Από την κυκλοφορία του στις αρχές της δεκαετίας του '90, το Linux έχει κερδίσει τον θαυμασμό της τεχνολογικής κοινότητας χάρη στη σταθερότητα, την ευελιξία του, δυνατότητα προσαρμογής και μια μεγάλη κοινότητα προγραμματιστών ανοιχτού κώδικα που εργάζονται όλο το εικοσιτετράωρο για να παρέχουν διορθώσεις σφαλμάτων και βελτιώσεις στη λειτουργία Σύστημα. Σε γενικές γραμμές, το Linux είναι το λειτουργικό σύστημα επιλογής για δημόσιο cloud, διακομιστές και υπερυπολογιστές και σχεδόν το 75% των διακομιστών παραγωγής που αντιμετωπίζουν το Διαδίκτυο τρέχουν σε Linux.
Εκτός από την τροφοδοσία του διαδικτύου, το Linux βρήκε τον δρόμο του στον ψηφιακό κόσμο και δεν έχει υποχωρήσει από τότε. Τροφοδοτεί μια τεράστια ποικιλία έξυπνων gadget, συμπεριλαμβανομένων smartphone Android, tablet, smartwatches, έξυπνων οθονών και πολλά άλλα.
Το Linux είναι διάσημο για την ασφάλεια υψηλού επιπέδου και είναι ένας από τους λόγους για τους οποίους κάνει μια αγαπημένη επιλογή σε επιχειρηματικά περιβάλλοντα. Αλλά εδώ είναι ένα γεγονός, κανένα λειτουργικό σύστημα δεν είναι 100% ασφαλές. Πολλοί χρήστες πιστεύουν ότι το Linux είναι ένα άψογο λειτουργικό σύστημα, κάτι που είναι ψευδής υπόθεση. Στην πραγματικότητα, κάθε λειτουργικό σύστημα με σύνδεση στο Διαδίκτυο είναι επιρρεπές σε πιθανές παραβιάσεις και επιθέσεις κακόβουλου λογισμικού.
Κατά τα πρώτα του χρόνια, το Linux είχε πολύ μικρότερο δημογραφικό επίκεντρο της τεχνολογίας και ο κίνδυνος να πάσχει από επιθέσεις κακόβουλου λογισμικού ήταν απομακρυσμένος. Σήμερα το Linux τροφοδοτεί ένα τεράστιο κομμάτι του διαδικτύου και αυτό έχει ωθήσει την ανάπτυξη του τοπίου απειλών. Η απειλή των επιθέσεων κακόβουλου λογισμικού είναι πιο πραγματική από ποτέ.
Ένα τέλειο παράδειγμα επίθεσης κακόβουλου λογισμικού σε συστήματα Linux είναι το Ransomware Erebus, ένα κακόβουλο λογισμικό κρυπτογράφησης αρχείων που επηρέασε σχεδόν 153 διακομιστές Linux της NAYANA, μιας νοτιοκορεατικής εταιρείας φιλοξενίας ιστοσελίδων.
Για το λόγο αυτό, είναι συνετό να σκληρύνουμε περαιτέρω το λειτουργικό σύστημα για να του προσφέρουμε την πολυπόθητη ασφάλεια για τη διαφύλαξη των δεδομένων σας.
Η ασφάλεια του διακομιστή Linux δεν είναι τόσο περίπλοκη όσο νομίζετε. Έχουμε συντάξει μια λίστα με τις καλύτερες πολιτικές ασφαλείας που πρέπει να εφαρμόσετε για να ενισχύσετε την ασφάλεια του συστήματός σας και να διατηρήσετε την ακεραιότητα των δεδομένων.
Στα αρχικά στάδια της Παραβίαση Equifax, οι χάκερ αξιοποίησαν μια ευρέως γνωστή ευπάθεια - Apache Struts - στην διαδικτυακή πύλη παραπόνων πελατών της Equifax.
Apache Struts είναι ένα πλαίσιο ανοιχτού κώδικα για τη δημιουργία σύγχρονων και κομψών εφαρμογών Ιστού Java που αναπτύχθηκε από το acheδρυμα Apache. Το Foundationδρυμα κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για τη διόρθωση της ευπάθειας στις 7 Μαρτίου 2017 και εξέδωσε σχετική δήλωση.
