Naravno, možemo to reći Linux više sef(zaštićeno) nego Windows. Sigurnost V Linux ugrađen, a ne zašrafljen negdje sa strane, kako je implementirano u Windowsima. Sigurnost sustava Linux pokriva područje od kernela do radne površine, ali postoje šanse da hakeri oštete vaš matični direktorij (/home).

Vaši bajtovi fotografija, kućni video zapisi, dokumenti i podaci o kreditnoj kartici ili novčaniku najvrjedniji su podatak koji se nalazi na računalu. Naravno, Linux nije osjetljiv na sve vrste internetskih crva i virusa za Windows. Ali napadači mogu pronaći način pristupa vašim podacima u vašem matičnom imeniku.

Nakon što ste pripremili svoje staro računalo ili HDD formatiranje prije prodaje, mislite da će biti dovoljno? Postoji mnogo modernih alata za oporavak podataka. Haker može lako povratiti vaše podatke iz tvrdi disk, bez obzira na OS u kojem ste radili.

Na ovu temu prisjećam se iskustva jedne tvrtke u otkupu rabljenih računala i diskova. Tijekom svojih aktivnosti donijeli su presudu da se 90% prijašnjih vlasnika svog računala nije dobro pobrinulo za čišćenje medija za pohranu podataka prije prodaje. I izvukli su vrlo osjetljive bajtove podataka. Zastrašujuće je čak i zamisliti da će negdje u spremnicima vašeg tvrdog diska biti informacija za prijavu u vašu internetsku banku ili online novčanik.

Započnite s osnovama sigurnosti Linuxa

Idemo do osnova (), koje će odgovarati gotovo svima
Linux distribucije.

Kriptirajmo datotečni sustav u Linuxu za potpuniju sigurnost Linuxa

Prilagođene lozinke neće riješiti problem osim ako stvarno ne želite da nitko ne može čitati vaš matični direktorij (/home) ili određenu veličinu bajta. Možete to učiniti tako da ni korisnik s najvišim root privilegijama neće moći zabadati nos u to.

Izbrišite osjetljive datoteke tako da ih nitko drugi ne može vratiti

Ako odlučite prodati ili pokloniti svoje računalo ili medij za pohranu, nemojte misliti da će jednostavno formatiranje trajno izbrisati vaše datoteke. Na svoj Linux možete instalirati alat za sigurno brisanje, koji uključuje uslužni program srm za sigurno brisanje datoteka.

Također, ne zaboravite na vatrozid u Linux kernelu. Uključeno u sve Linux distribucije uključuje lptables, koji je dio jezgre. Lptables vam omogućuje filtriranje mrežnih paketa. Naravno, ovaj uslužni program možete konfigurirati u terminalu. Ali ova metoda nadilazi mogućnosti mnogih, uključujući i mene. Stoga ga instaliram i konfiguriram lako kao da igram igricu.

Kao i svi operativni sustavi, Linux je sklon gomilanju raznih vrsta smeća prilikom pokretanja raznih aplikacija. I to nije krivnja Linuxa, budući da razne aplikacije, poput preglednika, uređivača teksta, pa čak i video playera, ne rade na razini kernela i gomilaju privremene datoteke. Možete instalirati uslužni program BleachBit za univerzalno uklanjanje smeća.

Anonimno surfanje, skrivanje vašeg IP-a - vrlo važno za sigurnost vašeg identiteta pod Linuxom

Zaključno, želim vam reći nešto o anonimnom surfanju internetom. Ponekad se dogodi da je to potrebno, kao što ja činim kada, krišom od supruge, posjećujem stranice erotskog sadržaja. Naravno da sam se šalio.

Napadačima će biti teško doći do vas ako ne mogu odrediti vašu lokaciju. Mi prikrivamo svoje tragove jednostavnim postavljanjem dva pomoćna programa koji rade zajedno pod nazivom privoxy i tor.

Po mom mišljenju, poštivanje i konfiguriranje svih ovih pravila učinit će vas i vaše računalo 90% sigurnima.

p.s. Koristim oblak koji se zove dropbox. U njemu pohranjujem svoje stare i nove, još neobjavljene artikle. Prikladno je imati pristup svojim datotekama s bilo kojeg mjesta u svijetu i na bilo kojem računalu. Kada pišete članke za web stranicu u uređivač teksta, ja čuvam svoje tekstualni dokumenti lozinkom i tek nakon toga uploadam na dropbox server. Nikada ne smijete zanemariti dodatnu sigurnost, koja će vam samo ići na ruku.

Pozdrav svima... Svi administratori početnici pod Ubuntuom imaju zadatak postaviti mrežna sučelja (mreža, mrežne kartice).U ovom članku ću vam pokazati kako se to radi... Radi se vrlo jednostavno...

Ako ste nekako propustili postavljanje mreže ili ste vidjeli poteškoće u instaliranju distribucije, sada ćemo to učiniti ručno. I tako imamo instaliranu distribuciju i čeka nas u napadu... Moramo konfigurirati 2 mrežne kartice..... Jedan od nas okrenut prema provideru, a drugi okrenut prema lokalna mreža. Složimo se odmah i odredimo naša sučelja i adrese.

eth0— 192.168.0.1 (recimo da je ovo adresa koju je izdao pružatelj) Sučelje koje gleda na Internet (pružatelj)
eth1— 10.0.0.1 (adresa koju želimo dati ovom sučelju) Sučelje okrenuto lokalnoj mreži

Prije svega, provjerimo koja smo sučelja već pokrenuli naredbom ifconfig Vidjet ćete nešto poput ovoga (samo s vašim podacima umjesto xxxxx)

