![Ako prinútiť váš telefón s Androidom čítať vaše texty nahlas](/f/6e3222afca693571384d25df582aba70.jpg?width=100&height=100)
Pokračovanie predchádzajúceho tutoriálu na Ako zabezpečiť a zaistiť CentOS server, v tomto článku budeme diskutovať o ďalších bezpečnostných tipoch, ktoré budú uvedené v nižšie uvedenom kontrolnom zozname.
Ak setuid a setgid bity sú nastavené na binárne programy, tieto príkazy môžu vykonávať úlohy s inými právami používateľa alebo skupiny, ako napr koreň oprávnenia, ktoré môžu odhaliť vážne problémy s bezpečnosťou.
Útoky pri prekročení vyrovnávacej pamäte môžu využiť tieto binárne súbory spustiteľných súborov na spustenie neoprávneného kódu s právami koreňového používateľa.
# find / -path / proc -prune -o -type f \ (-perm -4000 -o -perm -2000 \) -exec ls -l {} \;
Ak chcete zrušiť setuid bit vykonajte nasledujúci príkaz:
# chmod u-s/cesta/k/binarnemu_souboru.
Ak chcete zrušiť bit setgid, spustite nasledujúci príkaz:
# chmod g-s/cesta/k/binarnemu_souboru.
Súbory alebo adresáre, ktoré nie sú vo vlastníctve platného účtu, je potrebné odstrániť alebo im priradiť povolenia od používateľa a skupiny.
Vydajte nižšie nájsť príkaz na zoznam súborov alebo adresárov bez používateľa a skupiny.
# find / -nouser -o -nogroup -exec ls -l {} \;
Uchovávanie svetovo zapisovateľného súboru v systéme môže byť nebezpečné, pretože ich môže ktokoľvek upraviť. Vykonajte nasledujúci príkaz, aby sa zobrazili súbory zapisovateľné slovom, s výnimkou Symbolické odkazy, ktoré sú vždy svetovo zapisovateľné.
# find / -path / proc -prune -o -perm -2! -typ l –l.
Vytvorte heslo s minimálne ôsmimi znakmi. Heslo musí obsahovať číslice, špeciálne znaky a veľké písmená. Použite pwmake na vygenerovanie hesla so 128 bitmi /dev/urandom súbor.
# pwmake 128.
Vynútite, aby systém používal silné heslá pridaním nižšie uvedeného riadka /etc/pam.d/passwd súbor.
požadované heslo pam_pwquality.so opakovať = 3.
Po pridaní vyššie uvedeného riadku nemôže zadané heslo obsahovať viac ako 3 znaky v monotónnom poradí, ako napr a B C d, a viac ako 3 rovnaké za sebou idúce znaky, ako napr 1111.
Prinútiť používateľov používať heslo s minimálnou dĺžkou 8 znaky vrátane všetkých tried znakov, kontrola pevnosti sekvencií znakov a za sebou nasledujúcich znakov pridajte do riadka nasledujúce riadky /etc/security/pwquality.conf súbor.
minlen = 8. minitrieda = 4. maximálna následnosť = 3. maxrepeat = 3.
The chage príkaz môže byť použitý na starnutie hesla používateľa. Ak chcete nastaviť, aby platnosť hesla používateľa vypršala, 45 dní, použite nasledujúci príkaz:
# chage -M 45 používateľské meno.
Ak chcete zakázať čas vypršania platnosti hesla, použite príkaz:
# chage -M -1 používateľské meno.
Vynútiť okamžité vypršanie platnosti hesla (používateľ si musí heslo zmeniť pri nasledujúcom prihlásení) spustením nasledujúceho príkazu:
# chage -d 0 používateľské meno.
Používateľské účty je možné uzamknúť spustením passwd alebo usermodov príkaz:
# passwd -l používateľské meno. # usermod -L používateľské meno.
Na odomknutie účtov použite -u
možnosť pre passwd príkaz a -U
možnosť pre usermod.
