Cómo mejorar la seguridad del sistema operativo Linux

Diez consejos principales para mejorar la seguridad del sistema operativo Linux

Linux es un sistema operativo similar a Unix. En teoría, no existen fallos de seguridad importantes en el diseño del propio Unix. A lo largo de los años, la gran mayoría de los problemas de seguridad encontrados en los sistemas operativos Unix existen principalmente en programas individuales, por lo que la mayoría de los proveedores de Unix afirman ser capaces de resolver estos problemas y proporcionar sistemas operativos Unix seguros. Pero Linux es un poco diferente, porque no pertenece a un determinado fabricante y ningún fabricante afirma ofrecer garantías de seguridad para él, por lo que los usuarios tienen que resolver los problemas de seguridad por sí mismos. Linux tiene muchas ventajas en términos de funcionalidad, precio o rendimiento. Sin embargo, como sistema operativo abierto, inevitablemente tiene algunos riesgos de seguridad. Respecto a cómo solucionar estos peligros ocultos y proporcionar una plataforma operativa segura para las aplicaciones, este artículo te contará algunos de los trucos más básicos, más utilizados y también los más efectivos.

Linux es un sistema abierto y en Internet se pueden encontrar muchos programas y herramientas listos para usar. Esto es conveniente tanto para los usuarios como para los piratas informáticos, porque también pueden encontrar fácilmente programas y herramientas para introducirse en Linux. sistema, o robar información importante en el sistema Linux. Sin embargo, siempre que configuremos cuidadosamente varias funciones del sistema Linux y agreguemos las medidas de seguridad necesarias, los piratas informáticos podrán aprovecharlas.

En términos generales, la configuración de seguridad para los sistemas Linux incluye la cancelación de servicios innecesarios, la restricción del acceso remoto, la ocultación de datos importantes, la reparación de agujeros de seguridad, el uso de herramientas de seguridad y controles de seguridad periódicos. Este artículo le enseña diez trucos para mejorar la seguridad de su sistema Linux. Aunque el truco no es muy grande, funciona, así que también puedes intentarlo.

Paso 1: Cancelar servicios innecesarios

En las primeras versiones de Unix, cada servicio de red diferente tenía un programa de servicio ejecutándose en segundo plano. Las versiones posteriores usaban un programa de servidor unificado /etc/inetd. desempeña este importante papel. Inetd es la abreviatura de Internetdaemon. Supervisa varios puertos de red al mismo tiempo. Una vez que recibe información de conexión del mundo exterior, ejecuta el servicio de red TCP o UDP correspondiente.

Debido a que están bajo el comando unificado de inetd, la mayoría de los servicios TCP o UDP en Linux se configuran en el archivo /etc/inetd.conf. Por lo tanto, el primer paso para cancelar servicios innecesarios es verificar el archivo /etc/inetd.conf y agregar un signo "#" antes de los servicios innecesarios.

En términos generales, a excepción de ftp y ftp, se deben cancelar otros servicios, como el protocolo simple de transferencia de archivos tftp, el protocolo de transferencia imap/ipop para el almacenamiento y recepción de correo en red y gopher para buscar y buscar información. Así como el día y la hora para sincronización horaria, etc.

También hay algunos servicios que informan el estado del sistema, como finger, efinger, systat y netstat. Aunque son muy útiles para comprobar errores del sistema y encontrar usuarios, también proporcionan una puerta conveniente para los piratas informáticos. Por ejemplo, los piratas informáticos pueden utilizar el servicio Finger para encontrar el número de teléfono del usuario, el directorio de uso y otra información importante. Por lo tanto, muchos sistemas Linux cancelan total o parcialmente estos servicios para mejorar la seguridad del sistema.

Además de usar /etc/inetd.conf para configurar elementos de servicio del sistema, Inetd también usa el archivo /etc/services para encontrar los puertos utilizados por varios servicios. Por lo tanto, los usuarios deben verificar cuidadosamente la configuración de cada puerto en el archivo para evitar vulnerabilidades de seguridad.

Hay dos tipos de servicios diferentes en Linux: uno es un servicio que solo se ejecuta cuando es necesario, como el servicio finger; el otro es un servicio que siempre se ejecuta y nunca se detiene; Este tipo de servicio comienza a ejecutarse cuando se inicia el sistema, por lo que no puede detener su servicio modificando inetd. Solo puede modificarlo modificando el archivo /etc/rc.d/rc[n].d/ o usando el editor de nivel de ejecución. . Los servidores NFS que brindan servicios de archivos y noticias que brindan servicios de noticias NNTP pertenecen a este tipo de servicios. Si no es necesario, lo mejor es cancelar estos servicios.

