Samozřejmě, že to můžeme říct Linux více bezpečný(chráněno) než Windows. Bezpečnost PROTI Linux vestavěný, a ne přišroubovaný někde na boku, jak je implementováno ve Windows. Bezpečnost systémy Linux pokrývá oblast od jádra po plochu, ale existuje šance, že hackeři poškodí váš domovský adresář (/home).

Vaše bajty fotografií, domácích videí, dokumentů a údajů o kreditní kartě nebo peněžence jsou nejcennější informací obsaženou v počítači. Linux samozřejmě není náchylný na všechny druhy internetových červů a virů pro Windows. Útočníci však mohou najít způsob, jak získat přístup k vašim datům ve vašem domovském adresáři.

Po přípravě vašeho starého počítače popř HDD formátování před prodejem, myslíte, že to bude stačit? Moderních nástrojů pro obnovu dat je celá řada. Hacker může vaše data snadno obnovit pevný disk, bez ohledu na OS, ve kterém jste pracovali.

Na toto téma vzpomínám na zkušenost jedné firmy s výkupem použitých počítačů a disků. V rámci své činnosti vynesli verdikt, že 90 % předchozích majitelů jejich počítače se před prodejem svého počítače řádně nepostaralo o vyčištění paměťových médií. A extrahovali velmi citlivé bajty dat. Je děsivé si vůbec představit, že někde v přihrádkách na vašem pevném disku budou informace pro přihlášení do vaší online banky nebo online peněženky.

Začněte se základy zabezpečení Linuxu

Pojďme k základu (), který bude vyhovovat téměř každému
Linuxové distribuce.

Pojďme zašifrovat systém souborů v Linuxu pro úplnější zabezpečení Linuxu

Vlastní hesla problém nevyřeší, pokud opravdu nechcete, aby nikdo nemohl číst váš domovský adresář (/home) nebo určitou velikost bajtu. Můžete to udělat tak, že do toho nebude strkat nos ani uživatel s nejvyššími právy root.

Odstraňte citlivé soubory, aby je nikdo jiný nemohl obnovit

Pokud se rozhodnete prodat nebo darovat svůj počítač nebo paměťové médium, nemyslete si, že pouhým zformátováním vaše soubory nenávratně smažete. Do svého Linuxu si můžete nainstalovat nástroj pro bezpečné mazání, který obsahuje nástroj srm pro bezpečné mazání souborů.

Také nezapomeňte na firewall v jádře Linuxu. Zahrnuto ve všech Linuxové distribuce zahrnuje lptables, který je součástí jádra. Lptables umožňuje filtrovat síťové pakety. Tuto utilitu můžete samozřejmě nakonfigurovat v terminálu. Tato metoda je ale mimo možnosti mnohých, včetně mě. Takže to nainstaluji a nakonfiguruji stejně snadno, jako bych hrál hru.

Stejně jako všechny operační systémy je i Linux náchylný k hromadění nejrůznějšího odpadu při spouštění různých aplikací. A není to chyba Linuxu, protože různé aplikace, jako jsou prohlížeče, textové editory a dokonce i přehrávače videa, nefungují na úrovni jádra a hromadí dočasné soubory. Můžete si nainstalovat nástroj BleachBit pro univerzální odstraňování odpadu.

Anonymní surfování, skrytí vaší IP – velmi důležité pro bezpečnost vaší identity pod Linuxem

Na závěr vám chci říci o anonymním surfování po webu. Občas se stane, že je to nutné, jako já, když tajně před manželkou navštěvuji stránky s erotickým obsahem. Samozřejmě jsem si dělal srandu.

Pro útočníky bude obtížné se k vám dostat, pokud nebudou moci určit vaši polohu. Své stopy zakrýváme jednoduchým nastavením dvou utilit, které spolupracují, zvaných privoxy a tor.

Podle mého názoru, dodržování a konfigurace všech těchto pravidel udrží vás a váš počítač 90% v bezpečí.

P.S. Používám cloud s názvem dropbox. Ukládám do ní své staré i nové, dosud nepublikované články. Je pohodlné mít přístup ke svým souborům odkudkoli na světě a na jakémkoli počítači. Při psaní článků pro web v textový editor, šetřím své textové dokumenty s heslem a teprve poté jej nahraji na server dropbox. Nikdy byste neměli zanedbávat extra zabezpečení, které vám bude jen hrát do karet.

Zdravím všechny... Všichni začínající administrátoři pod Ubuntu mají za úkol nastavit síťová rozhraní (síť, síťové karty) V tomto článku vám ukážu jak na to... Dělá se to velmi jednoduše...

Pokud jste nějak vynechali nastavení sítě nebo jste viděli potíže s instalací distribuce, nyní to uděláme ručně. A tak máme distribuci nainstalovanou a čeká na nás v útoku... Potřebujeme nakonfigurovat 2 síťové karty..... Jeden z nás čelí poskytovateli a druhý čelí lokální síť. Pojďme se okamžitě dohodnout a určit naše rozhraní a adresy.

eth0— 192.168.0.1 (řekněme, že toto je adresa vydaná poskytovatelem) Rozhraní, které se dívá na internet (poskytovatel)
eth1— 10.0.0.1 (adresa, kterou chceme dát tomuto rozhraní) Rozhraní směřující k místní síti

Nejprve si zkontrolujeme, která rozhraní jsme již příkazem spustili ifconfig Uvidíte něco takového (pouze s vašimi daty místo xxxxx)

