Οδηγός ασφαλείας Linux. Επικίνδυνα τρωτά σημεία Linux Κρυπτογραφήστε το σύστημα αρχείων στο Linux για πιο ολοκληρωμένη ασφάλεια Linux
Στο ετήσιο συνέδριο LinuxCon το 2015, ο δημιουργός του πυρήνα GNU / Linux Linus Torvalds μοιράστηκε τη γνώμη του σχετικά με την ασφάλεια του συστήματος. Τόνισε την ανάγκη να μετριαστεί η επίδραση της παρουσίας ορισμένων σφαλμάτων με ικανή προστασία, έτσι ώστε εάν ένα στοιχείο αποτύχει, το επόμενο στρώμα να καλύπτει το πρόβλημα.
Σε αυτό το άρθρο θα προσπαθήσουμε να αποκαλύψουμε αυτό το θέμα από πρακτική άποψη:
7. Εγκαταστήστε τείχη προστασίας
Πρόσφατα υπήρξε μια νέα ευπάθεια που επιτρέπει επιθέσεις DDoS σε διακομιστές που εκτελούν Linux. Ένα σφάλμα στον πυρήνα του συστήματος εμφανίστηκε από την έκδοση 3.6 στα τέλη του 2012. Η ευπάθεια επιτρέπει στους χάκερ να εισάγουν ιούς σε αρχεία λήψης, ιστοσελίδες και να εκθέσουν τις συνδέσεις Tor και δεν χρειάζεται μεγάλη προσπάθεια για να χακάρετε - η μέθοδος πλαστογράφησης IP θα λειτουργήσει.Η μέγιστη βλάβη για τις κρυπτογραφημένες συνδέσεις HTTPS ή SSH είναι η διακοπή σύνδεσης, αλλά ένας εισβολέας μπορεί να βάλει νέο περιεχόμενο, συμπεριλαμβανομένου κακόβουλου λογισμικού, σε μη προστατευμένη κυκλοφορία. Για προστασία από τέτοιες επιθέσεις, είναι κατάλληλο ένα τείχος προστασίας.
Αποκλεισμός πρόσβασης με Τείχος προστασίας
Το τείχος προστασίας είναι ένα από τα πιο σημαντικά εργαλεία για τον αποκλεισμό της ανεπιθύμητης εισερχόμενης κίνησης. Σας συνιστούμε να επιτρέπετε μόνο την κυκλοφορία από την οποία πραγματικά χρειάζεστε και να αποκλείετε εντελώς όλη την άλλη κίνηση.
Για φιλτράρισμα πακέτων στα περισσότερα Διανομές Linuxυπάρχει ένας ελεγκτής iptables. Συνήθως χρησιμοποιούν προχωρημένους χρήστες, και για απλοποιημένη εγκατάσταση, μπορείτε να χρησιμοποιήσετε τα βοηθητικά προγράμματα UFW στο Debian/Ubuntu ή το FirewallD στο Fedora.
8. Απενεργοποιήστε τις περιττές υπηρεσίες
Ειδικοί από το Πανεπιστήμιο της Βιρτζίνια συνιστούν να απενεργοποιήσετε όλες τις υπηρεσίες που δεν χρησιμοποιείτε. Ορισμένες διεργασίες στο παρασκήνιο έχουν ρυθμιστεί να φορτώνονται αυτόματα και να εκτελούνται μέχρι να τερματιστεί η λειτουργία του συστήματος. Για να διαμορφώσετε αυτά τα προγράμματα, πρέπει να ελέγξετε τα σενάρια προετοιμασίας. Οι υπηρεσίες μπορούν να ξεκινήσουν μέσω inetd ή xinetd.Εάν το σύστημά σας έχει ρυθμιστεί μέσω inetd, τότε στο αρχείο /etc/inetd.conf μπορείτε να επεξεργαστείτε τη λίστα με τα προγράμματα παρασκηνίου "δαίμονες", για να απενεργοποιήσετε τη φόρτωση της υπηρεσίας, απλώς βάλτε ένα σύμβολο "#" στην αρχή του γραμμή, μετατρέποντάς το από εκτελέσιμο σε σχόλιο.
Εάν το σύστημα χρησιμοποιεί xinetd, τότε η διαμόρφωσή του θα βρίσκεται στον κατάλογο /etc/xinetd.d. Κάθε αρχείο καταλόγου ορίζει μια υπηρεσία που μπορεί να απενεργοποιηθεί καθορίζοντας την ρήτρα disable = yes, όπως σε αυτό το παράδειγμα:
Δάχτυλο υπηρεσίας ( socket_type = αναμονή ροής = κανένας χρήστης = κανένας διακομιστής = /usr/sbin/in.fingerd disable = ναι)
Αξίζει επίσης να ελέγξετε για επίμονες διεργασίες που δεν διαχειρίζονται από το inetd ή το xinetd. Μπορείτε να διαμορφώσετε σενάρια εκκίνησης στους καταλόγους /etc/init.d ή /etc/inittab. Αφού γίνουν οι αλλαγές, εκτελέστε την εντολή κάτω από τον λογαριασμό root.
/etc/rc.d/init.d/inet επανεκκίνηση
9. Προστατέψτε τον διακομιστή φυσικά
Δεν είναι δυνατή η πλήρης προστασία από επιθέσεις από εισβολέα με φυσική πρόσβαση στον διακομιστή. Επομένως, είναι απαραίτητο να ασφαλίσετε το δωμάτιο όπου βρίσκεται το σύστημά σας. Τα κέντρα δεδομένων λαμβάνουν σοβαρά υπόψη την ασφάλεια, περιορίζοντας την πρόσβαση σε διακομιστές, εγκαθιστώντας κάμερες ασφαλείας και διορίζοντας σταθερούς φύλακες.Για να εισέλθουν στο κέντρο δεδομένων, όλοι οι επισκέπτες πρέπει να περάσουν από ορισμένα βήματα ελέγχου ταυτότητας. Συνιστάται επίσης ανεπιφύλακτα η χρήση αισθητήρων κίνησης σε όλες τις περιοχές του κέντρου.
10. Προστατέψτε τον διακομιστή από μη εξουσιοδοτημένη πρόσβαση
Ένα σύστημα μη εξουσιοδοτημένης πρόσβασης ή IDS συλλέγει δεδομένα σχετικά με τη διαμόρφωση του συστήματος και τα αρχεία και στη συνέχεια συγκρίνει αυτά τα δεδομένα με νέες αλλαγές για να προσδιορίσει εάν είναι επιβλαβείς για το σύστημα.Για παράδειγμα, τα εργαλεία Tripwire και Aide συλλέγουν μια βάση δεδομένων αρχείων συστήματος και τα προστατεύουν με ένα σύνολο κλειδιών. Το Psad χρησιμοποιείται για την παρακολούθηση ύποπτης δραστηριότητας μέσω της αναφοράς τείχους προστασίας.
Το Bro έχει σχεδιαστεί για να παρακολουθεί το δίκτυο, να παρακολουθεί ύποπτα μοτίβα δραστηριότητας, να συλλέγει στατιστικά στοιχεία, να εκτελεί εντολές συστήματος και να δημιουργεί ειδοποιήσεις. Το RKHunter μπορεί να χρησιμοποιηθεί για προστασία από ιούς, πιο συχνά από rootkits. Αυτό το βοηθητικό πρόγραμμα σαρώνει το σύστημά σας σε μια βάση δεδομένων γνωστών τρωτών σημείων και μπορεί να εντοπίσει μη ασφαλείς ρυθμίσεις σε εφαρμογές.
συμπέρασμα
Τα εργαλεία και οι ρυθμίσεις που αναφέρονται παραπάνω θα σας βοηθήσουν να προστατεύσετε εν μέρει το σύστημα, αλλά η ασφάλεια εξαρτάται από τη συμπεριφορά σας και την κατανόηση της κατάστασης. Χωρίς προσοχή, προσοχή και συνεχή αυτομάθηση, όλα τα προστατευτικά μέτρα μπορεί να μην λειτουργήσουν.Σίγουρα μπορεί να ειπωθεί ότι linuxπερισσότερο ασφαλής(προστατεύεται) από τα Windows. Ασφάλεια V linuxενσωματωμένο, και όχι βιδωμένο κάπου στο πλάι, όπως εφαρμόζεται στα Windows. Ασφάλειασυστήματα linuxκαλύπτει την περιοχή από τον πυρήνα μέχρι την επιφάνεια εργασίας, αλλά υπάρχουν πιθανότητες οι χάκερ να καταστρέψουν τον αρχικό σας κατάλογο (/home).
Τα byte των φωτογραφιών, των οικιακών βίντεο, των εγγράφων και των δεδομένων πιστωτικών καρτών ή πορτοφολιού είναι οι πιο πολύτιμες πληροφορίες σε έναν υπολογιστή. Φυσικά, το Linux δεν είναι επιρρεπές σε όλα τα είδη τύπου ιού τύπου σκουλήκια και ιούς του Διαδικτύου για Windows. Αλλά οι εισβολείς μπορούν να βρουν έναν τρόπο πρόσβασης στα δεδομένα σας στον αρχικό σας κατάλογο.
Έχοντας προετοιμάσει τον παλιό σας υπολογιστή ή σκληρό δίσκο πριν από την πώληση, τη μορφοποίηση, πιστεύετε ότι θα είναι αρκετό; Υπάρχουν πολλά σύγχρονα εργαλεία για την ανάκτηση δεδομένων. Ένας χάκερ μπορεί εύκολα να ανακτήσει τα δεδομένα σας από σκληρός δίσκος, ανεξάρτητα από το λειτουργικό σύστημα στο οποίο εργαστήκατε.
