Как да защитим Linux сървър

Само защото нямате нищо ценно на сървъра си, не означава, че злонамерени участници(хакери) няма да го насочат към него. Може би си мислите, че тъй като вашият сървър дори не работи с уебсайт, камо ли да съхранява клиентски данни, не е нужно да приемате сериозно сигурността.

Нищо не може да бъде по-далеч от истината. Киберпрестъпниците днес предпочитат да преследват ниско висящите плодове. Те непрекъснато сканират за сървъри с потенциално слаба сигурност. След като идентифицират такава цел, те обикновено могат да извършат атака с груба сила, за да проникнат.

Като собственик на публичен сървър, тежестта за сигурността лежи на вашите рамене. Повечето от нашите сървъри са неуправлявани, което означава, че защитата на сървъра е ваша отговорност . В следващото ръководство ще споделим съвети и прозрения за това как можете да започнете да защитавате сървъра си днес.

Съдържание

1. Какво представлява сигурността на сървъра?
2. Защо някой изобщо би искал да хакне сървъра ми?
3. Как да защитим Linux сървър
   1. Използвайте SSH ключове
   2. Деактивирайте удостоверяването с парола
   3. Настройте hosts.allow и hosts.deny
   4. Уверете се, че са отворени само необходимите портове
   5. Инсталирайте fail2ban и се уверете, че е активен за SSH
   6. Уверете се, че публичните директории имат минимални разрешения
   7. Ограничете кой може да използваsudo
   8. Инсталирайте автоматично актуализации за защита
4. Инструменти за сигурност на Linux, които трябва да знаете
5. ЧЗВ

Какво представлява сигурността на сървъра?

Защитата на сървъра включва процесите и инструментите, използвани за защита на сървър от неоторизиран достъп . Сървърите са основна цел за нападателите, защото лежат в сърцето на организационна мрежа. Те също така често съдържат чувствителни данни, като PII, регистрационни файлове на приложения или изходен код.

Ако сте хоствали уебсайт, той работи на сървър. Ако сте закупили малко място за съхранение от доставчик на облак, то работи на сървър. Ако сте на път да изградите инфраструктурата на вашата компания онлайн, вероятно ще ви трябват много сървъри и впоследствие подходяща сигурност на сървъра в облак.

Въпросът е, че повечето услуги в интернет се извършват чрез сървъри, което прави наложително да ги защитим. Това е особено вярно за сървърите на Linux, тъй като хората често приемат, че са по своята същност защитени.

Въпреки че е вярно, че Linux предлага много повече начини за защита на сървърите от неговите колеги, сигурността не е вградена. Администраторите трябва изрично да изпълняват мерки за сигурност, за да защитят сървърите на Linux. Липсата на сигурност често показва на нападателя, че администраторът на сървъра вероятно е неопитен и следователно е лесна цел.

Защо някой изобщо би искал да хакне сървъра ми?

Знаете ли, че милиарди заявки за кибератаки възникват всеки ден? Разгледайте тази карта за атаки на заплахи на живо . Това, което трябва да разберете, е, че хакерите не седят на компютрите си със сутрешното си кафе и решават към кого да се насочат за деня, тогава те няма да бъдат много успешни.

Вместо това те създават милиони ботове, които непрекъснато автоматично сканират всички публични IP адреси в интернет, всяка секунда от всеки ден. Всъщност всяко ново устройство, което се стартира с публичен IP адрес в интернет, се сканира за слабости в рамките на 30 до 60 СЕКУНДИ от пускането му в реално време. Да, това не беше печатна грешка, това е плашещ факт.

Това означава, че преди дори да сте влезли в сървъра си за първи път, вече има хиляди опити за взлом на него. Често виждаме над 10 000 неуспешни опита за влизане НА ДЕН на някои от нашите клиентски машини, преди да бъдат заключени.

Киберпрестъпниците се насочват към всички видове сървъри. Корпоративни сървъри, споделени хостинг сървъри, AWS инстанции и дори вашия личен сървър без значими данни на него. Те изпращат произволно заявки в интернет, надявайки се на каквато и да е форма на отговор.