Eth0 Link encap:Ethernet HWaddr хх:хх:хх:хх:хх:хх inet adr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Maska:255.2555x25:255.255x25:25 :xxx:xxxx/64 Rozsah:Připojení UP BROADCAST RUNNING MULTICAST MTU:1500 Metrika:1 RX pakety:31694097 chyby:0 zahozené:0 přetečení:0 snímek:0 TX pakety:15166512 chyby:0 zahozené:0 překročení:0 dopravce: 0 kolizí:0 txqueuelen:100 RX bajtů:2215593127 (2,2 GB) TX bajtů:1577680249 (1,5 GB) Paměť:b8820000-b8840000 eth1 Link encap:Ethernet Hxx ind.:1xx:1x: 0.1 Bcast:10.0.0.255 Maska:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 Rozsah:Link UP BROADCAST RUNNING MULTICAST MTU:1500 RUNX pack 3 klesl:1 metrika:10:1 :0 frame:0 TX pakety:21539638 chyby:0 zahozené:0 přetečení:0 dopravce:0 kolize:0 txqueuelen:100 RX bajtů:1262641422 (1,2 GB) TX bajtů:1922838889 (1,9 GB) Paměť:0008 Link-80b encap:Local loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Rozsah:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:3823 errors:0 droped:0 overruns: 0 frame: 0 TX pakety:3823 chyby:0 zahozené:0 přetečení:0 dopravce:0 kolize:0 txqueuelen:0 RX bajtů:717663 (717,6 KB) TX bajtů:717663 (717,6 KB)

Pokud se jedno z rozhraní nezobrazuje, je to v pořádku. Je to prostě zakázáno, pojďme to zapnout příkazem sudo ifconfig eth1 up(místo eth1 zadejte své rozhraní, pokud máte 2 síťové karty, pak jsou pouze 2 rozhraní: eth0 a eth1) A tak povolíme naše rozhraní:

sudo ifconfig eth1 up

A tak se pustíme do nastavení.

Přidělme rozhraní eth0 IP adresu vydanou poskytovatelem pomocí následujícího příkazu:

sudo ifconfig eth1 inet 192.168.0.2

A zadejte masku sítě:

sudo ifconfig eth0 síťová maska ​​255.255.255.0

Takto provedená nastavení se po restartu serveru resetují.
Abyste tomu zabránili, musíte změnit nastavení v konfigurační soubor síťová rozhraní. K tomu potřebujete práva root. Pojďme získat práva Vykořenit s následujícím příkazem:

sudo su

Konfigurační soubor síťových rozhraní je umístěn na /etc/network/interfaces K jeho úpravě používáme Nano editor (můžete použít vlastní editor) Líbí se mi to Nano

nano /etc/network/interfaces

Vidíme následující:

# Tento soubor popisuje síťová rozhraní dostupná ve vašem systému # a jak je aktivovat. Pro více informací viz interfaces(5). # Síťové rozhraní zpětné smyčky auto lo iface lo inet loopback # Primární síťové rozhraní//Primární síťové rozhraní auto eth0//Přiřazení následujících atributů síťovému rozhraní iface eth0 inet statický//Automaticky povolit síťové rozhraní adresa 192.168.0.2//ip adresa naší síťové karty (vydaná poskytovatelem) síťová maska ​​255.255.255.0//Maska sítě, ve které se nachází naše IP síť 192.168.0.0//Síť celého sortimentu vysíláno 192.168.0.255//Max. počet adres brána 192.168.0.1//Brána Volby # dns-* jsou implementovány balíčkem resolvconf, pokud je nainstalován

Je nutné jej zredukovat do následující podoby

# Tento soubor popisuje síťová rozhraní dostupná ve vašem systému # a jak je aktivovat. Pro více informací viz interfaces(5). # Síťové rozhraní zpětné smyčky auto lo iface lo inet zpětná smyčka # Primární síťové rozhraní auto eth0 iface eth0 inet statická adresa 192.168.0.2 síťová maska ​​255.255.255.0 síť 192.168.0.0 brána 192.168.0.1 možnosti resolvn jsou implementovány pomocí balíčku-*cond pokud jsou nainstalovány DNS-nameservery 192.168.22.22 192.168.33.33 #Rozhraní, které nahlíží do místní sítě auto eth1 iface eth1 inet statický adresa 10.0.0.1 síťová maska ​​255.255.255.0

Změny uložte kliknutím klávesy Ctrl+ O a ukončete stisknutím Ctrl + X

Adresy serverů DNS lze nastavit v souboru /etc/network/interfaces, ale adresy serverů DNS v Ubuntu jsou spravovány prostřednictvím souboru /etc/resolv.conf; pro mě to vypadá takto:

jmenný server xx.xx.xx.xx jmenný server xx.xx.xx.xx

Pojďme nakonfigurovat DNS; Chcete-li to provést, zadejte do řádku následující příkaz:

Sudo nano /etc/resolv.conf # IP adresy DNS serverů vašeho poskytovatele nameserver хх.ххх.ххх.ххх jmenný server ххх.ххх.хх.ххх

Ušetříme Ctrl+O a jdeme ven Ctrl + x musíte také restartovat síť pomocí následujícího příkazu.

Všichni víme, že operační sál Linuxový systém hodně bezpečnější než Windows díky své architektuře a speciálnímu systému distribuce přístupu mezi uživateli. Ale i programátoři jsou lidé, ať se nám to líbí, i oni dělají chyby. A kvůli těmto chybám se v systému objevují díry, kterými mohou útočníci obejít bezpečnostní systémy.

Tyto chyby se nazývají zranitelnosti a mohou se vyskytovat v různé programy a dokonce i v samotném jádru systému, což podkopává jeho bezpečnost. Za minulé roky Popularita Linuxu začala růst a bezpečnostní výzkumníci tomuto systému věnují více pozornosti. Objevuje se stále více zranitelností a díky otevřenému zdrojovému kódu je lze velmi rychle odstranit. V tomto článku se podíváme na nejnebezpečnější zranitelnosti Linuxu, které byly objeveny za posledních několik let.

Než přejdeme k seznamu zranitelností, je důležité pochopit, co to jsou a co to jsou. Jak jsem řekl, zranitelnost je chyba v programu, která uživateli umožňuje používat program způsobem, který jeho vývojář nezamýšlel.