Σε αυτό το θέμα, θυμάμαι την εμπειρία μιας εταιρείας που αγόρασε μεταχειρισμένους υπολογιστές και δίσκους. Κατά τη διάρκεια των δραστηριοτήτων τους, εξέδωσαν μια ετυμηγορία ότι το 90% των προηγούμενων κατόχων του υπολογιστή τους δεν φρόντισαν να καθαρίσουν τα μέσα αποθήκευσης πριν πουλήσουν. Και εξήγαγαν πολύ ευαίσθητα byte δεδομένων. Είναι ακόμη τρομακτικό να φανταστείτε ότι κάπου στους κάδους του σκληρού σας δίσκου υπάρχουν πληροφορίες για να εισαγάγετε την ηλεκτρονική σας τράπεζα ή το διαδικτυακό πορτοφόλι.
Ξεκινήστε με τα βασικά για την ασφάλεια του Linux
Ας μπούμε στα βασικά (), τα οποία θα ταιριάζουν σχεδόν σε όλα 
Διανομές Linux.
Κρυπτογράφηση του συστήματος αρχείων σε Linux για πιο ολοκληρωμένη ασφάλεια Linux
Οι προσαρμοσμένοι κωδικοί πρόσβασης δεν θα λύσουν το πρόβλημα εάν θέλετε πραγματικά κανείς να μην μπορεί να διαβάσει τον αρχικό σας κατάλογο (/home) ή ένα συγκεκριμένο μέγεθος byte. Μπορείτε να το κάνετε έτσι ώστε ακόμη και ένας χρήστης με τα υψηλότερα προνόμια του root να μην μπορεί να χώσει τη μύτη του.
Διαγράψτε ευαίσθητα αρχεία για να μην τα ανακτήσει κανείς άλλος
Εάν αποφασίσετε να πουλήσετε ή να δωρίσετε τον υπολογιστή σας ή το μέσο αποθήκευσης, μην υποθέσετε ότι η απλή μορφοποίηση θα διαγράψει οριστικά τα αρχεία σας. Μπορείτε να εγκαταστήσετε το εργαλείο ασφαλούς διαγραφής στο Linux σας, το οποίο περιλαμβάνει το βοηθητικό πρόγραμμα srm για την ασφαλή διαγραφή αρχείων.
Επίσης, μην ξεχνάτε το τείχος προστασίας που είναι διαθέσιμο στον πυρήνα του Linux. Όλες οι διανομές Linux περιλαμβάνουν lptables, που είναι μέρος του πυρήνα. Το Lptables σάς επιτρέπει να φιλτράρετε πακέτα δικτύου. Φυσικά, μπορείτε να διαμορφώσετε αυτό το βοηθητικό πρόγραμμα στο τερματικό. Αλλά αυτή η μέθοδος είναι πέρα από τη δύναμη πολλών, συμπεριλαμβανομένου και εμένα. Έτσι εγκαθιστώ και διαμορφώνω τόσο εύκολα σαν να έπαιζα ένα παιχνίδι.
Όπως όλα τα λειτουργικά συστήματα, το Linux είναι επιρρεπές στη συσσώρευση σκουπιδιών κατά την εκτέλεση διαφόρων εφαρμογών. Και αυτό δεν φταίει το Linux, αφού διάφορες εφαρμογές, όπως προγράμματα περιήγησης, προγράμματα επεξεργασίας κειμένου, ακόμη και προγράμματα αναπαραγωγής βίντεο, λειτουργούν εκτός του επιπέδου του πυρήνα και συσσωρεύουν προσωρινά αρχεία. Μπορείτε να εγκαταστήσετε το βοηθητικό πρόγραμμα γενικής χρήσης απορριμμάτων BleachBit.
Ανώνυμη σερφάρισμα, απόκρυψη της IP σας - πολύ σημαντική για την ασφάλεια της ταυτότητάς σας στο Linux OS
Εν κατακλείδι, θέλω να σας πω για το ανώνυμο web surfing. Μερικές φορές συμβαίνει να είναι απαραίτητο, όπως και εγώ, όταν, κρυφά από τη γυναίκα μου, επισκέπτομαι ιστότοπους με ερωτικό περιεχόμενο. Φυσικά και αστειεύτηκα.
Θα είναι δύσκολο για τους επιτιθέμενους να φτάσουν σε εσάς, εάν δεν μπορούν να προσδιορίσουν την τοποθεσία σας. Καλύπτουμε τα κομμάτια με μια απλή ρύθμιση δύο βοηθητικών προγραμμάτων που συνεργάζονται που ονομάζονται privoxy και tor.
Κατά τη γνώμη μου, η τήρηση και η ρύθμιση όλων αυτών των κανόνων θα εξασφαλίσει εσάς και τον υπολογιστή σας κατά 90%.
ΥΣΤΕΡΟΓΡΑΦΟ. Χρησιμοποιώ ένα σύννεφο που ονομάζεται dropbox. Διατηρώ σε αυτό τα παλιά και τα νέα, μη δημοσιευμένα άρθρα μου. Είναι βολικό να έχετε πρόσβαση στα αρχεία σας από οπουδήποτε στον κόσμο και σε οποιονδήποτε υπολογιστή. Όταν γράφω άρθρα για τον ιστότοπο σε ένα πρόγραμμα επεξεργασίας κειμένου, αποθηκεύω τα έγγραφα κειμένου μου με κωδικό πρόσβασης και μόνο μετά τα ανεβάζω στον διακομιστή dropbox. Ποτέ δεν πρέπει να παραμελείτε την πρόσθετη ασφάλεια, η οποία θα παίξει μόνο στα χέρια σας.
Όλοι γνωρίζουμε ότι το λειτουργικό σύστημα Linux είναι πολύ πιο ασφαλές από τα Windows λόγω της αρχιτεκτονικής του και ενός ειδικού συστήματος για τη διανομή της πρόσβασης μεταξύ των χρηστών. Αλλά και οι προγραμματιστές είναι άνθρωποι, όσο κι αν το μισούμε, κάνουν και λάθη. Και εξαιτίας αυτών των σφαλμάτων, εμφανίζονται τρύπες στο σύστημα μέσω των οποίων οι εισβολείς μπορούν να παρακάμψουν συστήματα ασφαλείας.
Αυτά τα σφάλματα ονομάζονται τρωτά σημεία, μπορούν να εμφανιστούν σε διάφορα προγράμματα ακόμη και στον ίδιο τον πυρήνα του συστήματος, υπονομεύοντας την ασφάλειά του. Τα τελευταία χρόνια, η δημοτικότητα του Linux έχει αρχίσει να αυξάνεται και οι ερευνητές ασφάλειας δίνουν μεγαλύτερη προσοχή σε αυτό το σύστημα. Ανακαλύπτονται όλο και περισσότερα τρωτά σημεία και χάρη στον ανοιχτό κώδικα, αποδεικνύεται ότι τα διορθώνει πολύ γρήγορα. Σε αυτό το άρθρο, θα εξετάσουμε τα πιο επικίνδυνα τρωτά σημεία Linux που έχουν ανακαλυφθεί τα τελευταία χρόνια.
Πριν προχωρήσετε στην ίδια τη λίστα των τρωτών σημείων, είναι σημαντικό να κατανοήσετε τι είναι και τι είναι. Όπως είπα, μια ευπάθεια είναι ένα σφάλμα σε ένα πρόγραμμα που επιτρέπει σε έναν χρήστη να χρησιμοποιήσει το πρόγραμμα με τρόπο που δεν προοριζόταν από τον προγραμματιστή του.
Αυτό μπορεί να είναι η έλλειψη επικύρωσης των δεδομένων που λαμβάνονται, η επαλήθευση της πηγής δεδομένων και, το πιο ενδιαφέρον, το μέγεθος των δεδομένων. Τα πιο επικίνδυνα τρωτά σημεία είναι αυτά που επιτρέπουν την εκτέλεση αυθαίρετου κώδικα. ΣΕ μνήμη τυχαίας προσπέλασηςόλα τα δεδομένα έχουν ορισμένο μέγεθος και το πρόγραμμα έχει σχεδιαστεί για εγγραφή στη μνήμη δεδομένων από χρήστη συγκεκριμένου μεγέθους. Εάν ο χρήστης υποβάλει περισσότερα δεδομένα, τότε θα πρέπει να κάνει ένα σφάλμα.
Αλλά αν ο προγραμματιστής έκανε λάθος, τότε τα δεδομένα θα αντικαταστήσουν τον κώδικα του προγράμματος και ο επεξεργαστής θα προσπαθήσει να τα εκτελέσει, με αποτέλεσμα να προκύψουν ευπάθειες υπερχείλισης buffer.
Επίσης, όλα τα τρωτά σημεία μπορούν να χωριστούν σε τοπικά, τα οποία λειτουργούν μόνο εάν ο χάκερ έχει πρόσβαση τοπικός υπολογιστήςκαι απομακρυσμένα, όταν η πρόσβαση στο Διαδίκτυο είναι επαρκής. Και τώρα ας περάσουμε στη λίστα με τα τρωτά σημεία.
