Red de conocimiento informático - Material del sitio web - Cómo comprobar la seguridad del servidor del sistema Linux

Cómo comprobar la seguridad del servidor del sistema Linux

Linux es un sistema operativo multiusuario, pero debido a que este sistema operativo es un sistema operativo multiusuario, los piratas informáticos a menudo eligen Linux como el primer objetivo de ataque para esconderse durante los ataques. Entonces, como usuarios de Linux, ¿cómo podemos prevenir la seguridad de Linux mediante métodos razonables? A continuación, el autor ha recopilado y compilado varias medidas para prevenir la seguridad de Linux y ahora las aporta. Insto a todos a que continúen complementándolas y mejorándolas. 1. Está prohibido usar el comando Ping. El comando Ping es una aplicación entre computadoras para detectar si la línea de la otra parte está intacta. El intercambio y la transmisión de datos entre computadoras no están encriptados, por lo que cuando usamos el comando ping para detectar un. En cierto servidor, puede haber moléculas ilegales que utilizan programas de piratería especializados para robar información transmitida en líneas de red en Internet, y utilizan la información robada para difundir en líneas de red y difundir la información robada en Internet. Y utilizar la información robada para atacar el servidor o sistema especificado. Para ello, se debe prohibir el uso de comandos de Linux en el sistema Linux. En Linux, si desea que el ping no responda, es decir, ignorar los paquetes icmp, podemos ingresar el siguiente comando en la línea de comando de Linux: echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all Si desea continuar usando el comando ping, puede ingresar el comando echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all. gt; /proc/sys/net/ipv4/icmp_echo_igore_all2. Preste atención a realizar una copia de seguridad del sistema a tiempo Para evitar que el sistema funcione normalmente debido a situaciones inesperadas durante el uso, debemos realizar una copia de seguridad completa del sistema Linux. Es mejor completar el sistema Linux. Después de la tarea de instalación del sistema, se realiza una copia de seguridad completa del sistema y se podrá verificar el sistema en función de esta copia de seguridad en el futuro. Es mejor hacer una copia de seguridad de todo el sistema inmediatamente después de completar la tarea de instalación de Linux, para que pueda verificar la integridad del sistema basándose en esta copia de seguridad y descubrir si los archivos del sistema se han modificado ilegalmente. Si los archivos del sistema están dañados, puede utilizar la copia de seguridad para restaurar el sistema a un estado normal. Al hacer una copia de seguridad de la información, podemos hacer una copia de seguridad de la información intacta del sistema en un CD y luego comparar periódicamente el sistema con el contenido del CD para verificar que la integridad del sistema no se haya dañado. Si el nivel de seguridad es particularmente alto, el disco se puede hacer de arranque y verificar durante el inicio del sistema. Mientras el CD-ROM sea de arranque, el sistema no estará comprometido. Mover el servidor de inicio de sesión del sistema a una máquina separada aumentará el nivel de seguridad del sistema, y ​​reemplazar la utilidad de inicio de sesión nativa de Linux con un servidor de inicio de sesión más seguro mejorará aún más la seguridad. En redes Linux grandes, es mejor utilizar un servidor de inicio de sesión independiente para el servicio syslog. Debe ser un sistema de servidor con suficiente espacio en disco disponible para todos los inicios de sesión del sistema y no debe ejecutarse ningún otro servicio en él. Un servidor de inicio de sesión más seguro reducirá en gran medida la capacidad de los intrusos de alterar los archivos de registro a través del sistema de inicio de sesión. 4. Cancele el historial de comandos raíz. En Linux, el sistema registrará automáticamente los comandos ingresados ​​por el usuario, y los comandos del usuario raíz a menudo contienen información confidencial, para garantizar la seguridad, el historial de comandos raíz generalmente no se debe registrar o se debe registrar menos. Para configurar el sistema para que no registre los comandos ejecutados por todos, primero podemos usar el comando cd para ingresar el comando / etc en la línea de comando de Linux, y luego usar el comando editar para abrir el archivo de configuración en el directorio e ingresar el siguiente contenido: HISTFILESIZE=0

HISTSIZE=0 Por supuesto, también podemos ingresar el siguiente comando directamente en la línea de comando. Por supuesto, también podemos ingresar el siguiente comando directamente en la línea de comando: ln -s /dev/null ~/.bash_history5. Cree atributos de solo lectura para particiones clave. El sistema de archivos de Linux se puede dividir en varias particiones principales, cada una. La partición se utiliza para diferentes propósitos. Para la configuración e instalación, generalmente se deben crear al menos particiones como /, /usr/local, /var y /home. /usr se puede montar como de sólo lectura y se considera no modificable.

