LFCA - Nëtzlech Tipps fir Daten a Linux ze sécheren - Deel 18


Zënter senger Verëffentlechung an de fréien 90er huet Linux d'Bewonnerung vun der Technologiegemeinschaft gewonnen duerch seng Stabilitéit, Villsäitegkeet, Personnaliséierbarkeet an eng grouss Gemeinschaft vun Open-Source Entwéckler, déi ronderëm d'Auer schaffen fir Bugfixes a Verbesserungen un der Betribssystem. Am grousse Ganzen ass Linux de Betribssystem vun der Wiel fir ëffentlech Cloud, Serveren, a Supercomputer, a no bei 75% vun Internet-konfrontéiert Produktiounsserver lafen op Linux.

Niewent dem Stroum vum Internet huet Linux säi Wee an d'digitale Welt fonnt an ass zënterhier net ofgeholl. Et mécht eng grouss Gamme vu Smart Gadgeten inklusiv Android Smartphones, Pëllen, Smartwatches, Smart Displays a sou vill méi.

Ass Linux sou sécher?

Linux ass bekannt fir seng Top-Niveau Sécherheet an et ass ee vun de Grënn firwat et eng Liiblingswahl an Enterprise Ëmfeld mécht. Awer hei ass e Fakt, kee Betribssystem ass 100% sécher. Vill Benotzer gleewen datt Linux en foolproof Betribssystem ass, wat eng falsch Viraussetzung ass. Tatsächlech ass all Betribssystem mat enger Internetverbindung ufälleg fir potenziell Verstéiss a Malware Attacken.

Wärend senge fréie Joeren hat Linux eng vill méi kleng tech-centresch demographesch an de Risiko vu Malware Attacken ze leiden war wäit ewech. Hautdesdaags dréit Linux e grousse Stéck vum Internet un, an dëst huet de Wuesstum vun der Bedrohungslandschaft gestierzt. D'Drohung vu Malware Attacken ass méi reell wéi jee.

E perfekt Beispill vun engem Malware Attack op Linux Systemer ass d'Erebus Ransomware, eng Datei-verschlësselte Malware déi no bei 153 Linux Server vun NAYANA, enger südkoreanescher Webhostingfirma beaflosst.

Aus dësem Grond ass et virsiichteg de Betribssystem weider ze härden fir et déi gewënscht Sécherheet ze ginn fir Är Donnéeën ze schützen.

Linux Server Hardening Tipps

Äre Linux Server ze sécheren ass net sou komplizéiert wéi Dir denkt. Mir hunn eng Lëscht vun de beschte Sécherheetspolitike zesummegesat, déi Dir implementéiere musst fir d'Sécherheet vun Ärem System ze verstäerken an d'Datenintegritéit z'erhalen.

An den initialen Etappe vun der Equifax Verstouss hunn d'Hacker eng wäit bekannte Schwachstelle profitéiert - Apache Struts - op dem Equifax säi Client Plainte Webportal.

Apache Struts ass en Open-Source Kader fir modern an elegant Java Webapplikatiounen ze kreéieren déi vun der Apache Foundation entwéckelt goufen. D'Stëftung huet e Patch verëffentlecht fir d'Schwachheet de 7. Mäerz 2017 ze fixéieren an eng Erklärung zu deem Effekt erausginn.

Equifax goufe vun der Schwachstelle informéiert an ugeroden hir Applikatioun ze patchen, awer leider ass d'Schwachheet bis Juli vum selwechte Joer unpatched bliwwen, op deem Punkt et ze spéit war. D'Ugräifer konnten Zougang zum Netz vun der Firma kréien an Millioune vu vertrauleche Clientsrecords aus den Datenbanken exfiltréieren. Wéi den Equifax de Wand kritt huet wat geschitt ass, ware scho zwee Méint vergaang.

Also, wat kënne mir aus dësem léieren?

Béiswëlleg Benotzer oder Hacker ënnersichen ëmmer Äre Server fir méiglech Software Schwachstelle, déi se dann benotze kënnen fir Äre System ze briechen. Fir op der sécherer Säit ze sinn, aktualiséieren ëmmer Är Software op seng aktuell Versioune fir Patches op all existent Schwachstelle anzesetzen.

Wann Dir Ubuntu oder Debian-baséiert Systemer leeft, ass den éischte Schrëtt normalerweis Är Paketlëschten oder Repositories ze aktualiséieren wéi gewisen.

$ sudo apt update

Fir all d'Packagen mat verfügbaren Updates ze kontrolléieren, fuert de Kommando:

$ sudo apt list --upgradable

Upgrade Är Software Uwendungen op hir aktuell Versioune wéi gewisen:

$ sudo apt upgrade

Dir kënnt dës zwee an engem Kommando concatenate wéi gewisen.