1. Βρώμικη ΑΓΕΛΑΔΑ
Το πρώτο στη λίστα μας θα είναι μια νέα ευπάθεια που ανακαλύφθηκε αυτό το φθινόπωρο. Το όνομα Dirty COW σημαίνει Copy on Write. Παρουσιάζεται σφάλμα στο σύστημα αρχείων κατά την αντιγραφή σε εγγραφή. Αυτή είναι μια τοπική ευπάθεια που επιτρέπει σε κάθε μη προνομιούχο χρήστη να αποκτήσει πλήρη πρόσβαση στο σύστημα.
Εν ολίγοις, χρειάζονται δύο αρχεία για την εκμετάλλευση της ευπάθειας, το ένα είναι εγγράψιμο μόνο για λογαριασμό του υπερχρήστη, το δεύτερο είναι για εμάς. Αρχίζουμε να γράφουμε δεδομένα στο αρχείο μας και να διαβάζουμε από το αρχείο υπερχρήστη πολλές φορές, μετά από ένα ορισμένο χρονικό διάστημα θα έρθει μια στιγμή που τα buffer και των δύο αρχείων αναμειγνύονται και ο χρήστης θα μπορεί να γράψει δεδομένα σε ένα αρχείο του οποίου η εγγραφή είναι δεν είναι διαθέσιμο σε αυτόν, ώστε να μπορείτε να δώσετε στον εαυτό σας δικαιώματα root στο σύστημα.
Η ευπάθεια βρισκόταν στον πυρήνα για περίπου 10 χρόνια, αλλά μετά την ανακάλυψη εξαλείφθηκε γρήγορα, αν και υπάρχουν ακόμα εκατομμύρια συσκευές Andoid στις οποίες ο πυρήνας δεν έχει ενημερωθεί και δεν σκέφτεται και πού μπορεί να εκμεταλλευτεί αυτή την ευπάθεια. Η ευπάθεια κωδικοποιήθηκε CVE-2016-5195.
2. Ευπάθεια Glibc
Η ευπάθεια έλαβε τον κωδικό CVE-2015-7547. Αυτό ήταν ένα από τα πιο συζητημένα τρωτά σημεία μεταξύ έργων ανοιχτού κώδικα. Τον Φεβρουάριο του 2016, αποδείχθηκε ότι η βιβλιοθήκη Glibc έχει μια πολύ σοβαρή ευπάθεια που επιτρέπει σε έναν εισβολέα να εκτελέσει τον κώδικά του σε ένα απομακρυσμένο σύστημα.
Είναι σημαντικό να σημειωθεί ότι το Glibc είναι μια υλοποίηση της βασικής βιβλιοθήκης C και C++, η οποία χρησιμοποιείται στα περισσότερα προγράμματα Linux, συμπεριλαμβανομένων υπηρεσιών και γλωσσών προγραμματισμού όπως PHP, Python, Perl.
Έγινε σφάλμα στον κώδικα για την ανάλυση της απόκρισης διακομιστή DNS. Έτσι, η ευπάθεια θα μπορούσε να χρησιμοποιηθεί από χάκερ των οποίων το DNS είχε πρόσβαση από ευάλωτα μηχανήματα, καθώς και να εκτελέσει μια επίθεση MITM. Αλλά η ευπάθεια έδωσε τον πλήρη έλεγχο του συστήματος
Η ευπάθεια υπάρχει στη βιβλιοθήκη από το 2008, αλλά μετά την ανακάλυψη, οι ενημερώσεις κώδικα κυκλοφόρησαν αρκετά γρήγορα.
3. Αιμορραγία
Το 2014, ανακαλύφθηκε ένα από τα πιο σοβαρά τρωτά σημεία όσον αφορά την κλίμακα και τις συνέπειες. Προκλήθηκε από ένα σφάλμα στη μονάδα heartdead του OpenSSL, εξ ου και το όνομα Heartbleed. Η ευπάθεια επέτρεψε στους εισβολείς να αποκτήσουν άμεση πρόσβαση σε 64 kilobyte μνήμης RAM διακομιστή, η επίθεση θα μπορούσε να επαναληφθεί μέχρι να διαβαστεί όλη η μνήμη.
Παρά το γεγονός ότι η ενημέρωση κώδικα κυκλοφόρησε πολύ γρήγορα, πολλοί ιστότοποι και εφαρμογές επηρεάστηκαν. Στην πραγματικότητα, όλοι οι ιστότοποι που χρησιμοποιούν HTTPS για την ασφάλεια της κυκλοφορίας ήταν ευάλωτοι. Οι επιτιθέμενοι μπορούσαν να λάβουν τους κωδικούς πρόσβασης των χρηστών, τα προσωπικά τους δεδομένα και ό,τι υπήρχε στη μνήμη τη στιγμή της επίθεσης. Η ευπάθεια έλαβε τον κωδικό CVE-2014-0160.
4.Stagefright
Εάν ένα θέμα ευπάθειας έχει λάβει κωδικό όνομα, σημαίνει σίγουρα ότι αξίζει προσοχής. Η ευπάθεια Stagerfight δεν αποτελεί εξαίρεση. Είναι αλήθεια ότι αυτό δεν είναι πραγματικά πρόβλημα Linux. Το Stagefright είναι μια βιβλιοθήκη για το χειρισμό μορφών πολυμέσων στο Android.
Υλοποιείται σε C++, πράγμα που σημαίνει ότι παρακάμπτει όλους τους μηχανισμούς ασφαλείας Java. Το 2015, ανακαλύφθηκε μια ολόκληρη ομάδα τρωτών σημείων που επέτρεπαν την απομακρυσμένη εκτέλεση αυθαίρετου κώδικα στο σύστημα. Αυτά είναι τα CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 και CVE-2015-3829.
Ήταν αρκετό για έναν εισβολέα να στείλει ένα MMS σε ένα ευάλωτο smartphone με ένα ειδικά τροποποιημένο αρχείο πολυμέσων και είχε τον πλήρη έλεγχο της συσκευής με τη δυνατότητα εγγραφής και ανάγνωσης δεδομένων από την κάρτα μνήμης. Η ευπάθεια διορθώθηκε από προγραμματιστές Android, αλλά εκατομμύρια συσκευές εξακολουθούν να είναι ευάλωτες.
5. Ευπάθεια Kernel Zero Day
Αυτή είναι μια τοπική ευπάθεια που σας επιτρέπει να ανυψώσετε τον τρέχοντα χρήστη σε root λόγω ενός σφάλματος στο σύστημα για την εργασία με κρυπτογραφικά δεδομένα πυρήνα που είναι αποθηκευμένα στη μνήμη. Ανακαλύφθηκε τον Φεβρουάριο του 2016 και κάλυπτε όλους τους πυρήνες ξεκινώντας από το 3.8, που σημαίνει ότι η ευπάθεια υπήρχε για 4 χρόνια.
Το σφάλμα θα μπορούσε να έχει γίνει αντικείμενο εκμετάλλευσης από χάκερ ή κακόβουλο λογισμικό λογισμικόνα αυξήσουν τις δυνάμεις τους στο σύστημα, αλλά διορθώθηκε γρήγορα.
6. Ευπάθεια στη MySQL
Η ευπάθεια κωδικοποιήθηκε CVE-2016-6662 και επηρέασε όλες τις διαθέσιμες εκδόσεις διακομιστή βάσης δεδομένων MySQL (5.7.15, 5.6.33 και 5.5.52), τις βάσεις δεδομένων Oracle και τους κλώνους των MariaDB και PerconaDB.
Οι επιτιθέμενοι θα μπορούσαν να αποκτήσουν πλήρη πρόσβαση στο σύστημα μέσω Ερώτημα SQLπέρασε ένας κωδικός που μου επέτρεψε να αντικαταστήσω το my.conf με την έκδοσή μου και να επανεκκινήσω τον διακομιστή. Ήταν επίσης δυνατή η εκτέλεση κακόβουλου κώδικα με δικαιώματα υπερχρήστη.
Οι λύσεις MariaDB και PerconaDB κυκλοφόρησαν patches αρκετά γρήγορα, η Oracle αντέδρασε, αλλά πολύ αργότερα.
7 Shellshock
Αυτή η ευπάθεια ανακαλύφθηκε το 2014 πριν διαρκέσει 22 χρόνια. Της εκχωρήθηκε ο κωδικός CVE-2014-6271 και το κωδικό όνομα Shellshock. Αυτή η ευπάθεια είναι συγκρίσιμη σε κίνδυνο με το ήδη γνωστό Heartbleed. Προκαλείται από ένα σφάλμα στον διερμηνέα εντολών Bash, ο οποίος είναι η προεπιλογή στις περισσότερες διανομές Linux.
Το Bash σάς επιτρέπει να δηλώσετε μεταβλητές περιβάλλοντοςχωρίς έλεγχο ταυτότητας χρήστη και μαζί μπορούν να εκτελέσουν οποιαδήποτε εντολή. Αυτό είναι ιδιαίτερα επικίνδυνο στα σενάρια CGI, τα οποία υποστηρίζονται από τους περισσότερους ιστότοπους. Ευάλωτοι δεν είναι μόνο οι διακομιστές, αλλά και οι προσωπικοί υπολογιστές των χρηστών, οι δρομολογητές και άλλες συσκευές. Στην πραγματικότητα, ένας εισβολέας μπορεί να εκτελέσει εξ αποστάσεως οποιαδήποτε εντολή, αυτό είναι ένα πλήρες τηλεχειριστήριο χωρίς έλεγχο ταυτότητας.
