิ์ทั่วไปดูไฟล์บันทึกได้
ใช้เซิร์ฟเวอร์บันทึกด้วย เป็นความคิดที่ดีที่จะเก็บสำเนาข้อมูลบันทึกของไคลเอ็นต์ สร้างเซิร์ฟเวอร์โดยเฉพาะเพื่อจัดเก็บไฟล์บันทึก และตรวจสอบบันทึกเพื่อค้นหาปัญหา แก้ไขไฟล์ /etc/sysconfig/syslog เพื่อยอมรับการบันทึกแบบรีโมต
/etc/sysconfig/syslog.php
SYSLOGD_OPTIONS="-นาย 0"
คุณควรตั้งค่าการจัดเก็บบันทึกระยะไกลด้วย แก้ไขไฟล์ /etc/syslog.conf เพื่อเพิ่มการตั้งค่าเซิร์ฟเวอร์บันทึก จากนั้น syslog จะบันทึกสำเนาบนเซิร์ฟเวอร์บันทึก
/etc/syslog.conf
*.* @log_server_IP
มีตัวกรองบันทึกสีให้เลือก ฟิลเตอร์บันทึกสี เวอร์ชันปัจจุบันคือ 0.32 ใช้ loco /var/log/messages | เพื่อแสดงบันทึกที่มีสี ระบุตำแหน่งของรูทและคำสั่งที่ผิดปกติในบันทึกอย่างชัดเจน วิธีนี้สามารถลดการละเว้นของมนุษย์เมื่อวิเคราะห์บันทึก จำเป็นต้องมีการตรวจสอบบันทึกเป็นประจำ Red Hat Linux มีเครื่องมือ logwatch ซึ่งจะตรวจสอบบันทึกเป็นประจำโดยอัตโนมัติและส่งอีเมลไปยังกล่องจดหมายของผู้ดูแลระบบ คุณต้องแก้ไขไฟล์ /etc/log.d/conf/logwatch.conf และเพิ่มที่อยู่อีเมลของผู้ดูแลระบบหลังพารามิเตอร์ MailTo = root Logwatch จะตรวจสอบบันทึกและกรองข้อมูลที่เกี่ยวข้องกับการเข้าสู่ระบบเป็นประจำโดยใช้รูท, sudo, telnet, ftp ฯลฯ เพื่อช่วยผู้ดูแลระบบในการวิเคราะห์ความปลอดภัยรายวัน การจัดการบันทึกที่สมบูรณ์จะต้องมีความถูกต้อง ความถูกต้อง และความถูกต้องตามกฎหมายของข้อมูลเครือข่าย การวิเคราะห์ไฟล์บันทึกยังสามารถป้องกันการบุกรุกได้อีกด้วย ตัวอย่างเช่น หากผู้ใช้มีบันทึกการลงทะเบียนที่ล้มเหลว 20 รายการภายในไม่กี่ชั่วโมง เป็นไปได้ว่าผู้บุกรุกกำลังลองใช้รหัสผ่านของผู้ใช้
[ตัดหน้า]
9. ยุติการโจมตีที่กำลังดำเนินอยู่
หากคุณกำลังตรวจสอบไฟล์บันทึกและพบผู้ใช้ที่เข้าสู่ระบบจากโฮสต์ที่คุณไม่รู้จัก และคุณแน่ใจว่าผู้ใช้รายนี้ไม่มีบัญชีบนโฮสต์นี้ คุณอาจถูกโจมตีได้ ขั้นแรก คุณต้องล็อคบัญชีนี้ทันที (ในไฟล์รหัสผ่านหรือไฟล์เงา ให้เพิ่ม Ib หรืออักขระอื่นหน้ารหัสผ่านของผู้ใช้) หากผู้โจมตีเชื่อมต่อกับระบบอยู่แล้ว คุณควรตัดการเชื่อมต่อโฮสต์จากเครือข่ายทันที หากเป็นไปได้ คุณควรตรวจสอบประวัติของผู้ใช้รายนี้เพิ่มเติมเพื่อดูว่าผู้ใช้รายอื่นถูกแอบอ้างด้วยหรือไม่ และผู้โจมตีมีสิทธิ์รูทหรือไม่ ฆ่ากระบวนการทั้งหมดของผู้ใช้รายนี้และเพิ่มมาสก์ที่อยู่ IP ของโฮสต์นี้ลงในไฟล์ hosts.deny
10. ใช้เครื่องมือและซอฟต์แวร์รักษาความปลอดภัย:
Linux มีเครื่องมือบางอย่างเพื่อรับรองความปลอดภัยของเซิร์ฟเวอร์อยู่แล้ว เช่น Bastille Linux และ Selinux
Bastille linux เป็นซอฟต์แวร์ที่สะดวกมากสำหรับผู้ใช้ที่ไม่คุ้นเคยกับการตั้งค่าความปลอดภัยของ Linux จุดประสงค์ของ bastille linux คือการสร้างสภาพแวดล้อมที่ปลอดภัยบนระบบ Linux ที่มีอยู่
