LFCA: Osnovni sigurnosni savjeti za zaštitu Linux sistema – 17. dio
Sada više nego ikad živimo u svijetu u kojem su organizacije stalno bombardirane sigurnosnim provalama motiviranim akvizicijom vrlo osjetljivih i povjerljivih podataka koji su vrlo vrijedni i predstavljaju ogromnu finansijsku nagradu.
Prilično je iznenađujuće da uprkos velikom riziku od potencijalno razornog cyber napada, većina kompanija nije dobro pripremljena ili jednostavno zanemaruje crvene zastavice, često sa razornim posljedicama.
U 2016. godini, Equifax je pretrpio katastrofalnu provalu podataka u kojoj su milioni visoko povjerljivih podataka o klijentima ukradeni nakon niza sigurnosnih propusta. Detaljan izvještaj je ukazao da je kršenje bilo moguće spriječiti da je sigurnosni tim u Equifaxu primijenio odgovarajuće sigurnosne mjere.
U stvari, mjesecima prije kršenja, Equifax je upozoren na potencijalnu ranjivost na njihovom web portalu koja bi ugrozila njihovu sigurnost, ali nažalost, upozorenje je ostalo bez pažnje sa teškim posljedicama. Mnoge druge velike korporacije postale su žrtve napada, koji svakim trenutkom postaju sve složeniji.
Ne možemo dovoljno naglasiti koliko je sigurnost vašeg Linux sistema ključna. Možda niste finansijska institucija visokog profila koja je potencijalna meta za kršenja, ali to ne znači da biste trebali spustiti oprez.
Sigurnost bi vam trebala biti na prvom mjestu kada postavljate svoj Linux server, posebno ako će biti povezan na internet i pristupiti mu na daljinu. Posjedovanje osnovnih sigurnosnih vještina je neophodno za zaštitu vašeg Linux servera.
U ovom vodiču fokusiramo se na neke od osnovnih sigurnosnih mjera koje možete poduzeti da zaštitite svoj sistem od uljeza.
Vektori cyber napada
Uljezi će iskoristiti razne tehnike napada za pristup vašem Linux serveru. Prije nego što uronimo u neke od mjera koje možete poduzeti da zaštitite svoj sistem, iskoristimo neke od uobičajenih vektora napada koje haker može koristiti za infiltriranje u sisteme.
1. Napadi grube sile
brute-force napad je napad u kojem haker koristi pokušaje i greške da pogodi akreditive za prijavu korisnika. Obično će uljez koristiti automatizirane skripte kako bi kontinuirano ulazio dok se ne dobije prava kombinacija korisničkog imena i lozinke. Ova vrsta napada je najefikasnija kada se koriste slabe i lako pogodne lozinke.
2. Slabi vjerodajnici
Kao što je već spomenuto, slabi vjerodajnici kao što su kratke i lako pogodne lozinke kao što je password1234 predstavljaju potencijalni rizik za vaš sistem. Što je lozinka kraća i manje složena, veće su šanse da vaš sistem bude kompromitovan.
3. Phishing
Phishing je tehnika društvenog inženjeringa u kojoj napadač žrtvi šalje e-poštu za koju se čini da dolazi od legitimne institucije ili nekoga koga poznajete ili s kim poslujete.
Obično e-poruka sadrži upute koje navode žrtvu da otkrije osjetljive informacije ili može sadržavati vezu koja ih usmjerava na lažnu stranicu koja se predstavlja kao stranica kompanije. Jednom kada žrtva pokuša da se prijavi, napadač zarobi njene akreditive.
4. Malware
Zlonamjerni softver je skraćenica za zlonamjerni softver. Obuhvaća širok spektar opakih aplikacija kao što su virusi, trojanci, crvi i ransomware koji su dizajnirani da se brzo šire i drže sistem žrtve kao taoca u zamjenu za otkupninu.
Takvi napadi mogu biti iscrpljujući i mogu paralizirati poslovanje organizacije. Neki zlonamjerni softver se može ubaciti u dokumente kao što su slike, video zapisi, Word ili PowerPoint dokumenti i upakirati u phishing email.
5. Napadi uskraćivanja usluge (DoS)
DoS napad je napad koji ograničava ili utiče na dostupnost servera ili računarskog sistema. Haker preplavljuje server prometom ili ping paketima koji server čine nedostupnim korisnicima na duže vrijeme.
DDoS (Distributed Denial of Service) napad je vrsta DoS-a koji koristi više sistema koji preplavljuju cilj prometom koji ga čini nedostupnim.
6. Napad SQL injekcije
Akronim za Structured Query Language, SQL je jezik koji se koristi za komunikaciju sa bazama podataka. Omogućava korisnicima da kreiraju, brišu i ažuriraju zapise u bazi podataka. Mnogi serveri pohranjuju podatke u relacijske baze podataka koje koriste SQL za interakciju s bazom podataka.