Обикновено, ако сървърът отговори, това показва слаба сигурност . Това е сигналът на нападателя да започне атака с груба сила, т.е. да направи хиляди опити да отгатне комбинацията потребителско име-парола на сървъра. След като получат достъп, те използват сървъра като изходна точка за стартиране на своите кампании.

Това може да са наводнения с нежелана поща/спам или атаки за отказ на услуга (DoS). Стартиране на ботнети или реагиращи на злонамерен софтуер или настройване на фишинг сайтове . Те дори биха могли да настроят приложения за копаене на биткойни, които работят във фонов режим и да консумират всички ресурси на вашия сървър .

Така че не само всички чувствителни данни ще бъдат разкрити завинаги , но и вашият сървър ще се превърне в анонимен етап за престъпна дейност , която би било практически невъзможно да се проследи до първоначалните нападатели.

Защо трябва да вземете сериозно киберсигурността

Приемате ли сериозно киберсигурността? Нека разгледаме още няколко причини, поради които това винаги трябва да бъде вашият основен приоритет:

• Предотвратете финансови загуби , които могат да възникнат поради открадната интелектуална собственост, прекъсване на услугите и всякакви глоби, които може да се наложи да платите на регулаторните органи.
• Предотвратете загуба на репутация , която вашият бизнес ще издържи, ако бъде нарушена. Вашите клиенти ще се колебаят да се доверят на вас.
• Предотвратете престой , който е неизбежен резултат след успешна кибератака.
• Предотвратете излагането на чувствителни данни .
• Предотвратете забавянето на вашите уебсайтове . Това може да се случи, ако противници отвличат вашия процесор и RAM, за да стартират злонамерени приложения, които често са ресурсоемки.
• Утвърдете се като надежден чрез прилагане на мерки за сигурност и маркетинг на вашата подобрена позиция за сигурност.

Как да защитим Linux сървър?

Едно от предимствата на използването на Linux е, че предлага толкова много лесни за използване функции за защита на сървър. Нека да разгледаме как да подсигурите сървър:

Използвайте SSH ключове

SSH, или защитена обвивка, е протокол, използван за удостоверяване и комуникация със сървъри. Има няколко начина да използвате SSH за влизане в сървър. Най-лесният метод е използването на удостоверяване, базирано на парола, но не се счита за сигурно.

Много по-безопасна алтернатива е използването на двойки ключове SSH. SSH двойка ключове се състои от криптографски защитени ключове, които гарантират, че само оторизирани клиенти, с правилните ключове, имат достъп до сървъра. Всяка двойка се състои от публичен ключ, който е конфигуриран на сървъра, и частен ключ, който се съхранява тайно от клиента.

За да създадете SSH двойка, изпълнете следните стъпки:

1. Влезте във вашия Linux сървър и въведете ssh-keygen.
2. Натиснете Enter , когато бъдете помолени да посочите директорията.
3. Ако искате да защитите ключа с парола, посочете го в следващата стъпка. В противен случай натиснете Enter .

Това е! Това трябва да създаде файлове с публичен и частен ключ в домашната директория на потребителя ( /home/~/.ssh). За root папката по подразбиране е /root/.ssh/id_rsa.

Файловете обикновено ще бъдат извикани id_rsa.pubи id_rsa. Файлът .pubе публичен ключ. Това може да бъде копирано, за ~/.ssh/authorized_keysда позволи на всеки притежател на двата ключа да получи достъп до сървъра, БЕЗ парола. Предимството на това е, че премахването на ключа премахва и достъпа.