Security Enhanced Linux (SELinux) เป็นโครงการวิจัยและพัฒนาของกระทรวงความมั่นคงของสหรัฐอเมริกา โดยมีวัตถุประสงค์เพื่อปรับปรุงเคอร์เนล Linux ของโค้ดที่พัฒนาแล้ว เพื่อให้มีมาตรการป้องกันที่แข็งแกร่งยิ่งขึ้น เพื่อป้องกันไม่ให้แอปพลิเคชันที่เกี่ยวข้องกับความปลอดภัยบางตัวหลบเลี่ยงและบรรเทามัลแวร์ ภัยพิบัติ. การรักษาความปลอดภัยของระบบ Linux ทั่วไปขึ้นอยู่กับเคอร์เนล และการขึ้นต่อกันนี้ถูกสร้างขึ้นผ่าน setuid/setgid ภายใต้กลไกการรักษาความปลอดภัยแบบดั้งเดิม ปัญหาการอนุญาตแอปพลิเคชัน ปัญหาการกำหนดค่า หรือปัญหาการทำงานของกระบวนการถูกเปิดเผย ทำให้เกิดปัญหาด้านความปลอดภัยสำหรับทั้งระบบ ปัญหาเหล่านี้มีอยู่ในระบบปฏิบัติการปัจจุบันเนื่องจากความซับซ้อนและความสามารถในการทำงานร่วมกันกับโปรแกรมอื่นๆ SELinux อาศัยเคอร์เนลของระบบและนโยบายการกำหนดค่าความปลอดภัยของระบบเท่านั้น เมื่อคุณกำหนดค่าระบบอย่างถูกต้องแล้ว การกำหนดค่าแอปพลิเคชันที่ไม่เหมาะสมหรือข้อผิดพลาดจะส่งกลับข้อผิดพลาดไปยังโปรแกรมของผู้ใช้และ daemons ระบบเท่านั้น ความปลอดภัยของโปรแกรมผู้ใช้อื่นและโปรแกรมพื้นหลังยังคงสามารถทำงานได้ตามปกติและรักษาโครงสร้างระบบความปลอดภัยไว้ พูดง่ายๆ ก็คือ: ไม่มีข้อผิดพลาดในการกำหนดค่าโปรแกรมใดที่จะทำให้ระบบทั้งหมดเสียหายได้ การติดตั้ง SELinux เคอร์เนล เครื่องมือ โปรแกรม/ชุดเครื่องมือ และเอกสารประกอบของ SELinux สามารถดาวน์โหลดได้จากเว็บไซต์ Enhanced Security Linux คุณต้องมีระบบ Linux ที่มีอยู่เพื่อคอมไพล์เคอร์เนลใหม่ของคุณเพื่อเข้าถึงแพ็คเกจแพตช์ระบบที่ไม่เปลี่ยนแปลง
11. ใช้ที่อยู่ IP ที่สงวนไว้:
---- วิธีที่ง่ายที่สุดในการรักษาความปลอดภัยเครือข่ายคือทำให้แน่ใจว่าโฮสต์ในเครือข่ายจะไม่ถูกเปิดเผยต่อโลกภายนอก วิธีการพื้นฐานที่สุดคือแยกตัวเองออกจากเครือข่ายสาธารณะ อย่างไรก็ตาม กลยุทธ์การรักษาความปลอดภัยแบบแยกส่วนนี้ไม่สามารถยอมรับได้ในหลาย ๆ สถานการณ์ ในขณะนี้ การใช้ที่อยู่ IP ที่สงวนไว้เป็นวิธีที่ง่ายและเป็นไปได้ ซึ่งช่วยให้ผู้ใช้สามารถเข้าถึงอินเทอร์เน็ตพร้อมทั้งรับประกันความปลอดภัยในระดับหนึ่ง - RFC 1918 ระบุช่วงของที่อยู่ IP ที่สามารถใช้ได้โดยเครือข่าย TCP/IP ภายในเครื่อง ที่อยู่ IP เหล่านี้ไม่ได้ถูกกำหนดเส้นทางบนอินเทอร์เน็ต ดังนั้นจึงไม่จำเป็นต้องลงทะเบียนที่อยู่เหล่านี้ ด้วยการกำหนดที่อยู่ IP ในช่วงนี้ การรับส่งข้อมูลเครือข่ายจะถูกจำกัดไว้เฉพาะเครือข่ายท้องถิ่นเท่านั้น นี่เป็นวิธีที่รวดเร็วและมีประสิทธิภาพในการปฏิเสธการเข้าถึงคอมพิวเตอร์ภายนอกในขณะที่อนุญาตให้มีการเชื่อมต่อโครงข่ายของคอมพิวเตอร์ภายใน สำรองช่วงที่อยู่ IP:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
การรับส่งข้อมูลเครือข่ายจากที่อยู่ IP ที่สงวนไว้จะไม่ผ่านเราเตอร์อินเทอร์เน็ต ดังนั้นคอมพิวเตอร์ใดๆ ที่ได้รับมอบหมายที่อยู่ IP ที่สงวนไว้จึงไม่สามารถเข้าถึงได้จากภายนอกเครือข่าย อย่างไรก็ตาม วิธีการนี้ยังไม่อนุญาตให้ผู้ใช้เข้าถึงเครือข่ายภายนอกอีกด้วย การปลอมแปลง IP สามารถแก้ปัญหานี้ได้
[ตัดหน้า]
12. เลือกการกระจาย Linux อย่างสมเหตุสมผล:
สำหรับเวอร์ชัน Linux ที่เซิร์ฟเวอร์ใช้ ห้ามใช้เวอร์ชันล่าสุดหรือเลือกเวอร์ชันที่เก่าเกินไป ควรใช้เวอร์ชันสำหรับผู้ใหญ่กว่านี้: เวอร์ชันล่าสุดที่วางจำหน่ายของผลิตภัณฑ์ก่อนหน้า เช่น RHEL 3.0 เป็นต้น ท้ายที่สุดแล้ว ความปลอดภัยและความเสถียรมาเป็นอันดับแรกสำหรับเซิร์ฟเวอร์
13. ปรับใช้ซอฟต์แวร์ป้องกันไวรัส Linux