Může to být nedostatečná kontrola správnosti přijatých dat, kontrola zdroje dat a co je nejzajímavější, velikost dat. Nejnebezpečnější zranitelností jsou ty, které umožňují spuštění libovolného kódu. V paměť s náhodným přístupem všechna data mají určitou velikost a program je navržen tak, aby zapisoval data od uživatele určité velikosti do paměti. Pokud uživatel předá více dat, mělo by to vyvolat chybu.

Pokud ale programátor udělá chybu, data přepíší programový kód a procesor se jej pokusí provést, čímž vytvoří zranitelnost při přetečení vyrovnávací paměti.

Všechny zranitelnosti lze také rozdělit na lokální, které fungují pouze v případě, že k nim má hacker přístup místní počítač a vzdálený, když stačí přístup přes internet. Nyní přejdeme k seznamu zranitelností.

1. Špinavá kráva

První na našem seznamu bude čerstvá chyba zabezpečení, která byla objevena letos na podzim. Název Dirty COW je zkratkou pro Copy on Write. Během kopírování při zápisu dojde k chybě v systému souborů. Jedná se o místní chybu zabezpečení, která umožňuje libovolnému neprivilegovanému uživateli získat úplný přístup do systému.

Stručně řečeno, ke zneužití zranitelnosti potřebujete dva soubory, jeden je zapisovatelný pouze jménem superuživatele, druhý pro nás. Začneme mnohokrát zapisovat data do našeho souboru a číst ze souboru superuživatele, skrz určitý čas přijde čas, kdy se promíchají buffery obou souborů a uživatel bude moci zapisovat data do souboru, do kterého nemůže zapisovat, čímž si udělí práva root v systému.

Zranitelnost byla v jádře asi 10 let, ale po objevení byla rychle opravena, ačkoli stále existují miliony zařízení Andoid, ve kterých jádro nebylo aktualizováno a nemyslí, a kde lze tuto zranitelnost zneužít. Kód chyby zabezpečení byl CVE-2016-5195.

2. Zranitelnost Glibc

Kód chyby zabezpečení byl CVE-2015-7547. Toto byla jedna z nejvíce diskutovaných zranitelností mezi open source projekty. V únoru 2016 bylo zjištěno, že knihovna Glibc má velmi závažnou zranitelnost, která umožňuje útočníkovi spustit jeho kód na vzdáleném systému.

Je důležité poznamenat, že Glibc je implementací standardní knihovny C a C++, která se používá ve většině Linuxové programy, včetně služeb a programovacích jazyků jako PHP, Python, Perl.

V kódu pro analýzu odpovědi serveru DNS došlo k chybě. Zranitelnost by tedy mohla zneužít hackeři, k jejichž DNS přistupovaly zranitelné stroje, a také ti, kteří provádějí útok MITM. Ale zranitelnost poskytla úplnou kontrolu nad systémem

Tato chyba zabezpečení byla v knihovně od roku 2008, ale po objevení byly záplaty uvolněny poměrně rychle.

3.Srdeční krvácení

V roce 2014 byla objevena jedna z nejzávažnějších zranitelností z hlediska rozsahu a následků. Způsobila to chyba v modulu heartdead programu OpenSSL, odtud název Heartbleed. Tato chyba zabezpečení umožnila útočníkům získat přímý přístup k 64 kilobajtů paměti RAM serveru; útok se mohl opakovat, dokud nebyla přečtena veškerá paměť.

I když byla oprava vydána velmi rychle, byla ovlivněna řada webů a aplikací. Ve skutečnosti byly zranitelné všechny weby, které používaly HTTPS k zabezpečení provozu. Útočníci mohli získat uživatelská hesla, jejich osobní údaje a vše, co bylo v době útoku v paměti. Kód chyby zabezpečení byl CVE-2014-0160.

4. Tréma

Pokud zranitelnost získala kódové jméno, jasně to znamená, že si zaslouží pozornost. Zranitelnost Stagerfight není výjimkou. Je pravda, že to není problém Linuxu. Stagefright je knihovna pro zpracování multimediálních formátů v systému Android.

Je implementován v C++, což znamená, že obchází všechny bezpečnostní mechanismy Java. V roce 2015 byla objevena celá skupina zranitelností, které umožňovaly vzdáleně spouštět libovolný kód v systému. Zde jsou: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 a CVE-2015-3829.

Útočníkovi stačilo poslat MMS na zranitelný smartphone se speciálně upraveným mediálním souborem a získal by plnou kontrolu nad zařízením s možností zapisovat a číst data z paměťové karty. Tuto chybu zabezpečení opravili vývojáři Androidu, ale miliony zařízení stále zůstávají zranitelné.

5. Zranitelnost jádra zero-day

Toto je místní chyba zabezpečení, která umožňuje zvýšení oprávnění. současný uživatel do rootu kvůli chybě v systému pro práci s kryptografickými daty jádra uloženými v paměti. Byla objevena v únoru 2016 a pokrývala všechna jádra počínaje 3.8, což znamená, že zranitelnost existovala 4 roky.

Chybu mohou využít hackeři nebo zlomyslní software zvýšit jejich autoritu v systému, ale byla velmi rychle opravena.

6. Zranitelnost v MySQL

Tato chyba zabezpečení obdržela kód CVE-2016-6662 a týkala se všech dostupné verze databázové servery Data MySQL(5.7.15, 5.6.33 a 5.5.52), databáze Oracle a klony MariaDB a PerconaDB.

Útočníci by mohli získat plný přístup do systému prostřednictvím SQL dotaz byl přenesen kód, který vám umožnil nahradit my.conf vaší verzí a restartovat server. Bylo také možné spustit škodlivý kód s právy superuživatele.

