LFCA – Korisni savjeti za osiguranje podataka i Linux – 18. dio

Od svog objavljivanja ranih devedesetih, Linux je osvojio divljenje tehnološke zajednice zahvaljujući svojoj stabilnosti, svestranosti, prilagodljivosti i velikoj zajednici programera otvorenog koda koji rade 24 sata na dan kako bi pružili ispravke grešaka i poboljšanja na operativni sistem. Uglavnom, Linux je operativni sistem izbora za javni oblak, servere i superkompjutere, a blizu 75% proizvodnih servera okrenutih prema Internetu radi na Linuxu.

Osim što pokreće internet, Linux je pronašao put do digitalnog svijeta i od tada ne jenjava. Pokreće široku lepezu pametnih uređaja uključujući Android pametne telefone, tablete, pametne satove, pametne ekrane i još mnogo toga.

Je li Linux toliko siguran?

Linux je poznat po svojoj vrhunskoj sigurnosti i to je jedan od razloga zašto je omiljeni izbor u poslovnim okruženjima. Ali evo činjenice, nijedan operativni sistem nije 100% siguran. Mnogi korisnici vjeruju da je Linux siguran operativni sistem, što je pogrešna pretpostavka. U stvari, svaki operativni sistem s internetskom vezom podložan je potencijalnim provalama i napadima zlonamjernog softvera.

Tokom svojih ranih godina, Linux je imao mnogo manju demografsku grupu usmjerenu na tehnologiju i rizik od napada zlonamjernog softvera bio je mali. Danas Linux pokreće ogroman dio interneta, a to je pokrenulo rast okruženja prijetnji. Prijetnja od napada zlonamjernog softvera stvarnija je nego ikad.

Savršen primjer napada zlonamjernog softvera na Linux sisteme je Erebus ransomware, zlonamjerni softver za šifriranje datoteka koji je zahvatio blizu 153 Linux servera NAYANA, južnokorejske kompanije za web hosting.

Iz tog razloga, pametno je dodatno ojačati operativni sistem kako biste mu pružili toliko željenu sigurnost za zaštitu vaših podataka.

Savjeti za učvršćivanje Linux servera

Osiguravanje vašeg Linux servera nije tako komplikovano kao što mislite. Sastavili smo listu najboljih sigurnosnih politika koje trebate implementirati da biste ojačali sigurnost vašeg sistema i održali integritet podataka.

1. Redovno ažurirajte softverske pakete

U početnim fazama kršenja Equifaxa, hakeri su iskoristili nadaleko poznatu ranjivost – Apache Struts – na Equifaxovom web portalu za žalbe korisnika.

Apache Struts je okvir otvorenog koda za kreiranje modernih i elegantnih Java web aplikacija koje je razvila Apache Foundation. Fondacija je 7. marta 2017. objavila zakrpu za popravljanje ranjivosti i izdala saopštenje u tom smislu.

Equifax je obaviješten o ranjivosti i savjetuje se da zakrpi svoju aplikaciju, ali nažalost, ranjivost je ostala nezakrpljena do jula iste godine kada je bilo prekasno. Napadači su bili u mogućnosti da dobiju pristup mreži kompanije i eksfiltriraju milione povjerljivih podataka o korisnicima iz baza podataka. Dok je Equifax saznao šta se dešava, već su prošla dva mjeseca.

Dakle, šta možemo naučiti iz ovoga?

Zlonamjerni korisnici ili hakeri će uvijek ispitati vaš server u potrazi za mogućim softverskim ranjivostima koje onda mogu iskoristiti da provale vaš sistem. Da biste bili sigurni, uvijek ažurirajte svoj softver na njegove trenutne verzije kako biste primijenili zakrpe na sve postojeće ranjivosti.

Ako koristite Ubuntu ili Debian sisteme, prvi korak je obično ažuriranje popisa paketa ili spremišta kao što je prikazano.

sudo apt update

Da biste provjerili ima li svih paketa sa dostupnim ažuriranjima, pokrenite naredbu:

sudo apt list --upgradable

Nadogradite svoje softverske aplikacije na njihove trenutne verzije kao što je prikazano:

sudo apt upgrade

Možete spojiti ovo dvoje u jednu naredbu kao što je prikazano.

sudo apt update && sudo apt upgrade

Za RHEL & CentOS nadogradite svoje aplikacije pokretanjem naredbe:

sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )

Još jedna održiva opcija je da omogućite automatska sigurnosna ažuriranja za Ubuntu i također postavite automatska ažuriranja za CentOS/RHEL.

