Cómo comprobar la seguridad del servidor del sistema Linux
HISTSIZE=0 Por supuesto, también podemos ingresar el siguiente comando directamente en la línea de comando. Por supuesto, también podemos ingresar el siguiente comando directamente en la línea de comando: ln -s /dev/null ~/.bash_history5. Cree atributos de solo lectura para particiones clave. El sistema de archivos de Linux se puede dividir en varias particiones principales, cada una. La partición se utiliza para diferentes propósitos. Para la configuración e instalación, generalmente se deben crear al menos particiones como /, /usr/local, /var y /home. /usr se puede montar como de sólo lectura y se considera no modificable.
Si se modifica algún archivo en /usr, el sistema emitirá una alerta de seguridad inmediatamente. Por supuesto, esto no incluye que los usuarios cambien el contenido en /usr ellos mismos. Lo mismo se aplica a la instalación y configuración de /lib, /boot y /sbin. Siempre que sea posible, deben instalarse como de sólo lectura y cualquier cambio en sus archivos, directorios y propiedades provocará una alerta del sistema. Por supuesto, es imposible configurar todas las particiones principales como de solo lectura. Algunas particiones, como /var, etc., tienen su propia naturaleza que determina que no se pueden configurar como de solo lectura, pero no se les debe permitir. tener permisos de ejecución. 6. Elimine todos los procesos del atacante. Supongamos que en el archivo de registro del sistema encontramos que un usuario inicia sesión desde un host que no reconocemos y estamos seguros de que este usuario no tiene una cuenta correspondiente en este host. Estamos bajo ataque en este momento. Para garantizar que la seguridad del sistema se vea comprometida aún más, debemos bloquear inmediatamente la cuenta designada y, si el atacante ha iniciado sesión en el sistema designado, debemos desconectar físicamente inmediatamente el host de la red. Si es posible, debemos verificar más a fondo el historial del usuario y luego verificar cuidadosamente si otros usuarios han sido suplantados y si los permisos del atacante son limitados. Finalmente, debemos eliminar todos los procesos del usuario y cambiar la dirección IP del host; el archivo hosts.deny. 7. Mejorar el mecanismo de seguridad interno del sistema Podemos evitar el desbordamiento del búfer mejorando las funciones internas del sistema operativo Linux, logrando así el propósito de mejorar el mecanismo de seguridad interno del sistema Linux y mejorando en gran medida la seguridad de todo el sistema. . Sin embargo, los desbordamientos del búfer son bastante difíciles de implementar porque un intruso debe poder determinar cuándo ocurrirá un posible desbordamiento del búfer y en qué parte de la memoria ocurrirá. Los desbordamientos del búfer también son difíciles de prevenir. Los administradores del sistema deben eliminar por completo las condiciones de desbordamiento del búfer para evitar este tipo de ataque. Debido a esto, muchas personas, incluso el propio Linux Torvalds, consideran que este parche seguro de Linux es muy importante, ya que previene todos los ataques mediante desbordamientos de búfer. Sin embargo, vale la pena señalar que estos parches también pueden generar dependencias en ciertos programas y bibliotecas en la pila de ejecución, creando así nuevos desafíos para los administradores de sistemas. 8. Rastree y registre el sistema. Para monitorear de cerca las actividades de ataque de los piratas informáticos, debemos iniciar archivos de registro para registrar el funcionamiento del sistema. Cuando los piratas informáticos atacan el sistema, sus pistas se registrarán en los archivos de registro. Hay muchos piratas informáticos que comienzan a atacar el sistema y, a menudo, primero ocultamos nuestros rastros modificando los archivos de registro del sistema. Debemos restringir el acceso al archivo //var/log al archivo //var/log.var/log. prohibir a los usuarios con permisos generales ver archivos de registro. Por supuesto, la funcionalidad del programa de gestión de registros integrado puede no ser muy potente y deberíamos utilizar un programa de registro dedicado para observar esos múltiples intentos de conexión sospechosos. Además, también debemos prestar atención a proteger las contraseñas y los usuarios con privilegios de root, porque una vez que los piratas informáticos conocen estas cuentas con privilegios de root, pueden modificar los archivos de registro para ocultar su paradero. 9. Utilice programas especiales para prevenir la seguridad del sistema. A veces, nos resulta problemático monitorear manualmente la seguridad del sistema o no es completo, por lo que también podemos usar programas profesionales para prevenir la seguridad del sistema. Establecer trampas y configuraciones Honeypot dos métodos. La llamada trampa es un software que puede desencadenar eventos de alarma después de la activación, mientras que los programas honeypot se refieren a programas trampa que atraen específicamente a los intrusos para que intenten activar alarmas especializadas. Al configurar trampas y honeypots, el sistema puede alertar rápidamente cuando ocurre una intrusión. En muchas redes grandes, generalmente se diseñan programas de trampa especiales. Los procedimientos de trampa generalmente se dividen en dos tipos: uno es solo detectar al intruso sin tomar represalias, y el otro es tomar represalias al mismo tiempo. 10. Cortar la intrusión de raíz Una de las cosas más comunes que hace un intruso antes de lanzar un ataque es escanear el número de cola. Si el comportamiento de escaneo del número de cola del intruso se puede descubrir y detener, la incidencia de la intrusión se puede reducir considerablemente. Los sistemas de respuesta pueden variar desde simples filtros de paquetes con estado hasta complejos sistemas de detección de intrusiones o firewalls configurables. Se pueden utilizar herramientas profesionales como Abacus Port Sentry para monitorear interfaces de red e interactuar con firewalls para bloquear ataques de escaneo de puertos. Cuando se está realizando un análisis de puerto, Abacus Sentry puede impedir rápidamente que el análisis continúe.
Sin embargo, si se configura incorrectamente, también puede permitir que personas externas hostiles instalen ataques de denegación de servicio en el sistema. Si se utiliza correctamente, este software puede prevenir eficazmente escaneos masivos de puertos paralelos y bloquear a todos esos intrusos. 11. Administrar estrictamente las contraseñas También hemos dicho antes que una vez que un hacker tiene una cuenta root, puede destruir y atacar el sistema a voluntad, por lo que debemos proteger la contraseña operativa del sistema. Normalmente, las contraseñas de los usuarios se almacenan en el archivo /etc/passwd. Aunque /etc/passwd es un archivo cifrado, los piratas informáticos pueden encontrar la contraseña a través de muchos métodos de búsqueda especializados. Si elegimos una contraseña incorrecta, los piratas informáticos pueden buscarla fácilmente. Por tanto, debemos elegir una contraseña que asegure que no se pueda buscar fácilmente. Además, es mejor instalar una herramienta de filtrado de contraseñas que le ayude a comprobar si las contraseñas que establece son resistentes a los ataques.