Деактивирайте удостоверяването с парола

Препоръчително е да деактивирате удостоверяването с парола на вашия сървър и винаги да използвате SSH ключове за влизане. Ето как да направите това:

1. Отворете файла /etc/ssh/sshd_configв любимия си редактор.
2. Намерете реда във файла #PasswordAuthentication no, след това премахнете #от началото и променете yesнаno
3. Запазете файла и след това в зависимост от вашия Linux вкус, изпълнете съответната команда, за да рестартирате SSH услугата:
   • За CentOS 7 и 8:sudo systemctl restart sshd
   • За Debian 11:sudo systemctl restart ssh
   • За Ubuntu 20:sudo systemctl restart ssh

Настройте hosts.allow и hosts.deny

Файловете /etc/hosts.allowи /etc/hosts.deny дават на потребителите възможността да дефинират правила, които позволяват достъп само на доверени клиенти. След като създадете файловете и добавите записи към тях, мрежовият демон ще ги консултира всеки път, когато получи нова заявка.

Както показва името, разрешените клиенти трябва да бъдат дефинирани във /etc/hosts.allow файла и ако има клиенти в черен списък, те трябва да бъдат дефинирани във /etc/hosts.deny файла. Като стандартна практика трябва да отхвърлите целия достъп по подразбиране и да разрешите само одобрени, известни хостове. Ето как да конфигурирате това:

1. Създайте и отворете /etc/hosts.deny файла и поставете следния ред вътре:
   ALL: ALL
2. Създайте и отворете /etc/hosts.allowи посочете списък с известни хостове. Например:
   ALL: LOCAL @test_netgroup

Горното правило ще позволи достъп само от ВСИЧКИ хостове в локалния домейн и ВСИЧКИ членове на test_netgroupмрежовата група.

Уверете се, че са отворени само необходимите портове

След като инсталирате и стартирате целия си софтуер, уверете се, че сте проучили на кои портове работи всяко приложение. Изпълнете командата netstat -punta, за да видите кои портове и приложения се изпълняват.

Уверете се, че всеки отворен порт действително е необходим на системата или вашето приложение.
Игнорирайте всички портове, работещи на IP адрес 127.0.0.1, тъй като това е вътрешен IP. Фокусирайте се върху портове, работещи на IP 0.0.0.0 (Всяко IP) или ПУБЛИЧНИЯ IP на вашия сървър. Изключете всички приложения, които не са абсолютно необходими.

Инсталирайте fail2ban и се уверете, че е активен за SSH

Модулът Fail2Ban SSH проверява вашите регистрационни файлове за неуспешни опити за влизане (за SSH). След предварително определен брой неуспешни опити за влизане, той блокира IP адреса на клиента, който се опитва да влезе.

Въпреки това, трябва да инсталирате това само ако НЕ имате инсталиран cPanel. cPanel използва CSF/LFD (Демон за неуспешно влизане), за да направи по същество същото като fail2ban . В Ubuntu fail2ban обикновено се активира по подразбиране за SSH. В CentOS обикновено трябва да го активирате.

Въпреки това, ако по някаква причина fail2ban не е инсталиран/активиран във вашата система, следвайте тези стъпки, за да го направите:

На CentOS 7/8:

sudo yum install epel-release

sudo yum install fail2ban

sudo systemctl enable fail2ban

sudo systemctl start fail2ban

На Ubuntu 20 и Debian 11:

sudo apt update

sudo apt install fail2ban

Уверете се, че публичните директории имат минимални разрешения

Разрешенията често се разбират погрешно и се надценяват като мярка за сигурност. Задаването на правилните разрешения може да поддържа измамно приложение под контрол или да сведе до минимум щетите, причинени от компрометиран акаунт.

Задайте Userи Groupразрешения за файлове И директории, без глобални разрешения . Ако глобалните разрешения не могат да бъдат избегнати, използвайте само за четене .

Ограничете кой може да използва sudo

sudoдава на потребителя възможността да изпълнява команди на други акаунти, включително root. Уверете се, че само оторизирани акаунти имат разрешение за използване sudo. За да направите това, ще трябва да създадете sudousersгрупа и да добавите всички необходими потребители към нея:

1. Създайте нова група:
   sudo groupadd sudousers
2. Добавете всички подходящи потребители към групата: Направете това за всички потребители, които изискват права.
   sudo usermod -a -G sudousers myuser1
sudo usermod -a -G sudousers myuser2
sudo
3. Преди да направим промени във sudoersфайла, нека създадем резервно копие:
   sudo cp --archive /etc/sudoers /etc/sudoers-bak
4. Отворете, за да редактирате sudoersфайла:sudo visudo
5. Добавете следния ред (ако вече не е там):
   %sudousers ALL=(ALL:ALL) ALL

Инсталирайте автоматично актуализации за защита

Наложително е да инсталирате критични актуализации за сигурност на вашия сървър, веднага щом бъдат пуснати. Повечето, ако не всички актуализации на сигурността са корекции за известни уязвимости и грешки, които могат да бъдат използвани от злонамерени участници.

В идеалния случай трябва да можете автоматично да инсталирате актуализации на защитата от официалните доставчици. Може да не е разумно да инсталирате ВСИЧКИ актуализации, тъй като някои могат да повредят операционната система. Въпреки това, критичните актуализации на сигурността не трябва да се избягват или отлагат на всяка цена.

Debian и Ubuntu имат вградени функции, които поддържат автоматично инсталиране на актуализации на защитата. Препоръчваме да го активирате. За CentOS можете да използвате пакета DNF Automatic , за да настроите автоматични актуализации.

Инструменти за сигурност на Linux, които трябва да знаете

Нека завършим този раздел, като разгледаме някои инструменти за сигурност за Linux, в различни категории:

Антивирус / Анти-зловреден софтуер

Нашият любим антивирусен / анти-зловреден софтуер за Linux е ClamAV на Sourcefire . Това е безплатен пакет с отворен код, предназначен за откриване на троянски коне, вируси, злонамерен софтуер и други злонамерени заплахи. Софтуерът включва демон за многонишково сканиране, помощни програми на командния ред за сканиране на файлове при поискване и интелигентен инструмент за автоматични актуализации на подписите.

Софтуер за откриване на проникване (IDS)

Snort е безплатен инструмент с отворен код, който помага при откриването на натрапници и също така подчертава злонамерените атаки срещу системата. Всъщност Snort е просто филтър за пакети. Но истинската стойност на този инструмент се крие в неговото откриване на атаки, базирано на сигнатури, чрез анализиране на пакети, които Wireshark или tcpdump не са в състояние да анализират.

Canarytokens предоставят система за ранно предупреждение, като имитират устройства, файлове или URL адреси, които са привлекателни за нападателите, които шнат около вашата система, и когато се ангажират с вас, се предупреждават автоматично.

Тестване на уязвимостта на уеб сървъра

NIKTO е скенер за уеб сървъри с отворен код, който тества уеб сървърите за потенциално опасни CGI файлове. Той също така извършва специфичен за версията анализ, като например идентифициране на остарели рамки. Трябва да се отбележи, че всеки доклад от тест или проверка не сочи непременно проблем със сигурността, така че внимавайте за фалшиви положителни резултати.

Цялост и сигурност на файловата система

Chkrootkit е безплатен инструмент, предназначен да проверява локално за признаци на инфекция с руткит на вашата Linux машина. Безплатният софтуер е много популярен избор, но Rootkit Hunter ( rkhunter ) е друга алтернатива с подобни мисли.

И двете програми проверяват вашия диск за известен злонамерен софтуер и несигурни настройки. Те могат също така по избор да работят по график, за да ви предупредят за всякакви промени в определени директории или файлове. Друга добра програма за наблюдение на вашите файлове за промени е Tripwire .

Защитни стени и сигурност

Не на последно място, добрата защитна стена може да направи много. Ако не искате да научите iptables , де-факто стандартната защитна стена на Linux, можете да я манипулирате чрез различни опростени интерфейси. Те включват firewalld ( CentOs 7 и по-нови), CSF и UFW (по-често срещани във варианти на Debian като Ubuntu).

Заключение

Надяваме се, че като ви покажем как да защитите Linux сървър, ние направихме интернет малко по-сигурен. Тези основни съвети за сигурност ви помагат да положите сигурна основа, но това е само начало. Сигурността на сървъра не е конфигурация за настройка и забрава, тя изисква постоянна работа и актуализиране .

Киберпрестъпниците и техните милиони автоматизирани ботове не спят. От вас зависи да разширите и поддържате сигурността на сървъра си 24/7 .