Eth0 Link encap:Ethernet HWaddr hh:hh:hh:hh:hh:hh inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxxx.xxx Maska:255.255.255.252 inet6 addr: xxx::xxx:xxx :xxx:xxxx/64 Opseg: Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metrički:1 RX paketi:31694097 pogreške:0 odbačeno:0 prekoračenja:0 okvir:0 TX paketi:15166512 pogreške:0 odbačeno:0 prekoračenja:0 nosač: 0 sudara:0 txqueuelen:100 RX bajtova:2215593127 (2,2 GB) TX bajtova:1577680249 (1,5 GB) Memorija:b8820000-b8840000 eth1 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx inet addr:10.0. 0.1 Bcast:10.0.0.255 Maska:255.255.255.0 inet6 xxxx: xxxx::xxxx:xxxf:xxx:xxx/64 Opseg:Poveži GORE EMITIRANJE RADI MULTICAST MTU:1500 Metrički:1 RX paketi:11352041 pogreške:0 odbačeno:0 prekoračenja :0 okvir:0 TX paketi:21539638 pogreške:0 ispušteno:0 prekoračenja:0 nosač:0 sudari:0 txqueuelen:100 RX bajtova:1262641422 (1,2 GB) TX bajtovi:1922838889 (1,9 GB) Memorija:b8800000-b8820000 lo Link encap:Local loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metrički:1 RX paketi:3823 pogreške:0 ispušteno:0 prekoračenja: 0 okvir: 0 TX paketa: 3823 pogreške: 0 odbačeno: 0 prekoračenja: 0 nosač: 0 sudara: 0 txqueuelen: 0 RX bajtova: 717663 (717,6 KB) TX bajtova: 717663 (717,6 KB)

Ako se jedno od sučelja ne prikaže, onda je u redu. Samo je onemogućen, uključimo ga naredbom sudo ifconfig eth1 up(umjesto eth1 upišite vaše sučelje, ako imate 2 mrežne kartice, onda postoje samo 2 sučelja: eth0 i eth1) I tako omogućujemo naše sučelje:

sudo ifconfig eth1 up

I tako krenimo s postavljanjem.

Dodijelimo eth0 sučelju IP adresu koju je izdao pružatelj sljedećom naredbom:

sudo ifconfig eth1 inet 192.168.0.2

I odredite mrežnu masku:

sudo ifconfig eth0 mrežna maska ​​255.255.255.0

Ovako napravljene postavke poništavaju se nakon ponovnog pokretanja poslužitelja.
Kako biste spriječili da se to dogodi, morate promijeniti postavke u konfiguracijska datoteka mrežna sučelja. Za ovo su vam potrebna Root prava. Osvojimo prava Korijen sa sljedećom naredbom:

sudo su

Konfiguracijska datoteka mrežnih sučelja nalazi se na /etc/network/interfaces Za uređivanje koristimo uređivač Nano (možete koristiti vlastiti uređivač). Sviđa mi se Nano

nano /etc/network/interfaces

Vidimo sljedeće:

# Ova datoteka opisuje mrežna sučelja dostupna na vašem sustavu # i kako ih aktivirati. Za više informacija pogledajte sučelja(5). # Mrežno sučelje povratne petlje auto lo iface lo inet povratna petlja # Primarno mrežno sučelje//Primarno mrežno sučelje auto eth0//Dodjeljivanje sljedećih atributa mrežnom sučelju iface eth0 inet static//Automatski omogući mrežno sučelje adresa 192.168.0.2//ip adresa naše mrežne kartice (izdaje pružatelj) mrežna maska ​​255.255.255.0//Mrežna maska ​​u kojoj se nalazi naš IP mreža 192.168.0.0//Mreža cijelog asortimana emitiranje 192.168.0.255//Maks. broj adresa pristupnik 192.168.0.1//Gateway # dns-* opcije su implementirane paketom resolvconf, ako je instaliran

Potrebno ga je svesti na sljedeći oblik

# Ova datoteka opisuje mrežna sučelja dostupna na vašem sustavu # i kako ih aktivirati. Za više informacija pogledajte sučelja(5). # Mrežno sučelje povratne petlje auto lo iface lo inet povratna petlja # Primarno mrežno sučelje auto eth0 iface eth0 inet statička adresa 192.168.0.2 mrežna maska ​​255.255.255.0 mreža 192.168.0.0 pristupnik 192.168.0.1 # opcije dns-* implementirane su paketom resolvconf, ako je instaliran dns-nameservers 192.168.22.22 192.168.33.33 #Sučelje koje gleda u lokalnu mrežu auto eth1 iface eth1 inet static adresa 10.0.0.1 mrežna maska ​​255.255.255.0

Spremite promjene klikom Tipke Ctrl+ O i izađite pritiskom na Ctrl + X

Adrese DNS poslužitelja mogu se postaviti u datoteci /etc/network/interfaces, ali adresama DNS poslužitelja u Ubuntuu upravlja se putem datoteke /etc/resolv.conf; za mene to izgleda ovako:

poslužitelj imena xx.xx.xx.xx poslužitelj imena xx.xx.xx.xx

Konfigurirajmo DNS; da biste to učinili, unesite sljedeću naredbu u redak:

Sudo nano /etc/resolv.conf # IP adrese DNS poslužitelja vašeg pružatelja usluga nameserver hh.hhh.hhh.hhh nameserver hhh.hhh.hh.hhh

Štedimo Ctrl+O i izlazimo Ctrl +x također trebate ponovno pokrenuti mrežu sljedećom naredbom.

Svi znamo da je operacijska sala Linux sustav mnogo sigurniji od Windowsa zahvaljujući svojoj arhitekturi i posebnom sustavu raspodjele pristupa među korisnicima. Ali i programeri su ljudi, ma koliko mi to voljeli, i oni griješe. A zbog tih grešaka pojavljuju se rupe u sustavu kroz koje napadači mogu zaobići sigurnosne sustave.

Te se pogreške nazivaju ranjivostima i mogu se pojaviti u razne programe pa čak i u samoj srži sustava, potkopavajući njegovu sigurnost. Iza posljednjih godina Popularnost Linuxa počela je rasti i sigurnosni istraživači posvećuju više pažnje ovom sustavu. Otkriva se sve više ranjivosti, a zahvaljujući otvorenom izvornom kodu mogu se vrlo brzo otkloniti. U ovom ćemo članku pogledati najopasnije ranjivosti Linuxa koje su otkrivene u posljednjih nekoliko godina.

Prije nego što prijeđemo na popis ranjivosti, važno je razumjeti što su i što su. Kao što sam rekao, ranjivost je greška u programu koja dopušta korisniku da koristi program na način koji nije namjeravao programer.