Řešení MariaDB a PerconaDB vydala záplaty poměrně rychle, Oracle reagoval, ale mnohem později.

7. Shellshock

Tato zranitelnost byla objevena v roce 2014 a trvala 22 let. Bylo mu přiděleno CVE-2014-6271 a kódové označení Shellshock. Tato zranitelnost je v nebezpečí srovnatelná s Heartbleed, který již známe. Je to způsobeno chybou v interpretu příkazů Bash, který je výchozím interpretem příkazů ve většině distribucí Linuxu.

Bash vám umožňuje deklarovat proměnné prostředí bez ověření uživatele, ale společně v nich můžete spustit libovolný příkaz. To je zvláště nebezpečné u skriptů CGI, které podporuje většina webů. Zranitelné jsou nejen servery, ale také osobní počítače uživatelů, routerů a dalších zařízení. Útočník může ve skutečnosti provést jakýkoli příkaz na dálku, jedná se o plnohodnotné dálkové ovládání bez autentizace.

Postiženy byly všechny verze Bash, včetně 4.3, ačkoli po objevení problému vývojáři rychle vydali opravu.

8. Quadrooter

Jedná se o celou sérii zranitelností v Androidu, která byla objevena v srpnu 2016. Dostaly kódy CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Chybou je postiženo více než 900 milionů Zařízení Android. V ovladači procesoru Qualcomm ARM byly nalezeny všechny zranitelnosti a na všechny lze použít získávání kořenů přístup k zařízení.

Stejně jako DirtyCOW zde nepotřebujete žádná oprávnění, stačí nainstalovat škodlivou aplikaci a ta bude moci získat všechna vaše data a přenést je útočníkovi.

9. Zranitelnost v OpenJDK

Toto je velmi závažná zranitelnost Linuxu 2016 v OpenJDK Java stroji s kódem CVE-2016-0636, týká se všech uživatelů používajících Oracle Java SE 7 Update 97 a 8 Update 73 a 74 pro Windows, Solaris, Linux a Mac OS X. Toto zranitelnost umožňuje útočníkovi spustit libovolný kód mimo stroj Java, pokud otevřete speciální stránku v prohlížeči se zranitelnou verzí Javy.

To útočníkovi umožnilo získat přístup k vašim heslům, osobním údajům a také spouštět programy na vašem počítači. Celkově verze Java Chyba byla velmi rychle opravena, existuje od roku 2013.

10. Zranitelnost protokolu HTTP/2

Jedná se o celou řadu zranitelností, které byly objeveny v roce 2016 v protokolu HTTP/2. Obdrželi kódy CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Všechny implementace tohoto protokolu v Apache, Nginx Microsoft, Jetty a nghttp2 byly zranitelné.

Všechny umožňují útočníkovi výrazně zpomalit webový server a provést útok typu denial of service. Jedna z chyb vedla například k možnosti odeslat malou zprávu, která se na serveru rozbalila do gigabajtů. Chyba byla opravena velmi rychle, a proto nezpůsobila v komunitě velký hluk.

Jsi v bezpečí?

V tomto článku jsme se podívali na nejnebezpečnější zranitelnosti Linuxu z let 2016, 2015 a 2014. Většina z nich by mohla způsobit vážné poškození systémů, pokud by nebyly včas opraveny. Díky otevřenému zdrojovému kódu jsou takové zranitelnosti Linuxu efektivně detekovány a rychle opraveny. Jen nezapomeňte aktualizovat svůj systém. Problém zůstává pouze u Androidu. Některá zařízení již nedostávají aktualizace a zatím neexistuje řešení tohoto problému.

Existuje obecná mylná představa, že servery s operačním systémem Linux jsou nejbezpečnější a chráněné před vnějšími průniky. Bohužel tomu tak není, bezpečnost jakéhokoli serveru závisí na řadě faktorů a opatření k jejímu zajištění a je prakticky nezávislá na použitém operačním systému.

Rozhodli jsme se zahájit sérii článků věnovaných zabezpečení sítě se serverem Ubuntu, protože řešení na této platformě naše čtenáře velmi zajímají a protože mnozí věří, že linuxová řešení jsou sama o sobě bezpečná.

Router s dedikovanou IP adresou je zároveň „bránou“ do místní sítě a bude záležet pouze na správci, zda tato brána bude spolehlivou bariérou, nebo se ukáže jako zemská brána uzavřená nehet.

Další běžnou mylnou představou je uvažování ve stylu: „kdo to potřebuje, náš server, nemáme nic zajímavého“. Ve skutečnosti vaše místní síť nemusí být pro útočníky zajímavá, ale mohou použít hacknutý server k rozesílání spamu, útoků na jiné servery, anonymní proxy, zkrátka jako výchozí bod pro své pochybné jednání.

A to je již nepříjemné a může sloužit jako zdroj různých problémů: od poskytovatele až po orgány činné v trestním řízení. A o šíření virů, krádežích a ničení důležitá informace Neměli byste také zapomínat na skutečnost, že prostoje podniku vedou k poměrně hmatatelným ztrátám.

Navzdory tomu, že je článek věnovaný Ubuntu Serveru, nejprve se podíváme na obecné bezpečnostní problémy, které platí stejně pro jakoukoli platformu a jsou základními, bez nichž nemá smysl se touto problematikou podrobněji zabývat.

Kde začíná bezpečnost?

Ne, zabezpečení nezačíná firewallem, nezačíná firewallem vůbec. technické prostředky, zabezpečení začíná u uživatele. Koneckonců, k čemu jsou nejlepší kovové dveře nainstalované nejlepšími specialisty, když majitel nechá klíč pod kobercem?

Proto první věcí, kterou byste měli udělat, je provést bezpečnostní audit. Nenechte se tímto slovem zastrašit, vše není tak složité: nakreslete schematický plán sítě, na kterém označíte bezpečnou zónu, potenciální nebezpečnou zónu a zónu vysokého nebezpečí, a také si udělejte seznam uživatelů, kteří mají (měli by mít přístup) do těchto zón.