Τα τρωτά σημεία επηρεάστηκαν από όλες τις εκδόσεις του Bash, συμπεριλαμβανομένης της 4.3, ωστόσο, μετά την ανακάλυψη του προβλήματος, οι προγραμματιστές κυκλοφόρησαν πολύ γρήγορα μια επιδιόρθωση.
8.Quadrooter
Πρόκειται για μια ολόκληρη σειρά τρωτών σημείων στο Android, η οποία ανακαλύφθηκε τον Αύγουστο του 2016. Έλαβαν τους κωδικούς CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Περισσότερα από 900 εκατομμύρια υπόκεινται σε σφάλματα Συσκευές Android. Όλα τα τρωτά σημεία εντοπίστηκαν στο πρόγραμμα οδήγησης επεξεργαστή ARM της Qualcomm και όλα αυτά μπορούν να χρησιμοποιηθούν για παίρνοντας ρίζαπρόσβαση στη συσκευή.
Όπως το DirtyCOW, δεν χρειάζονται δικαιώματα εδώ, απλώς εγκαταστήστε μια κακόβουλη εφαρμογή και θα μπορεί να πάρει όλα τα δεδομένα σας και να τα μεταφέρει σε έναν εισβολέα.
9. Ευπάθεια στο OpenJDK
Αυτή είναι μια πολύ σοβαρή ευπάθεια του Linux 2016 στο OpenJDK Java Machine με κωδικό CVE-2016-0636 που επηρεάζει όλους τους χρήστες που εκτελούν Oracle Java SE 7 Update 97 and 8 Update 73 and 74 σε Windows, Solaris, Linux και Mac OS X. Αυτή η ευπάθεια επιτρέπει σε έναν εισβολέα να εκτελεί αυθαίρετο κώδικα έξω από μια μηχανή Java, εάν ανοίξετε μια ειδική σελίδα σε ένα πρόγραμμα περιήγησης με μια ευάλωτη έκδοση Java.
Αυτό επέτρεψε σε έναν εισβολέα να αποκτήσει πρόσβαση στους κωδικούς πρόσβασης, τα προσωπικά σας δεδομένα και επίσης να εκτελέσει προγράμματα στον υπολογιστή σας. Σε όλες τις εκδόσεις της Java, το σφάλμα διορθώθηκε πολύ γρήγορα, υπάρχει από το 2013.
10. Ευπάθεια HTTP/2
Πρόκειται για μια σειρά από τρωτά σημεία που ανακαλύφθηκαν το 2016 στο πρωτόκολλο HTTP/2. Έλαβαν τους κωδικούς CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Όλες οι υλοποιήσεις αυτού του πρωτοκόλλου σε Apache, Nginx Microsoft, Jetty και nghttp2 υπόκεινταν σε ευπάθειες.
Όλα αυτά επιτρέπουν σε έναν εισβολέα να επιβραδύνει πολύ τον διακομιστή ιστού και να εκτελέσει επίθεση άρνησης υπηρεσίας. Για παράδειγμα, ένα από τα σφάλματα είχε ως αποτέλεσμα τη δυνατότητα αποστολής ενός μικρού μηνύματος, το οποίο αποσυσκευάστηκε σε gigabyte στον διακομιστή. Το σφάλμα διορθώθηκε πολύ γρήγορα και επομένως δεν προκάλεσε πολύ θόρυβο στην κοινότητα.
Είσαι ασφαλής?
Σε αυτό το άρθρο, εξετάσαμε τα πιο επικίνδυνα τρωτά σημεία Linux του 2016, του 2015 και του 2014. Τα περισσότερα από αυτά θα μπορούσαν να προκαλέσουν σοβαρή ζημιά στα συστήματα εάν δεν διορθωθούν εγκαίρως. Χάρη στον ανοιχτό κώδικα, τέτοιες ευπάθειες Linux εντοπίζονται αποτελεσματικά και διορθώνονται γρήγορα. Απλώς μην ξεχάσετε να ενημερώσετε το σύστημά σας. Το πρόβλημα παραμένει μόνο με το Android. Ορισμένες συσκευές δεν λαμβάνουν πλέον ενημερώσεις και δεν υπάρχει ακόμη λύση σε αυτό το πρόβλημα.
Πολλοί χρήστες θεωρούν το Ubuntu pop και το Ubuntu Server μη σοβαρά. Πολλοί άνθρωποι ξεχνούν ότι ο διακομιστής Ubuntu υποστηρίζεται για 5 χρόνια και ο πατέρας του Debian 5.0 ήταν στην αγορά για 3 χρόνια - από το 2009 έως το 2012.
Όσον αφορά τις τιμές υποστήριξης - σε σύγκριση με το Red Hat, ο διακομιστής Ubuntu μπορεί και πρέπει να ειπωθεί - το αποκτήσατε δωρεάν, ακόμα κι αν παραγγείλετε υποστήριξη 24x7x365 όλο το εικοσιτετράωρο.
Δείτε ποιες λύσεις ασφαλείας εφαρμόζονται σε όλες τις εκδόσεις του Ubuntu και κάντε το ασφαλές και αξιόπιστο.
Δυνατότητες
Πίνακας δυνατοτήτων ασφαλείας
| Ευκαιρία | 8,04LTS(Hardy Heron) | 10,04LTS(Lucid Lynx) | 11.04 (Natty Narwhal) | 11.10 (Oneiric Ocelot) | 12,04LTS(Ακριβής Παγκολίνος) | 12.10 (Quantal Quetzal) |
| Δεν υπάρχουν ανοιχτές θύρες | πολιτική | πολιτική | πολιτική | πολιτική | πολιτική | πολιτική |
| Κατακερματισμός κωδικού πρόσβασης | md5 | sha512 | sha512 | sha512 | sha512 | sha512 |
| Cookies SYN | -- | πυρήνας & sysctl | πυρήνας & sysctl | πυρήνας & sysctl | πυρήνας & sysctl | πυρήνας & sysctl |
| Δυνατότητες συστήματος αρχείων | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Ρυθμιζόμενο τείχος προστασίας | ufw | ufw | ufw | ufw | ufw | ufw |
| PR_SET_SECCOMP | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| AppArmor | 2.1 | 2.5 | 2.6.1 | 2.7.0~beta1 | 2.7.0 | 2.7.0 |
| SELinux | σύμπαν | σύμπαν | σύμπαν | σύμπαν | σύμπαν | σύμπαν |
| ΣΚΑΜΠΙΛΙ | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Κρυπτογραφημένο LVM | πρόγραμμα εγκατάστασης alt | πρόγραμμα εγκατάστασης alt | πρόγραμμα εγκατάστασης alt | πρόγραμμα εγκατάστασης alt | πρόγραμμα εγκατάστασης alt | πρόγραμμα εγκατάστασης alt |
| eCryptfs | -- | ~/Ιδιωτικό ή ~, ονόματα αρχείων | ~/Ιδιωτικό ή ~, ονόματα αρχείων | ~/Ιδιωτικό ή ~, ονόματα αρχείων | ~/Ιδιωτικό ή ~, ονόματα αρχείων | ~/Ιδιωτικό ή ~, ονόματα αρχείων |
| Προστασία στοίβας | patch gcc | patch gcc | patch gcc | patch gcc | patch gcc | patch gcc |
| Προστασία σωρών | glibc | glibc | glibc | glibc | glibc | glibc |
| ασαφής δείκτης | glibc | glibc | glibc | glibc | glibc | glibc |
| Στοίβα ASLR | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| libs/mmap ASLR | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Exec ASLR | πυρήνας (-mm patch) | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| brk ASLR | πυρήνας (exec ASLR) | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| VDSO ASLR | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Κτίριο με ΠΙΤΑ | -- | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων |
| -- | patch gcc | patch gcc | patch gcc | patch gcc | patch gcc | |
| Συναρμολόγηση με RELRO | -- | patch gcc | patch gcc | patch gcc | patch gcc | patch gcc |
| Κτίριο με BIND_NOW | -- | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων | λίστα πακέτων |
| Μη Εκτελέσσιμη Μνήμη | Μόνο ΠΑΕ | PAE, ia32 partal-NX-emulation | PAE, ia32 partal-NX-emulation | PAE, ia32 partal-NX-emulation | PAE, ia32 partal-NX-emulation | |
| Προστασία /proc/$pid/maps | πυρήνας & sysctl | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Συμβολικά όρια συνδέσμων | -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Περιορισμοί σκληρών συνδέσμων | -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Πεδίο ίχνους | -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Προστασία 0-διεύθυνσης | πυρήνας & sysctl | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Προστασία /dev/mem | πυρήνας (-mm patch) | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Απενεργοποιήθηκε το /dev/kmem | πυρήνας (-mm patch) | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Αποκλεισμός φόρτωσης μονάδας | απορρίψτε το CAP_SYS_MODULES | sysctl | sysctl | sysctl | sysctl | sysctl |
| πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας | |
| Προστασία στοίβας πυρήνα | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| Μονάδα RO/NX | -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας |
| -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας | |
| -- | -- | πυρήνας | πυρήνας | πυρήνας | πυρήνας | |
| Φιλτράρισμα κλήσεων συστήματος | -- | -- | -- | πυρήνας | πυρήνας | πυρήνας |
Δεν υπάρχουν ανοιχτές θύρες
Η προεπιλεγμένη εγκατάσταση του Ubuntu δεν έχει ανοιχτές θύρες διαθέσιμες εκτός δικτύου. Η εξαίρεση σε αυτόν τον κανόνα είναι μόνο για υπηρεσίες υποδομής δικτύου όπως ο πελάτης DHCP και το mDNS (Avahi/ZeroConf).