ระบบปฏิบัติการ Linux ถือเป็นคู่แข่งที่แข็งแกร่งกับระบบ Windows มาโดยตลอด เพราะไม่เพียงแต่ปลอดภัย เสถียร และราคาถูกเท่านั้น แต่ยังไม่ค่อยพบการแพร่กระจายไวรัสอีกด้วย แต่เนื่องจากเซิร์ฟเวอร์ เวิร์กสเตชัน และพีซีใช้ซอฟต์แวร์ Linux มากขึ้นเรื่อยๆ ผู้สร้างไวรัสคอมพิวเตอร์ก็เริ่มโจมตีระบบเช่นกัน ความปลอดภัยและการควบคุมการอนุญาตของระบบ Linux ไม่ว่าจะบนเซิร์ฟเวอร์หรือเวิร์คสเตชั่นนั้นค่อนข้างมีประสิทธิภาพ สาเหตุหลักมาจากการออกแบบทางเทคนิคที่ยอดเยี่ยม ซึ่งไม่เพียงแต่ทำให้ระบบปฏิบัติการเสียหายได้ยาก แต่ยังทำให้ยากต่อการถูกนำไปใช้ในทางที่ผิดอีกด้วย หลังจากกว่า 20 ปีของการพัฒนาและปรับปรุง Unix ก็มีความแข็งแกร่งมากและ Linux ก็สืบทอดข้อดีของมันมาโดยพื้นฐานแล้ว ใน Linux หากคุณไม่ใช่ผู้ใช้ขั้นสูง มันจะเป็นเรื่องยากสำหรับโปรแกรมที่ติดไวรัสในไฟล์ระบบเพื่อที่จะประสบความสำเร็จ แม้ว่าโปรแกรมที่เป็นอันตรายเช่นไวรัส Slammer, Blast, Sobig, Mimail และ Win32.Xorala จะไม่สร้างความเสียหายให้กับเซิร์ฟเวอร์ Linux แต่จะแพร่กระจายไปยังคอมพิวเตอร์แพลตฟอร์มระบบ Windows
[ตัดหน้า]
การจำแนกไวรัสภายใต้แพลตฟอร์ม Linux:
1. ไวรัสไฟล์ปฏิบัติการ: ไวรัสไฟล์ปฏิบัติการหมายถึงไวรัสที่สามารถแพร่เชื้อในไฟล์และใช้ไฟล์เป็นเป้าหมายการติดไวรัสหลัก ไม่ว่าผู้สร้างไวรัสอาวุธจะใช้ แอสเซมบลี หรือ C ไฟล์ ELF ก็ติดไวรัสได้ง่าย ไวรัสในบริเวณนี้ ได้แก่ ลินโดส
2. เวิร์ม (เวิร์ม) ไวรัส: หลังจากที่เวิร์มมอร์ริสเกิดขึ้นในปี 1988 ยูจีน เอช. สปาฟฟอร์ด ให้คำจำกัดความทางเทคนิคของเวิร์มเพื่อแยกเวิร์มออกจากไวรัส “เวิร์มคอมพิวเตอร์สามารถทำงานได้อย่างเป็นอิสระและสามารถบรรจุไวรัสทั้งหมดไว้ในตัวมันเองได้ เวอร์ชันการทำงานถูกแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ "บนแพลตฟอร์ม Linux เวิร์มจะอาละวาดอย่างมาก เช่น ราเมน สิงโต สแลปเปอร์ ฯลฯ ที่ใช้ประโยชน์จากช่องโหว่ของระบบเพื่อแพร่กระจาย ไวรัสเหล่านี้ได้ติดไวรัสในระบบ Linux จำนวนมาก และทำให้เกิดความสูญเสียครั้งใหญ่
3. ไวรัสสคริปต์: ปัจจุบันมีไวรัสที่เขียนด้วยภาษาเชลล์สคริปต์เพิ่มมากขึ้น ไวรัสประเภทนี้เขียนค่อนข้างง่าย แต่พลังทำลายล้างของมันก็น่าทึ่งไม่แพ้กัน เรารู้ว่ามีไฟล์สคริปต์จำนวนมากที่ลงท้ายด้วย .sh ในระบบ Linux และเชลล์สคริปต์ที่มีความยาวเพียงสิบบรรทัดสามารถสำรวจไฟล์สคริปต์ทั้งหมดในฮาร์ดดิสก์ทั้งหมดเพื่อหาการติดไวรัสได้ในเวลาอันสั้น
4. โปรแกรมแบ็คดอร์: ในคำจำกัดความกว้างๆ ของไวรัส แบ็คดอร์ยังรวมอยู่ในประเภทของไวรัสด้วย แบ็คดอร์ที่ทำงานในระบบ Windows ซึ่งเป็นอาวุธสำหรับผู้บุกรุกก็มีการใช้งานอย่างมากบนแพลตฟอร์ม Linux ตั้งแต่แบ็คดอร์ธรรมดาที่เพิ่มบัญชี superuser ของระบบไปจนถึงการโหลดบริการของระบบ การแทรกไฟล์ไลบรารี่ที่ใช้ร่วมกัน ชุดเครื่องมือรูทคิท และแม้แต่โมดูลเคอร์เนลที่โหลดได้ (LKM) เทคโนโลยีแบ็คดอร์ภายใต้แพลตฟอร์ม Linux นั้นมีความสมบูรณ์มาก มีการปกปิดอย่างมาก และยากต่อการถอดออก เป็นปัญหาที่ยุ่งยากอย่างยิ่งสำหรับผู้ดูแลระบบ Linux