Paso 2: Restringir el acceso al sistema

Antes de ingresar al sistema Linux, todos los usuarios deben iniciar sesión, es decir, los usuarios deben ingresar su cuenta de usuario y contraseña, y solo ellos pasan a través del sistema Después de la verificación, el usuario puede ingresar al sistema.

Al igual que otros sistemas operativos Unix, Linux generalmente cifra las contraseñas y las almacena en el archivo /etc/passwd. Todos los usuarios del sistema Linux pueden leer el archivo /etc/passwd. Aunque las contraseñas guardadas en el archivo han sido cifradas, todavía no son seguras. Porque los usuarios normales pueden utilizar herramientas de descifrado de contraseñas listas para usar para adivinar contraseñas mediante métodos exhaustivos. Un método más seguro es configurar el archivo sombra /etc/shadow y solo permitir que los usuarios con permisos especiales lean el archivo.

En los sistemas Linux, si desea utilizar archivos ocultos, todos los programas públicos deben volver a compilarse para admitir archivos ocultos. Este método es más problemático y un método más sencillo es utilizar un módulo de autenticación complementario (PAM). Muchos sistemas Linux vienen con el programa de utilidad PAM de Linux, que es un mecanismo de autenticación que se puede utilizar para cambiar dinámicamente los métodos y requisitos de autenticación sin necesidad de volver a compilar otros programas de utilidad. Esto se debe a que PAM adopta un enfoque de paquete cerrado y oculta toda la lógica relacionada con la autenticación dentro del módulo, por lo que es la mejor ayuda para usar archivos ocultos.

Además, PAM tiene muchas funciones de seguridad: puede reescribir el método de cifrado DES tradicional en otros métodos de cifrado más potentes para garantizar que las contraseñas de los usuarios no se puedan descifrar fácilmente; se puede configurar para limitar los recursos de la computadora utilizados; cada usuario; incluso puede configurar la hora y la ubicación de la computadora del usuario.

Los administradores de sistemas Linux solo necesitan dedicar unas pocas horas a instalar y configurar PAM, lo que puede mejorar enormemente la seguridad del sistema Linux y bloquear muchos ataques del sistema.

Paso 3: Mantenga el núcleo del sistema más reciente

Dado que existen muchos canales de distribución para Linux y con frecuencia aparecen programas actualizados y parches del sistema, para mejorar la seguridad del sistema, debe actualizar con frecuencia Actualice el kernel del sistema.

El kernel es el núcleo del sistema operativo Linux. Reside en la memoria y se utiliza para cargar otras partes del sistema operativo e implementar las funciones básicas del sistema operativo. Dado que el Kernel controla diversas funciones de computadoras y redes, su seguridad es crucial para la seguridad de todo el sistema.

Las primeras versiones del Kernel tenían muchas vulnerabilidades de seguridad conocidas y no eran muy estables. Sólo las versiones superiores a 2.0.x son relativamente estables y seguras, y la eficiencia operativa de la nueva versión también ha mejorado enormemente. Al configurar las funciones del Kernel, seleccione solo las funciones necesarias. Nunca acepte todas las funciones según lo ordenado; de lo contrario, el Kernel se volverá muy grande, ocupando recursos del sistema y dejando oportunidades para que los piratas informáticos las aprovechen.

Los últimos parches de seguridad suelen estar disponibles en Internet. Los administradores de sistemas Linux deben estar bien informados y frecuentar grupos de noticias de seguridad para comprobar si hay nuevos parches.

Paso 4: Verifique la contraseña de inicio de sesión

Establecer una contraseña de inicio de sesión es una medida de seguridad muy importante. Si la contraseña del usuario no está configurada correctamente, se puede descifrar fácilmente, especialmente si lo es. un usuario con derechos de superusuario Si no hay una buena contraseña, se producirán grandes agujeros de seguridad en el sistema.

En un sistema multiusuario, obligar a cada usuario a elegir una contraseña difícil de adivinar mejorará enormemente la seguridad del sistema. Pero si el programa passwd no puede obligar a todos los usuarios de la computadora a usar una contraseña adecuada, para garantizar la seguridad de la contraseña, solo puede confiar en el programa para descifrar contraseñas.

