LFCA: Basis Sécherheets Tipps fir Linux System ze schützen - Deel 17
Elo méi wéi jee liewen mir an enger Welt wou Organisatiounen dauernd vu Sécherheetsverstéiss bombardéiert ginn, motivéiert duerch d'Acquisitioun vun héich sensiblen a vertraulechen Donnéeën déi héich wäertvoll sinn an eng rieseg finanziell Belounung maachen.
Et ass éischter iwwerraschend datt trotz engem héije Risiko ënner engem potenziell zerstéierende Cyberattack ze leiden, déi meescht Firmen net gutt virbereet sinn oder einfach déi roude Fändelen iwwersinn, dacks mat zerstéierende Konsequenzen.
Am Joer 2016 huet Equifax eng katastrophal Dateverletzung gelidden, wou Millioune vu héich vertrauleche Clientsrecords geklaut goufen no enger Serie vu Sécherheetsoffall. En detailléierte Bericht huet uginn datt de Verstouss vermeitbar wier wann déi richteg Sécherheetsmoossname vum Sécherheetsteam bei Equifax ëmgesat goufen.
Tatsächlech, Méint virum Verstouss, gouf Equifax iwwer eng potenziell Schwachstelle an hirem Webportal gewarnt, déi hir Sécherheet kompromittéiere géif, awer leider ass d'Warnung net opgepasst mat grave Konsequenzen. Vill aner grouss Entreprisen sinn Affer vun Attacken gefall, déi weider an der Komplexitéit mat all vergaangene Moment wuessen.
Mir kënnen net genuch ënnersträichen wéi entscheedend d'Sécherheet vun Ärem Linux System ass. Dir sidd vläicht net eng héichprofiléiert Finanzinstitutioun déi e potenziell Zil fir Verstéiss ass, awer dat heescht net datt Dir Är Wuecht sollt loossen.
D'Sécherheet sollt am Top vun Ärem Kapp sinn wann Dir Äre Linux Server opstellt, besonnesch wann et mam Internet ugeschloss ass an op afstand zougänglech ass. Basis Sécherheetsfäegkeeten ze hunn ass essentiell fir Äre Linux Server ze schützen.
An dësem Guide konzentréiere mir eis op e puer vun de Basis Sécherheetsmoossnamen, déi Dir maache kënnt fir Äre System vu Andréngen ze schützen.
Cyberattack Vecteure
Intruders wäerten eng Vielfalt vun Attackstechniken ausnotzen fir Zougang zu Ärem Linux Server. Ier mir an e puer vun de Moossnamen dauchen, déi Dir maache kënnt fir Äre System ze schützen, loosst eis e puer vun de gemeinsame Attackvektoren ausnotzen, déi en Hacker benotze kann fir Systemer ze infiltréieren.
Eng brute-force Attack ass en Attack wou den Hacker Versuch a Feeler benotzt fir d'Login Umeldungsinformatioune vum Benotzer ze roden. Normalerweis benotzt den Intruder automatiséiert Scripte fir kontinuéierlech Zougang ze kréien bis déi richteg Kombinatioun vum Benotzernumm a Passwuert kritt ass. Dës Aart vun Attack ass am effektivsten wou schwaach & liicht guessable Passwierder benotzt ginn.
Wéi virdru ugeschwat, schwaach Umeldungsinformatiounen wéi kuerz a liicht guessable Passwierder wéi Passwuert1234 stellen e potenzielle Risiko fir Äre System. Wat méi kuerz a manner komplex e Passwuert ass, wat méi héich d'Chancen datt Äre System kompromittéiert gëtt.
Phishing ass eng sozial Ingenieurstechnik wou den Ugräifer dem Affer eng E-Mail schéckt déi schéngt vun enger legitimer Institutioun ze kommen oder vun engem mat deem Dir kennt oder Geschäfter maacht.
Normalerweis enthält d'E-Mail Instruktiounen déi d'Affer opfuerderen sensibel Informatioun ze verëffentlechen oder kann e Link enthalen deen se op e gefälschte Site féiert, deen sech als de Site vun der Firma stellt. Wann d'Affer probéiert sech anzeloggen, ginn hir Umeldungsinformatiounen vum Ugräifer ageholl.
Malware ass kuerz fir béiswëlleg Software. Et ëmfaasst eng breet Palette vun nefarious Uwendungen wéi Viren, Trojaner, Wuerm, a Ransomware, déi entwéckelt gi fir séier ze verbreeden an de System vum Affer als Geisel ze halen am Austausch fir eng Léisegeld.
Esou Attacke kënnen debilitéierend sinn a kënnen d'Geschäft vun enger Organisatioun paralyséieren. E puer Malware kënnen an Dokumenter wéi Biller, Videoen, Wuert oder PowerPoint Dokumenter injizéiert ginn an an enger Phishing-E-Mail verpackt ginn.
En DoS Attack ass en Attack deen d'Disponibilitéit vun engem Server oder Computersystem limitéiert oder beaflosst. Den Hacker iwwerschwemmt de Server mat Traffic oder Ping-Päckchen, déi de Server fir länger Dauer onzougänglech maachen.
En DDoS (Distributed Denial of Service) Attack ass eng Aart DoS déi verschidde Systeme beschäftegt déi en Zil iwwerschwemmt mat Traffic deen et net verfügbar ass.
En Akronym fir Structured Query Language, SQL ass eng Sprooch déi benotzt gëtt fir mat Datenbanken ze kommunizéieren. Et erlaabt d'Benotzer records an der Datebank ze kreéieren, ze läschen an ze aktualiséieren. Vill Server späicheren Daten a relational Datenbanken déi SQL benotze fir mat der Datebank ze interagéieren.