โดยทั่วไปแล้ว ไวรัสคอมพิวเตอร์ก่อให้เกิดอันตรายต่อระบบ Linux เพียงเล็กน้อย อย่างไรก็ตาม ด้วยเหตุผลหลายประการ ระบบปฏิบัติการ Linux และ Windows มักจะอยู่ร่วมกันในแอปพลิเคชันระดับองค์กรเพื่อสร้างเครือข่ายที่ต่างกัน ดังนั้นกลยุทธ์การต่อต้านไวรัสของ Linux จึงแบ่งออกเป็นสองส่วน:
1. กลยุทธ์การป้องกันสำหรับ Linux (เซิร์ฟเวอร์และคอมพิวเตอร์ที่ใช้เป็นเดสก์ท็อป)
การป้องกันไวรัสไฟล์ปฏิบัติการ ไวรัสเวิร์ม และไวรัสสคริปต์ โดยทั่วไปสามารถป้องกันได้โดยการติดตั้งซอฟต์แวร์ตรวจสอบและฆ่าไวรัส GPL ที่ฝั่งเซิร์ฟเวอร์ คุณสามารถใช้ AntiVir (http://www.hbedv.com/) ซึ่งทำงานภายใต้บรรทัดคำสั่งและใช้ทรัพยากรระบบน้อยลงเมื่อทำงาน
สำหรับการป้องกันโปรแกรมลับๆ คุณสามารถใช้ LIDS (http://www.lids.org/) และ Chkrootkit (http://www.chkrootkit.org/) LIDS คือแพทช์เคอร์เนล Linux และเครื่องมือผู้ดูแลระบบ (lidsadm) ซึ่งทำให้เคอร์เนลไลนัสแข็งแรงขึ้น ไฟล์สำคัญในไดเร็กทอรี dev/ สามารถป้องกันได้ Chkrootkit สามารถตรวจจับบันทึกและไฟล์ของระบบเพื่อดูว่ามีโปรแกรมที่เป็นอันตรายบุกรุกระบบหรือไม่ และค้นหาสัญญาณที่เกี่ยวข้องกับโปรแกรมที่เป็นอันตรายต่างๆ Chkrootkit0.45 เวอร์ชันล่าสุดสามารถตรวจจับ 59 ประเภทดมกลิ่น, โทรจัน, เวิร์ม, รูทคิท ฯลฯ
2. กลยุทธ์การป้องกันไวรัสสำหรับระบบ Windows ที่ใช้แบ็กเอนด์เซิร์ฟเวอร์ Linux
บริษัทหลายแห่งใช้พร็อกซีเซิร์ฟเวอร์ในการเข้าถึงอินเทอร์เน็ต ผู้ใช้ Windows จำนวนมากติดไวรัสเมื่อเรียกดูเว็บเพจ HTTP และดาวน์โหลดไฟล์ ดังนั้น คุณสามารถเพิ่มตัวกรองไวรัสลงในพร็อกซีเซิร์ฟเวอร์เพื่อตรวจจับไวรัสบนเว็บเพจ HTTP ที่ผู้ใช้เรียกดูได้ หากพบว่าผู้ใช้ติดไวรัสขณะท่องเว็บ พร็อกซีเซิร์ฟเวอร์จะบล็อกมัน ละทิ้งคำขอที่มีไวรัส บล็อกกระบวนการที่ไม่ปลอดภัยในพร็อกซีเซิร์ฟเวอร์ และห้ามไม่ให้ข้อมูลที่มีไวรัสแพร่กระจายไปยังคอมพิวเตอร์ไคลเอนต์ . Squid เป็นซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ที่ยอดเยี่ยมมาก แต่ไม่มีฟังก์ชันกรองไวรัสโดยเฉพาะ คุณสามารถพิจารณาใช้พร็อกซีเซิร์ฟเวอร์กรองไวรัสบน Linux ที่พัฒนาโดยผู้ที่ชื่นชอบโอเพ่นซอร์สชาวเยอรมัน - HAVP (http://www.server-side.de/) ซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์กรองไวรัส HAVP สามารถใช้แยกกันหรือใช้ร่วมกับ Squid เพื่อปรับปรุงฟังก์ชันการกรองไวรัสของพร็อกซีเซิร์ฟเวอร์ Squid
การให้บริการอีเมลเป็นแอปพลิเคชั่นที่สำคัญในเซิร์ฟเวอร์ Linux คุณสามารถใช้ ClamAV (http://www.clamwin.com/) ชื่อเต็มของ ClamAV คือ Clam AntiVirus เช่นเดียวกับ Liunx ที่เน้นแนวคิดของโค้ดโปรแกรมแบบเปิดและสิทธิ์การใช้งานฟรีในปัจจุบันสามารถตรวจจับไวรัสได้มากกว่า 40,000 ตัวและ เวิร์ม โปรแกรมม้าโทรจันและอัพเดตฐานข้อมูลได้ตลอดเวลา มีกลุ่มผู้เชี่ยวชาญด้านไวรัสกระจายอยู่ทั่วโลกที่คอยอัพเดตและดูแลรักษาฐานข้อมูลไวรัสตลอด 24 ชั่วโมง ใครก็ตามที่พบไวรัสที่น่าสงสัยสามารถติดต่อได้ตลอดเวลา และอัปเดตรหัสไวรัสทันที ภายในเวลาไม่กี่วัน เมลเซิร์ฟเวอร์ที่ใช้ ClamAV บนเครือข่ายก็ดำเนินการป้องกันล่าสุดเสร็จสิ้นแล้ว
[ตัดหน้า]
14. เสริมสร้างความปลอดภัยในการเข้าสู่ระบบ