Η Equifax ειδοποιήθηκε για την ευπάθεια και τους συμβουλεύτηκε να επιδιορθώσουν την εφαρμογή τους, αλλά δυστυχώς, η ευπάθεια παρέμεινε ασυμβίβαστη μέχρι τον Ιούλιο του ίδιου έτους, οπότε ήταν πολύ αργά. Οι επιτιθέμενοι μπόρεσαν να αποκτήσουν πρόσβαση στο δίκτυο της εταιρείας και να ξεπεράσουν εκατομμύρια εμπιστευτικά αρχεία πελατών από τις βάσεις δεδομένων. Μέχρι να μάθει ο Equifax τι συνέβαινε, είχαν περάσει ήδη δύο μήνες.
Λοιπόν, τι μπορούμε να μάθουμε από αυτό;
Κακόβουλοι χρήστες ή χάκερ θα εξετάζουν πάντα τον διακομιστή σας για πιθανές ευπάθειες λογισμικού, τις οποίες μπορούν στη συνέχεια να αξιοποιήσουν για να παραβιάσουν το σύστημά σας. Για να είστε ασφαλείς, ενημερώστε πάντα το λογισμικό σας στις τρέχουσες εκδόσεις του για να εφαρμόσετε επιδιορθώσεις σε τυχόν υπάρχοντα τρωτά σημεία.
Αν τρέχετε Ubuntu ή Συστήματα που βασίζονται σε Debian, το πρώτο βήμα είναι συνήθως να ενημερώσετε τις λίστες πακέτων ή τα αποθετήρια σας όπως φαίνεται.
$ sudo apt ενημέρωση.
Για να ελέγξετε για όλα τα πακέτα με διαθέσιμες ενημερώσεις, εκτελέστε την εντολή:
$ sudo apt list -αναβαθμίσιμο.
Αναβαθμίστε τις εφαρμογές λογισμικού στις τρέχουσες εκδόσεις τους όπως φαίνεται:
$ sudo apt αναβάθμιση.
Μπορείτε να συνδέσετε αυτά τα δύο σε μία εντολή όπως φαίνεται.
$ sudo apt ενημέρωση && sudo apt αναβάθμιση.
Για RHEL & CentOS αναβαθμίστε τις εφαρμογές σας εκτελώντας την εντολή:
$ sudo dnf ενημέρωση (CentOS 8 / RHEL 8) $ sudo yum ενημέρωση (προηγούμενες εκδόσεις του RHEL & CentOS)
Μια άλλη βιώσιμη επιλογή είναι να ενεργοποιήστε τις αυτόματες ενημερώσεις ασφαλείας για το Ubuntu και επίσης ρυθμίστε τις αυτόματες ενημερώσεις για το CentOS / RHEL.
Παρά την υποστήριξή του για μυριάδες απομακρυσμένα πρωτόκολλα, παλιές υπηρεσίες όπως rlogin, telnet, TFTP και FTP μπορούν να δημιουργήσουν τεράστια ζητήματα ασφαλείας για το σύστημά σας. Αυτά είναι παλιά, ξεπερασμένα και ανασφαλή πρωτόκολλα όπου τα δεδομένα αποστέλλονται σε απλό κείμενο. Εάν υπάρχουν, σκεφτείτε να τα αφαιρέσετε όπως φαίνεται.
Για συστήματα που βασίζονται σε Ubuntu / Debian, εκτελέστε:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Για RHEL / CentOS-βασισμένα συστήματα, εκτελέστε:
$ sudo yum διαγραφή xinetd tftp-server telnet-server rsh-server ypserv.
Μόλις αφαιρέσετε όλες τις επισφαλείς υπηρεσίες, είναι σημαντικό να σάρωση του διακομιστή σας για ανοιχτές θύρες και κλείστε τυχόν αχρησιμοποίητες θύρες που μπορούν να χρησιμοποιηθούν ως σημείο εισόδου από τους χάκερ.
Ας υποθέσουμε ότι θέλετε να αποκλείσετε τη θύρα 7070 στο Τείχος προστασίας UFW. Η εντολή για αυτό θα είναι:
$ sudo ufw άρνηση 7070/tcp.
Στη συνέχεια, φορτώστε ξανά το τείχος προστασίας για να εφαρμοστούν οι αλλαγές.