De hecho, el programa para descifrar contraseñas es una herramienta en la caja de herramientas del hacker. Utiliza un programa para cifrar las contraseñas de uso común o todas las palabras del diccionario de inglés que pueden usarse como contraseñas en contraseñas, y luego. Compárelo con el archivo de contraseña /etc/passwd o el archivo sombra /etc/shadow del sistema Linux. Si se encuentra una contraseña coincidente, se puede obtener el código claro.

Puedes encontrar muchos programas para descifrar contraseñas en Internet, el programa más famoso es crack. Los usuarios primero pueden realizar el programa de descifrado de contraseñas ellos mismos para descubrir las contraseñas que son fáciles de descifrar por los piratas informáticos. Siempre es más beneficioso corregirlas primero que ser descifradas por los piratas informáticos.

Paso 5: Establecer el nivel de seguridad de las cuentas de usuario

Además de las contraseñas, las cuentas de usuario también tienen niveles de seguridad. Esto se debe a que a cada cuenta se le puede asignar un nivel de seguridad diferente en Linux. Permisos, por lo que al crear una nueva ID de usuario, el administrador del sistema debe otorgar a la cuenta diferentes permisos según sea necesario y fusionarla en diferentes grupos de usuarios.

En tcpd en un sistema Linux, puede configurar una lista de personas a las que se les permite abordar la computadora y aquellas a las que no se les permite abordar la computadora. Entre ellos, la lista de personas a las que se les permite usar la computadora se establece en /etc/hosts.allow, y la lista de personas a las que no se les permite usar la computadora se establece en /etc/hosts.deny. Una vez completada la configuración, deberá reiniciar el programa inetd para que surta efecto. Además, Linux registrará automáticamente los resultados de permitir o no permitir la entrada al archivo /rar/log/secure, para que los administradores del sistema puedan detectar registros de entrada sospechosos.

Cada ID de cuenta debe tener una persona dedicada y responsable de ella. En una empresa, si el empleado responsable de una identificación deja la empresa, el administrador debe eliminar inmediatamente la cuenta del sistema. Muchas intrusiones se deben a cuentas que no se han utilizado durante mucho tiempo.

Entre las cuentas de usuario, a los piratas informáticos les gustan más las cuentas con privilegios de root. Este tipo de superusuario tiene derecho a modificar o eliminar varias configuraciones del sistema y puede operar sin obstáculos en el sistema. Por lo tanto, debes pensarlo detenidamente antes de otorgar privilegios de root a cualquier cuenta.

El archivo /etc/securetty en el sistema Linux contiene un conjunto de nombres de terminales en los que se puede iniciar sesión con la cuenta raíz. Por ejemplo, en el sistema RedHatLinux, el valor inicial de este archivo solo permite que la consola virtual local (rtys) inicie sesión con privilegios de root, pero no permite que los usuarios remotos inicien sesión con privilegios de root. Es mejor no modificar este archivo. Si debe iniciar sesión de forma remota para obtener privilegios de root, es mejor iniciar sesión primero con una cuenta normal y luego usar el comando su para actualizar al superusuario.

Paso 6: Eliminar el foco de crímenes de los hackers

En los sistemas Unix existen una serie de utilidades con el prefijo r. Son armas que utilizan los hackers para invadir y son muy peligrosas. , así que nunca abra su cuenta raíz a estas utilidades. Dado que se accede a estas utilidades mediante el archivo .rhosts o el archivo hosts.equiv, asegúrese de que la cuenta raíz no esté incluida en estos archivos.

Dado que el comando del prefijo r es un semillero de piratas informáticos, muchas herramientas de seguridad están diseñadas para atacar esta vulnerabilidad de seguridad. Por ejemplo, la herramienta PAM se puede utilizar para desactivar la potencia de la utilidad r. Agrega un comando que debe aprobarse antes de iniciar sesión en el archivo /etc/pam.d/rlogin, para que los usuarios de todo el sistema no puedan utilizarlo. su propio archivo home.rhosts en el directorio.

Paso 7: Mejorar las herramientas de protección de seguridad

SSH es la abreviatura de Secure Socket Layer. Es un conjunto de programas que se pueden utilizar de forma segura para reemplazar utilidades como rlogin, rsh y. grupo rcp. SSH utiliza tecnología de clave pública para cifrar información de comunicación entre dos hosts en la red y utiliza su clave como herramienta de autenticación.