โดยการแก้ไขไฟล์ /etc/login.defs คุณสามารถเพิ่มการตั้งค่า เช่น การหน่วงเวลาข้อผิดพลาดในการเข้าสู่ระบบ การบันทึก การจำกัดความยาวรหัสผ่านในการเข้าสู่ระบบ และขีดจำกัดการหมดอายุ
/etc/login.defs #รหัสผ่านเข้าสู่ระบบมีอายุ 90 วัน
PASS_MAX_DAYS 90 # เวลาขั้นต่ำในการแก้ไขรหัสผ่านเข้าสู่ระบบเพื่อป้องกันไม่ให้ผู้ใช้ที่ผิดกฎหมายเปลี่ยนหลายครั้งในช่วงเวลาสั้น ๆ
PASS_MIN_DAYS 0 #ความยาวขั้นต่ำของรหัสผ่านเข้าสู่ระบบคือ 8 ตัวอักษร
PASS_MIN_LEN 8 #แจ้งให้เปลี่ยนรหัสผ่านเข้าสู่ระบบล่วงหน้า 7 วันเมื่อรหัสผ่านหมดอายุ
PASS_WARN_AGE 7 #เวลารอ 10 วินาทีเมื่อเกิดข้อผิดพลาดในการเข้าสู่ระบบ
FAIL_DELAY 10 #ข้อผิดพลาดในการเข้าสู่ระบบถูกบันทึกเพื่อเข้าสู่ระบบ
FAILLOG_ENAB ใช่ #ใช้เมื่อจำกัดผู้ใช้ขั้นสูงในการจัดการบันทึก
SYSLOG_SU_ENAB ใช่ #ใช้เมื่อจำกัดบันทึกการจัดการกลุ่มผู้ใช้ขั้นสูง
SYSLOG_SG_ENAB ใช่ #ใช้เมื่อใช้ md5 เป็นวิธีการเข้ารหัสรหัสผ่าน
15. ใช้ OPENSSH แทน FTP และ Telnet
โปรแกรมส่งสัญญาณเครือข่ายที่เรามักใช้ เช่น FTP และ Telnet นั้นไม่ปลอดภัยโดยธรรมชาติ เนื่องจากโปรแกรมเหล่านี้ส่งรหัสผ่านและข้อมูลในรูปแบบข้อความธรรมดาบนเครือข่าย เป็นเรื่องง่ายมากสำหรับแฮกเกอร์ที่จะสกัดกั้นรหัสผ่านและข้อมูลเหล่านี้โดยใช้เครื่องมือดมกลิ่น ชื่อภาษาอังกฤษเต็มของ SSH คือ Secure SHell ด้วยการใช้ SSH ผู้ใช้สามารถเข้ารหัสข้อมูลที่ส่งทั้งหมด ดังนั้นแม้ว่าแฮกเกอร์บนเครือข่ายจะสามารถขโมยข้อมูลที่ส่งโดยผู้ใช้ได้ หากไม่สามารถถอดรหัสได้ ก็จะไม่ก่อให้เกิดภัยคุกคามที่แท้จริงต่อการส่งข้อมูล นอกจากนี้ข้อมูลที่ส่งจะถูกบีบอัด จึงสามารถเร่งความเร็วในการส่งได้ SSH มีฟังก์ชันมากมาย ไม่เพียงแต่สามารถแทนที่ Telnet เท่านั้น แต่ยังให้ "ช่องทางการส่งข้อมูล" ที่ปลอดภัยสำหรับ FTP อีกด้วย ในสภาพแวดล้อมการสื่อสารเครือข่ายที่ไม่ปลอดภัย จะมีกลไกการตรวจสอบสิทธิ์ที่แข็งแกร่งและสภาพแวดล้อมการสื่อสารที่ปลอดภัยมาก SSH (Secure Shell) เดิมได้รับการพัฒนาโดยบริษัทในประเทศฟินแลนด์ แต่เนื่องจากข้อจำกัดด้านลิขสิทธิ์และอัลกอริธึมการเข้ารหัส ผู้คนจำนวนมากจึงหันมาใช้ซอฟต์แวร์ทางเลือกฟรี OpenSSH การใช้ OPENSSH จากบรรทัดคำสั่งนั้นยุ่งยาก ที่นี่เราขอแนะนำ gFTP และ OPENSSH ที่ผสานรวมเข้าด้วยกันเพื่อมอบโซลูชันการรับส่งข้อมูลที่เข้ารหัสแบบกราฟิก gFTP นั้นใช้งานง่ายมากเหมือนกับ CuteFtp ใน Windows และ Linux เกือบทั้งหมดมาพร้อมกับ gFTP ซึ่งสามารถใช้งานได้โดยไม่ต้องติดตั้ง มีซอฟต์แวร์ไคลเอนต์จำนวนมากที่รองรับ SSH บน Windows และแนะนำให้ใช้ Putty และ Filezilla
16. สำรองไฟล์สำคัญ
โทรจัน เวิร์ม และแบ็คดอร์จำนวนมากซ่อนตัวเองด้วยการแทนที่ไฟล์สำคัญ ถือเป็นนิสัยที่ดีที่จะสำรองคำสั่งที่สำคัญที่สุดและใช้กันทั่วไป เตรียมชุดสื่อแบบอ่านอย่างเดียว ซีดีหรือแฟลชไดรฟ์ USB หรือแม้แต่ดาวน์โหลดทางออนไลน์ กล่าวโดยสรุป ให้ใช้คำสั่งดั้งเดิมเมื่อจำเป็น แทนที่จะใช้คำสั่งที่อาจติดไวรัสในระบบ สิ่งที่ควรทราบเกี่ยวกับการสำรองข้อมูลมีดังนี้:
/bin/su
/bin/ps
/bin/rpm
/usr/bin/top
/sbin/ifconfig
/bin/เมานต์
17. ปัญหาการแก้ไข