Eng SQL Injektiounsattack profitéiert vun enger bekannter SQL Schwachstelle, déi de Server mécht sensibel Datebankinformatioun ze verëffentlechen, déi en soss net géifen duerch béiswëlleg SQL Code injizéieren. Dëst stellt en enorme Risiko aus, wann d'Datebank perséinlech erkennbar Informatioun späichert wéi Kredittkaartnummeren, Sozialversécherungsnummeren a Passwierder.
Allgemeng verkierzt als MITM, de Mann-an-der-Mëtt-Attack involvéiert en Ugräifer, déi Informatioun tëscht zwee Punkten offéiert mat engem Zil de Verkéier tëscht den zwou Parteien ofzelauschteren oder z'änneren. D'Zil ass d'Affer ze spionéieren, d'Donnéeën ze korruptéieren oder sensibel Informatioun ze klauen.
Basis Tipps fir Äre Linux Server ze sécheren
Nodeems Dir déi potenziell Paarte gekuckt hutt, déi en Ugräifer benotze kann fir Äre System ze briechen, loosst eis e puer vun de fundamentale Moossnamen iwwergoen, déi Dir maache kënnt fir Äre System ze schützen.
Net vill Gedanken gëtt un déi kierperlech Plaz a Sécherheet vun Ärem Server gemaach, awer, Wann Dir Äre Server an engem on-premise Ëmfeld hutt, ass dat normalerweis wou Dir géift ufänken.
Et ass wichteg ze garantéieren datt Äre Server sécher an engem Datenzenter mat Backupkraaft, redundante Internetverbindung a genuch Ofkillung geséchert ass. Den Zougang zum Datenzenter soll nëmme fir autoriséiert Personal limitéiert sinn.
Wann de Server opgeriicht ass, ass den éischte Schrëtt fir ze huelen d'Repositories an d'Applikatiounssoftware Packagen wéi follegt ze aktualiséieren. D'Aktualiséierung vum Package patchéiert all Schleifen, déi an de existente Versioune vun Uwendungen presentéiere kënnen.
Fir Ubuntu/Debian Verdeelungen:
$ sudo apt update -y $ sudo apt upgrade -y
Fir RHEL/CentOS Verdeelungen:
$ sudo yum upgrade -y
Eng Firewall ass eng Applikatioun déi den erakommen an erausginn Traffic filtert. Dir musst eng robust Firewall wéi d'UFW Firewall installéieren an et aktivéieren fir nëmmen déi erfuerderlech Servicer an hir entspriechend Ports z'erméiglechen.
Zum Beispill kënnt Dir et op Ubuntu installéieren mam Kommando:
$ sudo apt install ufw
Eemol installéiert, aktivéiert et wéi follegt:
$ sudo ufw enable
Fir e Service wéi HTTPS z'erméiglechen, lafen de Kommando;
$ sudo ufw allow https
Alternativ kënnt Dir säin entspriechende Hafen erlaben deen 443 ass.
$ sudo ufw allow 443/tcp
Da lued nei fir datt d'Ännerungen a Kraaft trieden.
$ sudo ufw reload
Fir de Status vun Ärer Firewall inklusiv erlaabt Servicer an oppe Ports ze kontrolléieren, lafen
$ sudo ufw status
Zousätzlech, betruecht all onbenotzt oder onnéideg Servicer an Ports op der Firewall auszeschalten. MÉI Ports ze hunn déi net benotzt ginn erhéicht nëmmen d'Attacklandschaft.
D'Standard SSH Astellunge sinn net sécher, an dofir sinn e puer Tweaks erfuerderlech. Gitt sécher déi folgend Astellungen ëmzesetzen:
- Desaktivéiere de Root Benotzer vum Remote Login.
- Aktivéiert Passwuertlos SSH Authentifikatioun mat SSH ëffentlechen/private Schlësselen.
Fir den éischte Punkt, ännert d'Datei /etc/ssh/sshd_config a ännert déi folgend Parameteren fir ze erschéngen wéi gewisen.
PermitRootLogin no
Wann Dir de Root-Benotzer auszeschalten aus der Remote aloggen, erstellt e reguläre Benotzer a gitt sudo Privilegien. Zum Beispill.
$ sudo adduser user $ sudo usermod -aG sudo user
Fir Passwuertlos Authentifikatioun z'aktivéieren, gitt als éischt op en anere Linux PC - am léifsten Äre PC a generéiert en SSH Schlësselpaar.
$ ssh-keygen
Da kopéiert den ëffentleche Schlëssel op Äre Server
$ ssh-copy-id [email
Wann Dir ageloggt sidd, gitt sécher d'Passwuert Authentifikatioun auszeschalten andeems Dir d'Datei /etc/ssh/sshd_config ännert an de gewise Parameter ännert.
PasswordAuthentication no
Passt op datt Dir Äre ssh private Schlëssel net verléiert, well dat ass déi eenzeg Avenue, déi Dir benotze kënnt fir Iech anzeloggen. Halt et sécher a setzt se am léifsten op d'Cloud zréck.
Endlech, Restart SSH fir d'Ännerungen auszeféieren
$ sudo systemctl restart sshd
An enger Welt mat entwéckele Cyber Bedrohungen, Sécherheet soll eng héich Prioritéit sinn wéi Dir unzefänken Äre Linux Server opzestellen. An dësem Guide hu mir e puer vun de Basis Sécherheetsmoossname beliicht déi Dir maache kënnt fir Äre Server ze befestigen. Am nächsten Thema gi mir méi déif a kucken op zousätzlech Schrëtt déi Dir maache kënnt fir Äre Server ze härten.