2. Uklonite naslijeđene komunikacijske usluge/protokole

Uprkos svojoj podršci za bezbroj udaljenih protokola, naslijeđene usluge kao što su rlogin, telnet, TFTP i FTP mogu predstavljati velike sigurnosne probleme za vaš sistem. To su stari, zastarjeli i nesigurni protokoli gdje se podaci šalju u običnom tekstu. Ako postoje, razmislite o njihovom uklanjanju kao što je prikazano.

Za Ubuntu/Debian sisteme, izvršite:

sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Za RHEL/CentOS sisteme, izvršite:

sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Zatvorite neiskorištene portove na zaštitnom zidu

Nakon što uklonite sve nesigurne usluge, važno je skenirati vaš server u potrazi za otvorenim portovima i zatvoriti sve neiskorištene portove koje hakeri potencijalno mogu koristiti kao ulaznu tačku.

Pretpostavimo da želite blokirati port 7070 na UFW firewall-u. Naredba za ovo će biti:

sudo ufw deny 7070/tcp

Zatim ponovo učitajte zaštitni zid kako bi promjene stupile na snagu.

sudo ufw reload

Za Firewalld pokrenite naredbu:

sudo firewall-cmd --remove-port=7070/tcp  --permanent

I zapamtite da ponovo učitate zaštitni zid.

sudo firewall-cmd --reload

Zatim unakrsno provjerite pravila zaštitnog zida kao što je prikazano:

sudo firewall-cmd --list-all

4. Sigurnosni SSH protokol

SSH protokol je udaljeni protokol koji vam omogućava bezbedno povezivanje sa uređajima na mreži. Iako se smatra sigurnim, zadane postavke nisu dovoljne i potrebna su neka dodatna podešavanja kako bi se zlonamjerni korisnici dodatno spriječili da provale vaš sistem.

Imamo sveobuhvatan vodič o tome kako ojačati SSH protokol. Evo glavnih naglasaka.

  • Konfigurirajte SSH prijavu bez lozinke i omogućite autentifikaciju privatnog/javnog ključa.
  • Onemogućite SSH udaljenu root prijavu.
  • Onemogućite SSH prijave korisnika s praznim lozinkama.
  • Potpuno onemogućite autentifikaciju lozinkom i držite se provjere autentičnosti privatnog/javnog ključa SSH.
  • Ograničite pristup određenim SSH korisnicima.
  • Konfigurirajte ograničenje za pokušaje lozinke.

5. Instalirajte i omogućite Fail2ban

Fail2ban je sistem za prevenciju upada otvorenog koda koji štiti vaš server od bruteforce napada. Štiti vaš Linux sistem tako što zabranjuje IP adrese koje ukazuju na zlonamjernu aktivnost kao što je previše pokušaja prijave. Izvan kutije, isporučuje se sa filterima za popularne usluge kao što su Apache web server, vsftpd i SSH.

Imamo vodič o tome kako konfigurirati Fail2ban za dalje jačanje SSH protokola.

6. Nametnite snagu lozinke pomoću PAM modula

Ponovno korištenje lozinki ili korištenje slabih i jednostavnih lozinki uvelike podriva sigurnost vašeg sistema. Primjenjujete politiku lozinke, koristite pam_cracklib da postavite ili konfigurirate zahtjeve za snagu lozinke.

Koristeći PAM modul, možete definirati jačinu lozinke uređivanjem datoteke /etc/pam.d/system-auth. Na primjer, možete postaviti složenost lozinke i spriječiti ponovnu upotrebu lozinki.

7. Instalirajte SSL/TLS certifikat

Ako koristite web stranicu, uvijek osigurajte svoju domenu pomoću SSL/TLS certifikata za šifriranje podataka koji se razmjenjuju između pretraživača korisnika i web servera.

8. Onemogućite slabe protokole šifriranja i ključeve šifriranja

Nakon što šifrirate svoju web lokaciju, razmislite i o onemogućavanju slabih protokola za šifriranje. U vrijeme pisanja ovog vodiča, najnoviji protokol je TLS 1.3, koji je najčešći i široko korišteni protokol. Ranije verzije kao što su TLS 1.0, TLS 1.2 i SSLv1 do SSLv3 bile su povezane sa poznatim ranjivostima.

Wrapping Up

To je bio sažetak nekih koraka koje možete poduzeti da osigurate sigurnost podataka i privatnost za vaš Linux sistem.