คุณควรไปที่โฮมเพจของผู้เผยแพร่ระบบที่คุณกำลังติดตั้งเสมอเพื่อค้นหาแพตช์ล่าสุด ระบบปฏิบัติการคือจิตวิญญาณของระบบคอมพิวเตอร์ โดยทำหน้าที่รักษาชั้นล่างสุดของระบบและจัดการและกำหนดเวลาระบบย่อย เช่น หน่วยความจำและกระบวนการ หากมีช่องโหว่ในระบบปฏิบัติการ ผลกระทบจะร้ายแรง เคอร์เนลของระบบปฏิบัติการมีความสำคัญอย่างยิ่งต่อความปลอดภัยของเครือข่าย ปัจจุบัน การบำรุงรักษาเคอร์เนลส่วนใหญ่แบ่งออกเป็นสองโหมด: สำหรับระบบปฏิบัติการส่วนตัว เช่น Windows/Solaris ฯลฯ เนื่องจากผู้ใช้แต่ละรายไม่สามารถเข้าถึงซอร์สโค้ดของตนได้โดยตรง โค้ดของพวกเขาจึงได้รับการดูแลโดยนักพัฒนาภายในของบริษัท และรับประกันความปลอดภัย โดยทีมเดียวกัน การแก้ไขเคอร์เนลได้รับการเผยแพร่ในแพ็คเกจแพทช์/SP เช่นเดียวกับแอปพลิเคชันอื่นๆ สำหรับระบบเปิดเช่น Linux มันเป็นโครงสร้างแบบเปิด เรียกได้ว่ารุ่นเปิดเป็นดาบสองคมเลยก็ว่าได้ ในทางกลไกแล้ว นักพัฒนาทั่วโลกสามารถรับซอร์สโค้ดและค้นหาช่องโหว่ในนั้นได้ ดูเหมือนว่าการรักษาความปลอดภัยควรจะดีกว่านี้ แต่ในขณะเดียวกัน หากผู้จัดการเครือข่ายไม่สามารถอัปเดตเคอร์เนลได้ทันเวลา ความเสี่ยงด้านความปลอดภัยก็จะตามมาด้วย ซ้าย. นอกจากนี้ยังมีปัจจัยหลายประการที่ส่งผลต่อความปลอดภัยของระบบปฏิบัติการ ตั้งแต่ระดับการคอมไพล์ไปจนถึงระดับการใช้งานของผู้ใช้ ฯลฯ ล้วนส่งผลต่อความปลอดภัยของระบบ ปัญหาด้านความปลอดภัยไม่สามารถแก้ไขได้โดยพื้นฐานเพียงแค่เปิดหรือปิดซอร์สโค้ด หากคุณเป็นผู้ดูแลระบบเครือข่าย Linux คุณมักจะต้องไปที่เว็บไซต์ที่เกี่ยวข้องเพื่อดูว่ามีแพทช์หรือไม่ มีการแก้ไขข้อบกพร่องหรือไม่ และจำเป็นต้องอัปเกรดหรือไม่ อย่าเสี่ยง มิฉะนั้นสคริปต์เชลล์อาจทำลายเว็บไซต์ของคุณ เพื่อถอดความคำพูดที่มีชื่อเสียง: แฮกเกอร์สามารถยึดเซิร์ฟเวอร์ของคุณได้ในวันถัดไป
ซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ Linux ส่วนใหญ่ประกอบด้วย: Samba, Ftp, Telnet, Ssh, Mysql, Php, Apache, Mozilla และอื่นๆ ซอฟต์แวร์เหล่านี้ส่วนใหญ่เป็นซอฟต์แวร์โอเพ่นซอร์ส และได้รับการอัปเกรดอย่างต่อเนื่อง โดยมีเวอร์ชันเสถียรและเวอร์ชันเบต้าปรากฏขึ้น สลับกัน บน www.samba.org และ www.apache.org ChangeLog ล่าสุดระบุว่า: แก้ไขข้อบกพร่อง แก้ไขข้อบกพร่องด้านความปลอดภัย ดังนั้นผู้ดูแลระบบเครือข่าย Linux ควรใส่ใจกับการแก้ไขจุดบกพร่องและการอัพเกรดเว็บไซต์ที่เกี่ยวข้องอยู่เสมอ และอัพเกรดหรือเพิ่มแพตช์ในเวลาที่เหมาะสม
สรุป:
เช่นเดียวกับที่ไม่มีเกราะป้องกันที่ไม่มีวันแตกหัก ไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ ในทำนองเดียวกันในด้านความปลอดภัย ไม่มีใครสามารถพูดได้ว่าพวกเขาเป็นผู้เชี่ยวชาญ ความปลอดภัยของระบบเกิดขึ้นได้จากความพยายามและภูมิปัญญาของผู้รุ่นก่อนๆ มากมาย
[ตัดหน้า]การโจมตีที่อาจเกิดขึ้นจะพยายามทำให้บัฟเฟอร์ล้นก่อน ในช่วงไม่กี่ปีที่ผ่านมา ช่องโหว่ด้านความปลอดภัยประเภทบัฟเฟอร์ล้นได้กลายเป็นรูปแบบที่พบบ่อยที่สุด ที่ร้ายแรงกว่านั้นคือช่องโหว่บัฟเฟอร์ล้นเป็นสาเหตุของการโจมตีเครือข่ายระยะไกลส่วนใหญ่ การโจมตีประเภทนี้สามารถให้โอกาสผู้ใช้อินเทอร์เน็ตที่ไม่ระบุชื่อได้รับการควบคุมโฮสต์บางส่วนหรือทั้งหมดได้อย่างง่ายดาย!