To može biti nedostatak provjere točnosti primljenih podataka, provjere izvora podataka i, što je najzanimljivije, veličine podataka. Najopasnije ranjivosti su one koje dopuštaju izvršavanje proizvoljnog koda. U RAM memorija svi podaci imaju određenu veličinu i program je dizajniran za pisanje podataka od korisnika određene veličine u memoriju. Ako korisnik proslijedi više podataka, trebao bi izbaciti pogrešku.

Ali ako programer pogriješi, podaci će prebrisati programski kod i procesor će ga pokušati izvršiti, stvarajući tako ranjivosti prelijevanja međuspremnika.

Također, sve ranjivosti možemo podijeliti na lokalne, koje rade samo ako haker ima pristup lokalno računalo i daljinski, kada je dovoljan pristup putem Interneta. Sada prijeđimo na popis ranjivosti.

1.Prljava KRAVA

Prva na našem popisu bit će nova ranjivost koja je otkrivena ove jeseni. Naziv Dirty COW je kratica za Copy on Write. Dolazi do pogreške u sustavu datoteka tijekom kopiranja na pisanje. Ovo je lokalna ranjivost koja svakom neprivilegiranom korisniku omogućuje potpuni pristup sustavu.

Ukratko, za iskorištavanje ranjivosti potrebne su vam dvije datoteke, u jednu je moguće pisati samo u ime superkorisnika, a u drugu za nas. Počinjemo pisati podatke u našu datoteku mnogo puta i čitati iz datoteke superkorisnika Određeno vrijeme doći će trenutak kada će se međuspremnici obje datoteke pomiješati i korisnik će moći pisati podatke u datoteku koju ne može pisati, čime će si dati root prava u sustavu.

Ranjivost je bila u kernelu oko 10 godina, no nakon otkrića je brzo popravljena, iako još uvijek postoje milijuni Andoid uređaja u kojima kernel nije ažuriran i ne misli, a gdje se ta ranjivost može iskoristiti. Šifra ranjivosti bila je CVE-2016-5195.

2. Glibc ranjivost

Šifra ranjivosti bila je CVE-2015-7547. Ovo je jedna od ranjivosti među projektima otvorenog koda o kojoj se najviše govorilo. U veljači 2016. godine otkriveno je da biblioteka Glibc ima vrlo ozbiljnu ranjivost koja napadaču omogućuje izvršavanje njegovog koda na udaljenom sustavu.

Važno je napomenuti da je Glibc implementacija standardne C i C++ biblioteke koja se koristi u većini Linux programi, uključujući usluge i programske jezike kao što su PHP, Python, Perl.

Došlo je do pogreške u kodu za analizu odgovora DNS poslužitelja. Stoga bi ranjivost mogli iskoristiti hakeri čijem su DNS-u pristupali ranjivi strojevi, kao i oni koji izvode MITM napad. Ali ranjivost je dala potpunu kontrolu nad sustavom

Ranjivost je bila u knjižnici od 2008., ali nakon otkrića, zakrpe su izdane prilično brzo.

3. Krvarenje srca

U 2014. godini otkrivena je jedna od najozbiljnijih ranjivosti po opsegu i posljedicama. Uzrokovana je greškom u heartdead modulu OpenSSL programa, otuda i naziv Heartbleed. Ranjivost je omogućila napadačima izravan pristup 64 kilobajta RAM-a poslužitelja; napad se mogao ponavljati dok se ne pročita sva memorija.

Iako je popravak objavljen vrlo brzo, zahvaćena su mnoga mjesta i aplikacije. Zapravo, sve stranice koje su koristile HTTPS za osiguranje prometa bile su ranjive. Napadači su mogli doći do korisničkih lozinki, njihovih osobnih podataka i svega što je bilo u memoriji u trenutku napada. Šifra ranjivosti bila je CVE-2014-0160.

4. Trema

Ako je ranjivost dobila kodni naziv, to jasno znači da zaslužuje pozornost. Ranjivost Stagerfighta nije iznimka. Istina, ovo zapravo nije problem Linuxa. Stagefright je biblioteka za obradu multimedijskih formata u Androidu.

Implementiran je u C++, što znači da zaobilazi sve Java sigurnosne mehanizme. U 2015. godini otkrivena je cijela skupina ranjivosti koje su omogućile daljinsko izvršavanje proizvoljnog koda na sustavu. Evo ih: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 i CVE-2015-3829.

Sve što je napadač trebao učiniti bilo je poslati MMS na ranjivi pametni telefon s posebno modificiranom medijskom datotekom i stekao bi punu kontrolu nad uređajem s mogućnošću pisanja i čitanja podataka s memorijske kartice. Ranjivost su popravili programeri Androida, ali milijuni uređaja i dalje su ranjivi.

5. Kernel zero-day ranjivost

Ovo je lokalna ranjivost koja omogućuje podizanje privilegija. trenutni korisnik na root zbog greške u sustavu za rad s kernel kriptografskim podacima pohranjenim u memoriji. Otkrivena je u veljači 2016. i pokrivala je sve kernele počevši od 3.8, što znači da je ranjivost postojala 4 godine.

Pogrešku mogu iskoristiti hakeri ili zlonamjerni softver povećati svoje ovlasti u sustavu, ali je vrlo brzo ispravljena.

6. Ranjivost u MySQL-u

Ova je ranjivost dobila kod CVE-2016-6662 i utjecala je na sve dostupne verzije poslužitelji baze podataka MySQL podaci(5.7.15, 5.6.33 i 5.5.52), Oracle baze podataka i MariaDB i PerconaDB klonovi.

Napadači bi mogli dobiti puni pristup sustavu putem SQL upit poslan je kod koji vam je omogućio da zamijenite my.conf svojom verzijom i ponovno pokrenete poslužitelj. Također je bilo moguće izvršiti zlonamjerni kod s pravima superkorisnika.

MariaDB i PerconaDB rješenja izdala su zakrpe prilično brzo, Oracle je odgovorio, ali puno kasnije.