Όταν είναι εγκατεστημένος ο διακομιστής Ubuntu, ο διαχειριστής μπορεί να εγκαταστήσει πρόσθετες υπηρεσίες δικτύου, όπως ο διακομιστής ιστού Apache. Αλλά από προεπιλογή, σε ένα πρόσφατα εγκατεστημένο σύστημα, εάν κάνετε netstat -an --inet | grep ΑΚΟΥΣΤΕ | grep -v 127.0.0.1 , τότε μπορείτε εύκολα να επαληθεύσετε ότι το Ubuntu δεν ανοίγει άσκοπα θύρες για πρόσβαση από δίκτυα στο σύστημα.
Κατακερματισμός κωδικού πρόσβασης
Ο κωδικός πρόσβασης συστήματος που χρησιμοποιείται για τη σύνδεση στο Ubuntu αποθηκεύεται στο /etc/shadow. Πριν από πολύ καιρό, ο κατακερματισμός του κωδικού πρόσβασης DES είχε αποθηκευτεί στο /etc/passwd. Αλλά τα σύγχρονα Linux αποθηκεύουν κατακερματισμούς στο /etc/shadow για μεγάλο χρονικό διάστημα και αρχικά χρησιμοποιήθηκε ένα αλατισμένο MD5-based hashes crypt id 1. Δεδομένου ότι οι ίδιοι κωδικοί πρόσβασης είχαν τους ίδιους κατακερματισμούς χωρίς τη χρήση salt, η εισαγωγή ενός salt βελτίωσε την ασφάλεια και κατέστησε πιο δύσκολη τη διάσπαση των κωδικών πρόσβασης πολλών χρηστών του συστήματος.
Τώρα το MD5 θεωρείται αναξιόπιστο και με την ανάπτυξη των υπολογιστικών δυνατοτήτων των υπολογιστών, με το Ubuntu 8.10, χρησιμοποιείται ένας κατακερματισμός SHA-512 με αλάτι (salted SHA-512 based password hashes crypt id 6). Αυτό κάνει το brute-force brute-force hacking απίστευτα δύσκολο και χρονοβόρο.
Δείτε το mancrypt για λεπτομέρειες.
Χρησιμοποιήστε το test-glibc-security.py για δοκιμές.
Cookies SYN
Όταν το σύστημα πλημμυρίζει από νέες συνδέσεις δικτύου, ο μηχανισμός cookie SYN συμβάλλει στη μείωση της ζημιάς από επιθέσεις πλημμύρας SYN.
Δυνατότητες συστήματος αρχείων
Η ανάγκη για setuid εφαρμογές που εκτελούνται με υψηλότερα προνόμια από αυτόν που τις εκτόξευσε μπορεί να μειωθεί χρησιμοποιώντας λειτουργίες του συστήματος αρχείων όπως το xattrs. Τέτοιες δυνατότητες μειώνουν τον κίνδυνο κατάχρησης δυνητικά επικίνδυνων εφαρμογών setuid.
Ο πυρήνας του Linux διατηρεί υποστήριξη και υπάρχει μια εργαλειοθήκη libcap2-bin για τη χρήση δυνατοτήτων αρχείων όπως το xattrs για την ενίσχυση της ασφάλειας των εφαρμογών setuid.
Χρησιμοποιήστε test-kernel-security.py για δοκιμές.
Ρυθμιζόμενο τείχος προστασίας
Το ufw είναι μια διεπαφή iptables που εγκαθίσταται και χρησιμοποιείται στο Ubuntu, αλλά πρέπει να ενεργοποιηθεί από τον χρήστη. Το UFW στοχεύει να παρέχει μια εύχρηστη διεπαφή για άτομα που δεν είναι εξοικειωμένα με τις έννοιες, τις αλυσίδες και τους πίνακες του τείχους προστασίας iptables.
Ταυτόχρονα, το UFW απλοποιεί πολύπλοκες εντολές iptables για να βοηθήσει τον διαχειριστή που γνωρίζει τι κάνει.
Το UFW είναι βοηθός και βάση για γραφικά frontend.
Χρησιμοποιήστε τεστ ufw για δοκιμές.
PR_SET_SECCOMP
AppArmor
SELinux
Το SELinux είναι ένα υποχρεωτικό σύστημα ελέγχου πρόσβασης που βασίζεται στην έννοια του inode - ενός συστήματος αρχείων inode.
Η εγκατάσταση του πακέτου selinux θα κάνει τις απαραίτητες αλλαγές και προσαρμογές κατά την εκκίνηση του υπολογιστή.
Χρησιμοποιήστε test-kernel-security.py για δοκιμές.
ΣΚΑΜΠΙΛΙ
Το SMACK είναι ένα ευέλικτο υποχρεωτικό σύστημα ελέγχου πρόσβασης που βασίζεται στην έννοια του inode - περιγραφής ευρετηρίου συστήματος αρχείων.
Χρησιμοποιήστε test-kernel-security.py για δοκιμές.
Κρυπτογράφηση συστήματος αρχείων
Κρυπτογράφηση LVM
Οι χρήστες που χρησιμοποιούν το εναλλακτικό πρόγραμμα εγκατάστασης μπορούν να εγκαταστήσουν το Ubuntu σε ένα κρυπτογραφημένο LVM (Logical Volume Manage - Logical Volume Manager), το οποίο θα κρυπτογραφεί όλα τα διαμερίσματα, συμπεριλαμβανομένου του διαμερίσματος swap.
eCryptfs
Οι κρυπτογραφημένοι φάκελοι εφαρμόστηκαν για πρώτη φορά στο Ubuntu 8.10 ως ένα ασφαλές μέρος για την αποθήκευση ευαίσθητων πληροφοριών χρήστη.
Το πρόγραμμα εγκατάστασης εναλλακτικού δίσκου και διακομιστή σάς επιτρέπει να ρυθμίσετε κρυπτογραφημένους φακέλους για τον πρώτο χρήστη.
Στο Ubuntu 9.04, η υποστήριξη για κρυπτογράφηση φακέλου επεκτάθηκε για να επιτρέψει στον χρήστη να κρυπτογραφήσει ολόκληρο τον αρχικό φάκελο. Η κρυπτογράφηση του οικιακού φακέλου υποστηρίζεται στο εναλλακτικό πρόγραμμα εγκατάστασης και στο πρόγραμμα εγκατάστασης Desktop μέσω της επιλογής user-setup/encrypt-home=true.
Ενίσχυση της ασφάλειας του χώρου χρήστη
Πολλά χαρακτηριστικά ασφαλείας υλοποιούνται μέσω σημαιών μεταγλώττισης κατά τη δημιουργία πακέτων λογισμικού και του πυρήνα.
Προστασία στοίβας
Η σημαία gcc -fstack-protector παρέχει προστασία υπερχείλισης στοίβας τοποθετώντας έναν μικρό τυχαίο αριθμό ως διακριτικό. Αυτή η τεχνική κάνει τις υπερχειλίσεις στοίβας πιο δύσκολες για διάφορα exploit.
Ένας μικρός αριθμός προγραμμάτων δεν λειτουργούν καλά εάν έχουν κατασκευαστεί με αυτήν την επιλογή και έχουν απενεργοποιημένο το -fstack-protector για αυτά.
Χρησιμοποιήστε το test-gcc-security.py για δοκιμές.
Προστασία σωρών
Η προστασία σωρού της Βιβλιοθήκης GNU C (αυτόματα ptmalloc και μη αυτόματα) παρέχει προστασία από κατεστραμμένη λίστα/αποσύνδεση/διπλό ελεύθερο/υπερχείλιση στη διαχείριση μνήμης glibc.
Αυτό αποτρέπει την εκτέλεση αυθαίρετου κώδικα μέσω υπερχείλισης μνήμης σωρού, καταστρέφοντας έτσι τη δομή της περιοχής σωρού.
Αυτή η προστασία έχει εξελιχθεί με την πάροδο του χρόνου, προσθέτοντας όλο και περισσότερες επιλογές προστασίας. Στην τρέχουσα κατάστασή του, το glibc 2.10 αντιστέκεται με επιτυχία ακόμη και σε ανεπαίσθητες συνθήκες επίθεσης.
ασαφής δείκτης
Ορισμένοι δείκτες glibc είναι ασαφείς μέσω των μακροεντολών PTR_MANGLE/PTR_UNMANGLE εσωτερικά στο glibc, αποτρέποντας την αντικατάσταση των δεικτών κατά το χρόνο εκτέλεσης.
Χρησιμοποιήστε τις δοκιμές test-glibc-security.py.
Τυχαία τοποθέτηση στο χώρο διευθύνσεων. Τυχαιοποίηση διάταξης χώρου διεύθυνσης (ASLR)
Το ASLR υλοποιείται στον πυρήνα και ο φορτωτής ELF τοποθετεί τις πιο σημαντικές δομές σε τυχαίες διευθύνσεις: στοίβα, σωρό, κοινόχρηστες βιβλιοθήκες και άλλα.
Αυτό καθιστά πιο δύσκολη την πρόβλεψη διευθύνσεων όταν ένας εισβολέας προσπαθεί να χρησιμοποιήσει εκμεταλλεύσεις.