Bezpečná zóna by měla zahrnovat vnitřní zdroje sítě, které nejsou přístupné zvenčí a pro které je přijatelná nízká úroveň zabezpečení. Mohou to být pracovní stanice, souborové servery atd. zařízení, ke kterým je přístup omezen na podnikovou místní síť.

Zóna potenciálního nebezpečí zahrnuje servery a zařízení, která nemají přímý přístup do vnější sítě, ale jejichž jednotlivé služby jsou přístupné zvenčí, například webové a poštovní servery umístěné za firewallem, ale stále obsluhující požadavky z vnější sítě.

Nebezpečná zóna by měla zahrnovat zařízení přímo přístupná zvenčí, v ideálním případě by to měl být jeden router.

Pokud je to možné, potenciálně nebezpečná zóna by měla být umístěna v samostatné podsíti – demilitarizované zóně (DMZ), která je od hlavní sítě oddělena dalším firewallem.

Zařízení LAN by měla mít přístup pouze k těm službám v DMZ, které potřebují, jako jsou SMTP, POP3, HTTP a další připojení by měla být blokována. To vám umožní spolehlivě izolovat útočníka nebo malware, který využil zranitelnosti v samostatné službě v demilitarizované zóně, a odepřel jim přístup do hlavní sítě.

Fyzicky lze DMZ organizovat instalací samostatného serveru/hardwarového firewallu nebo přidáním dalšího síťová karta do routeru, ale v druhém případě budete muset věnovat velkou pozornost zabezpečení routeru. V každém případě je však mnohem jednodušší zajistit bezpečnost jednoho serveru než skupiny serverů.

Dalším krokem by měla být analýza seznamu uživatelů, zda všichni potřebují přístup do DMZ a do routeru (s výjimkou veřejných služeb), zvláštní pozornost by měla být věnována uživatelům připojujícím se zvenčí.

Obvykle to vyžaduje velmi nepopulární krok vynucení zásad hesel. Všechna hesla pro uživatele, kteří mají přístup ke kritickým službám a mají možnost se připojit zvenčí, musí obsahovat alespoň 6 znaků a obsahovat kromě malá písmena, znaky ze dvou kategorií ze tří: velká písmena, čísla, neabecední znaky.

Kromě toho by heslo nemělo obsahovat přihlašovací jméno uživatele nebo jeho část, nemělo by obsahovat data nebo jména, která lze s uživatelem přiřadit, a pokud možno, nemělo by to být slovo ze slovníku.

Je dobré začít si měnit hesla každých 30–40 dní. Je jasné, že taková politika může způsobit odmítnutí ze strany uživatelů, ale vždy byste měli pamatovat na to, že hesla se líbí 123 nebo qwerty ekvivalentní ponechání klíče pod kobercem.

Zabezpečení serveru - nic extra.

Nyní, když máme představu o tom, co chceme chránit a před čím, přejděme k samotnému serveru. Udělejte si seznam všech služeb a služeb a poté se zamyslete nad tím, zda jsou všechny potřebné na tomto konkrétním serveru, nebo zda je lze přesunout jinam.

Čím méně služeb, tím snazší je zajistit zabezpečení a tím menší je pravděpodobnost, že server bude kompromitován kritickou zranitelností v jedné z nich.

Nakonfigurujte služby, které obsluhují místní síť (například chobotnice), aby přijímaly požadavky výhradně z místního rozhraní. Čím méně služeb dostupných externě, tím lépe.

Dobrým pomocníkem při zajišťování bezpečnosti bude skener zranitelnosti, který by měl sloužit ke skenování externího rozhraní serveru. Použili jsme demo verzi jednoho z nejznámějších produktů - XSpider 7.7.

Skener ukazuje otevřené porty, se pokusí určit typ spuštěné služby a v případě úspěchu i její zranitelnosti. Jak vidíte, správně nakonfigurovaný systém je celkem bezpečný, ale klíč byste neměli nechat pod kobercem, přítomnost otevřených portů 1723 (VPN) a 3389 (RDP, přeposlána na terminálový server) je dobrým důvodem k zamyšlení nad svými zásadami hesel.

Měli bychom také mluvit o zabezpečení SSH, pro tuto službu obvykle používají administrátoři dálkové ovládání server a je předmětem zvýšeného zájmu útočníků. Nastavení SSH jsou uložena v souboru /etc/ssh/sshd_config, jsou v něm provedeny všechny změny popsané níže. Nejprve byste měli zakázat autorizaci pod uživatelem root; k tomu přidejte možnost:

PermitRootLogin č

Nyní bude muset útočník uhodnout nejen heslo, ale i přihlašovací jméno a stejně nebude znát heslo superuživatele (doufáme, že se neshoduje s vaším heslem). Všechny administrativní úkony při připojování zvenčí by měly být prováděny zdola sudo přihlášení jako neprivilegovaný uživatel.