7. Školjka

Ova je ranjivost otkrivena 2014. prije nego što je trajala 22 godine. Dodijeljen mu je CVE-2014-6271 i kodno ime Shellshock. Ova ranjivost je po opasnosti usporediva s Heartbleedom, koji već znamo. To je uzrokovano greškom u tumaču naredbi Bash, koji je zadani tumač naredbi u većini distribucija Linuxa.

Bash vam omogućuje deklariranje varijable okoline bez autentifikacije korisnika, ali zajedno možete izvršiti bilo koju naredbu u njima. Ovo je posebno opasno u CGI skriptama, koje podržava većina web stranica. Nisu samo poslužitelji ranjivi, već i osobnih računala korisnika, usmjerivača i drugih uređaja. Zapravo, napadač može daljinski izvršiti bilo koju naredbu; ovo je potpuna daljinska kontrola bez autentifikacije.

Zahvaćene su sve verzije Basha, uključujući 4.3, iako su nakon otkrivanja problema programeri brzo objavili popravak.

8. Quadrooter

Riječ je o čitavom nizu ranjivosti u Androidu, koji je otkriven u kolovozu 2016. Dobili su kodove CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Više od 900 milijuna pogođeno je greškom Android uređaji. Sve ranjivosti pronađene su u Qualcomm ARM procesorskom upravljačkom programu i sve se mogu koristiti za dobivanje korijena pristup uređaju.

Kao i DirtyCOW, ovdje vam ne trebaju nikakve dozvole, samo instalirajte zlonamjernu aplikaciju i ona će moći dobiti sve vaše podatke i prenijeti ih napadaču.

9. Ranjivost u OpenJDK

Ovo je vrlo ozbiljna Linux 2016 ranjivost u OpenJDK Java stroju s kodom CVE-2016-0636, utječe na sve korisnike koji koriste Oracle Java SE 7 Update 97 i 8 Update 73 i 74 za Windows, Solaris, Linux i Mac OS X. Ovo ranjivost omogućuje napadaču izvršavanje proizvoljnog koda izvan Java stroja ako otvorite posebnu stranicu u pregledniku s ranjivom verzijom Jave.

To je napadaču omogućilo pristup vašim lozinkama, osobnim podacima i pokretanje programa na vašem računalu. U svemu Java verzije Greška je vrlo brzo ispravljena, a postoji od 2013. godine.

10. Ranjivost HTTP/2 protokola

Riječ je o čitavom nizu ranjivosti koje su otkrivene 2016. godine u HTTP/2 protokolu. Dobili su kodove CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Sve implementacije ovog protokola u Apacheu, Nginx Microsoftu, Jettyju i nghttp2 bile su ranjive.

Svi oni omogućuju napadaču da uvelike uspori web poslužitelj i izvede napad uskraćivanjem usluge. Na primjer, jedna od grešaka dovela je do mogućnosti slanja male poruke, koja je na poslužitelju bila raspakirana u gigabajte. Greška je vrlo brzo ispravljena i stoga nije izazvala veliku buku u zajednici.

Jeste li sigurni?

U ovom smo članku pogledali najopasnije ranjivosti Linuxa iz 2016., 2015. i 2014. godine. Većina njih mogla bi uzrokovati ozbiljnu štetu sustavima ako se ne isprave na vrijeme. Zahvaljujući otvorenom izvornom kodu, takve se ranjivosti Linuxa učinkovito otkrivaju i brzo popravljaju. Samo ne zaboravite ažurirati svoj sustav. Problem ostaje samo kod Androida. Neki uređaji više ne primaju ažuriranja i još nema rješenja za ovaj problem.

Postoji uobičajena zabluda da su poslužitelji koji koriste Linux OS najsigurniji i najzaštićeniji od vanjskih upada. Nažalost, to nije slučaj, sigurnost bilo kojeg poslužitelja ovisi o nizu čimbenika i mjera za njezino osiguranje te je praktički neovisna o operativnom sustavu koji se koristi.

Odlučili smo započeti seriju članaka posvećenih mrežnoj sigurnosti s Ubuntu Serverom, jer su rješenja na ovoj platformi od velikog interesa za naše čitatelje i budući da mnogi vjeruju da su Linux rješenja sigurna sama po sebi.

Istodobno, usmjerivač s namjenskom IP adresom je “vrata” u lokalnu mrežu, a samo o administratoru ovisit će hoće li ta vrata biti pouzdana barijera ili će se pokazati kao državna vrata zatvorena čavao.

Još jedna česta zabluda je rezoniranje u stilu: “kome treba naš server, mi nemamo ništa zanimljivo.” Doista, vaša lokalna mreža možda neće biti od interesa za napadače, ali oni mogu koristiti hakirani poslužitelj za slanje neželjene pošte, napade na druge poslužitelje, anonimni proxy, ukratko, kao početnu točku za svoje mutne poslove.

A to je već neugodno i može poslužiti kao izvor raznih problema: od pružatelja usluga do agencija za provođenje zakona. I o širenju virusa, krađi i uništavanju važna informacija Također ne treba zaboraviti, kao i činjenicu da zastoj poduzeća dovodi do prilično opipljivih gubitaka.

Unatoč činjenici da je članak posvećen Ubuntu Serveru, prvo ćemo se osvrnuti na opća sigurnosna pitanja koja se podjednako odnose na bilo koju platformu i predstavljaju osnove, bez kojih nema smisla detaljnije raspravljati o problemu.

Gdje počinje sigurnost?

Ne, sigurnost ne počinje s vatrozidom, uopće ne počinje s vatrozidom. tehnička sredstva, sigurnost počinje s korisnikom. Uostalom, čemu služe najcool metalna vrata koja su postavili najbolji stručnjaci ako vlasnik ostavi ključ ispod tepiha?

Stoga, prvo što biste trebali napraviti je provesti sigurnosnu reviziju. Neka vas ta riječ ne prestraši, nije sve tako komplicirano: nacrtajte shematski plan mreže na kojem označavate sigurnu zonu, zonu potencijalne opasnosti i zonu visoke opasnosti te napravite popis korisnika koji imaju (trebaju imati) pristup) ovim zonama.