Ak chcete zabrániť tomu, aby systémový účet (bežný účet alebo účet služby) získal prístup k shellu bash, zmeňte root shell na /usr/sbin/nologin alebo /bin/false v /etc/passwd súbor zadaním nasledujúceho príkazu:
# usermod -s /bin /falošné používateľské meno.
Ak chcete zmeniť shell pri vytváraní nového používateľa, zadajte nasledujúci príkaz:
# useradd -s/usr/sbin/nologin používateľské meno.
vlock je program používaný na uzamknutie jednej viacnásobnej relácie na konzole Linux. Nainštalujte program a začnite blokovať svoju terminálovú reláciu spustením nasledujúcich príkazov:
# yum nainštalovať vlock. # vlock.
Použitie centralizovaného autentifikačného systému môže výrazne zjednodušiť správu a kontrolu účtu. Služby, ktoré môžu ponúkať tento typ správy účtov, sú IPA Server, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS alebo Winbind.
Niektoré z týchto služieb sú v predvolenom nastavení vysoko zabezpečené kryptografickými protokolmi a kryptografiou so symetrickými kľúčmi, ako napríklad Kerberos.
Použitím blockdev môžete prinútiť všetky vymeniteľné médiá pripojiť iba na čítanie. Vytvorte napríklad nový udev konfiguračný súbor s názvom 80-readonly-usb.rules v /etc/udev/rules.d/ adresár s nasledujúcim obsahom:
SUBSYSTEM == "blok", ATTRS {odnímateľný} == "1", RUN {program} = "/sbin/blockdev --setro %N"
Potom pravidlo aplikujte pomocou nižšie uvedeného príkazu:
# udevadm control -reload.
Aby ste zabránili root účtu vykonávať systémové prihlasovanie cez všetky konzolové zariadenia (TTY), vymažte obsah súboru secureetty zadaním nasledujúceho príkazového riadka ako root.
# cp /etc /securetty /etc/securetty.bak. # cat /dev /null> /etc /securetty.
Nezabudnite, že toto pravidlo neplatí pre prihlasovacie relácie SSH
Ak chcete zabrániť prihláseniu root pomocou SSH, upravte súbor /etc/ssh/sshd_config a pridajte nasledujúci riadok:
PermitRootLogin č.
Zoznamy riadenia prístupu môže definovať prístupové práva pre viac ako len jedného používateľa alebo skupinu a môže špecifikovať práva pre programy, procesy, súbory a adresáre. Ak nastavíte ACL na adresár, jeho potomkovia budú automaticky dediť rovnaké práva.
Napríklad,
# setfacl -m u: užívateľ: súbor rw. # súbor getfacl.
The SELinux Vylepšenie jadra Linuxu implementuje súbor Zásady povinného riadenia prístupu (MAC), čo umožňuje používateľom definovať politiku zabezpečenia, ktorá poskytuje granulárne povolenia pre všetkých používateľov, programy, procesy, súbory a zariadenia.
Rozhodnutia o prístupe k jadru sú založené na všetkých kontextoch dôležitých pre bezpečnosť, a nie na identite autentifikovaného užívateľa.
Získať Selinux stav a vynútiť dodržiavanie zásad spustite nasledujúce príkazy:
# getenforce. # setenforce 1. # sestatus.
Inštalácia policycoreutils-python balík, ktorý poskytuje ďalšie prevádzkové nástroje Pythonu SELinux: audit2allow, audit2prečo, chcata semanage.
Ak chcete zobraziť všetky booleovské hodnoty spolu s krátkym popisom, použite nasledujúci príkaz:
# semanage boolean -l.
Napríklad na zobrazenie a nastavenie hodnoty httpd_enable_ftp_server, spustite nasledujúci príkaz:
# getsebool httpd_enable_ftp_server.
Aby hodnota logickej hodnoty pretrvávala aj pri reštarte, zadajte -P
možnosť setsebool, ako je znázornené na nasledujúcom príklade:
# setsebool -P httpd_enable_ftp_server zapnutý.
Konfigurovať rsyslog démon na odosielanie správ denníka citlivých obslužných programov na centralizovaný server denníkov. Tiež, monitorujte súbory denníka pomocou nástroja logwatch.