เพื่อป้องกันการโจมตีดังกล่าว เราควรให้ความสนใจเมื่อทำการติดตั้งระบบ หากคุณใช้พาร์ติชันรากเพื่อบันทึกข้อมูล เช่น ไฟล์บันทึก บันทึกหรือสแปมจำนวนมากอาจถูกสร้างขึ้นเนื่องจากการปฏิเสธการให้บริการ ส่งผลให้ระบบหยุดทำงาน ดังนั้นจึงขอแนะนำให้สร้างพาร์ติชันแยกต่างหากสำหรับ /var เพื่อจัดเก็บบันทึกและอีเมลเพื่อป้องกันไม่ให้พาร์ติชันรากล้น วิธีที่ดีที่สุดคือสร้างพาร์ติชันแยกต่างหากสำหรับแอปพลิเคชันพิเศษ โดยเฉพาะโปรแกรมที่สามารถสร้างบันทึกจำนวนมาก ขอแนะนำให้สร้างพาร์ติชันแยกต่างหากสำหรับ /home เพื่อไม่ให้พาร์ติชันเต็ม / พาร์ติชัน ดังนั้นจึงหลีกเลี่ยงพาร์ติชัน Linux บางส่วน การโจมตีที่เป็นอันตรายล้น
ผู้ใช้เดสก์ท็อป Linux จำนวนมากมักใช้ระบบคู่ของ Windows และ Linux เป็นการดีที่สุดที่จะใช้ฮาร์ดไดรฟ์คู่ วิธีการดังต่อไปนี้: ขั้นแรกให้ถอดสายข้อมูลของฮาร์ดดิสก์หลักออก ค้นหาฮาร์ดดิสก์ขนาดประมาณ 10GB แล้ววางลงบนคอมพิวเตอร์ ตั้งค่าฮาร์ดดิสก์ขนาดเล็กเป็นดิสก์ทาส และติดตั้งเวอร์ชันเซิร์ฟเวอร์ Linux ตาม การดำเนินการตามปกติ ยกเว้นว่าโปรแกรมบูตเริ่มต้นถูกวางไว้ใน MBR ไม่มีความแตกต่างอื่นใด หลังจากการติดตั้งเสร็จสมบูรณ์และการดีบักออกมาจากเดสก์ท็อป ให้ปิดเครื่องคอมพิวเตอร์ ถอดสายเคเบิลข้อมูลของฮาร์ดดิสก์ขนาดเล็ก ติดตั้งฮาร์ดดิสก์เดิม และตั้งค่าเป็นดิสก์หลัก (เพื่อให้ฮาร์ดดิสก์เดิมและฮาร์ดดิสก์ขนาดเล็กเชื่อมต่อกับสายเคเบิลข้อมูลเดียวกันในเวลาเดียวกัน) แล้วติดตั้งซอฟต์แวร์ Windows วางฮาร์ดดิสก์ทั้งสองไว้บนสายเคเบิลข้อมูลซึ่งเป็นอินเทอร์เฟซ IDE 0 ตั้งค่าฮาร์ดดิสก์เดิมเป็นดิสก์หลักและฮาร์ดดิสก์ขนาดเล็กเป็นดิสก์ทาส หากคุณต้องการบู๊ตจากฮาร์ดดิสก์ตัวเดิม ให้ตั้งค่าลำดับการบู๊ตใน CMOS เป็น "C, D, CDROM" หรือ "IDE0 (HDD-0)" ด้วยวิธีนี้ เมื่อคอมพิวเตอร์เริ่มทำงาน คอมพิวเตอร์จะเข้าสู่อินเทอร์เฟซ Windows หากคุณต้องการบูตจากฮาร์ดดิสก์ขนาดเล็ก ให้เปลี่ยนลำดับการบูตเป็น "D, C, CDROM" หรือ "IDE1 (HDD-1)" หลังจากบูต คุณจะเข้าสู่อินเทอร์เฟซ Linux โดยปกติแล้วระบบปฏิบัติการทั้งสองจะไม่สามารถเข้าถึงได้ซึ่งกันและกัน
7. ป้องกันการดักฟังเครือข่าย:
เทคโนโลยี Sniffer ถูกนำมาใช้กันอย่างแพร่หลายในการบำรุงรักษาและการจัดการเครือข่าย โดยทำงานเหมือนกับโซนาร์แบบพาสซีฟ โดยได้รับข้อมูลต่างๆ จากเครือข่ายอย่างเงียบๆ ผ่านการวิเคราะห์ข้อมูลเหล่านี้ ผู้ดูแลระบบเครือข่ายสามารถทำความเข้าใจเชิงลึกเกี่ยวกับความสมบูรณ์ของเครือข่ายในปัจจุบันได้ตามลำดับ เพื่อระบุช่องโหว่ในเครือข่าย ทุกวันนี้ เมื่อความปลอดภัยของเครือข่ายดึงดูดความสนใจมากขึ้นเรื่อยๆ เราไม่เพียงแต่จะต้องใช้การดมกลิ่นอย่างถูกต้องเท่านั้น แต่ยังต้องป้องกันอันตรายจากการดมกลิ่นอย่างสมเหตุสมผลอีกด้วย สาเหตุหลักมาจากการที่พวกมันไม่ง่ายที่จะค้นพบ สำหรับองค์กรที่มีข้อกำหนดด้านความปลอดภัยที่เข้มงวด จำเป็นต้องใช้โทโพโลยีที่ปลอดภัย การเข้ารหัสเซสชัน และที่อยู่ ARP แบบคงที่
8. การจัดการบันทึกที่สมบูรณ์
ไฟล์บันทึกจะบันทึกสถานะการทำงานของระบบของคุณให้คุณตลอดเวลา เมื่อแฮกเกอร์เข้ามา พวกเขาไม่สามารถรอดสายตาของท่อนไม้ได้ ดังนั้นแฮกเกอร์จึงมักจะแก้ไขไฟล์บันทึกระหว่างการโจมตีเพื่อซ่อนร่องรอยของพวกเขา ดังนั้นเราจึงจำเป็นต้องจำกัดการเข้าถึงไฟล์ /var/log และห้ามไม่ให้ผู้ใช้ที่มีสิทธิ์ทั่วไปดูไฟล์บันทึกได้
ใช้เซิร์ฟเวอร์บันทึกด้วย เป็นความคิดที่ดีที่จะเก็บสำเนาข้อมูลบันทึกของไคลเอ็นต์ สร้างเซิร์ฟเวอร์โดยเฉพาะเพื่อจัดเก็บไฟล์บันทึก และตรวจสอบบันทึกเพื่อค้นหาปัญหา แก้ไขไฟล์ /etc/sysconfig/syslog เพื่อยอมรับการบันทึกแบบรีโมต
/etc/sysconfig/syslog.php
SYSLOGD_OPTIONS="-นาย 0"
คุณควรตั้งค่าการจัดเก็บบันทึกระยะไกลด้วย แก้ไขไฟล์ /etc/syslog.conf เพื่อเพิ่มการตั้งค่าเซิร์ฟเวอร์บันทึก จากนั้น syslog จะบันทึกสำเนาบนเซิร์ฟเวอร์บันทึก
/etc/syslog.conf
*.* @log_server_IP
มีตัวกรองบันทึกสีให้เลือก ฟิลเตอร์บันทึกสี เวอร์ชันปัจจุบันคือ 0.32 ใช้ loco /var/log/messages | เพื่อแสดงบันทึกที่มีสี ระบุตำแหน่งของรูทและคำสั่งที่ผิดปกติในบันทึกอย่างชัดเจน วิธีนี้สามารถลดการละเว้นของมนุษย์เมื่อวิเคราะห์บันทึก จำเป็นต้องมีการตรวจสอบบันทึกเป็นประจำ Red Hat Linux มีเครื่องมือ logwatch ซึ่งจะตรวจสอบบันทึกเป็นประจำโดยอัตโนมัติและส่งอีเมลไปยังกล่องจดหมายของผู้ดูแลระบบ คุณต้องแก้ไขไฟล์ /etc/log.d/conf/logwatch.conf และเพิ่มที่อยู่อีเมลของผู้ดูแลระบบหลังพารามิเตอร์ MailTo = root Logwatch จะตรวจสอบบันทึกและกรองข้อมูลที่เกี่ยวข้องกับการเข้าสู่ระบบเป็นประจำโดยใช้รูท, sudo, telnet, ftp ฯลฯ เพื่อช่วยผู้ดูแลระบบในการวิเคราะห์ความปลอดภัยรายวัน การจัดการบันทึกที่สมบูรณ์จะต้องมีความถูกต้อง ความถูกต้อง และความถูกต้องตามกฎหมายของข้อมูลเครือข่าย การวิเคราะห์ไฟล์บันทึกยังสามารถป้องกันการบุกรุกได้อีกด้วย ตัวอย่างเช่นหากผู้ใช้มีบันทึกการลงทะเบียนที่ล้มเหลว 20 รายการภายในไม่กี่ชั่วโมงอาจเป็นไปได้ว่าผู้บุกรุกกำลังลองรหัสผ่านของผู้ใช้