Το ASLR αλλάζει παγκοσμίως μέσω του /proc/sys/kernel/randomize_va_space. Πριν από το Ubuntu 8.10, η τιμή ήταν "1" (ενεργοποιημένη). Σε μεταγενέστερες εκδόσεις που περιλαμβάνουν brk ASLR, η τιμή ορίζεται σε "2" (ενεργοποιήθηκε με brk ASLR).
Στοίβα ASLR
Τα αποτελέσματα κάθε εκτέλεσης του προγράμματος τοποθετούνται σε διαφορετικά σημεία στη στοίβα. Είναι δύσκολο να βρείτε στη μνήμη και να επιτεθείτε στο πρόγραμμα προσθέτοντας κακόβουλο ωφέλιμο φορτίο.
libs/mmap ASLR
Οι βιβλιοθήκες φορτώνονται δυναμικά σε διαφορετικές θέσεις μνήμης, καθιστώντας δύσκολο για έναν εισβολέα να βρει ένα σημείο επιστροφής.
Η προστασία είναι διαθέσιμη από τον πυρήνα 2.6.15 (Ubuntu 6.06).
Exec ASLR
Τα προγράμματα που έχουν δημιουργηθεί με την επιλογή "-fPIE -pie" φορτώνονται σε διαφορετικές θέσεις στη μνήμη. Αυτό καθιστά πιο δύσκολη την επίθεση ή τη μετάβαση σε μια διεύθυνση για να πραγματοποιήσετε μια επίθεση τροποποίησης μνήμης.
Η προστασία είναι διαθέσιμη από τον πυρήνα 2.6.25 (Ubuntu 8.04 LTS).
brk ASLR
Όπως το exec ASLR, το brk ASLR προσαρμόζει τις διευθύνσεις μνήμης μεταξύ exec και brk για αιτήματα εκχώρησης μικρής μνήμης. Η τυχαιοποίηση της μετατόπισης μνήμης brk exec προστέθηκε στον πυρήνα 2.6.26 (Ubuntu 8.10).
VDSO ASLR
Κάθε φορά που εκτελείται το πρόγραμμα, τοποθετεί τα αποτελέσματα σε διαφορετικό vdso. Εμφανίστηκε για πρώτη φορά στον πυρήνα 2.6.18 (x86, PPC) και 2.6.22 (x86_64), αλλά δεν συμπεριλήφθηκε στο Ubuntu 6.10 λόγω COMPAT_VDSO, το οποίο καταργήθηκε στο Ubuntu 8.04 LTS.
Προστατεύει από επιθέσεις μετάβασης σε σύστημα κλήσης.
Μόνο το x86 υποστηριζόταν από το glibc 2.6. Το glibc 2.7 (Ubuntu 8.04 LTS) υποστηρίζει ήδη x86_64 ASLR vdso.
Όσοι χρειάζονται το αρχαίο static pre-libc6 vdso μπορούν να χρησιμοποιήσουν το "vdso=2" ως παράμετρο πυρήνα και να πάρουν ξανά COMPAT_VDSO.
Κτίριο με ΠΙΤΑ
Όλα τα προγράμματα που έχουν δημιουργηθεί με την επιλογή Position Independent Executables (PIE) "-fPIE -pie" μπορούν να επωφεληθούν από την προστασία exec ASLR.
Αυτό προστατεύει από επιθέσεις "return-to-text" και καθιστά άχρηστες τις συμβατικές επιθέσεις τροποποίησης μνήμης.
Λόγω του PIE, υπάρχει μεγάλη πτώση απόδοσης (5-10%) σε αρχιτεκτονικές με μικρό αριθμό καταχωρητών γενικής χρήσης (όπως x86).
Επομένως, το PIE χρησιμοποιείται για μικρό αριθμό πακέτων κρίσιμων για την ασφάλεια.
Το PIE για x86_64 δεν έχει προβλήματα υποβάθμισης της απόδοσης, επομένως χρησιμοποιείται για όλα τα πακέτα, αλλά χρειάζεται καλύτερη δοκιμή.
| Πλαστική σακούλα | 8,04LTS | 9.04 | 9.10 | 10,04LTS | 10.10 | 11.04 | 11.10 |
| openssh | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| apache2 | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| δεσμεύω9 | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| openldap | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| postfix | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| φλιτζάνια | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| postgresql-8.3 | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| σάμπα | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| περιστεριώνα | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| dhcp3 | -- | Ναί | Ναί | Ναί | Ναί | Ναί | Ναί |
| ntp | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| amavisd-νέο | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| καλαμάρι | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| cyrus-sasl2 | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| exim4 | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| nagios3 | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| nagios-plugins | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| xinetd | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| ipsec-εργαλεία | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| mysql-dfsg-5.1 | -- | -- | Ναί | Ναί | Ναί | Ναί | Ναί |
| αποδεικνύω | -- | -- | -- | Ναί | Ναί | Ναί | Ναί |
| firefox | -- | -- | -- | Ναί | Ναί | Ναί | Ναί |
| gnome-control-center | -- | -- | -- | -- | -- | Ναί | Ναί |
| καβγαδάκι | -- | -- | -- | -- | -- | Ναί | Ναί |
| τοτέμ | -- | -- | -- | -- | -- | Ναί | Ναί |
| qemu-kvm | -- | -- | -- | -- | -- | -- | Ναί |
| γλωσσικό κατασκεύασμα | -- | -- | -- | -- | -- | -- | Ναί |
Κτίριο με Fortify Source
Τα προγράμματα που έχουν δημιουργηθεί με "-D_FORTIFY_SOURCE=2" (και -O1 ή νεότερη έκδοση) περιλαμβάνουν αρκετές προστασίες μεταγλώττισης και χρόνου εκτέλεσης στο glibc:
- Οι κλήσεις "sprintf", "strcpy" με τα απροσδιόριστα όριά τους αντικαθίστανται με σχετικές συναρτήσεις με όριο N, όταν το μέγεθος του buffer είναι γνωστό εκ των προτέρων. Αυτό προστατεύει από υπερχείλιση μνήμης.
- διακοπή μιας επίθεσης μέσω της μορφής συμβολοσειράς "%n" όταν η συμβολοσειρά βρίσκεται σε τμήμα μνήμης με πρόσβαση εγγραφής.
- απαιτούν τον έλεγχο των κωδικών επιστροφής των πιο σημαντικών συναρτήσεων και ορισμάτων (για παράδειγμα, για σύστημα, εγγραφή, άνοιγμα).
- απαιτούν μια ρητή μάσκα κατά τη δημιουργία του αρχείου.
Συναρμολόγηση με RELRO
Σύσφιξη για προγράμματα ELF για την καταπολέμηση της αντικατάστασης της μνήμης του bootloader. Μειώνει την πιθανότητα επίθεσης τύπου GOT-overwrite.
Χρησιμοποιήστε δοκιμές test-gcc-security.py.
Κτίριο με BIND_NOW
Επισημαίνει τα προγράμματα ELF ώστε να επιτρέπουν δυναμικούς χαρακτήρες κατά την εκκίνηση, αντί για κατ' απαίτηση, γνωστό και ως "άμεση δέσμευση".
Αυτό καθιστά το GOT πλήρως μόνο για ανάγνωση, σε συνδυασμό με την επιλογή RELRO.
Χρησιμοποιήστε test-built-binaries.py tests.
Μη Εκτελέσσιμη Μνήμη
Οι σύγχρονοι επεξεργαστές προστατεύουν τις περιοχές μνήμης δεδομένων (σωρό, στοίβα) από την εκτέλεση κώδικα.
Αυτή η τεχνολογία είναι γνωστή ως Non-eXecute (NX) ή eXecute-Disable (XD). Η προστασία μειώνει την ικανότητα ενός εισβολέα να τοποθετεί αυθαίρετο κώδικα.
Η προστασία απαιτεί "PAE", το οποίο επιτρέπει επίσης τη διευθυνσιοδότηση πάνω από 3 GB μνήμης RAM. Οι πυρήνες 64 bit και 32 bit -server και -generic-pae έχουν ήδη κατασκευαστεί με PAE.
Ξεκινώντας με το Ubuntu 9.10, η προστασία προσομοιώνεται εν μέρει σε πυρήνες 32 bit για επεξεργαστές που δεν υποστηρίζουν υλικό NX.
Μετά τη φόρτωση, μπορείτε να δείτε τον βαθμό υποστήριξης για προστασία NX:
- Υλικό: [ 0.000000] Προστασία NX (Εκτέλεση απενεργοποίησης): ενεργή
- Αμιλλα:
[ 0,000000] Χρήση ορίων τμήματος x86 για την κατά προσέγγιση προστασία NX
Εάν δεν βλέπετε καμία αναφορά για το NX, ελέγξτε τις ρυθμίσεις του BIOS. Από το Ubuntu 11.04, οι ρυθμίσεις του BIOS για το NX αγνοούνται από τον πυρήνα.
| Ubuntu 9.04 και παλαιότερες εκδόσεις | ||||
| Η CPU υποστηρίζει NX | Η CPU δεν υποστηρίζει NX | |||
| NX ενεργοποιημένο στο BIOS | Το NX είναι απενεργοποιημένο στο BIOS | |||
| i386 | -386, -γενικός πυρήνας (μη PAE) | Το nx δεν υποστηρίζεται | Το nx δεν υποστηρίζεται | Το nx δεν υποστηρίζεται |
| -πυρήνας διακομιστή (PAE) | πραγματικό nx | Το nx δεν υποστηρίζεται | Το nx δεν υποστηρίζεται | |
| amd64 | οποιοσδήποτε πυρήνας (PAE) | πραγματικό nx | Το nx δεν υποστηρίζεται | Το nx δεν υποστηρίζεται |
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Προστασία /proc/$pid/maps
Όταν εκτελείται το ASLR, οι τρέχοντες χάρτες μνήμης διεργασιών γίνονται πολύτιμοι για έναν εισβολέα. Το αρχείο χάρτη είναι αναγνώσιμο μόνο από την ίδια τη διαδικασία και τον κάτοχο της διαδικασίας.