Sigurna zona trebala bi uključivati interni resursi mreže koje nisu dostupne izvana i za koje je prihvatljiva niska razina sigurnosti. To mogu biti radne stanice, poslužitelji datoteka itd. uređaji kojima je pristup ograničen na lokalnu mrežu poduzeća.

Zona potencijalne opasnosti uključuje poslužitelje i uređaje koji nemaju izravan pristup vanjskoj mreži, ali čiji su pojedinačni servisi dostupni izvana, na primjer, web i mail poslužitelji smješteni iza vatrozida, ali još uvijek služe zahtjevima iz vanjske mreže.

Opasna zona trebala bi uključivati ​​uređaje koji su izravno dostupni izvana; idealno bi to trebao biti jedan usmjerivač.

Ako je moguće, potencijalno opasnu zonu treba smjestiti u posebnu podmrežu - demilitariziranu zonu (DMZ), koja je od glavne mreže odvojena dodatnim vatrozidom.

LAN uređaji trebaju imati pristup samo onim servisima u DMZ-u koji im trebaju, kao što su SMTP, POP3, HTTP, a druge veze trebaju biti blokirane. To će vam omogućiti da pouzdano izolirate napadača ili zlonamjerni softver koji je iskoristio ranjivost u zasebnoj usluzi u demilitariziranoj zoni, uskraćujući im pristup glavnoj mreži.

Fizički, DMZ se može organizirati instaliranjem zasebnog poslužiteljskog/hardverskog vatrozida ili dodavanjem dodatnog Mrežna kartica u router, ali u potonjem slučaju morat ćete obratiti veliku pozornost na sigurnost routera. Ali u svakom slučaju puno je lakše osigurati sigurnost jednog poslužitelja nego grupe poslužitelja.

Sljedeći korak bi trebao biti analiza popisa korisnika, trebaju li svi pristup DMZ-u i usmjerivaču (osim javnih servisa), posebnu pozornost treba obratiti na korisnike koji se spajaju izvana.

Obično to zahtijeva vrlo nepopularan korak provođenja politike zaporke. Sve lozinke za korisnike koji imaju pristup kritičnim uslugama i imaju mogućnost povezivanja izvana moraju sadržavati najmanje 6 znakova i sadržavati, osim mala slova, znakovi iz dvije kategorije od tri: velika slova, brojevi, neabecedni znakovi.

Osim toga, lozinka ne bi trebala uključivati ​​korisničku prijavu ili njen dio, ne bi trebala sadržavati datume ili imena koja se mogu povezati s korisnikom i, po mogućnosti, ne bi trebala biti riječ iz rječnika.

Dobro je ući u praksu mijenjanja lozinki svakih 30-40 dana. Jasno je da takva politika može izazvati odbijanje od strane korisnika, ali uvijek biste trebali imati na umu da lozinke vole 123 ili qwerty ekvivalentno ostavljanju ključa ispod tepiha.

Sigurnost poslužitelja - ništa dodatno.

Sada, imajući ideju o tome što želimo zaštititi i od čega, prijeđimo na sam poslužitelj. Napravite popis svih usluga i servisa, pa razmislite jesu li svi potrebni na ovom poslužitelju ili se mogu premjestiti negdje drugdje.

Što je manje servisa, lakše je osigurati sigurnost i manje su šanse da poslužitelj bude ugrožen kritičnom ranjivošću u jednom od njih.

Konfigurirajte usluge koje služe lokalnoj mreži (na primjer, squid) tako da prihvaćaju zahtjeve isključivo s lokalnog sučelja. Što je manje vanjskih usluga dostupno, to bolje.

Skener ranjivosti bit će dobar pomoćnik u osiguravanju sigurnosti; trebao bi se koristiti za skeniranje vanjskog sučelja poslužitelja. Koristili smo demo verziju jednog od najpoznatijih proizvoda - XSpider 7.7.

Skener pokazuje otvorene luke, pokušava odrediti vrstu usluge koja se izvodi i, ako je uspješna, njezine ranjivosti. Kao što vidite, ispravno konfiguriran sustav je prilično siguran, ali ne biste trebali ostaviti ključ pod tepihom, prisutnost otvorenih portova 1723 (VPN) i 3389 (RDP, proslijeđen na terminalski poslužitelj) dobar je razlog da razmislite o svojoj politici zaporki.

Također bismo trebali razgovarati o SSH sigurnosti, ovu uslugu obično koriste administratori daljinski upravljač poslužitelj i od povećanog je interesa za napadače. SSH postavke su pohranjene u datoteci /etc/ssh/sshd_config, sve promjene opisane u nastavku se unose u njega. Prije svega, trebali biste onemogućiti autorizaciju pod root korisnikom; da biste to učinili, dodajte opciju:

DozvolaRootLogin br

Sada će napadač morati pogoditi ne samo lozinku, već i prijavu, a još uvijek neće znati lozinku superkorisnika (nadamo se da ne odgovara vašoj lozinci). Sve administrativne poslove pri spajanju izvana treba obavljati odozdo sudo prijavljujete se kao neprivilegirani korisnik.

Vrijedno je eksplicitno navesti popis dopuštenih korisnika, a možete koristiti unose poput korisnik@host, koji navedenom korisniku omogućuje povezivanje samo s navedenog glavnog računala. Na primjer, da biste korisniku ivanov omogućili povezivanje od kuće (IP 1.2.3.4), trebali biste dodati sljedeći unos:

AllowUser [e-mail zaštićen]

Također onemogućite korištenje zastarjelog i manje sigurnog SSH1 protokola, dopuštajući samo drugu verziju protokola, da biste to učinili, promijenite sljedeći redak u obrazac:

Protokol 2

Unatoč svim poduzetim mjerama, i dalje će biti pokušaja povezivanja na SSH i druge javne usluge; kako biste spriječili pogađanje lozinke, koristite uslužni program fail2ban, koji vam omogućuje automatsko baniranje korisnika nakon nekoliko neuspješnih pokušaja prijave. Možete ga instalirati naredbom:

Sudo apt-get install fail2ban

Ovaj uslužni program spreman je za rad odmah nakon instalacije, međutim, savjetujemo vam da odmah promijenite neke parametre; da biste to učinili, napravite izmjene u datoteci /etc/fail2ban/jail.conf. Prema zadanim postavkama kontrolira se samo pristup SSH-u, a vrijeme zabrane je 10 minuta (600 sekundi), po našem mišljenju vrijedi ga povećati promjenom sljedeće opcije:

Bantime = 6000

Zatim se pomičite kroz datoteku i omogućite odjeljke za usluge koje se izvode na vašem sustavu postavljanjem parametra iza naziva odgovarajućeg odjeljka omogućeno u stanju pravi, na primjer za uslugu proftpd izgledat će ovako:

omogućeno = istinito

Još važan parametar maxretry, koji je odgovoran za najveći broj pokušaja povezivanja. Nakon promjene postavki, ne zaboravite ponovno pokrenuti uslugu:

Sudo /etc/init.d/fail2ban ponovno pokrenite

Dnevnik komunalnih usluga možete vidjeti na /var/log/fail2ban.log.