Napad ubrizgavanjem SQL-a koristi poznatu SQL ranjivost zbog koje server otkriva osjetljive informacije baze podataka koje inače ne bi ubacivanjem zlonamjernog SQL koda. Ovo predstavlja ogroman rizik ako baza podataka pohranjuje lične podatke kao što su brojevi kreditnih kartica, brojevi socijalnog osiguranja i lozinke.
7. Čovjek-u-srednjem-napadu
Uobičajeno skraćeno kao MITM, napad čovjek u sredini uključuje napadača koji presreće informacije između dvije tačke s ciljem prisluškivanja ili modifikacije saobraćaja između dvije strane. Cilj je špijunirati žrtvu, pokvariti podatke ili ukrasti osjetljive informacije.
Osnovni savjeti za osiguranje vašeg Linux servera
Nakon što smo pogledali potencijalne gateway-e koje napadač može koristiti da probije vaš sistem, hajde da pređemo na neke od osnovnih mjera koje možete poduzeti da zaštitite svoj sistem.
1. Fizička sigurnost
Ne razmišlja se mnogo o fizičkoj lokaciji i sigurnosti vašeg servera, međutim, ako želite da vaš server bude u lokalnom okruženju, obično je to ono od čega biste počeli.
Važno je osigurati da je vaš server sigurno osiguran u podatkovnom centru s rezervnim napajanjem, redundantnom internet konekcijom i dovoljnim hlađenjem. Pristup podatkovnom centru trebao bi biti ograničen samo na ovlašteno osoblje.
2. Ažurirajte sistemska spremišta i pakete
Kada je server postavljen, prvi korak koji treba poduzeti je ažuriranje spremišta i paketa aplikativnog softvera kako slijedi. Ažuriranjem paketa zakrpaju se sve praznine koje se mogu pojaviti u postojećim verzijama aplikacija.
Za Ubuntu/Debian distribucije:
sudo apt update -y
sudo apt upgrade -y
Za RHEL/CentOS distribucije:
sudo yum upgrade -y
3. Omogućite zaštitni zid
Firewall je aplikacija koja filtrira dolazni i odlazni saobraćaj. Morate instalirati robustan zaštitni zid kao što je UFW firewall i omogućiti ga da dozvoljava samo potrebne usluge i njihove odgovarajuće portove.
Na primjer, možete ga instalirati na Ubuntu koristeći naredbu:
sudo apt install ufw
Jednom instaliran, omogućite ga na sljedeći način:
sudo ufw enable
Da biste dozvolili uslugu kao što je HTTPS, pokrenite naredbu;
sudo ufw allow https
Alternativno, možete dozvoliti njegov odgovarajući port koji je 443.
sudo ufw allow 443/tcp
Zatim ponovo učitajte kako bi promjene stupile na snagu.
sudo ufw reload
Da biste provjerili status vašeg zaštitnog zida, uključujući dozvoljene usluge i otvorene portove, pokrenite
sudo ufw status
4. Isključite sve nepotrebne usluge/portove
Uz to, razmislite o isključivanju svih nekorištenih ili nepotrebnih usluga i portova na firewall-u. Imati više portova koji se ne koriste samo povećava krajolik napada.
5. Sigurnosni SSH protokol
Podrazumevane SSH postavke nisu sigurne i stoga su potrebna neka podešavanja. Obavezno izvršite sljedeće postavke:
- Onemogućite root korisnika iz daljinske prijave.
- Omogućite SSH autentifikaciju bez lozinke pomoću SSH javnih/privatnih ključeva.
Za prvu tačku, uredite datoteku /etc/ssh/sshd_config i modificirajte sljedeće parametre da se pojavljuju kako je prikazano.
PermitRootLogin no
Nakon što onemogućite root korisniku da se prijavljuje na daljinu, kreirajte redovnog korisnika i dodijelite sudo privilegije. Na primjer.
sudo adduser user
sudo usermod -aG sudo user
Da biste omogućili autentifikaciju bez lozinke, prvo prijeđite na drugi Linux PC – po mogućnosti vaš PC i generirajte par SSH ključeva.
ssh-keygen
Zatim kopirajte javni ključ na svoj server
ssh-copy-id user@server-IP
Kada se prijavite, obavezno onemogućite autentifikaciju lozinkom uređujući datoteku /etc/ssh/sshd_config i modifikujući prikazani parametar.
PasswordAuthentication no
Vodite računa da ne izgubite svoj ssh privatni ključ jer je to jedini način koji možete koristiti za prijavu. Čuvajte ga i po mogućnosti napravite sigurnosnu kopiju u oblaku.
Konačno, ponovo pokrenite SSH da biste izvršili promjene
sudo systemctl restart sshd
Sažetak
U svijetu s rastućim sajber prijetnjama, sigurnost bi trebala biti visoki prioritet dok se upustite u postavljanje vašeg Linux servera. U ovom vodiču smo istakli neke od osnovnih sigurnosnih mjera koje možete poduzeti da ojačate svoj server. U sljedećoj temi ćemo ići dublje i pogledati dodatne korake koje možete poduzeti da ojačate svoj server.