Si se modifica algún archivo en /usr, el sistema emitirá una alerta de seguridad inmediatamente. Por supuesto, esto no incluye que los usuarios cambien el contenido en /usr ellos mismos. Lo mismo se aplica a la instalación y configuración de /lib, /boot y /sbin. Siempre que sea posible, deben instalarse como de sólo lectura y cualquier cambio en sus archivos, directorios y propiedades provocará una alerta del sistema. Por supuesto, es imposible configurar todas las particiones principales como de solo lectura. Algunas particiones, como /var, etc., tienen su propia naturaleza que determina que no se pueden configurar como de solo lectura, pero no se les debe permitir. tener permisos de ejecución. 6. Elimine todos los procesos del atacante. Supongamos que en el archivo de registro del sistema encontramos que un usuario inicia sesión desde un host que no reconocemos y estamos seguros de que este usuario no tiene una cuenta correspondiente en este host. Estamos bajo ataque en este momento. Para garantizar que la seguridad del sistema se vea comprometida aún más, debemos bloquear inmediatamente la cuenta designada y, si el atacante ha iniciado sesión en el sistema designado, debemos desconectar físicamente inmediatamente el host de la red. Si es posible, debemos verificar más a fondo el historial del usuario y luego verificar cuidadosamente si otros usuarios han sido suplantados y si los permisos del atacante son limitados. Finalmente, debemos eliminar todos los procesos del usuario y cambiar la dirección IP del host; el archivo hosts.deny. 7. Mejorar el mecanismo de seguridad interno del sistema Podemos evitar el desbordamiento del búfer mejorando las funciones internas del sistema operativo Linux, logrando así el propósito de mejorar el mecanismo de seguridad interno del sistema Linux y mejorando en gran medida la seguridad de todo el sistema. . Sin embargo, los desbordamientos del búfer son bastante difíciles de implementar porque un intruso debe poder determinar cuándo ocurrirá un posible desbordamiento del búfer y en qué parte de la memoria ocurrirá. Los desbordamientos del búfer también son difíciles de prevenir. Los administradores del sistema deben eliminar por completo las condiciones de desbordamiento del búfer para evitar este tipo de ataque. Debido a esto, muchas personas, incluso el propio Linux Torvalds, consideran que este parche seguro de Linux es muy importante, ya que previene todos los ataques mediante desbordamientos de búfer. Sin embargo, vale la pena señalar que estos parches también pueden generar dependencias en ciertos programas y bibliotecas en la pila de ejecución, creando así nuevos desafíos para los administradores de sistemas. 8. Rastree y registre el sistema. Para monitorear de cerca las actividades de ataque de los piratas informáticos, debemos iniciar archivos de registro para registrar el funcionamiento del sistema. Cuando los piratas informáticos atacan el sistema, sus pistas se registrarán en los archivos de registro. Hay muchos piratas informáticos que comienzan a atacar el sistema y, a menudo, primero ocultamos nuestros rastros modificando los archivos de registro del sistema. Debemos restringir el acceso al archivo //var/log al archivo //var/log.var/log. prohibir a los usuarios con permisos generales ver archivos de registro. Por supuesto, la funcionalidad del programa de gestión de registros integrado puede no ser muy potente y deberíamos utilizar un programa de registro dedicado para observar esos múltiples intentos de conexión sospechosos. Además, también debemos prestar atención a proteger las contraseñas y los usuarios con privilegios de root, porque una vez que los piratas informáticos conocen estas cuentas con privilegios de root, pueden modificar los archivos de registro para ocultar su paradero. 9. Utilice programas especiales para prevenir la seguridad del sistema. A veces, nos resulta problemático monitorear manualmente la seguridad del sistema o no es completo, por lo que también podemos usar programas profesionales para prevenir la seguridad del sistema. Establecer trampas y configuraciones Honeypot dos métodos. La llamada trampa es un software que puede desencadenar eventos de alarma después de la activación, mientras que los programas honeypot se refieren a programas trampa que atraen específicamente a los intrusos para que intenten activar alarmas especializadas. Al configurar trampas y honeypots, el sistema puede alertar rápidamente cuando ocurre una intrusión. En muchas redes grandes, generalmente se diseñan programas de trampa especiales. Los procedimientos de trampa generalmente se dividen en dos tipos: uno es solo detectar al intruso sin tomar represalias, y el otro es tomar represalias al mismo tiempo. 10. Cortar la intrusión de raíz Una de las cosas más comunes que hace un intruso antes de lanzar un ataque es escanear el número de cola. Si el comportamiento de escaneo del número de cola del intruso se puede descubrir y detener, la incidencia de la intrusión se puede reducir considerablemente. Los sistemas de respuesta pueden variar desde simples filtros de paquetes con estado hasta complejos sistemas de detección de intrusiones o firewalls configurables. Se pueden utilizar herramientas profesionales como Abacus Port Sentry para monitorear interfaces de red e interactuar con firewalls para bloquear ataques de escaneo de puertos. Cuando se está realizando un análisis de puerto, Abacus Sentry puede impedir rápidamente que el análisis continúe.

Sin embargo, si se configura incorrectamente, también puede permitir que personas externas hostiles instalen ataques de denegación de servicio en el sistema. Si se utiliza correctamente, este software puede prevenir eficazmente escaneos masivos de puertos paralelos y bloquear a todos esos intrusos. 11. Administrar estrictamente las contraseñas También hemos dicho antes que una vez que un hacker tiene una cuenta root, puede destruir y atacar el sistema a voluntad, por lo que debemos proteger la contraseña operativa del sistema. Normalmente, las contraseñas de los usuarios se almacenan en el archivo /etc/passwd. Aunque /etc/passwd es un archivo cifrado, los piratas informáticos pueden encontrar la contraseña a través de muchos métodos de búsqueda especializados. Si elegimos una contraseña incorrecta, los piratas informáticos pueden buscarla fácilmente. Por tanto, debemos elegir una contraseña que asegure que no se pueda buscar fácilmente. Además, es mejor instalar una herramienta de filtrado de contraseñas que le ayude a comprobar si las contraseñas que establece son resistentes a los ataques.