Stojí za to výslovně specifikovat seznam povolených uživatelů a můžete použít položky jako uživatel@hostitel, který umožňuje určenému uživateli připojit se pouze z určeného hostitele. Chcete-li například umožnit uživateli ivanov připojení z domova (IP 1.2.3.4), měli byste přidat následující položku:

AllowUser [e-mail chráněný]

Zakažte také používání zastaralého a méně zabezpečeného protokolu SSH1, který umožňuje pouze druhou verzi protokolu, abyste to udělali, změňte následující řádek na formulář:

Protokol 2

Přes všechna přijatá opatření budou stále docházet k pokusům o připojení k SSH a dalším veřejným službám; k zamezení uhádnutí hesla použijte nástroj fail2ban, který umožňuje automaticky zakázat uživatele po několika neúspěšných pokusech o přihlášení. Můžete jej nainstalovat pomocí příkazu:

Sudo apt-get install fail2ban

Tento nástroj je připraven k práci ihned po instalaci, doporučujeme vám však okamžitě změnit některé parametry; k tomu proveďte změny v souboru /etc/fail2ban/jail.conf. Ve výchozím nastavení je řízen pouze přístup k SSH a doba banu je 10 minut (600 sekund), podle našeho názoru se vyplatí ji zvýšit změnou následující možnosti:

Bantime = 6000

Poté procházejte soubor a povolte sekce pro služby běžící na vašem systému nastavením parametru za názvem příslušné sekce povoleno ve státě skutečný, například za službu profpd bude to vypadat takto:

povoleno = pravda

Další důležitý parametr maxretry, který je zodpovědný za maximální počet pokusů o připojení. Po změně nastavení nezapomeňte službu restartovat:

Sudo /etc/init.d/fail2ban restartujte

Můžete vidět protokol nástroje na /var/log/fail2ban.log.

Podle cvedetails.com bylo od roku 1999 v linuxovém jádře nalezeno 1305 zranitelností, z toho 68 v roce 2015. Většina z nich nepředstavuje žádné zvláštní problémy, jsou označeny jako Local a Low a některé lze vyvolat pouze při propojení s určitými aplikacemi nebo nastavením OS. V zásadě jsou čísla malá, ale jádro není celý OS. Chyby zabezpečení se nacházejí také v GNU Coreutils, Binutils, glibs a samozřejmě v uživatelských aplikacích. Pojďme se podívat na ty nejzajímavější.

ZRANITELNOST V LINUXOVÉM JÁDŘE

OS: Linux
Úroveň: Střední, Nízká
Vektor: Dálkový
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Využívat: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Chyba zabezpečení nalezená v červnu v jádře Linuxu před verzí 3.19.3 ve funkci __driver_rfc4106_decrypt v arch/x86/crypto/aesni-intel_glue.c je způsobena implementací RFC4106 pro procesory x86 podporující rozšíření instrukční sady AES AES-NI (navrženo Intel, Intel Advanced Encryption Standard Instructions) v některých případech nevypočítává adresy vyrovnávací paměti správně. Pokud je tunel IPsec nakonfigurován tak, aby používal tento režim (algoritmus AES – CONFIG_CRYPTO_AES_NI_INTEL), může tato chyba zabezpečení vést k poškození paměti, zhroucení a potenciálně vzdálenému spuštění kódu CryptoAPI. Navíc nejzajímavější je, že problém může vzniknout sám o sobě, na zcela legálním provozu, bez vnějšího zásahu. V době zveřejnění byl problém vyřešen.

V ovladači ozwpan Linuxu 4.0.5, který má experimentální status, bylo identifikováno pět zranitelností, z nichž čtyři vám umožňují zorganizovat útok DoS zhroucením jádra odesláním speciálně navržených paketů. Problém souvisí s přetečením vyrovnávací paměti kvůli nesprávnému zpracování celých čísel se znaménkem, kdy výpočet v memcpy mezi požadovanou_velikost a offset vrátil záporné číslo, v důsledku čehož se data zkopírují do haldy.

Nachází se ve funkci oz_hcd_get_desc_cnf v Drivers/staging/ozwpan/ozhcd.c a ve funkcích oz_usb_rx a oz_usb_handle_ep_data souboru drivers/staging/ozwpan/ozusbsvc1.c. Další zranitelnosti zahrnovaly možné dělení nulou, zacyklení systému nebo schopnost číst z oblastí mimo hranice přidělené vyrovnávací paměti.

Ovladač ozwpan, nový přírůstek do Linuxu, lze spárovat se stávajícími bezdrátovými zařízeními, která jsou kompatibilní s technologií Ozmo Devices ( Wi-Fi Direct). Poskytuje implementaci hostitelského řadiče USB, ale trik je v tom, že místo fyzického připojení periferie komunikuje přes Wi-Fi. Ovladač přijímá síťové pakety s typem (ethertype) 0x892e, poté je analyzuje a převádí do různých funkcí USB. Prozatím se používá ve vzácných případech, takže jej lze deaktivovat uvolněním modulu ozwpan.ko.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (jádro do 15. června 2015)
Úroveň: Kritické
Vektor: Místní
CVE: CVE-2015-1328
Využívat: https://www.exploit-db.com/exploits/37292/

Kritická zranitelnost v systému souborů OverlayFS umožňuje přístup root na systémech Ubuntu, které umožňují připojení oddílů OverlayFS neprivilegovaným uživatelem. Ve všech větvích Ubuntu 12.04–15.04 se používají výchozí nastavení potřebná ke zneužití této chyby zabezpečení. Samotné OverlayFS se v linuxovém jádře objevilo relativně nedávno – počínaje 3.18-rc2 (2014) jde o vývoj SUSE, který nahradí UnionFS a AUFS. OverlayFS umožňuje vytvořit virtuální multivrstvu souborový systém, který kombinuje několik částí jiných souborových systémů.

Souborový systém je vytvořen ze spodní a horní vrstvy, z nichž každá je připojena k samostatným adresářům. Spodní vrstva se používá pouze pro čtení v adresářích libovolných souborových systémů podporovaných v Linuxu, včetně síťových. Horní vrstva je obvykle zapisovatelná a přepíše data ve spodní vrstvě, pokud jsou soubory duplikovány. Je žádaný v Live distribucích, systémech virtualizace kontejnerů a pro organizaci provozu kontejnerů pro některé desktopové aplikace. Uživatelské jmenné prostory vám umožňují vytvářet vlastní sady ID uživatelů a skupin v kontejnerech. Chyba zabezpečení je způsobena nesprávnou kontrolou přístupových práv při vytváření nových souborů v adresáři základního souborového systému.