$ sudo ufw επαναφόρτωση.
Για Firewalld, εκτελέστε την εντολή:
$ sudo firewall-cmd --remove-port = 7070/tcp-μόνιμο.
Και θυμηθείτε να φορτώσετε ξανά το τείχος προστασίας.
$ sudo firewall-cmd-επαναφόρτωση.
Στη συνέχεια, διασταυρώστε τους κανόνες του τείχους προστασίας όπως φαίνεται:
$ sudo firewall-cmd-λίστα-όλα.
Το πρωτόκολλο SSH είναι ένα απομακρυσμένο πρωτόκολλο που σας επιτρέπει να συνδέεστε με ασφάλεια σε συσκευές σε ένα δίκτυο. Παρόλο που θεωρείται ασφαλές, οι προεπιλεγμένες ρυθμίσεις δεν είναι αρκετές και απαιτούνται επιπλέον τροποποιήσεις για να αποτρέψουν περαιτέρω τους κακόβουλους χρήστες από το να παραβιάσουν το σύστημά σας.
Έχουμε έναν ολοκληρωμένο οδηγό για πώς να σκληρύνετε το πρωτόκολλο SSH. Εδώ είναι τα κύρια σημεία ενδιαφέροντος.
Αποτυχία2ban είναι ένα σύστημα πρόληψης εισβολής ανοιχτού κώδικα που προστατεύει τον διακομιστή σας από επιθέσεις bruteforce. Προστατεύει το σύστημα Linux σας απαγορεύοντας IP που υποδεικνύουν κακόβουλη δραστηριότητα, όπως π.χ. πάρα πολλές προσπάθειες σύνδεσης. Εκτός πλαισίου, αποστέλλεται με φίλτρα για δημοφιλείς υπηρεσίες, όπως διακομιστή ιστού Apache, vsftpd και SSH.
Έχουμε έναν οδηγό για το πώς διαμορφώστε το Fail2ban για περαιτέρω ενίσχυση του SSH πρωτόκολλο.
Η επαναχρησιμοποίηση κωδικών πρόσβασης ή η χρήση αδύναμων και απλών κωδικών πρόσβασης υπονομεύει σημαντικά την ασφάλεια του συστήματός σας. Επιβάλλετε μια πολιτική κωδικού πρόσβασης, χρησιμοποιήστε το pam_cracklib για να ορίσετε ή να διαμορφώσετε τις απαιτήσεις ισχύος κωδικού πρόσβασης.
Χρησιμοποιώντας το Ενότητα PAM, μπορείτε να ορίσετε την ισχύ του κωδικού πρόσβασης με την επεξεργασία του /etc/pam.d/system-auth αρχείο. Για παράδειγμα, μπορείτε να ορίσετε την πολυπλοκότητα του κωδικού πρόσβασης και να αποτρέψετε την επαναχρησιμοποίηση των κωδικών πρόσβασης.
Εάν εκτελείτε έναν ιστότοπο, βεβαιωθείτε πάντα ότι προστατεύετε τον τομέα σας χρησιμοποιώντας ένα Πιστοποιητικό SSL/ TLS για κρυπτογράφηση δεδομένων που ανταλλάσσονται μεταξύ του προγράμματος περιήγησης των χρηστών και του διακομιστή ιστού.
Μόλις κρυπτογραφήσετε τον ιστότοπό σας, σκεφτείτε επίσης να απενεργοποιήσετε αδύναμα πρωτόκολλα κρυπτογράφησης. Κατά τη συγγραφή αυτού του οδηγού, είναι το πιο πρόσφατο πρωτόκολλο TLS 1.3, το οποίο είναι το πιο κοινό και ευρέως χρησιμοποιούμενο πρωτόκολλο. Παλαιότερες εκδόσεις όπως TLS 1.0, TLS 1.2 και SSLv1 έως SSLv3 έχουν συσχετιστεί με γνωστά τρωτά σημεία.
[ Μπορεί επίσης να σας αρέσει: Πώς να ενεργοποιήσετε το TLS 1.3 στο Apache και το Nginx ]
Αυτή ήταν μια σύνοψη μερικών από τα βήματα που μπορείτε να ακολουθήσετε για να διασφαλίσετε την ασφάλεια και την ιδιωτικότητα των δεδομένων για το σύστημά σας Linux.