Ако нямате този вид време, енергия или умения, тогава управляван сървър би бил решението за вас.

Бъдете информирани за най-новите заплахи за сигурността и новини от реномирани сайтове като The Hacker News и ZDNet . Можете да се абонирате за техните бюлетини за сигурност или просто да ги следвате в предпочитаната от вас платформа за социални медии, за да получавате сигнали и да поддържате системите си БЕЗОПАСНИ.

Честит хостинг :)

ЧЗВ

Какво е киберсигурност?

Киберсигурността се занимава с процеси, инструменти и рамки, използвани за защита на системи, приложения, мрежи и инфраструктури от злонамерени атаки. Тези атаки могат да бъдат фишинг атаки, атаки за откуп, злонамерен софтуер или атаки за отказ на услуга.

Има три основни аспекта на киберсигурността:

• Хора: Всички потребители на система трябва да са наясно с потенциалните рискове, заплахи и уязвимости.
• Процеси: Организациите трябва да имат добре дефинирани процеси и рамки, които диктуват как да защитят системите и данните.
• Технология: Разбира се, киберсигурността не може да бъде приложена без необходимите инструменти. Някои важни инструменти са: системи за управление на самоличността, системи за откриване на проникване, защитни стени и системи за възстановяване при инциденти.

Значение на защитен сървър

Определението за защитени сървъри са уеб сървъри, които използват протокола SSL за криптиране на данни и гарантират сигурна онлайн комуникация и транзакции. Тъй като сървърите са податливи на различни видове прихващащи и разрушителни кибератаки, се препоръчва използването на защитени сървъри, когато е възможно.

Защитените сървъри могат да се използват за различни цели; за хостване на уебсайт, за стартиране на различни приложения и дори като прокси сървъри. Ако съхранявате чувствителни данни, като PII, наложително е да използвате защитен сървър.

Как да защитите сървъра Centos 7

• Използвайте SSH ключове, за да влезете в сървъра. SSH ключовете гарантират, че само законните собственици на тайно пазени частни ключове имат достъп до сървър.
• Изключете напълно удостоверяването с парола.
• Ограничете хората, които имат достъп до sudo.
• Инсталирайте някои реномирани инструменти за сигурност с отворен код, за да подобрите допълнително своя отпечатък. Някои добри опции са Snort, rkhunter и NIKTO.
• Уверете се, че публичните директории имат минимални разрешения.
• Докато дефинирате правила за защитната стена, уверете се, че само необходимите портове са отворени и само необходимите IP адреси имат право да комуникират.

Как да защитим уеб сървър

Има много начини за защита на уеб сървър. Ето няколко:

• Използвайте SSL за криптиране на данни и транзакции.
• Премахнете всички ненужни услуги или приложения.
• Уверете се, че редовно коригирате и инсталирате вашия сървър. Никога не пропускайте критични подобрения на сигурността.
• Уверете се, че използвате сигурни практики за разработка за защита срещу атаки като SQL инжекции, атаки с груба сила и междусайтови скриптове и т.н.
• Използвайте SSH ключове, за да защитите достъпа до уеб сървъра. Изключете напълно удостоверяването с парола.
• Инсталирайте защитна стена и създайте подробни правила за контрол на достъпа.
• Извършвайте постепенно, периодично архивиране.

Какво прави хакерът?

Хакерът в света на киберсигурността е някой, който иска да получи неоторизиран достъп до машина или мрежа. Хакерът обикновено познава различни техники за извършване на кибератаки върху система, като фишинг, социално инженерство, отказ на услуга и атаки с речник.

По-голямата част от хакерите са мотивирани от пари, но има и други, които премахват системи, за да изразят своите политически и идеологически позиции. В зависимост от техния опит и стремежи, хакерите могат да се насочат към нещо толкова малко като личен блог или огромно като правителствена организация.

След като хакер е проникнал успешно в система, той може да открадне, модифицира или повреди чувствителна информация. Те правят това, като инсталират злонамерени приложения, без знанието на собственика.