Pokud je jádro sestaveno s CONFIG_USER_NS=y (povolení uživatelského jmenného prostoru) a při připojování je zadán příznak FS_USERNS_MOUNT, může být OverlayFS připojen normálním uživatelem v jiném jmenném prostoru, včetně operací s root práva. V tomto případě operace se soubory s právy root prováděné v takových jmenných prostorech získají stejná oprávnění při provádění akcí se základním systémem souborů. Proto můžete připojit jakýkoli oddíl FS a zobrazit nebo upravit jakýkoli soubor nebo adresář.

V době publikace již byla dostupná aktualizace jádra s opraveným modulem OverlayFS z Ubuntu. A pokud je systém aktualizován, neměly by být žádné problémy. Ve stejném případě, kdy aktualizace není možná, byste jako dočasné opatření měli přestat používat OverlayFS odstraněním modulu overlayfs.ko.

ZRANITELNOST V KLÍČOVÝCH APLIKACÍCH

OS: Linux
Úroveň: Kritické
Vektor: místní, vzdálené
CVE: CVE-2015-0235
Využívat: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Nebezpečná zranitelnost v standardní knihovna GNU glibc, který je základní součástí operačního systému Linux, a v některých verzích aplikací Oracle Communications Applications a Oracle Pillar Axiom, byl objeven během auditu kódu hackery Qualys. Obdržel kódové jméno GHOST. Toto je přetečení vyrovnávací paměti uvnitř funkce __nss_hostname_digits_dots(), kterou používají funkce glibc jako gethostbyname() a gethostbyname2() k získání názvu hostitele (odtud název GetHOST). Chcete-li tuto chybu zabezpečení zneužít, musíte aplikaci provádějící překlad názvů prostřednictvím DNS způsobit přetečení vyrovnávací paměti pomocí neplatného argumentu názvu hostitele. To znamená, že teoreticky může být tato zranitelnost aplikována na jakoukoli aplikaci, která používá síť v té či oné míře. Lze volat lokálně i vzdáleně, což umožňuje spuštění libovolného kódu.

Nejzajímavější je, že chyba byla opravena již v květnu 2013, záplata byla předložena mezi vydáními glibc 2.17 a 2.18, ale problém nebyl klasifikován jako bezpečnostní záplata, takže mu nebyla věnována žádná pozornost. V důsledku toho se mnoho distribucí ukázalo jako zranitelných. Původně bylo oznámeno, že úplně první zranitelnou verzí byla 2.2 z 10. listopadu 2000, ale existuje možnost, že se objeví až 2.0. Postiženy byly mimo jiné distribuce RHEL/CentOS 5.x–7.x, Debian 7 a Ubuntu 12.04 LTS. V současné době jsou k dispozici opravy hotfix. Hackeři sami navrhli nástroj, který vysvětluje podstatu zranitelnosti a umožňuje vám zkontrolovat váš systém. V Ubuntu 12.04.4 LTS je vše v pořádku:

$ wget https : //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 není zranitelný

Kontrola systému na GHOST

Téměř okamžitě byl vydán modul umožňující vzdálené spouštění kódu na x86 a x86_64 Linuxu s funkčním poštovní server Exim (s povoleným helo_try_verify_hosts nebo helo_verify_hosts). Později se objevily další implementace, například modul Metasploit pro kontrolu blogu na WordPressu.

O něco později, v roce 2015, byly v GNU glibc objeveny tři další zranitelnosti, které umožňovaly vzdálenému uživateli provést útok DoS nebo přepsat paměťové buňky mimo hranice zásobníku: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

OS: Linux (GNU Coreutils)
Úroveň: Nízký
Vektor: Místní, vzdálené
CVE: CVE-2014-9471
Využívat: Ne

GNU Coreutils je jedním z hlavních *nixových balíčků, včetně téměř všech základních utilit (cat, ls, rm, date...). Problém byl nalezen v datu. Chyba ve funkci parse_datetime umožňuje vzdálenému útočníkovi bez účet v systému způsobit odmítnutí služby a případně spustit libovolný kód prostřednictvím speciálně vytvořeného řetězce data pomocí časového pásma. Zranitelnost vypadá takto:

$ touch ‘-- datum = TZ = ”123”345”@1’ Porucha Segmentace $ datum - d ‚TZ = „Evropa / Moskva“ „00 : 00 + 1 hodina““ Porucha Segmentace $ datum ‘-- datum = TZ = ”123”345”@1’ * * * Chyba v ` date ': volné () : neplatný ukazatel: 0xbfc11414 * * *

Chyba zabezpečení v GNU Coreutils

Pokud neexistuje žádná chyba zabezpečení, obdržíme zprávu o nesprávném formátu data. Téměř všichni vývojáři distribuce Linuxu ohlásili přítomnost této chyby zabezpečení. Aktuálně je k dispozici aktualizace.

Normální výstup opravených GNU Coreutils

OS: Linux (grep 2.19–2.21)
Úroveň: Nízký
Vektor: Místní
CVE: CVE-2015-1345
Využívat: Ne

V obslužném programu grep, který se používá k vyhledávání textu pomocí vzoru, se zranitelnosti vyskytují jen zřídka. Tato utilita je ale často volána jinými programy, včetně systémových, takže přítomnost zranitelnosti je mnohem problematičtější, než se na první pohled zdá. Chyba ve funkci bmexec_trans v kwset.c by mohla vést ke čtení neinicializovaných dat z oblasti mimo přidělenou vyrovnávací paměť nebo způsobit pád aplikace. Hacker toho může využít vytvořením speciální sady dat dodávaných do vstupu aplikace pomocí grep -F. Aktuálně jsou k dispozici aktualizace. Neexistují žádné exploity, které by tuto chybu zabezpečení nebo modul pro Metasploit využívaly.