$ sudo apt update && sudo apt upgrade

Fir RHEL & CentOS Upgrade Är Uwendungen andeems Dir de Kommando ausféiert:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Eng aner viabel Optioun ass automatesch Updates fir CentOS/RHEL opzestellen.

Trotz senger Ënnerstëtzung fir eng Onmass vu Fernprotokollen, Legacy Servicer wéi rlogin, Telnet, TFTP an FTP kënnen enorm Sécherheetsprobleemer fir Äre System stellen. Dëst sinn al, verännert an onsécher Protokoller wou Daten am Kloertext geschéckt ginn. Wann dës existéieren, betruecht se ze läschen wéi gewisen.

Fir Ubuntu/Debian-baséiert Systemer, ausféieren:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Fir RHEL/CentOS-baséiert Systemer, ausféieren:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Wann Dir all déi onsécher Servicer ewechgeholl hutt, ass et wichteg Äre Server fir oppe Ports ze scannen an all onbenotzt Ports zou ze maachen, déi potenziell en Entréespunkt vun Hacker benotzt kënne ginn.

Ugeholl Dir wëllt den Hafen 7070 op der UFW Firewall blockéieren. De Kommando fir dëst wäert sinn:

$ sudo ufw deny 7070/tcp

Da lued d'Firewall nei fir datt d'Ännerungen a Kraaft trieden.

$ sudo ufw reload

Fir Firewalld, lafen de Kommando:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

An erënnert un d'Firewall nei ze lueden.

$ sudo firewall-cmd --reload

Dann iwwerpréift d'Firewall Regelen wéi gewisen:

$ sudo firewall-cmd --list-all

Den SSH Protokoll ass e Fernprotokoll deen Iech erlaabt Iech sécher mat Geräter op engem Netzwierk ze verbannen. Och wann et als sécher ugesi gëtt, sinn d'Standardastellungen net genuch an e puer extra Tweaks sinn erfuerderlech fir béiswëlleg Benotzer weider ze verhënneren aus Ärem System ze verletzen.

Mir hunn e komplette Guide fir wéi een den SSH Protokoll härt. Hei sinn d'Haaptpunkte.

  • Passwuertlos SSH Login konfiguréieren & privat/ëffentlech Schlëssel Authentifikatioun aktivéieren.
  • SSH Remote Root Login auszeschalten.
  • SSH Login vu Benotzer mat eidelen Passwierder auszeschalten.
  • Passwuert Authentifikatioun komplett auszeschalten a bleiwen un SSH privat/ëffentlech Schlëssel Authentifikatioun.
  • Limitéiert Zougang zu spezifesche SSH Benotzer.
  • Eng Limit fir Passwuertversich konfiguréieren.

Fail2ban ass en Open-Source Intrusiounsverhënnerungssystem deen Äre Server vu bruteforce Attacken schützt. Et schützt Äre Linux System andeems Dir IPs verbitt déi béiswëlleg Aktivitéit wéi ze vill Loginversuche weisen. Aus der Këscht verschéckt et mat Filtere fir populär Servicer wéi Apache Webserver, vsftpd an SSH.

Mir hunn e Guide wéi Dir Fail2ban konfiguréiert fir den SSH Protokoll weider ze befestigen.

Passwierder nei benotzen oder schwaach an einfach Passwierder benotzen ënnergruewt d'Sécherheet vun Ärem System staark. Dir erzwéngt eng Passwuertpolitik, benotzt de pam_cracklib fir d'Passwuertstäerktfuerderungen ze setzen oder ze konfiguréieren.

Mat dem PAM Modul kënnt Dir d'Passwuertstäerkt definéieren andeems Dir d' /etc/pam.d/system-auth Datei ännert. Zum Beispill kënnt Dir d'Passwuertkomplexitéit setzen an d'Wiederbenotzen vu Passwierder verhënneren.

Wann Dir eng Websäit leeft, suergt ëmmer fir Äert Domain mat engem SSL/TLS Zertifika ze sécheren fir Daten ze verschlësselen, déi tëscht dem Browser vum Benotzer an dem Webserver ausgetosch ginn.

Wann Dir Äre Site verschlësselt hutt, betruecht och schwaach Verschlësselungsprotokoller auszeschalten. Zu der Zäit vum Schreiwen vun dësem Guide ass de leschte Protokoll TLS 1.3, deen am meeschte verbreet a verbreet benotzte Protokoll ass. Fréier Versioune wéi TLS 1.0, TLS 1.2, an SSLv1 bis SSLv3 si mat bekannte Schwachstelle verbonne ginn.

[ Dir kënnt och gär hunn: Wéi aktivéiert TLS 1.3 an Apache an Nginx ]

Dat war e Resumé vun e puer vun de Schrëtt déi Dir maache kënnt fir Datesécherheet a Privatsphär fir Äre Linux System ze garantéieren.