Debido a que SSH cifra la información en la red, se puede utilizar para iniciar sesión en un host remoto de forma segura y transferir información de forma segura entre dos hosts. De hecho, SSH no sólo puede garantizar una comunicación segura entre hosts de Linux, sino que los usuarios de Windows también pueden conectarse de forma segura a servidores Linux a través de SSH.

Paso 8: Limitar el poder del superusuario

Mencionamos anteriormente que root es el foco de la protección de Linux. Dado que tiene poder ilimitado, es mejor no autorizar al superusuario. usuario salir fácilmente. Sin embargo, la instalación y el mantenimiento de algunos programas deben requerir permisos de superusuario. En este caso, se pueden utilizar otras herramientas para permitir que dichos usuarios tengan permisos de superusuario parciales. Sudo es una de esas herramientas.

El programa Sudo permite a los usuarios normales iniciar sesión nuevamente con su propia contraseña después de los ajustes de configuración y obtener privilegios de superusuario, pero solo pueden ejecutar un número limitado de instrucciones. Por ejemplo, después de aplicar sudo, el administrador que administra la copia de seguridad en cinta puede iniciar sesión en el sistema a tiempo todos los días y obtener permisos de superusuario para realizar trabajos de copia de seguridad de documentos, pero no tiene el privilegio de realizar otras tareas que solo los superusuarios pueden realizar. .

Sudo no solo limita los permisos del usuario, sino que también registra las instrucciones ejecutadas cada vez que se usa sudo, independientemente de si la instrucción se ejecuta con éxito o falla. En las grandes empresas, a veces hay muchas personas administrando diferentes partes del sistema Linux al mismo tiempo. Cada administrador tiene la capacidad de usar sudo para otorgar derechos de superusuario a ciertos usuarios. Desde los registros de sudo, puede rastrear quién realizó el corte. ¿Qué partes del sistema se ven afectadas por el plan apresurado?

Vale la pena señalar que sudo no puede restringir todos los comportamientos del usuario, especialmente cuando algunos comandos simples no están restringidos, los piratas informáticos pueden abusar de ellos. Por ejemplo, los piratas informáticos pueden utilizar el comando /etc/cat, que generalmente se utiliza para mostrar el contenido de los archivos, para modificar o eliminar algunos archivos importantes si tiene privilegios de superusuario.

Paso 9: Rastree los rastros de los piratas informáticos

Después de haber configurado cuidadosamente varias configuraciones relacionadas con Linux e instalado las herramientas de protección de seguridad necesarias, el sistema operativo Linux La seguridad de hecho ha sido ha mejorado mucho, pero no garantiza que impida la intrusión de aquellos atrevidos piratas informáticos de la red que son expertos en el arte. En tiempos normales, los administradores de red siempre deben estar atentos, prestar atención a diversas situaciones sospechosas en cualquier momento y verificar varios archivos de registro del sistema con regularidad, incluidos registros de información general, registros de conexión de red, registros de transferencia de archivos y registros de inicio de sesión de usuarios. Al verificar estos registros, preste atención a si hay registros de tiempo irrazonables. Por ejemplo:

·Los usuarios normales inician sesión a medianoche;

·Registros de registro anormales, como que solo se registra la mitad del registro y luego se corta, o se corta todo el archivo de registro. eliminados;

p>

·Los usuarios ingresaron al sistema desde URL desconocidas;

·Registros de registro que fueron descartados debido a contraseñas incorrectas o cuentas de usuario incorrectas, especialmente aquellas que no ingrese después de repetidos intentos, pero hubo un cierto patrón de método de prueba y error;

·Uso ilegal o uso inadecuado de los privilegios de superusuario su comando;

·Registros de reinicio o reinicio. varios servicios.

Top 10: Utilice la misma defensa para garantizar la seguridad

Desde la perspectiva de la seguridad informática, no existe en el mundo un sistema informático absolutamente hermético y 100% seguro, y los sistemas Linux sí lo son. Tampoco hay excepciones. Aunque las reglas de seguridad anteriores pueden mejorar en gran medida la seguridad del sistema Linux y evitar que los piratas informáticos y los jugadores informáticos entren fácilmente, es posible que no necesariamente detengan a los maestros de artes marciales con habilidades únicas. Por lo tanto, los usuarios empresariales también deben hacerlo mediante el uso de firewalls y. Otras herramientas de seguridad para evitar intrusiones de piratas informáticos pueden hacer que el sistema sea infalible.