ZRANITELNOST VE FREEBSD

OS: FreeBSD
Úroveň: Nízký
Vektor: Místní, vzdálené
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Využívat: https://www.exploit-db.com/exploits/35938/

V databázi CVE pro rok 2015 není mnoho zranitelností, přesněji řečeno - pouze šest. Výzkumníci z týmu Core Exploit Writers Team nalezli ve FreeBSD 8.4–10.x na konci ledna 2015 tři zranitelnosti. CVE-2014-0998 souvisí s implementací ovladače konzoly VT (Newcons), který poskytuje více virtuálních terminálů, povolených parametrem kern.vty=vt v /boot/loader.conf.
CVE-2014-8612 se vyskytuje při použití protokolu SCTP a je způsobena chybou v ověřovacím kódu ID streamu SCTP, který implementuje sokety SCTP (místní port 4444). Podstatou je chyba nedostatku paměti ve funkci sctp_setopt() (sys/netinet/sctp_userreq.c). To dává místnímu neprivilegovanému uživateli možnost zapisovat nebo číst 16 bitů dat paměti jádra a eskalovat svá oprávnění v systému, odhalovat citlivá data nebo zhroucení systému.

CVE-2014-8613 umožňuje spuštění dereference ukazatele NULL při zpracování externě přijatého paketu SCTP, když je nastavena možnost SCTP soketu SCTP_SS_VALUE. Na rozdíl od předchozích verzí lze CVE-2014-8613 použít ke vzdálenému způsobení pádu jádra odesláním speciálně vytvořených paketů. Ve FreeBSD 10.1 se můžete chránit nastavením proměnné net.inet.sctp.reconfig_enable na 0, čímž zakážete zpracování bloků RE_CONFIG. Nebo jednoduše zakázat aplikace (prohlížeče, poštovní klienti a tak dále). I když v době zveřejnění již vývojáři vydali aktualizaci.

Statistiky zranitelnosti FreeBSD

ZRANITELNOST V OPENSSL

OS: OpenSSL
Úroveň: Dálkový
Vektor: Místní
CVE: CVE-2015-1793
Využívat: Ne

V roce 2014 byla objevena kritická zranitelnost Heartbleed v OpenSSL, široce používaném kryptografickém balíčku pro práci s SSL/TLS. Incident svého času vyvolal masivní kritiku kvality kódu a na jedné straně to vedlo ke vzniku alternativ jako LibreSSL, na druhé straně se do toho konečně pustili i samotní vývojáři.

Nejlepší dodavatelé podle zranitelností

Kritická zranitelnost byla objevena Adamem Langleym z Google a Davidem Benjaminem z BoringSSL. Změny provedené ve verzích OpenSSL 1.0.1na 1.0.2b způsobily, že se OpenSSL pokusilo najít alternativní řetězec ověřování certifikátů, pokud byl první pokus o vytvoření řetězce důvěryhodnosti neúspěšný. To vám umožní obejít postup ověření certifikátu a zorganizovat potvrzené připojení pomocí falešného certifikátu, jinými slovy - klidně nalákat uživatele na falešné stránky nebo servery E-mailem nebo implementovat jakýkoli útok MITM, kde je certifikát použit.

Poté, co byla zranitelnost objevena, vývojáři vydali 9. července vydání 1.0.1pa 1.0.2d, která tento problém opravila. Verze 0.9.8 nebo 1.0.0 tuto chybu zabezpečení nemají.

Linux.Encoder

Konec podzimu byl ve znamení objevení se řady šifrovacích virů, nejprve Linux.Encoder.0, následovaly modifikace Linux.Encoder.1 a Linux.Encoder.2, které infikovaly více než 2500 stránek. Podle antivirových společností jsou napadány servery Linux a FreeBSD s weby běžícími na různých CMS - WordPress, Magento CMS, Joomla a další. Hackeři využívají neidentifikovanou zranitelnost. Dále byl umístěn skript shellu (soubor error.php), s jehož pomocí jakýkoli další akce(přes prohlížeč). Konkrétně byl spuštěn linuxový kodér Trojan.

Encoder, který určil architekturu OS a spustil ransomware. Kodér byl spuštěn s právy webového serveru (Ubuntu - www-data), což je zcela dostačující pro šifrování souborů v adresáři, ve kterém jsou uloženy soubory a komponenty CMS. Šifrované soubory obdrží novou příponu.encrypted.

Ransomware se také snaží obejít jiné adresáře OS; pokud jsou práva nakonfigurována nesprávně, může snadno překročit hranice webu. Dále byl do adresáře uložen soubor README_FOR_DECRYPT.txt obsahující pokyny pro dešifrování souborů a požadavky hackera. Na tento moment antivirové společnosti zavedly nástroje, které umožňují dešifrovat adresáře. Například sada od Bitdefenderu. Musíte si ale pamatovat, že všechny nástroje určené k dešifrování souborů neodstraňují shell kód a vše se může stát znovu.

Vzhledem k tomu, že mnoho uživatelů, kteří vyvíjejí nebo experimentují s administrací webových stránek, často instaluje webový server domácí počítač, měli byste se starat o bezpečnost: blokujte přístup zvenčí, aktualizujte software, provádějte experimenty na virtuálním počítači. A samotný nápad by mohl být v budoucnu použit k útokům na domácí systémy.

ZÁVĚR

Komplexní software bez chyb fyzicky neexistuje, takže se musíte smířit s tím, že zranitelnosti budou odhalovány neustále. Ale ne všechny mohou být skutečně problematické. A můžete se chránit tím, že vezmete jednoduché kroky: odstraňte nepoužívaný software, sledujte nové zranitelnosti a nezapomeňte nainstalovat aktualizace zabezpečení, nakonfigurujte bránu firewall a nainstalujte antivirus. A nezapomeňte na speciální technologie, jako je SELinux, které jsou docela schopné kompromitovat démona nebo uživatelskou aplikaci.