Odosielanie správ denníka na vzdialený server zaisťuje, že akonáhle dôjde k narušeniu systému, škodliví používatelia nemôžu úplne skryť svoju aktivitu a vždy zanechať stopy v súboroch vzdialeného denníka.
Inštaláciou povoľte procesné účtovníctvo nástroj psacct a používať lastcomm príkaz zobrazí informácie o predtým vykonaných príkazoch zaznamenaných v systémovom účtovnom súbore a sa na zhrnutie informácií o predtým vykonaných príkazoch zaznamenaných v systémovom účtovnom súbore.
Na ochranu systému použite nasledujúce pravidlá parametrov jadra:
net.ipv4.conf.all.accept_source_route = 0.
ipv4.conf.all.forwarding = 0.
net.ipv6.conf.all.disable_ipv6 = 1. net.ipv6.conf.default.disable_ipv6 = 1. net.ipv6.conf.lo.disable_ipv6 = 1.
Zakážte prijímanie a odosielanie paketov presmerovaných ICMP, pokiaľ to nie je výslovne požadované.
net.ipv4.conf.all.accept_redirects = 0. net.ipv4.conf.all.secure_redirects = 0. net.ipv4.conf.all.send_redirects = 0.
net.ipv4.conf.all.rp_filter = 2.
Ignorovať všetky žiadosti o echo ICMP (povolením nastaveným na 1)
net.ipv4.icmp_echo_ignore_all = 0.
Vždy používajte VPN služby pre dopravcov na vzdialený prístup do priestorov LAN prostredníctvom internetu. Takéto typy služieb je možné konfigurovať pomocou bezplatného open source riešenia, ako napr OpenVPNalebo pomocou proprietárneho riešenia, ako je napríklad Cisco VPN (inštalácia vpnc obslužný program príkazového riadka poskytuje Úložiská Epel).
Vyhodnoťte chyby zabezpečenia svojho systému skenovaním systému zo vzdialených bodov prostredníctvom siete LAN pomocou konkrétnych nástrojov, ako napríklad:
Používajte vnútornú ochranu systému pred vírusmi, rootkitmi, malvérom a ako osvedčený postup inštalujte systémy detekcie narušenia, ktoré dokážu detekovať neoprávnenú aktivitu (útoky DDOS, skenovanie portov), ako napr ako:
Príloha dátum a čas formát na uloženie vykonávania príkazov vydaním nižšie uvedeného príkazu:
# echo 'HISTTIMEFORMAT = "%d/%m/%y%T"' >> .bashrc '
Nútené okamžite nahrávať HISTFILE pri každom zadaní príkazu (namiesto odhlásenia):
# echo ‘PROMPT_COMMAND =" história -a "'>> .bashrc.
Obmedzte časovú reláciu prihlásenia. Automaticky rozbije shell, keď sa počas nečinnosti nevykonáva žiadna aktivita. Veľmi užitočné na automatické odpojenie relácií SSH.
# echo ‘TMOUT = 120’ >> .bashrc.
Vykonajte všetky pravidlá podľa týchto pokynov:
# zdroj .bashrc.
Použite záložné nástroje, ako napr decht, kat, rsync, scp, Snímky LVMatď., Aby bola v prípade zlyhania systému uložená kópia vášho systému, najlepšie mimo pracoviska.
Ak dôjde k ohrozeniu systému, môžete vykonať obnovu údajov z predchádzajúcich záloh.
Nakoniec nezabúdajte, že bez ohľadu na to, koľko bezpečnostných a protiopatrených opatrení urobíte, aby ste ich dodržali váš systém bude bezpečný, nikdy nebudete 100% úplne zabezpečení, pokiaľ je váš počítač zapojený a zapnutý.