Mevcut bir Linux sunucusunu yönetmem gerektiğinde, güvenli olup olmadığını kontrol etmenin en iyi yolu nedir?

9

Yeni bir güvenli sunucunun nasıl kurulacağına dair birçok öğretici vardır .

Ama bir süre önce başka birinin kurmuş olduğu bir sunucuyu yönetmem gerekirse ve yapılandırması hakkında henüz fazla bir bilgim yoksa ne olur?

"Olağan şüphelileri" otomatik olarak kontrol eden bir araç veya açık bir güvenlik boşluğu olmadığından emin olmak için geçebileceğim bir kontrol listesi var mı? Güvenlik açıklarını uzaktan kontrol eden web hizmetleri var mı?

linux  security 
Daniel Rikowski
kaynak

Yanıtlar:

13

Nessus'u indirin ve üzerinde bir ağ kontrolü yapın. Size uzaktan sömürülebilir güvenlik açıkları hakkında bilgi verilecektir.

Ayrıca, Ossec'i yükleyin ; birincil amacı olmasa da, bazı yaygın yanlış yapılandırmalar (örneğin yanlış yapılandırılmış hesaplar) bulur. Ve birincil işlevi - ana bilgisayar tabanlı izinsiz giriş tespiti - birinin güvenlik açıklarından yararlanmaya çalışıp çalışmadığını bulmaya yardımcı olacaktır.

Nixar
kaynak
5
Nessus artık açık kaynak değil. Açık kaynaklı çatalına openvas denir.
İsimsiz
1
Biliyorum. Ama yine de bira gibi serbest IIRC ve poster asla sadece F / OSS istediğini söylemedi.
niXar
+1 Nessus çok iyi, ben de gerçekleştirirdim ve Nmap taraması sonuçları Nessus'a yüklerken bazı durumlarda birkaç güvenlik açığı yakalamasına yardımcı olabilir.
Mark Davidson
1
OSSEC için +1. Ayrıca bağımsız olarak çalıştırabileceğiniz bir rootkit / sistem denetim modülüne sahiptir: ossec.net/rootcheck
sucuri
5

Internet Security Center'ın "benchmark" kontrol listelerinden başlayacağım . Bunlar, çeşitli platformlar ve yazılım paketleri için güvenlik uzmanları tarafından derlenen fikir birliğine dayalı kontrol listeleridir. Kontrol listeleri tarafından belirtilen veya güvenlik sorunlarını gidermenize yardımcı olacak başka bir şekilde yaygın olarak önerilen bazı araçlar:

  • Nessus / OpenVAS (güvenlik açığı tarayıcı)
  • Nmap (bağlantı noktası tarayıcı)
  • TCPdump / Wireshark (libpcap paket yakalama)
  • SNORT (saldırı tespit sistemi)

(tcpdump varsayılan olarak birçok linux sistemine yüklenir veya paket deposundan kolayca kurulabilir ve kapsamlı bir el kitabı vardır)

Bu, çalıştığınız şirket içinse, güvenlik analizinin yönetim tarafından yetkilendirildiğinden ve taramaların herhangi bir kesinti veya uygulama sersemliğine neden olmayacağından emin olun. Evet, basit bir bağlantı noktaları sorunlara neden olabilir - bağlantı noktaları eski HP Laserjet yazıcılarda olabilir ve çok miktarda kağıt tükürür.

jtimberman
kaynak
4

Çok hızlı bir ilk kontrol olarak:

Çalıştırmak

netstat -ltnp

kök olarak. Bu, ağda dinleyen tüm hizmetleri gösterecektir:

Bu size hemen kapatmak istediğiniz şeyleri gösterebilir. Daha sonra diğer cevaplardaki çözümlere devam edebilirsiniz.

Çalışması gereken ancak dışarıdan erişilemeyen (yerel bir DB sunucusu gibi) hizmetler için, yapılandırmayı yalnızca localhost / 127.0.0.1'de dinleyecek şekilde değiştirmeyi düşünün. Bu şekilde yalnızca yerel kullanıcılar tarafından erişilebilir.

sleske
kaynak
4

Bastille-Linux'u http://www.bastille-unix.org/ adresinden kontrol edebilirim, çalıştırabileceğiniz bir dizi komut dosyası ve sistem ayarlarını, dosya izinlerini, kullanıcı ayarlarını vb. kendi kutularımda bir veya iki kez ve varsayılan yüklemelerde sorun bulursa (çoğunlukla rsh / rsync araçlarında r_x). Html / java + curses / düz metin olarak çıktı verir.

Jimsmithkka
kaynak
3

Ne dağıtımı?