Prema cvedetails.com, od 1999. godine u jezgri Linuxa pronađeno je 1305 ranjivosti, od kojih je 68 pronađeno 2015. godine. Većina ih ne predstavlja posebne probleme, označeni su kao Local i Low, a neki se mogu pozvati samo kada su povezani s određenim aplikacijama ili postavkama OS-a. U principu, brojke su male, ali kernel nije cijeli OS. Ranjivosti se također nalaze u GNU Coreutils, Binutils, glibs i, naravno, u korisničkim aplikacijama. Pogledajmo one najzanimljivije.

RANJIVOSTI U LINUX KRENELU

OS: Linux
Razina: Srednje, Nisko
Vektor: Daljinski
CVE: CVE-2015-3331, CVE-2015-4001, CVE-2015-4002, CVE-2015-4003
Iskorištavati: koncept, https://lkml.org/lkml/2015/5/13/740, https://lkml.org/lkml/2015/5/13/744

Ranjivost pronađena u lipnju u jezgri Linuxa prije 3.19.3 u funkciji __driver_rfc4106_decrypt u arch/x86/crypto/aesni-intel_glue.c nastala je zbog implementacije RFC4106 za x86 procesore koji podržavaju proširenje AES skupa instrukcija AES-NI (predloženo Intel, Intel Advanced Encryption Standard Instructions) u nekim slučajevima ne izračunava ispravno adrese međuspremnika. Ako je IPsec tunel konfiguriran za korištenje ovog načina rada (AES algoritam - CONFIG_CRYPTO_AES_NI_INTEL), ranjivost može dovesti do oštećenja memorije, padova i potencijalno udaljenog izvršavanja CryptoAPI koda. Štoviše, što je najzanimljivije, problem može nastati sam od sebe, u potpuno legalnom prometu, bez vanjske intervencije. U vrijeme objave, problem je riješen.

Pet ranjivosti identificirano je u Linux 4.0.5 ozwpan driveru, koji ima eksperimentalni status, od kojih vam četiri omogućuju organiziranje DoS napada rušenjem kernela slanjem posebno dizajniranih paketa. Problem je povezan s prekoračenjem međuspremnika zbog neispravnog rukovanja cijelim brojevima s predznakom, pri čemu je izračun u memcpyju između required_size i offset vratio negativan broj, kao rezultat, podaci se kopiraju u gomilu.

Nalazi se u funkciji oz_hcd_get_desc_cnf u drivers/staging/ozwpan/ozhcd.c i u funkcijama oz_usb_rx i oz_usb_handle_ep_data datoteke drivers/staging/ozwpan/ozusbsvc1.c. Ostale ranjivosti uključivale su moguće dijeljenje s 0, petlju sustava ili mogućnost čitanja iz područja izvan granica dodijeljenog međuspremnika.

Ozwpan driver, novi dodatak Linuxu, može se upariti s postojećim bežičnim uređajima koji su kompatibilni s tehnologijom Ozmo Devices ( Wi-Fi Direct). Omogućuje implementaciju USB host kontrolera, ali trik je u tome što umjesto fizičke veze, periferija komunicira putem Wi-Fi-ja. Upravljački program prihvaća mrežne pakete tipa (ethertype) 0x892e, zatim ih analizira i prevodi u različite USB funkcije. Za sada se koristi u rijetkim slučajevima, pa se može onemogućiti istovarom ozwpan.ko modula.

LINUX UBUNTU

OS: Linux Ubuntu 04/12–04/15 (osnovno do 15. lipnja 2015.)
Razina: Kritično
Vektor: Lokalni
CVE: CVE-2015-1328
Iskorištavati: https://www.exploit-db.com/exploits/37292/

Kritična ranjivost u OverlayFS datotečnom sustavu omogućava root pristup na Ubuntu sustavima koji dopuštaju montiranje OverlayFS particija neprivilegiranom korisniku. Zadane postavke potrebne za iskorištavanje ranjivosti koriste se u svim ograncima Ubuntua 12.04–15.04. Sam OverlayFS pojavio se u Linux kernelu relativno nedavno - počevši od 3.18-rc2 (2014), to je SUSE razvoj koji zamjenjuje UnionFS i AUFS. OverlayFS vam omogućuje stvaranje virtualnog višeslojnog sloja sustav datoteka, koji kombinira nekoliko dijelova drugih datotečnih sustava.

Datotečni sustav se stvara od donjeg i gornjeg sloja, od kojih je svaki pripojen zasebnim direktorijima. Donji sloj se koristi samo za čitanje u direktorijima svih datotečnih sustava podržanih u Linuxu, uključujući mrežne. Gornji sloj obično se može pisati i nadjačat će podatke u donjem sloju ako se datoteke dupliciraju. Tražen je u Live distribucijama, sustavima za virtualizaciju spremnika i za organiziranje rada spremnika za neke desktop aplikacije. Korisnički prostori imena omogućuju vam stvaranje vlastitih skupova ID-ova korisnika i grupa u spremnicima. Ranjivost je uzrokovana netočnom provjerom prava pristupa prilikom kreiranja novih datoteka u direktoriju osnovnog datotečnog sustava.

Ako je kernel izgrađen s CONFIG_USER_NS=y (omogućavanje prostora imena korisnika) i zastavica FS_USERNS_MOUNT navedena je prilikom montiranja, OverlayFS može montirati običan korisnik u drugom prostoru imena, uključujući operacije s root prava. U ovom slučaju, operacije s datotekama s root pravima koje se izvode u takvim imenskim prostorima dobivaju iste privilegije kada se izvode radnje s temeljnim datotečnim sustavom. Stoga možete montirati bilo koju FS particiju i pregledavati ili mijenjati bilo koju datoteku ili direktorij.

U vrijeme objave već je bilo dostupno ažuriranje kernela s fiksnim OverlayFS modulom iz Ubuntua. A ako je sustav ažuriran, ne bi trebalo biti problema. U istom slučaju, kada ažuriranje nije moguće, kao privremenu mjeru, trebali biste prestati koristiti OverlayFS uklanjanjem modula overlayfs.ko.

RANJIVOSTI U KLJUČNIM APLIKACIJAMA

OS: Linux
Razina: Kritično
Vektor: lokalno, udaljeno
CVE: CVE-2015-0235
Iskorištavati: https://www.qualys.com/research/security-advisories/exim_ghost_bof.rb

Opasna ranjivost u standardna knjižnica GNU glibc, koji je temeljni dio Linux OS-a, te u nekim verzijama Oracle Communications Applications i Oracle Pillar Axiom, otkriven tijekom revizije koda od strane Qualysovih hakera. Dobio kodno ime DUH. Ovo je prekoračenje međuspremnika unutar funkcije __nss_hostname_digits_dots(), koju koriste glibc funkcije kao što su gethostbyname() i gethostbyname2() za dobivanje naziva glavnog računala (otuda naziv GetHOST). Da biste iskoristili ranjivost, morate uzrokovati prekoračenje međuspremnika pomoću nevažećeg argumenta naziva hosta za aplikaciju koja izvodi razlučivanje imena putem DNS-a. To jest, teoretski, ova se ranjivost može primijeniti na bilo koju aplikaciju koja koristi mrežu u jednom ili drugom stupnju. Može se pozvati lokalno i udaljeno, dopuštajući izvršenje proizvoljnog koda.

Najzanimljivije je da je greška ispravljena još u svibnju 2013. godine, predstavljena je zakrpa između izdanja glibc 2.17 i 2.18, ali problem nije klasificiran kao sigurnosna zakrpa, pa mu se nije obraćala pažnja. Kao rezultat toga, pokazalo se da su mnoge distribucije ranjive. U početku je objavljeno da je prva ranjiva verzija bila 2.2 od 10. studenog 2000., ali postoji mogućnost da će se pojaviti do 2.0. Među ostalim, pogođene su distribucije RHEL/CentOS 5.x–7.x, Debian 7 i Ubuntu 12.04 LTS. Trenutno su dostupni hitni popravci. Hakeri su sami predložili uslužni program koji objašnjava bit ranjivosti i omogućuje vam provjeru vašeg sustava. Sve je u redu u Ubuntu 12.04.4 LTS:

$ wget https : //goo.gl/RuunlE $gcc gistfile1. c - o CVE - 2015 - 0235 $. / CVE - 2015 - 0235 nije ranjiv

Provjera sustava na GHOST-u

Gotovo odmah je objavljen modul koji omogućuje daljinsko izvođenje koda na x86 i x86_64 Linuxu s ispravnim poslužitelj pošte Exim (s omogućenim helo_try_verify_hosts ili helo_verify_hosts). Kasnije su se pojavile i druge implementacije, na primjer, Metasploit modul za provjeru bloga na WordPressu.

Nešto kasnije, 2015. godine, otkrivene su još tri ranjivosti u GNU glibc-u koje su udaljenom korisniku omogućile izvođenje DoS napada ili prepisivanje memorijskih ćelija izvan granice stoga: CVE-2015-1472, CVE-2015-1473, CVE-2015- 1781.

OS: Linux (GNU Coreutils)
Razina: Niska
Vektor: Lokalno, Udaljeno
CVE: CVE-2014-9471
Iskorištavati: Ne

GNU Coreutils jedan je od glavnih *nix paketa, uključujući gotovo sve osnovne pomoćne programe (cat, ls, rm, date...). Problem je pronađen u datumu. Greška u funkciji parse_datetime omogućuje udaljenom napadaču bez račun na sustavu, izazvati uskraćivanje usluge i moguće izvršiti proizvoljni kod putem posebno izrađenog niza datuma koristeći vremensku zonu. Ranjivost izgleda ovako:

$ dodirnite '-- datum = TZ = ”123”345”@1' Greška segmentacije $ datum - d ‘TZ = ”Europa / Moskva” “00 : 00 + 1 sat”’ Greška segmentacije $ datum '-- datum = TZ = ”123”345”@1’ * * * Greška u ` datumu ': besplatno () : nevažeći pokazivač : 0xbfc11414 * * *

Ranjivost u GNU Coreutils

Ako nema ranjivosti, primit ćemo poruku o netočnom formatu datuma. Gotovo svi programeri distribucije Linuxa prijavili su prisutnost ranjivosti. Trenutno je dostupno ažuriranje.

Normalan izlaz zakrpanih GNU Coreutils

OS: Linux (grep 2.19–2.21)
Razina: Niska
Vektor: Lokalni
CVE: CVE-2015-1345
Iskorištavati: Ne

Ranjivosti se rijetko nalaze u uslužnom programu grep, koji se koristi za traženje teksta pomoću uzorka. Ali ovaj uslužni program često pozivaju drugi programi, uključujući sistemske, tako da je prisutnost ranjivosti mnogo problematičnija nego što se čini na prvi pogled. Greška u funkciji bmexec_trans u kwset.c mogla bi rezultirati čitanjem neinicijaliziranih podataka iz područja izvan dodijeljenog međuspremnika ili uzrokovati pad aplikacije. Haker to može iskoristiti stvaranjem posebnog skupa podataka koji se unose u aplikaciju koristeći grep -F. Ažuriranja su trenutno dostupna. Ne postoje iskorištavanja koja koriste ranjivost ili modul za Metasploit.

RANJIVOST U FREEBSD-u

OS: FreeBSD
Razina: Niska
Vektor: Lokalno, Udaljeno
CVE: CVE-2014-0998, CVE-2014-8612, CVE-2014-8613
Iskorištavati: https://www.exploit-db.com/exploits/35938/

U CVE bazi podataka za 2015. nema puno ranjivosti, točnije samo šest. Istraživači iz Core Exploit Writers Teama krajem siječnja 2015. pronašli su tri ranjivosti u FreeBSD 8.4–10.x. CVE-2014-0998 odnosi se na implementaciju upravljačkog programa VT konzole (Newcons), koji pruža više virtualnih terminala, omogućenih parametrom kern.vty=vt u /boot/loader.conf.
CVE-2014-8612 javlja se pri korištenju SCTP protokola, a uzrokuje ga pogreška u verifikacijskom kodu ID-a SCTP toka koji implementira SCTP utičnice (lokalni port 4444). Suština je greška u nedostatku memorije u funkciji sctp_setopt() (sys/netinet/sctp_userreq.c). To lokalnom neprivilegiranom korisniku daje mogućnost pisanja ili čitanja 16 bita podataka kernel memorije i eskalacije svojih privilegija na sustavu, otkrivanja osjetljivih podataka ili rušenja sustava.

CVE-2014-8613 dopušta dereferenciju NULL pokazivača da se pokrene prilikom obrade izvana primljenog SCTP paketa kada je postavljena opcija SCTP utičnice SCTP_SS_VALUE. Za razliku od prethodnih verzija, CVE-2014-8613 može se koristiti za daljinsko izazivanje pada jezgre slanjem posebno izrađenih paketa. U FreeBSD 10.1 možete se zaštititi postavljanjem varijable net.inet.sctp.reconfig_enable na 0, čime se onemogućuje obrada RE_CONFIG blokova. Ili jednostavno zabranite aplikacije (preglednike, mail klijenti i tako dalje). Iako su u vrijeme objave programeri već objavili ažuriranje.

FreeBSD Statistika ranjivosti

RANJIVOST U OPENSSL-u

OS: OpenSSL
Razina: Daljinski
Vektor: Lokalni
CVE: CVE-2015-1793
Iskorištavati: Ne

Godine 2014. otkrivena je kritična ranjivost Heartbleed u OpenSSL-u, široko korištenom kriptografskom paketu za rad sa SSL/TLS-om. Incident je svojedobno izazvao masovne kritike kvalitete koda, a s jedne strane to je dovelo do pojave alternativa poput LibreSSL-a, s druge strane, sami programeri su se konačno bacili na posao.

Najbolji dobavljači prema ranjivostima

Kritičnu ranjivost otkrili su Adam Langley iz Googlea i David Benjamin iz BoringSSL-a. Promjene napravljene u OpenSSL verzijama 1.0.1n i 1.0.2b uzrokovale su da OpenSSL pokuša pronaći alternativni lanac provjere certifikata ako je prvi pokušaj izgradnje lanca povjerenja bio neuspješan. To vam omogućuje da zaobiđete postupak provjere certifikata i organizirate potvrđenu vezu pomoću lažnog certifikata, drugim riječima - da mirno namamite korisnika na lažna mjesta ili poslužitelje E-mail ili implementirati bilo koji MITM napad gdje se koristi certifikat.

Nakon što je otkrivena ranjivost, programeri su 9. srpnja objavili izdanja 1.0.1p i 1.0.2d koja su riješila ovaj problem. Verzije 0.9.8 ili 1.0.0 nemaju ovu ranjivost.

Linux.Encoder

Kraj jeseni obilježila je pojava niza enkripcijskih virusa, najprije Linux.Encoder.0, a zatim modifikacija Linux.Encoder.1 i Linux.Encoder.2, koji su zarazili više od 2500 stranica. Prema antivirusnim tvrtkama, napadnuti su Linux i FreeBSD poslužitelji s web stranicama koje rade pomoću različitih CMS-ova - WordPress, Magento CMS, Joomla i drugi. Hakeri iskorištavaju neidentificiranu ranjivost. Zatim je postavljena shell skripta (datoteka error.php) uz pomoć koje bilo koji daljnje akcije(putem preglednika). Konkretno, pokrenut je trojanac za kodiranje Linuxa.

Encoder, koji je odredio arhitekturu OS-a i pokrenuo ransomware. Encoder je pokrenut s pravima web poslužitelja (Ubuntu - www-data), što je sasvim dovoljno za šifriranje datoteka u direktoriju u kojem su pohranjene CMS datoteke i komponente. Šifrirane datoteke dobivaju novi nastavak.encrypted.

Ransomware također pokušava zaobići druge OS direktorije; ako su prava pogrešno konfigurirana, lako bi mogao otići izvan granica web stranice. Zatim je u direktorij spremljena datoteka README_FOR_DECRYPT.txt koja sadrži upute za dekriptiranje datoteka i zahtjeve hakera. Na ovaj trenutak antivirusne tvrtke uvele su uslužne programe koji vam omogućuju dešifriranje imenika. Na primjer, set iz Bitdefendera. Ali morate zapamtiti da svi uslužni programi dizajnirani za dešifriranje datoteka ne uklanjaju shellcode i sve se može ponoviti.

Uzimajući u obzir da mnogi korisnici koji razvijaju ili eksperimentiraju s administracijom web stranica često instaliraju web poslužitelj na kućno računalo, trebali biste brinuti o sigurnosti: blokirajte pristup izvana, ažurirajte softver, provodite eksperimente na VM-u. I sama bi se ideja mogla koristiti u budućnosti za napad na kućne sustave.

ZAKLJUČAK

Kompleksan softver bez grešaka fizički ne postoji, pa se morate pomiriti s činjenicom da će se ranjivosti stalno otkrivati. Ali ne mogu svi biti doista problematični. I možete se zaštititi uzimanjem jednostavnih koraka: uklonite nekorišteni softver, pratite nove ranjivosti i svakako instalirajte sigurnosna ažuriranja, konfigurirajte vatrozid, instalirajte antivirusni program. I ne zaboravite na posebne tehnologije poput SELinuxa, koje su prilično sposobne kompromitirati demon ili korisničku aplikaciju.