Διαθέσιμο από τον πυρήνα 2.6.22.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Συμβολικά όρια συνδέσμων
Ο πιο συνηθισμένος τρόπος για να εκμεταλλευτεί κανείς αυτό το ελάττωμα είναι να εξαναγκάσει το root να χρησιμοποιήσει έναν συμβολικό σύνδεσμο που δημιουργήθηκε από έναν εισβολέα προκειμένου να εκτελέσει μια κακόβουλη ενέργεια ως root.
Από το Ubuntu 10.10, οι συμβολικοί σύνδεσμοι σε καταλόγους όπως το /tmp δεν μπορούν να διασχιστούν εκτός εάν ο "ακόλουθος" και ο κάτοχος του καταλόγου είναι ίδιοι με τον κάτοχο του συμβολικού συνδέσμου.
Αυτός ο μηχανισμός ελέγχεται από τον μηχανισμό Yama /proc/sys/kernel/yama/protected_sticky_symlinks. Το Yama αναπτύχθηκε από την Canonical.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Περιορισμοί σκληρών συνδέσμων
Εάν οι κατάλογοι /etc/ και /home/ βρίσκονται στο ίδιο διαμέρισμα, ένας κανονικός χρήστης μπορεί να δημιουργήσει έναν σκληρό σύνδεσμο προς το αρχείο κατακερματισμού κωδικού πρόσβασης /etc/shadow στον αρχικό του φάκελο. Φυσικά, εάν ένα συγκεκριμένο αρχείο δεν είναι αναγνώσιμο ή εγγράψιμο από οποιονδήποτε χρήστη, ο σκληρός σύνδεσμος σε αυτό το αρχείο θα έχει τα ίδια δικαιώματα και επομένως δεν θα είναι διαθέσιμος ούτε σε αυτόν τον χρήστη. Ωστόσο, χρησιμοποιώντας σκληρούς συνδέσμους, ένας εισβολέας μπορεί να "γλιστρήσει" ένα τέτοιο αρχείο σε μια εφαρμογή που έχει τα δικαιώματα πρόσβασης σε αυτό.
Το Yama σάς επιτρέπει να αποκλείσετε αυτήν την επίθεση αποτρέποντας τη δημιουργία σκληρών συνδέσμων από χρήστες που δεν έχουν δικαιώματα πρόσβασης στα αρχεία προέλευσης.
Η συμπεριφορά ελέγχεται από το /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama.
Πεδίο ίχνους
Χωρίς τη χρήση της κατάλληλης προστασίας Yama, οποιαδήποτε διεργασία με το προνόμιο CAP_SYS_PTRACE μπορεί να έχει πρόσβαση στη μνήμη όλων των διεργασιών με το ίδιο UID. Όταν χρησιμοποιείτε το Yama, είναι δυνατό να περιοριστεί το εύρος πρόσβασης μόνο στη μνήμη που ανήκει στους απογόνους ενός τέτοιου επεξεργάζομαι, διαδικασία.
Στο Ubuntu 10.10 και μεταγενέστερα, οι χρήστες δεν μπορούν να διορθώσουν διεργασίες με το ptrace εκτός και αν είναι απόγονοί του.
Η συμπεριφορά ελέγχεται από το /proc/sys/kernel/yama/ptrace_scope Yama.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Σκληρύνοντας τον πυρήνα
Ενεργοποίησε την άμυνα του πυρήνα για να κάνει τις επιθέσεις πιο δύσκολες.
Προστασία 0-διεύθυνσης
Εφόσον ο πυρήνας και ο χώρος χρήστη μοιράζονται διευθύνσεις εικονικής μνήμης, η μνήμη "NULL" πρέπει να προστατεύεται και η μνήμη "χρήστη" δεν μπορεί να ξεκινήσει από τη διεύθυνση 0, αποτρέποντας έτσι τις αποαναφορές διευθύνσεων πυρήνα - μια επίθεση "NULL dereference".
Η προστασία είναι διαθέσιμη από τον πυρήνα 2.6.22 μέσω της παραμέτρου sysctl "mmap_min_addr". Από το Ubuntu 9.04, το mmap_min_addr είναι ενσωματωμένο στον πυρήνα - διεύθυνση 64k στο x86, 32k στο ARM.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Προστασία /dev/mem
Ορισμένες εφαρμογές, όπως το Xorg, απαιτούν άμεση πρόσβαση στη φυσική μνήμη στο χώρο του χρήστη. Το ειδικό αρχείο /dev/mem παρέχει αυτήν την πρόσβαση.
Στο παρελθόν, ήταν δυνατή η προβολή και η τροποποίηση της μνήμης του πυρήνα μέσω αυτού του αρχείου εάν ένας εισβολέας αποκτούσε πρόσβαση root.
Η επιλογή CONFIG_STRICT_DEVMEM εισήχθη για να μπλοκάρει τέτοιες προσπάθειες (αρχικά η επιλογή ονομαζόταν CONFIG_NONPROMISC_DEVMEM).
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Απενεργοποιήθηκε το /dev/kmem
Για σύγχρονο χρήστηΤο /dev/kmem δεν είναι σχετικό, καθώς χρησιμοποιήθηκε κυρίως από εισβολείς για τη λήψη rootkits.
Το CONFIG_DEVKMEM έχει πλέον οριστεί σε "n".
Το αρχείο /dev/kmem υπάρχει σε εκδόσεις από το Ubuntu 8.04 LTS στο Ubuntu 9.04, αλλά δεν έχει συσχετιστεί με τίποτα στον πυρήνα και δεν χρησιμοποιείται.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Αποκλεισμός φόρτωσης μονάδας
Στο Ubuntu 8.04 LTS και παλαιότερα, ήταν δυνατό να αφαιρεθεί η δυνατότητα CAP_SYS_MODULES και έτσι να αποτραπεί η φόρτωση νέων λειτουργικών μονάδων πυρήνα.
Αυτό ήταν ένα άλλο επίπεδο προστασίας, ώστε να μην γίνεται λήψη rootkits στην αρχή ενός παραβιασμένου συστήματος.
Στον πυρήνα 2.6.25 (Ubuntu 8.10) αυτή η λειτουργία έχει φύγει. Από το Ubuntu 9.10 είναι πλέον δυνατό να απενεργοποιήσετε ξανά τις λειτουργικές μονάδες ορίζοντας το /proc/sys/kernel/modules_disabled σε "1".
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Ενότητα δεδομένων μόνο για ανάγνωση
Η επισήμανση της ενότητας δεδομένων πυρήνα ως μόνο για ανάγνωση διασφαλίζει ότι οι αλλαγές έχουν αποκλειστεί. Αυτό βοηθά στην προστασία από ορισμένα rootkits. Ενεργοποιήθηκε μέσω της επιλογής CONFIG_DEBUG_RODATA.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Προστασία στοίβας πυρήνα
Εκτός από την προστασία των προγραμμάτων ELF στο χώρο του χρήστη, ο πυρήνας μπορεί να προστατεύσει την εσωτερική του στοίβα μέσω της επιλογής CONFIG_CC_STACKPROTECTOR.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Μονάδα RO/NX
Αυτή η δυνατότητα επεκτείνει το CONFIG_DEBUG_RODATA για να περιλαμβάνει περιορισμούς σε φορτωμένες μονάδες πυρήνα. Αυτό βοηθά στην αντίσταση στα κατορθώματα. Ενεργοποιήθηκε μέσω της παραμέτρου CONFIG_DEBUG_MODULE_RONX.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Περιορισμός εμφάνισης διεύθυνσης πυρήνα
Όταν οι εισβολείς προσπαθούν να αναπτύξουν ένα exploit που λειτουργεί παντού χρησιμοποιώντας τρωτά σημεία του πυρήνα, πρέπει να γνωρίζουν τη θέση των εσωτερικών δομών του πυρήνα.
Οι διευθύνσεις πυρήνα, ως σημαντικές πληροφορίες, δεν είναι προσβάσιμες στους απλούς χρήστες.
Ξεκινώντας με το Ubuntu 11.04, το /proc/sys/kernel/kptr_restrict έχει οριστεί σε "1" και αποκλείει τις διαρροές πληροφοριών διεύθυνσης πυρήνα.
Επίσης, διάφορα αρχεία και κατάλογοι γίνονται μόνο για ανάγνωση μέσω root.
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Μαύρη λίστα με σπάνια πρωτόκολλα
Κανονικά ο πυρήνας επιτρέπει την αυτόματη φόρτωση όλων των πρωτοκόλλων δικτύου κατ' απαίτηση μέσω μακροεντολών MODULE_ALIAS_NETPROTO(PF_...).
Δεδομένου ότι πολλά από αυτά τα πρωτόκολλα είναι ξεπερασμένα, σπάνια και ελάχιστα χρήσιμα για τον μέσο χρήστη του Ubuntu και ενδέχεται να περιέχουν άγνωστα τρωτά σημεία, έχουν μπει στη μαύρη λίστα από το Ubuntu 11.04.