Genel:

  • Iptables ve / veya güvenlik duvarı ayarlarını gözden geçirme
  • SSHD yapılandırmalarını inceleyin
  • Harici olarak erişilebilir tüm hizmet yapılandırmalarını inceleyin
  • Mevcut en son yazılımı kullandığınızdan emin olun
  • Çekirdek güvenlik açıklarını kontrol edin (uname -a ve sonra google)
  • Düzenlenebilir dosyalardaki kullanıcı iznini ve grup izinlerini gözden geçirme
David Rickman
kaynak
Özel dağıtım yok / tüm dağıtımlar
Daniel Rikowski
Ayrıca, kurulu paketlerin bir listesini almak isteyebilirsiniz. Debian dağıtımları için dpkg --get-selectionler> loaded_pkgs.txt gibi bir şey.
David Rickman
2
Ayrıca, kolay arka kapıları ortadan kaldırmak için hesapların parolaları ayarlanmış, giriş kabuklarının ne olduğunu vb.Gibi olağandışı setuid / setgid dosyalarını kontrol etmeniz gerekebilir.
mas
Büyük öneri mas, onu tamamen unuttum, bu potansiyel olarak büyük bir delik.
David Rickman
3

Başka bir iyi kontrol, ağdaki başka bir ana bilgisayardan nmap ana bilgisayar adını çalıştırmaktır . Bu, netstat'ın ev sahibinde ne gösterdiğine dair bir yabancı görüşü verir.

kmarsh
kaynak
3

Endişeniz varsa, bahsettiğiniz öğreticileri takip etmenizi ve sunucuyu yeniden oluşturmanızı öneririm. Özellikle diğer yöneticinin kötü bir şey bırakmış olabileceğini düşünüyorsanız. Yeni yönetici olarak, yine de çalıştırdığı hizmeti nasıl dağıtacağınızı bilmelisiniz.

Öncelikle her şeyi yedeklediğinizden emin olun, gerçekten doğru yaptığınızdan emin olmak için tüm bölümleri görüntüleyebilirsiniz.

Patronun sana izin vermiyorsa, o zaman diğer herkes bana iyi geliyor :-)

Kyle Brandt
kaynak
+1: Oluşturma / yapılandırma belgelenmemişse ve zamanınız varsa, belki de yeniden oluşturma fırsatını kullanın. Daha sonraki bir tarihte baskı altında yapmak yerine. Ardından güvenli olduğundan ve ileride başvurmak üzere belgelendiğinden emin olabilirsiniz.
Dan Carley
2

Buradaki çok iyi yanıtlara ek olarak, http://www.sans.org/ adresini ziyaret edin . "Derinlemesine savunma" konusunu daha iyi anlamak için biraz okumaya hazırsanız çok iyi belgelere sahiptirler.

Çok temel binalardan bazıları:

  • sunucularınızı yamalı tutun
  • yalnızca çalışması gereken hizmetleri çalıştırın
  • sunucuya kullanıcı erişimini sınırla
Greeblesnort
kaynak
1
Yalnızca ağdan değil, fiziksel erişimi de sınırlamayı unutmayın.
iny
1

Ayrıca chkrootkit'i deneyin , çoğu dağıtımın standart deposunda gelir ve yine de kurulumu çok kolaydır. Sisteminizde bilinen birçok güvenlik açığı, rootkit ve solucan olup olmadığını kontrol eder.

wazoox
kaynak
1

Eğer sistem için bir fikir edinmesini yapabilecekleri şey olduğunu fark (aynı güncellemeler uygulanmış.) / Etc klasörü taze karşı yüklemek Eğer güvenlik kaygılarını orada odaklanabilirsiniz böylece bu nelerin değiştiğini söyleyecektir.

Chris Nava
kaynak
1

Mas'ın söylediklerini genişletmek için, sistemdeki tüm setuid ve setgid dosyalarını gözden geçirilmek üzere listelemek için basit bir bulma komutu.

find / -type f \( -perm -4000 -o -perm -2000 \) -print

Tabii ki, diğerlerinin söylediği gibi, tüm bunlar makinenin üzerinde zaten bir rootkit bulunmadığını varsayar ...

başsız çivi
kaynak
1

Chrootkit / rkhunter uzun asılı meyvelerdir. Bir rootkit yüklüyse, bildirilen her şey tehlikeye girecek ve bu yüzden fazla yardımcı olmayacaktır, bu yüzden lütfen bunları bilinen bir kaynaktan indirin, zaten kutuda bulunanları kullanmayın. Bir başka iyi hile, iyi olduğunu bildiğiniz bir çekirdeği kurmaktır (paketlerden veya kendi rulolarınızı). Arka kapıları kontrol edin (lsof -i ve 0 uid root olmayan hesaplar). Güvenlik duvarı kurallarını denetlemek size genellikle önceki yöneticilerin alışkanlıkları hakkında çok şey söyleyebilir. Üzerine bir wireshark / snort koyun, olağandışı bir şey tespit etmeye çalışın. Günlüklerin nereye gittiğine bakın. Olağandışı komutlar için tüm .profile / .bashrc dosya türlerine bakın. Tehlikeli ana bilgisayarlar için .ssh / known_hosts dosyasına bakın.

Marcin
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.