Στη μαύρη λίστα: ax25, netrom, x25, rose, decnet, econet, rds και af_802154.
Εάν απαιτείται κάποιο από αυτά τα πρωτόκολλα, μπορούν να φορτωθούν μέσω modprobe ή με επεξεργασία του /etc/modprobe.d/blacklist-rare-network.conf.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Φιλτράρισμα κλήσεων συστήματος
Τα προγράμματα μπορούν να φιλτράρουν κλήσεις πυρήνα χρησιμοποιώντας το seccomp_filter.
Αυτό γίνεται σε κοντέινερ ή sandbox για να περιοριστεί περαιτέρω το δυνητικά μη αξιόπιστο λογισμικό.
Χρησιμοποιήστε δοκιμές test-kernel-security.py.
Αποτέλεσμα
Μετά την ανάγνωση, είναι ξεκάθαρο ότι Η Canonical παίρνει στα σοβαρά την ασφάλεια του Ubuntu. Δύο έργα, το AppArmor και το Yama, έχουν συσχετιστεί εδώ και καιρό με το Ubuntu και συμβάλλουν στη βελτίωση της ασφάλειας. Το Ubuntu, από προεπιλογή, δεν ανοίγει περιττές θύρες-πόρτες στο δίκτυο και δεν περιμένει για adventure συνδέσεις στο κεφάλι του. Τα προφίλ AppArmor έχουν δημιουργηθεί για βασικά προγράμματα που λειτουργούν με το δίκτυο, τα οποία κρατούν τα προγράμματα υπό έλεγχο.
Ο υπολογιστής σας θα είναι ασφαλής με το Ubuntu!
Εγκατάσταση και διαμόρφωση εργαλείων διαχείρισης, διαμόρφωση δικτύου
Αφού δημιουργήσουμε τη βάση λειτουργικό σύστημα ubuntu14.04 από μια ελάχιστη διανομή, το πρώτο πράγμα που πρέπει να προσέξεις είναι πόσο άνετο είναι να το διαχειρίζεσαι. Βασικά, το ssh/telnet χρησιμοποιείται για τη διαμόρφωση και τη διαχείριση διακομιστών που βασίζονται σε *nix, αλλά πρόσφατα τα εργαλεία που βασίζονται στο web εμφανίστηκαν επίσης αρκετά κατάλληλα για αυτό. Χρησιμοποιώ δωρεάν λύσεις webminΚαι Ajenti. Και τα δύο αυτά πάνελ αξίζουν προσοχή και παρά το γεγονός ότι μπορούν να κάνουν τα πάντα ξεχωριστά, το καθένα από αυτά είναι καλύτερο για κάτι, επομένως είναι καλύτερο να έχετε και τα δύο. Πρέπει να σημειώσω ότι σε διακομιστές παραγωγής μάχης, τέτοιες λύσεις δεν εγκαθίστανται βάσει ασφάλειας. Ωστόσο, όσο περισσότερα συστήματα ελέγχου, τόσο πιο πιθανό είναι να βρεθεί μια ευπάθεια σε αυτά. Επομένως, εάν οι απαιτήσεις ασφαλείας σας είναι σε επίπεδο «παράνοιας», τότε απλώς αποδεχτείτε το γεγονός ότι θα πρέπει να συνεργαστείτε με τον διακομιστή μόνο μέσω ssh (μέσω της κονσόλας).
εγκατάσταση δικτύου στο ubuntu 14.04
Για να επικοινωνήσετε με τον διακομιστή μας μέσω του δικτύου, πρέπει πρώτα να τον διαμορφώσετε. Από προεπιλογή, κατά την εγκατάσταση, το δίκτυο διαμορφώθηκε αυτόματα και εάν το πρόγραμμα εγκατάστασης βρήκε έναν διακομιστή DHCP στο δίκτυο, τότε πιθανότατα έχει ήδη ρυθμίσει τα πάντα όπως απαιτείται. Εάν δεν υπάρχει διακομιστής DHCP στο δίκτυο, τότε το πρόγραμμα εγκατάστασης εξακολουθεί να έχει ρυθμίσει τα πάντα με βάση τη δημοσκόπηση του δρομολογητή στον οποίο είναι συνδεδεμένη η κάρτα δικτύου. Για να δείτε πώς έχει διαμορφωθεί το δίκτυο αυτήν τη στιγμή, απλώς πληκτρολογήστε το τερματικό:
Τι βλέπουμε εδώ:
Έχουμε δύο διεπαφές δικτύου eth0 και lo όπου lo είναι η "διεπαφή loopback" και eth0 είναι το όνομα της κάρτας δικτύου μας, και αν lo είναι η αμετάβλητη διεπαφή δικτύου, τότε όλες οι άλλες διεπαφές μπορεί να διαφέρουν ως προς το όνομα. Αν μέσα μπλοκ συστήματοςείναι εγκατεστημένες δύο κάρτες δικτύου, οι διεπαφές τους πιθανότατα θα μοιάζουν με eth0 και eth1 και ούτω καθεξής. Η εμφάνιση του ονόματος διεπαφής εξαρτάται από τον τύπο κάρτα δικτύου, οπότε για παράδειγμα αν η κάρτα δικτύου λειτουργεί με το πρωτόκολλο WiFi, τότε πιθανότατα θα έχει όνομα wlan0.
Για να διαμορφώσετε το δίκτυο, επεξεργαστείτε το ακόλουθο αρχείο:
sudo nano /etc/network/interfaces
Ας το φέρουμε σε αυτή τη μορφή:
iface eth0 inet στατικό
διεύθυνση 192.168.0.184
μάσκα δικτύου 255.255.255.0
πύλη 192.168.0.1
auto eth0
dns-nameservers 8.8.8.8 8.8.4.4
Οπου: iface eth0 inet στατικό- υποδηλώνει ότι η διεπαφή (iface eth0) βρίσκεται στο εύρος διευθύνσεων IPv4 (inet) με στατική IP (στατική).
διεύθυνση 192.168.0.184- υποδηλώνει ότι η διεύθυνση IP (διεύθυνση) της κάρτας δικτύου μας είναι 192.168.0.184.
μάσκα δικτύου 255.255.255.0- υποδηλώνει ότι η μάσκα υποδικτύου (μάσκα δικτύου) είναι 255.255.255.0.
πύλη 192.168.0.1- προεπιλεγμένη διεύθυνση πύλης 192.168.0.254.
auto eth0- υποδεικνύει στο σύστημα ότι η διεπαφή eth0 θα πρέπει να ενεργοποιηθεί αυτόματα όταν το σύστημα εκκινήσει με τις παραπάνω παραμέτρους.
eth0— όνομα της συνδεδεμένης διεπαφής. Η λίστα των διεπαφών μπορεί να προβληθεί πληκτρολογώντας ifconfig
dns-nameservers- Οι διακομιστές DNS γράφονται με κενό.
Όπως μπορείτε να δείτε στην περίπτωσή μου, αποφάσισα να ορίσω μια στατική ip 192.168.0.184
επανεκκινήστε τον διακομιστή με την εντολή
Κάνουμε ping στον διακομιστή μας από το δίκτυο και βεβαιωνόμαστε ότι είναι ορατός. Τώρα ήρθε η ώρα να δημιουργήσουμε μια σύνδεση με αυτό μέσω SSH, για αυτό θα εγκαταστήσουμε πραγματικά τον διακομιστή ssh:
sudo apt-get install ssh
Τώρα μπορείτε να συνδεθείτε στον διακομιστή μας μέσω ssh μέσω του προγράμματος putty, για παράδειγμα, τώρα μπορείτε να εισάγετε εντολές όχι χειροκίνητα, αλλά αντιγράφοντας και επικολλώντας τις γραμμές που χρειαζόμαστε στον πελάτη ssh, γιατί στο μέλλον αυτό θα διευκολύνει εκπληκτικά τη διαμόρφωση, όπως σύντομα θα δείτε μόνοι σας:
ΟΛΕΣ ΟΙ ΕΝΤΟΛΕΣ ΚΑΤΩ ΑΠΟ ΑΥΤΗ ΤΗ ΓΡΑΜΜΗ ΕΙΣΑΓΩΓΟΝΤΑΙ ΓΙΑ ΛΟΓΟ ΤΟΥ ΥΠΕΡΧΡΗΣΤΗ, και για να μπείτε στη λειτουργία υπερχρήστη, πρέπει να πληκτρολογήσετε:
Εγκατάσταση webmin
echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key προσθήκη jcameron-key.asc apt-get ενημέρωση apt-get install -y webmin
ηχώ "deb https://download.webmin.com/download/repository sarge contrib">> ηχώ "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib">> /etc/apt/sources. λίστα wgethttps: //www.webmin.com/jcameron-key.asc apt - key προσθήκη jcameron - key . αυξ apt-get ενημέρωση apt - get install - y webmin |
Ολα! 6 εντολές που εισάγονται διαδοχικά και το webmin εγκαθίσταται και διαμορφώνεται. Τώρα μπορείτε να μεταβείτε μέσω του προγράμματος περιήγησης στη διεύθυνση:
https://192.168.0.184:10000
Από προεπιλογή, το webmin φαίνεται μινιμαλιστικό, η διεπαφή εμφανίζεται στα αγγλικά από προεπιλογή, αλλά όλα είναι προσαρμόσιμα!
Το κάνουμε ως εξής:
Αποδεικνύεται ως εξής:
