„Linux“ saugos vadovas. Pavojingos „Linux“ pažeidžiamybės Užšifruokite „Linux“ failų sistemą, kad užtikrintumėte išsamesnį „Linux“ saugumą
Kasmetinėje LinuxCon konferencijoje 2015 m. GNU / Linux branduolio kūrėjas Linusas Torvaldsas pasidalijo savo nuomone apie sistemos saugumą. Jis pabrėžė, kad reikia sušvelninti tam tikrų klaidų poveikį kompetentinga apsauga, kad sugedus vienam komponentui, kitas sluoksnis padengtų problemą.
Šiame straipsnyje mes stengsimės atskleisti šią temą praktiniu požiūriu:
7. Įdiekite ugniasienes
Neseniai atsirado naujas pažeidžiamumas, leidžiantis DDoS atakas prieš serverius, kuriuose veikia Linux. Nuo 3.6 versijos 2012 m. pabaigoje pasirodė sistemos branduolio klaida. Pažeidžiamumas leidžia įsilaužėliams suleisti virusus į atsisiuntimo failus, tinklalapius ir atskleisti „Tor“ ryšius, o įsilaužti nereikia daug pastangų – tiks IP klaidinimo metodas.Didžiausia šifruotų HTTPS arba SSH ryšių žala yra ryšio nutraukimas, tačiau užpuolikas gali į neapsaugotą srautą įtraukti naujo turinio, įskaitant kenkėjiškas programas. Norint apsisaugoti nuo tokių atakų, tinka ugniasienė.
Užblokuokite prieigą naudodami ugniasienę
Ugniasienė yra viena iš svarbiausių priemonių blokuoti nepageidaujamą srautą. Rekomenduojame leisti tik tą eismą, per kurį tikrai reikia, ir visiškai blokuoti visą kitą eismą.
Paketų filtravimui dauguma Linux paskirstymų turi iptables valdiklį. Paprastai jį naudoja pažengę vartotojai, o norėdami supaprastinti konfigūraciją, galite naudoti UFW priemones Debian/Ubuntu arba FirewallD sistemoje Fedora.
8. Išjungti nereikalingas paslaugas
Virdžinijos universiteto specialistai rekomenduoja išjungti visas paslaugas, kuriomis nesinaudojate. Kai kurie foniniai procesai yra nustatyti automatiškai įkelti ir vykdomi tol, kol sistema išsijungia. Norėdami sukonfigūruoti šias programas, turite patikrinti inicijavimo scenarijus. Paslaugas galima paleisti per inetd arba xinetd.Jei jūsų sistema sukonfigūruota per inetd, tada /etc/inetd.conf faile galite redaguoti „demonų“ foninių programų sąrašą, kad išjungtumėte paslaugos įkėlimą, tiesiog įdėkite „#“ ženklą eilutę, paversdamas ją iš vykdomosios programos į komentarą.
Jei sistema naudoja xinetd, tada jos konfigūracija bus /etc/xinetd.d kataloge. Kiekvienas katalogo failas apibrėžia paslaugą, kurią galima išjungti nurodant disable = yes sąlygą, kaip šiame pavyzdyje:
Aptarnavimo pirštas ( socket_type = srautas laukti = nėra vartotojo = niekas serveris = /usr/sbin/in.fingerd disable = taip )
Taip pat verta patikrinti, ar nėra nuolatinių procesų, kurių nevaldo inetd arba xinetd. Paleisties scenarijus galite konfigūruoti /etc/init.d arba /etc/inittab kataloguose. Atlikę pakeitimus paleiskite komandą šakninėje paskyroje.
/etc/rc.d/init.d/inet paleiskite iš naujo
9. Apsaugokite serverį fiziškai
Neįmanoma visiškai apsisaugoti nuo užpuoliko, turinčio fizinę prieigą prie serverio, atakų. Todėl būtina apsaugoti patalpą, kurioje yra jūsų sistema. Duomenų centrai rimtai žiūri į saugumą, riboja prieigą prie serverių, įrengia apsaugos kameras ir skiria nuolatinius sargybinius.Norėdami patekti į duomenų centrą, visi lankytojai turi atlikti tam tikrus autentifikavimo veiksmus. Taip pat primygtinai rekomenduojama visose centro vietose naudoti judesio jutiklius.
10. Apsaugokite serverį nuo neteisėtos prieigos
Neteisėtos prieigos sistema arba IDS renka duomenis apie sistemos konfigūraciją ir failus, o tada lygina šiuos duomenis su naujais pakeitimais, kad nustatytų, ar jie nekenkia sistemai.Pavyzdžiui, „Tripwire“ ir „Aide“ įrankiai renka sistemos failų duomenų bazę ir apsaugo juos raktų rinkiniu. Psad naudojamas stebėti įtartiną veiklą per ugniasienės ataskaitas.
Bro sukurtas stebėti tinklą, sekti įtartinos veiklos modelius, rinkti statistiką, vykdyti sistemos komandas ir generuoti įspėjimus. RKHunter gali būti naudojamas apsisaugoti nuo virusų, dažniausiai rootkit. Ši programa nuskaito jūsų sistemą pagal žinomų pažeidžiamumų duomenų bazę ir gali aptikti nesaugius programų nustatymus.
Išvada
Aukščiau išvardyti įrankiai ir nustatymai padės iš dalies apsaugoti sistemą, tačiau saugumas priklauso nuo jūsų elgesio ir situacijos supratimo. Be dėmesio, atsargumo ir nuolatinio savarankiško mokymosi visos apsaugos priemonės gali neveikti.Tikrai taip galima teigti Linux daugiau saugus(apsaugotas) nei Windows. Saugumas V Linuxįmontuotas, o ne prisukamas kažkur šone, kaip yra įdiegta Windows. Saugumas sistemos Linux apima sritį nuo branduolio iki darbalaukio, tačiau yra tikimybė, kad įsilaužėliai sugadins jūsų namų katalogą (/home).
Jūsų nuotraukų, namų vaizdo įrašų, dokumentų ir kredito kortelių ar piniginės duomenų baitai yra pati vertingiausia informacija kompiuteryje. Žinoma, „Linux“ nėra jautri visų rūšių „Windows“ interneto kirminams ir virusams. Tačiau užpuolikai gali rasti būdą pasiekti jūsų duomenis jūsų namų kataloge.
Paruošę seną kompiuterį ar kietąjį diską prieš pardavimą, suformatuodami, manote, kad to užteks? Yra daugybė šiuolaikinių duomenų atkūrimo įrankių. Įsilaužėlis lengvai atkurs jūsų duomenis iš standžiojo disko, nepaisant operacinės sistemos, kurioje dirbote.
Šia tema prisimenu vienos įmonės, perpirkusios naudotus kompiuterius ir diskus, patirtį. Vykdydami savo veiklą jie paskelbė nuosprendį, kad 90% ankstesnių savo kompiuterio savininkų prieš parduodami tinkamai nepasirūpino savo laikmenų išvalymu. Ir jie išgaudavo labai jautrius duomenų baitus. Net baisu įsivaizduoti, kad kažkur kietajame diske yra informacija, skirta įvesti internetinį banką ar internetinę piniginę.
Pradėkite nuo „Linux“ saugos pagrindų
Pereikime prie pagrindų (), kurie tiks beveik visiems 
Linux platinimai.
„Linux“ failų sistemos šifravimas, kad būtų užtikrintas išsamesnis „Linux“ saugumas
Pasirinktiniai slaptažodžiai neišspręs problemos, jei tikrai norite, kad niekas negalėtų skaityti jūsų namų katalogo (/home) arba tam tikro baito dydžio. Tai galite padaryti taip, kad net vartotojas, turintis aukščiausias root teises, negalėtų kišti nosies.
Ištrinkite jautrius failus, kad niekas kitas negalėtų jų atkurti
Jei nuspręsite parduoti arba padovanoti savo kompiuterį ar laikmeną, nemanykite, kad paprastas formatavimas visam laikui ištrins failus. Savo „Linux“ galite įdiegti saugaus ištrynimo įrankį, kuriame yra srm paslaugų programa, skirta saugiai ištrinti failus.
Taip pat nepamirškite apie „Linux“ branduolyje esančią ugniasienę. Visuose Linux platinimuose yra lptables, kurios yra branduolio dalis. Lptables leidžia filtruoti tinklo paketus. Žinoma, šią priemonę galite konfigūruoti terminale. Tačiau šis metodas yra nepajėgus daugeliui, įskaitant mane. Taigi aš įdiegiu ir konfigūruoju taip lengvai, lyg žaisčiau žaidimą.
Kaip ir visos operacinės sistemos, Linux yra linkęs kauptis šlamštu, kai veikia įvairios programos. Ir tai nėra „Linux“ kaltė, nes įvairios programos, tokios kaip naršyklės, teksto rengyklės ir net vaizdo grotuvai, veikia ne branduolio lygyje ir kaupia laikinus failus. Galite įdiegti universalią šiukšlių šalinimo priemonę BleachBit.
Anoniminis naršymas, jūsų IP slėpimas – labai svarbu jūsų tapatybės saugumui naudojant Linux OS
Baigdamas noriu papasakoti apie anoniminį naršymą internete. Kartais nutinka taip, kaip aš darau, kai slapta nuo žmonos apsilankau erotinio turinio svetainėse. Žinoma, aš juokavau.
Užpuolikams bus sunku pasiekti jus, jei jie negalės nustatyti jūsų buvimo vietos. Mes padengiame takelius naudodami paprastą dviejų kartu veikiančių paslaugų, vadinamų privoxy ir tor, sąranką.
Mano nuomone, visų šių taisyklių laikymasis ir nustatymas apsaugos jus ir jūsų kompiuterį 90%.
P.S. Aš naudoju debesį, vadinamą dropbox. Jame laikau savo senus ir naujus, dar neskelbtus straipsnius. Patogu turėti prieigą prie failų iš bet kurios pasaulio vietos ir bet kuriame kompiuteryje. Rašydamas straipsnius svetainei teksto rengyklėje, savo tekstinius dokumentus išsaugau su slaptažodžiu ir tik tada įkeliu į dropbox serverį. Niekada neturėtumėte pamiršti papildomo saugumo, kuris jums bus tik į rankas.
Visi žinome, kad Linux operacinė sistema yra daug saugesnė nei Windows dėl savo architektūros ir specialios prieigos paskirstymo tarp vartotojų sistemos. Tačiau programuotojai taip pat yra žmonės, kad ir kaip mes to nekenčiame, jie taip pat daro klaidų. Ir dėl šių klaidų sistemoje atsiranda skylių, per kurias užpuolikai gali apeiti apsaugos sistemas.
Šios klaidos vadinamos pažeidžiamumu, jos gali atsirasti įvairiose programose ir net pačiame sistemos šerdyje, pakenkdamos jos saugumui. Pastaraisiais metais „Linux“ populiarumas pradėjo augti ir saugumo tyrinėtojai šiai sistemai skiria daugiau dėmesio. Atrandama vis daugiau pažeidžiamumų ir atvirojo kodo dėka, pasirodo, jie labai greitai ištaisomi. Šiame straipsnyje apžvelgsime pavojingiausius „Linux“ pažeidžiamumus, kurie buvo aptikti per pastaruosius kelerius metus.
Prieš pereinant prie paties pažeidžiamumų sąrašo, svarbu suprasti, kas jie yra ir kas jie yra. Kaip jau sakiau, pažeidžiamumas yra programos klaida, leidžianti vartotojui naudoti programą taip, kaip nenumatė jos kūrėjas.
Tai gali būti gautų duomenų patvirtinimo, duomenų šaltinio patikrinimo ir, kas įdomiausia, duomenų dydžio stoka. Pavojingiausi pažeidžiamumai yra tie, kurie leidžia vykdyti savavališką kodą. RAM atmintyje visi duomenys turi tam tikrą dydį, o programa skirta įrašyti į atminties duomenis iš tam tikro dydžio vartotojo. Jei vartotojas pateikia daugiau duomenų, jis turėtų pateikti klaidą.
Bet jei programuotojas padarė klaidą, duomenys perrašys programos kodą ir procesorius bandys juos vykdyti, todėl atsiranda buferio perpildymo spragų.
Taip pat visas spragas galima suskirstyti į vietines, kurios veikia tik įsilaužėliui turint prieigą prie vietinio kompiuterio, ir nuotolines, kai prieigos per internetą pakanka. O dabar pereikime prie pažeidžiamumų sąrašo.
1. Nešvari karvė
Pirmasis mūsų sąraše bus naujas pažeidžiamumas, kuris buvo aptiktas šį rudenį. Pavadinimas Dirty COW reiškia Copy on Write. Failų sistemoje vyksta klaida kopijavimo ir rašymo metu. Tai vietinis pažeidžiamumas, leidžiantis bet kuriam neprivilegijuotam vartotojui gauti visišką prieigą prie sistemos.
Trumpai tariant, norint išnaudoti pažeidžiamumą, reikia dviejų failų, vienas yra įrašomas tik supervartotojo vardu, antrasis skirtas mums. Daug kartų pradedame rašyti duomenis į savo failą ir skaityti iš supervartotojo failo, po tam tikro laiko ateis momentas, kai abiejų failų buferiai susimaišys ir vartotojas galės įrašyti duomenis į failą, kurio rašymas yra jam neprieinamas, todėl galite suteikti sau pagrindines teises sistemoje.
Pažeidžiamumas branduolyje buvo apie 10 metų, bet po atradimo jis buvo greitai pašalintas, nors vis dar yra milijonai Andoid įrenginių, kuriuose branduolys nebuvo atnaujintas ir nemąsto ir kur šį pažeidžiamumą galima išnaudoti. Pažeidžiamumas buvo užkoduotas CVE-2016-5195.
2. Glibc pažeidžiamumas
Pažeidžiamumas gavo kodą CVE-2015-7547. Tai buvo vienas iš labiausiai aptarinėjamų atvirojo kodo projektų pažeidžiamumų. 2016 m. vasario mėn. paaiškėjo, kad Glibc biblioteka turi labai rimtą pažeidžiamumą, leidžiantį užpuolikui vykdyti savo kodą nuotolinėje sistemoje.
Svarbu pažymėti, kad Glibc yra C ir C++ standartinės bibliotekos įgyvendinimas, kuris naudojamas daugumoje Linux programų, įskaitant paslaugas ir programavimo kalbas, tokias kaip PHP, Python, Perl.
Analizuojant DNS serverio atsakymą, įvyko klaida. Taigi, pažeidžiamumu galėjo pasinaudoti įsilaužėliai, kurių DNS pasiekė pažeidžiami įrenginiai, taip pat atlikti MITM ataką. Tačiau pažeidžiamumas suteikė visišką sistemos kontrolę
Pažeidžiamumas bibliotekoje buvo nuo 2008 m., tačiau po atradimo pataisos buvo išleistos gana greitai.
3. Kraujavimas iš širdies
2014 m. buvo aptiktas vienas rimčiausių pažeidžiamumų pagal mastą ir pasekmes. Ją sukėlė „OpenSSL“ modulio „heartdead“ klaida, taigi ir pavadinimas „Heartbleed“. Pažeidžiamumas leido užpuolikams gauti tiesioginę prieigą prie 64 kilobaitų serverio RAM, ataka gali būti kartojama tol, kol bus nuskaityta visa atmintis.
Nepaisant to, kad pataisa buvo išleista labai greitai, buvo paveikta daugybė svetainių ir programų. Tiesą sakant, visos svetainės, naudojančios HTTPS srautui apsaugoti, buvo pažeidžiamos. Užpuolikai galėjo gauti vartotojų slaptažodžius, jų asmeninius duomenis ir viską, kas buvo atmintyje atakos metu. Pažeidžiamumas gavo kodą CVE-2014-0160.
4.Scenos baimė
Jei pažeidžiamumas gavo kodinį pavadinimą, tai tikrai reiškia, kad jis nusipelno dėmesio. „Stagerfight“ pažeidžiamumas nėra išimtis. Tiesa, tai tikrai nėra „Linux“ problema. „Stagefright“ yra „Android“ daugialypės terpės formatų tvarkymo biblioteka.
Jis įdiegtas C++, o tai reiškia, kad jis apeina visus „Java“ saugos mechanizmus. 2015 metais buvo aptikta visa grupė pažeidžiamumų, leidžiančių sistemoje nuotoliniu būdu vykdyti savavališką kodą. Tai yra CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 ir CVE-2015-3829.
Užpuolikui pakako nusiųsti MMS į pažeidžiamą išmanųjį telefoną su specialiai modifikuotu medijos failu, ir jis gavo visišką įrenginio kontrolę su galimybe rašyti ir skaityti duomenis iš atminties kortelės. Pažeidžiamumą ištaisė „Android“ kūrėjai, tačiau milijonai įrenginių vis dar yra pažeidžiami.
5. Branduolio nulinės dienos pažeidžiamumas
Tai vietinis pažeidžiamumas, leidžiantis pakelti dabartinį vartotoją į root dėl sistemos klaidos dirbant su atmintyje saugomais branduolio kriptografiniais duomenimis. Jis buvo aptiktas 2016 m. vasario mėn. ir apėmė visus branduolius nuo 3.8, o tai reiškia, kad pažeidžiamumas egzistavo 4 metus.
Klaida galėjo pasinaudoti įsilaužėliai ar kenkėjiškos programos, kad padidintų savo autoritetą sistemoje, tačiau ji buvo greitai ištaisyta.
6. MySQL pažeidžiamumas
Pažeidžiamumas buvo užkoduotas CVE-2016-6662 ir paveikė visas galimas MySQL duomenų bazės serverio versijas (5.7.15, 5.6.33 ir 5.5.52), Oracle duomenų bazes ir MariaDB bei PerconaDB klonus.
Užpuolikai galėjo gauti visišką prieigą prie sistemos per SQL užklausą, buvo perduotas kodas, leidžiantis pakeisti my.conf savo versija ir iš naujo paleisti serverį. Taip pat buvo galima vykdyti kenkėjišką kodą su supervartotojo teisėmis.
„MariaDB“ ir „PerconaDB“ sprendimai pataisas išleido gana greitai, „Oracle“ sureagavo, tačiau daug vėliau.
7 „Shellshock“.
Šis pažeidžiamumas buvo aptiktas 2014 m., kol jis truko 22 metus. Jai buvo suteiktas kodas CVE-2014-6271 ir kodinis pavadinimas Shellshock. Šio pažeidžiamumo pavojus yra panašus į jau žinomą „Heartbleed“. Tai sukelia „Bash“ komandų interpretatoriaus klaida, kuri yra numatytoji daugelyje „Linux“ paskirstymų.
„Bash“ leidžia deklaruoti aplinkos kintamuosius be vartotojo autentifikavimo, o kartu galite vykdyti bet kurią juose esančią komandą. Tai ypač pavojinga CGI scenarijuose, kuriuos palaiko dauguma svetainių. Pažeidžiami yra ne tik serveriai, bet ir asmeniniai vartotojų kompiuteriai, maršrutizatoriai ir kiti įrenginiai. Tiesą sakant, užpuolikas gali nuotoliniu būdu vykdyti bet kurią komandą, tai yra visavertis nuotolinio valdymo pultas be autentifikavimo.
Pažeidžiamumą paveikė visos „Bash“ versijos, įskaitant 4.3, tačiau atradę problemą kūrėjai labai greitai išleido pataisą.
8.Kvadratis
Tai visa eilė Android pažeidžiamumų, kurie buvo aptikti 2016 m. rugpjūčio mėn. Jie gavo kodus CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Klaida paveikė daugiau nei 900 milijonų „Android“ įrenginių. Visi pažeidžiamumai buvo rasti Qualcomm ARM procesoriaus tvarkyklėje ir visi jie gali būti naudojami norint gauti root prieigą prie įrenginio.
Kaip ir DirtyCOW, čia nereikia jokių leidimų, tiesiog įdiekite kenkėjišką programą ir ji galės gauti visus jūsų duomenis ir perduoti juos užpuolikui.
9. OpenJDK pažeidžiamumas
Tai labai rimtas „Linux 2016“ pažeidžiamumas OpenJDK Java mašinos su CVE-2016-0636 kodu, kuris paveikia visus vartotojus, naudojančius Oracle Java SE 7 naujinimą 97 ir 8 naujinimą 73 ir 74 sistemose Windows, Solaris, Linux ir Mac OS X. Šis pažeidžiamumas leidžia užpuolikui vykdyti savavališką kodą už Java mašinos ribų, jei atidarote specialų puslapį naršyklėje su pažeidžiama Java versija.
Tai leido užpuolikui gauti prieigą prie jūsų slaptažodžių, asmeninių duomenų ir taip pat paleisti programas jūsų kompiuteryje. Visose Java versijose klaida buvo ištaisyta labai greitai, ji egzistuoja nuo 2013 m.
10. HTTP/2 pažeidžiamumas
Tai pažeidžiamumų, kurie buvo aptikti 2016 m. HTTP/2 protokole, serija. Jie gavo kodus CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Visi šio protokolo diegimai „Apache“, „Nginx Microsoft“, „Jetty“ ir „nghttp2“ buvo pažeidžiami.
Visi jie leidžia užpuolikui labai sulėtinti žiniatinklio serverio veiklą ir atlikti paslaugų atsisakymo ataką. Pavyzdžiui, dėl vienos iš klaidų atsirado galimybė išsiųsti nedidelį pranešimą, kuris serveryje buvo išpakuotas į gigabaitus. Klaida buvo ištaisyta labai greitai, todėl bendruomenėje nesukėlė didelio triukšmo.
Ar tu saugus?
Šiame straipsnyje apžvelgėme pavojingiausius 2016, 2015 ir 2014 metų Linux pažeidžiamumus. Daugelis jų gali rimtai sugadinti sistemas, jei nebus laiku ištaisyti. Dėl atvirojo kodo tokie Linux pažeidžiamumai yra efektyviai aptinkami ir greitai ištaisomi. Tiesiog nepamirškite atnaujinti savo sistemos. Problema išlieka tik „Android“. Kai kurie įrenginiai nebegauna naujinimų ir kol kas nėra šios problemos sprendimo.
Daugelis vartotojų mano, kad Ubuntu pop ir Ubuntu Server nėra rimti. Daugelis pamiršta, kad Ubuntu serveris palaikomas 5 metus, o Debian 5.0 tėvas buvo rinkoje 3 metus – nuo 2009 iki 2012 m.
Kalbant apie palaikymo kainas – lyginant su „Red Hat“, galima ir reikia sakyti, kad „Ubuntu Server“ gavote nemokamai, net jei užsisakote visą parą veikiantį 24x7x365.
Pažiūrėkite, kokie saugos sprendimai įdiegti visose Ubuntu versijose, ir padarykite tai saugiu bei patikimu.
Galimybės
Saugumo galimybių matrica
| Galimybė | 8,04 LTS(Hardy Heron) | 10,04 LTS(Lucid Lynx) | 11.04 (Natty Narwhal) | 11.10 (Oneiricas Ocelotas) | 12.04 LTS(Tikslus Pangolinas) | 12.10 (Quantal Quetzal) |
| Nėra atvirų prievadų | politika | politika | politika | politika | politika | politika |
| Slaptažodžio maiša | md5 | sha512 | sha512 | sha512 | sha512 | sha512 |
| SYN slapukai | -- | branduolys ir sysctl | branduolys ir sysctl | branduolys ir sysctl | branduolys ir sysctl | branduolys ir sysctl |
| Failų sistemos galimybės | -- | branduolys | branduolys | branduolys | branduolys | branduolys |
| Konfigūruojama ugniasienė | ufw | ufw | ufw | ufw | ufw | ufw |
| PR_SET_SECCOMP | branduolys | branduolys | branduolys | branduolys | branduolys | branduolys |
| AppArmor | 2.1 | 2.5 | 2.6.1 | 2.7.0 ~ beta1 | 2.7.0 | 2.7.0 |
| SELinux | visata | visata | visata | visata | visata | visata |
| SMACK | -- | branduolys | branduolys | branduolys | branduolys | branduolys |
| Šifruotas LVM | alt montuotojas | alt montuotojas | alt montuotojas | alt montuotojas | alt montuotojas | alt montuotojas |
| eCryptfs | -- | ~/Privatus arba ~, failų pavadinimai | ~/Privatus arba ~, failų pavadinimai | ~/Privatus arba ~, failų pavadinimai | ~/Privatus arba ~, failų pavadinimai | ~/Privatus arba ~, failų pavadinimai |
| Krūvos apsauga | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras |
| Apsauga nuo krūvos | glibc | glibc | glibc | glibc | glibc | glibc |
| užtemdyta rodyklė | glibc | glibc | glibc | glibc | glibc | glibc |
| ASLR kamino | branduolys | branduolys | branduolys | branduolys | branduolys | branduolys |
| libs/mmap ASLR | branduolys | branduolys | branduolys | branduolys | branduolys | branduolys |
| Vykdykite ASLR | branduolys (-mm pataisa) | branduolys | branduolys | branduolys | branduolys | branduolys |
| brk ASLR | branduolys (exec ASLR) | branduolys | branduolys | branduolys | branduolys | branduolys |
| VDSO ASLR | branduolys | branduolys | branduolys | branduolys | branduolys | branduolys |
| Pastatas su PIE | -- | paketų sąrašas | paketų sąrašas | paketų sąrašas | paketų sąrašas | paketų sąrašas |
| -- | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras | |
| Surinkimas su RELRO | -- | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras | gcc pleistras |
| Kurti naudojant BIND_NOW | -- | paketų sąrašas | paketų sąrašas | paketų sąrašas | paketų sąrašas | paketų sąrašas |
| Nevykdoma atmintis | Tik PAE | PAE, ia32 dalinė NX emuliacija | PAE, ia32 dalinė NX emuliacija | PAE, ia32 dalinė NX emuliacija | PAE, ia32 dalinė NX emuliacija | |
| Apsauga /proc/$pid/maps | branduolys ir sysctl | branduolys | branduolys | branduolys | branduolys | branduolys |
| Simbolinių nuorodų ribos | -- | -- | branduolys | branduolys | branduolys | branduolys |
| Kietųjų nuorodų apribojimai | -- | -- | branduolys | branduolys | branduolys | branduolys |
| ptrace taikymo sritį | -- | -- | branduolys | branduolys | branduolys | branduolys |
| 0 adresų apsauga | branduolys ir sysctl | branduolys | branduolys | branduolys | branduolys | branduolys |
| Apsaugoti /dev/mem | branduolys (-mm pataisa) | branduolys | branduolys | branduolys | branduolys | branduolys |
| Išjungta /dev/kmem | branduolys (-mm pataisa) | branduolys | branduolys | branduolys | branduolys | branduolys |
| Modulio pakrovimo blokavimas | mesti CAP_SYS_MODULES | sysctl | sysctl | sysctl | sysctl | sysctl |
| branduolys | branduolys | branduolys | branduolys | branduolys | branduolys | |
| Branduolio kamino apsauga | -- | branduolys | branduolys | branduolys | branduolys | branduolys |
| RO/NX modulis | -- | -- | branduolys | branduolys | branduolys | branduolys |
| -- | -- | branduolys | branduolys | branduolys | branduolys | |
| -- | -- | branduolys | branduolys | branduolys | branduolys | |
| Sistemos skambučių filtravimas | -- | -- | -- | branduolys | branduolys | branduolys |
Nėra atvirų prievadų
Numatytajame Ubuntu diegime nėra atvirų prievadų, pasiekiamų iš už tinklo ribų. Šios taisyklės išimtis taikoma tik tinklo infrastruktūros paslaugoms, tokioms kaip DHCP klientas ir mDNS (Avahi/ZeroConf).
Įdiegęs „Ubuntu Server“, administratorius gali įdiegti papildomas tinklo paslaugas, pvz., „Apache“ žiniatinklio serverį. Bet pagal numatytuosius nustatymus naujai įdiegtoje sistemoje, jei darote netstat -an --inet | grep KLAUSYTI | grep -v 127.0.0.1 , tada galėsite lengvai patikrinti, ar Ubuntu be reikalo neatidaro prievadų iš tinklų prie sistemos.
Slaptažodžio maiša
Sistemos slaptažodis, naudojamas prisijungiant prie Ubuntu, yra saugomas /etc/shadow. Seniai DES slaptažodžio maiša buvo saugoma /etc/passwd. Tačiau šiuolaikinės Linux jau seniai saugo maišą /etc/shadow ir iš pradžių buvo naudojama MD5 pagrindu sukurta maišos kripta id 1. Kadangi tie patys slaptažodžiai turėjo tą pačią maišą nenaudojant druskos, druskos įvedimas pagerino saugumą ir apsunkino daugelio sistemos vartotojų slaptažodžių nulaužimą.
Dabar MD5 laikomas nepatikimu, o augant kompiuterių skaičiavimo galimybėms, naudojant Ubuntu 8.10, naudojama SHA-512 maiša su druska (sūdyta SHA-512 pagrįsta slaptažodžių maišos kripto id 6). Dėl to įsilaužimas naudojant brutalią jėgą yra neįtikėtinai sudėtingas ir atima daug laiko.
Daugiau informacijos rasite mancrypt.
Testams naudokite test-glibc-security.py.
SYN slapukai
Kai sistemą užlieja nauji tinklo ryšiai, SYN slapukų mechanizmas padeda sumažinti SYN potvynių atakų žalą.
Failų sistemos galimybės
Setuid programų, veikiančių su didesnėmis privilegijomis nei tas, kuris jas paleido, poreikį galima sumažinti naudojant failų sistemos funkcijas, tokias kaip xattrs. Tokios galimybės sumažina piktnaudžiavimo potencialiai pavojingomis setuid programomis riziką.
„Linux“ branduolys palaiko palaikymą ir yra „libcap2-bin“ įrankių rinkinys, skirtas naudoti failų galimybes, pvz., „xattrs“, siekiant padidinti „setuid“ programų saugumą.
Testams naudokite test-kernel-security.py.
Konfigūruojama ugniasienė
ufw yra „iptables“ sąsaja, įdiegta ir naudojama Ubuntu, tačiau ją turi įjungti vartotojas. UFW siekia suteikti lengvai naudojamą sąsają žmonėms, kurie nėra susipažinę su iptables ugniasienės koncepcijomis, grandinėmis ir lentelėmis.
Tuo pačiu metu UFW supaprastina sudėtingas iptables komandas, kad padėtų administratoriui, kuris žino, ką daro.
UFW yra grafinių sąsajų asistentas ir pagrindas.
Testams naudokite ufw testus.
PR_SET_SECCOMP
AppArmor
SELinux
SELinux yra privaloma prieigos kontrolės sistema, pagrįsta inode – failų sistemos inode – koncepcija.
Įdiegus „selinux“ paketą, kompiuterio įkrovos metu bus atlikti būtini pakeitimai ir koregavimai.
Testams naudokite test-kernel-security.py.
SMACK
SMACK yra lanksti privaloma prieigos kontrolės sistema, pagrįsta inode – failų sistemos indekso deskriptoriaus koncepcija.
Testams naudokite test-kernel-security.py.
Failų sistemos šifravimas
LVM šifravimas
Vartotojai, naudojantys alternatyvią diegimo programą, gali įdiegti Ubuntu užšifruotame LVM (loginis tomo valdymas – loginis tomo tvarkyklė), kuris užšifruos visus skaidinius, įskaitant apsikeitimo skaidinį.
eCryptfs
Šifruoti aplankai pirmą kartą buvo įdiegti Ubuntu 8.10 kaip saugi vieta saugoti neskelbtiną vartotojo informaciją.
Alternatyvioji ir serverio disko diegimo programa leidžia nustatyti šifruotus aplankus pirmajam vartotojui.
Ubuntu 9.04 versijoje aplankų šifravimo palaikymas buvo išplėstas, kad vartotojas galėtų užšifruoti visą namų aplanką. Pagrindinio aplanko šifravimas palaikomas alternatyviojoje diegimo programoje ir darbalaukio diegimo programoje, naudojant parinktį user-setup/encrypt-home=true.
Vartotojo erdvės saugumo stiprinimas
Kuriant programinės įrangos paketus ir branduolį, daugelis saugos funkcijų įgyvendinamos naudojant kompiliavimo vėliavėles.
Krūvos apsauga
Gcc -fstack-protector vėliavėlė užtikrina dėklo perpildymo apsaugą, kaip atpažinimo kodą įdėjus mažą atsitiktinį skaičių. Ši technika apsunkina krūvos perpildymą įvairiems išnaudojimams.
Kai kurios programos neveikia gerai, jei jos sukurtos naudojant šią parinktį ir joms išjungta -fstack-protector.
Testams naudokite test-gcc-security.py.
Apsauga nuo krūvos
GNU C bibliotekos krūvos apsauga (automatiškai ptmalloc ir rankiniu būdu) suteikia apsaugą nuo sugadintų sąrašų / atsiejimo / dvigubo nemokumo / perpildymo glibc atminties tvarkyklėje.
Tai neleidžia savavališkam kodui vykdyti per krūvos atminties perpildymą ir taip sugadinti krūvos srities struktūrą.
Ši apsauga laikui bėgant tobulėjo, pridedant vis daugiau apsaugos parinkčių. Esant dabartinei būsenai, glibc 2.10 sėkmingai atlaiko net subtilias atakos sąlygas.
užtemdyta rodyklė
Kai kurios glibc rodyklės yra užtemdytos naudojant PTR_MANGLE/PTR_UNMANGLE makrokomandas glibc viduje, todėl rodyklės negali būti perrašytos vykdymo metu.
Naudokite test-glibc-security.py testus.
Atsitiktinis išdėstymas adresų erdvėje. Adreso erdvės išdėstymo atsitiktinis nustatymas (ASLR)
ASLR yra įdiegtas branduolyje, o ELF įkroviklis svarbiausias struktūras deda atsitiktiniais adresais: dėklas, krūva, bendrinamos bibliotekos ir kt.
Dėl to sunkiau nuspėti adresus, kai užpuolikas bando naudoti išnaudojimus.
ASLR keičiamas visame pasaulyje per /proc/sys/kernel/randomize_va_space. Iki Ubuntu 8.10 reikšmė buvo „1“ (įjungta). Vėlesniuose leidimuose, kuriuose yra brk ASLR, reikšmė nustatyta į „2“ (įgalinta naudojant brk ASLR).
ASLR kamino
Kiekvieno programos vykdymo rezultatai dedami į skirtingas krūvos vietas. Sunku rasti atmintyje ir užpulti programą pridedant kenksmingos apkrovos.
libs/mmap ASLR
Bibliotekos dinamiškai įkeliamos į skirtingas atminties vietas, todėl užpuolikui sunku rasti grįžimo tašką.
Apsauga pasiekiama naudojant branduolį 2.6.15 (Ubuntu 6.06).
Vykdykite ASLR
Programos, sukurtos naudojant "-fPIE -pie" parinktį, įkeliamos į skirtingas atminties vietas. Dėl to sunkiau pulti arba pereiti prie adreso, kad būtų galima atlikti atminties modifikavimo ataką.
Apsauga pasiekiama naudojant branduolį 2.6.25 (Ubuntu 8.04 LTS).
brk ASLR
Kaip ir exec ASLR, brk ASLR koreguoja atminties adresus tarp exec ir brk mažoms atminties paskirstymo užklausoms. 2.6.26 branduolyje (Ubuntu 8.10) buvo įtrauktas brk exec atminties poslinkio atsitiktinis nustatymas.
VDSO ASLR
Kiekvieną kartą paleidus programą, rezultatai pateikiami į kitą vdso. Pirmą kartą pasirodė branduolyje 2.6.18 (x86, PPC) ir 2.6.22 (x86_64), bet nebuvo įtrauktas į Ubuntu 6.10 dėl COMPAT_VDSO, kuris buvo pašalintas iš Ubuntu 8.04 LTS.
Apsaugo nuo peršokimo į syscall atakas.
Tik x86 palaikė glibc 2.6. glibc 2.7 (Ubuntu 8.04 LTS) jau palaiko x86_64 ASLR vdso.
Tie, kuriems reikia senovinio statinio pre-libc6 vdso, gali naudoti „vdso=2“ kaip branduolio parametrą ir vėl gauti COMPAT_VDSO.
Pastatas su PIE
Visos programos, sukurtos su pozicijos nepriklausomų vykdomųjų failų (PIE) parinktimi "-fPIE -pie", gali pasinaudoti exec ASLR apsauga.
Tai apsaugo nuo „grįžimo į tekstą“ atakų ir paverčia įprastines atminties modifikavimo atakas nenaudingomis.
Dėl PIE labai sumažėja našumas (5–10 %) architektūrose, kuriose yra nedidelis bendrosios paskirties registrų skaičius (pvz., x86).
Todėl PIE naudojamas nedideliam skaičiui saugumui svarbių paketų.
PIE, skirta x86_64, neturi našumo pablogėjimo problemų, todėl jis naudojamas visiems paketams, tačiau jį reikia geriau išbandyti.
| Plastikinis maišelis | 8,04 LTS | 9.04 | 9.10 | 10,04 LTS | 10.10 | 11.04 | 11.10 |
| openssh | Taip | Taip | Taip | Taip | Taip | Taip | Taip |
| apache2 | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| surišti9 | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| openldap | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| postfix | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| puodeliai | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| postgresql-8.3 | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| samba | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| balandinė | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| dhcp3 | -- | Taip | Taip | Taip | Taip | Taip | Taip |
| ntp | -- | -- | Taip | Taip | Taip | Taip | Taip |
| amavisd-naujas | -- | -- | Taip | Taip | Taip | Taip | Taip |
| kalmarai | -- | -- | Taip | Taip | Taip | Taip | Taip |
| cyrus-sasl2 | -- | -- | Taip | Taip | Taip | Taip | Taip |
| exim4 | -- | -- | Taip | Taip | Taip | Taip | Taip |
| nagios3 | -- | -- | Taip | Taip | Taip | Taip | Taip |
| nagios-įskiepiai | -- | -- | Taip | Taip | Taip | Taip | Taip |
| xinetd | -- | -- | Taip | Taip | Taip | Taip | Taip |
| ipsec įrankiai | -- | -- | Taip | Taip | Taip | Taip | Taip |
| mysql-dfsg-5.1 | -- | -- | Taip | Taip | Taip | Taip | Taip |
| evince | -- | -- | -- | Taip | Taip | Taip | Taip |
| firefox | -- | -- | -- | Taip | Taip | Taip | Taip |
| gnome valdymo centras | -- | -- | -- | -- | -- | Taip | Taip |
| tiff | -- | -- | -- | -- | -- | Taip | Taip |
| totemas | -- | -- | -- | -- | -- | Taip | Taip |
| qemu-kvm | -- | -- | -- | -- | -- | -- | Taip |
| pidgin | -- | -- | -- | -- | -- | -- | Taip |
Pastatas su Fortify Source
Programos, sukurtos naudojant "-D_FORTIFY_SOURCE=2" (ir -O1 ar naujesnę), apima keletą kompiliavimo ir vykdymo laiko apsaugos priemonių glibc:
- iškvietimai "sprintf", "strcpy" su neapibrėžtomis ribomis pakeičiami susijusiomis funkcijomis su ribotu N, kai iš anksto žinomas buferio dydis. Tai apsaugo nuo atminties perpildymo.
- sustabdyti ataką naudojant "%n" eilutės formatą, kai eilutė yra atminties segmente su rašymo prieiga.
- reikalauti patikrinti svarbiausių funkcijų ir argumentų grąžinimo kodus (pavyzdžiui, sistemai, rašyti, atidaryti).
- kurdami failą reikalauti aiškios kaukės.
Surinkimas su RELRO
ELF programų sugriežtinimas, siekiant kovoti su įkrovos įkrovos atminties perrašymu. Sumažina GOT perrašymo stiliaus atakos tikimybę.
Naudokite test-gcc-security.py testus.
Kurti naudojant BIND_NOW
Pažymi ELF programas, kad paleidžiant būtų galima naudoti dinamiškus simbolius, o ne pagal pareikalavimą, taip pat žinomas kaip „neatidėliotinas susiejimas“.
Dėl to GOT yra visiškai tik skaitomas kartu su RELRO parinktimi.
Naudokite test-built-binaries.py testus.
Nevykdoma atmintis
Šiuolaikiniai procesoriai saugo duomenų atminties sritis (krūvas, steką) nuo kodo vykdymo.
Ši technologija žinoma kaip „Non-eXecute“ (NX) arba „eXecute-Disable“ (XD). Apsauga sumažina užpuoliko galimybę įdėti savavališką kodą.
Apsaugai reikalingas „PAE“, kuris taip pat leidžia adresuoti daugiau nei 3 GB RAM. 64 bitų ir 32 bitų serverio ir bendrieji pae branduoliai jau sukurti naudojant PAE.
Pradedant nuo Ubuntu 9.10, apsauga iš dalies emuliuojama 32 bitų branduoliuose procesoriams, kurie nepalaiko NX aparatinės įrangos.
Įkėlus galite pamatyti NX apsaugos palaikymo laipsnį:
- Aparatinė įranga: [ 0,000000] NX (vykdymo išjungimo) apsauga: aktyvi
- Emuliacija:
[ 0,000000] x86 segmento apribojimų naudojimas apytiksliai NX apsaugai nustatyti
Jei nematote jokio paminėjimo apie NX, patikrinkite BIOS nustatymus. Nuo Ubuntu 11.04 branduolys ignoruoja NX BIOS nustatymus.
| Ubuntu 9.04 ir senesnės versijos | ||||
| CPU palaiko NX | CPU nepalaiko NX | |||
| NX įjungtas BIOS | NX išjungtas BIOS | |||
| i386 | -386, -bendrasis branduolys (ne PAE) | nx nepalaikomas | nx nepalaikomas | nx nepalaikomas |
| - serverio branduolys (PAE) | tikras nx | nx nepalaikomas | nx nepalaikomas | |
| amd64 | bet koks branduolys (PAE) | tikras nx | nx nepalaikomas | nx nepalaikomas |
Naudokite test-kernel-security.py testus.
Apsauga /proc/$pid/maps
Kai veikia ASLR, dabartiniai proceso atminties žemėlapiai tampa labai vertingi užpuolikui. Žemėlapio failą gali skaityti tik pats procesas ir proceso savininkas.
Galima nuo branduolio 2.6.22 versijos.
Naudokite test-kernel-security.py testus.
Simbolinių nuorodų ribos
Dažniausias būdas išnaudoti šį defektą yra priversti root naudoti simbolinę nuorodą, kurią sukūrė užpuolikas, siekiant atlikti kenkėjišką veiksmą kaip root.
Nuo Ubuntu 10.10, simbolių nuorodos kataloguose, pvz., /tmp, negali būti perkeliamos, nebent "sekėjas" ir katalogo savininkas yra tie patys kaip ir simbolių nuorodos savininkas.
Šį mechanizmą valdo Yama /proc/sys/kernel/yama/protected_sticky_symlinks mechanizmas. „Yama“ sukūrė „Canonical“.
Naudokite test-kernel-security.py testus.
Kietųjų nuorodų apribojimai
Jei /etc/ ir /home/ katalogai yra tame pačiame skaidinyje, įprastas vartotojas gali sukurti tvirtą nuorodą į slaptažodžio maišos failą /etc/shadow savo namų aplanke. Žinoma, jei tam tikro failo negali skaityti ar įrašyti joks vartotojas, kietoji nuoroda į tą failą turės tuos pačius leidimus, todėl nebus pasiekiama ir tam vartotojui. Tačiau naudodamas kietąsias nuorodas, užpuolikas gali „nuleisti“ tokį failą programai, turinčiai teises jį pasiekti.
„Yama“ leidžia blokuoti šią ataką, neleisdama vartotojams, kurie neturi prieigos prie šaltinio failų, kurti kietąsias nuorodas.
Elgesį kontroliuoja /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama.
ptrace taikymo sritį
Nenaudojant atitinkamos „Yama“ apsaugos, bet kuris procesas, turintis CAP_SYS_PTRACE privilegiją, gali pasiekti visų procesų, turinčių tą patį UID, atmintį. Naudojant „Yama“, galima apriboti prieigą tik iki tokios atminties palikuonims priklausančios atminties. procesas.
Ubuntu 10.10 ir naujesnėje versijoje vartotojai negali derinti procesų naudodami ptrace, nebent jie yra jos palikuonys.
Elgesį valdo /proc/sys/kernel/yama/ptrace_scope Yama.
Naudokite test-kernel-security.py testus.
Branduolio grūdinimas
Įjungta branduolio apsauga, kad atakos būtų sunkesnės.
0 adresų apsauga
Kadangi branduolys ir vartotojo erdvė dalijasi virtualios atminties adresais, „NULL“ atmintis turi būti apsaugota, o „vartotojo“ atmintis negali prasidėti adresu 0, taip užkertant kelią branduolio adresų nuorodoms – „NULL dereference“ atakai.
Apsauga pasiekiama nuo 2.6.22 branduolio per "mmap_min_addr" sysctl parametrą. Nuo Ubuntu 9.04 mmap_min_addr yra integruotas į branduolį – adresas 64k x86, 32k ARM.
Naudokite test-kernel-security.py testus.
Apsaugoti /dev/mem
Kai kurioms programoms, pvz., Xorg, reikalinga tiesioginė prieiga prie fizinės atminties vartotojo erdvėje. Šią prieigą suteikia specialus failas /dev/mem.
Anksčiau per šį failą buvo galima peržiūrėti ir modifikuoti branduolio atmintį, jei užpuolikas gavo root prieigą.
CONFIG_STRICT_DEVMEM parinktis buvo įvesta siekiant blokuoti tokius bandymus (iš pradžių ši parinktis vadinosi CONFIG_NONPROMISC_DEVMEM).
Naudokite test-kernel-security.py testus.
Išjungta /dev/kmem
Šiuolaikiniam vartotojui /dev/kmem nėra aktualus, nes jį dažniausiai naudojo užpuolikai, norėdami atsisiųsti rootkit.
CONFIG_DEVKMEM dabar nustatyta į „n“.
Failas /dev/kmem yra leidimuose nuo Ubuntu 8.04 LTS iki Ubuntu 9.04, bet nesusietas su niekuo branduolyje ir nenaudojamas.
Naudokite test-kernel-security.py testus.
Modulio pakrovimo blokavimas
Ubuntu 8.04 LTS ir ankstesnėse versijose buvo galima pašalinti CAP_SYS_MODULES funkciją ir taip užkirsti kelią naujų branduolio modulių įkėlimui.
Tai buvo dar vienas apsaugos lygis, kad nebūtų atsisiunčiama rootkit, kai sistema veikia pažeistoje sistemoje.
2.6.25 branduolyje (Ubuntu 8.10) šios funkcijos nebėra. Nuo Ubuntu 9.10 dabar galima vėl išjungti modulius, nustatant /proc/sys/kernel/modules_disabled į „1“.
Naudokite test-kernel-security.py testus.
Tik skaitomų duomenų skiltis
Branduolio duomenų skyriaus žymėjimas kaip tik skaitomas užtikrina, kad pakeitimai bus užblokuoti. Tai padeda apsisaugoti nuo kai kurių šaknų rinkinių. Įjungta naudojant CONFIG_DEBUG_RODATA parinktį.
Naudokite test-kernel-security.py testus.
Branduolio kamino apsauga
Branduolys ne tik apsaugo ELF programas vartotojo erdvėje, bet ir gali apsaugoti savo vidinį krūvą naudodamas CONFIG_CC_STACKPROTECTOR parinktį.
Naudokite test-kernel-security.py testus.
RO/NX modulis
Ši funkcija išplečia CONFIG_DEBUG_RODATA, kad apimtų įkeltų branduolio modulių apribojimus. Tai padeda atsispirti išnaudojimui. Įjungta naudojant CONFIG_DEBUG_MODULE_RONX parametrą.
Naudokite test-kernel-security.py testus.
Branduolio adreso rodymo apribojimas
Kai užpuolikai bando sukurti išnaudojimą, kuris veikia visur, naudodamas branduolio pažeidžiamumą, jie turi žinoti vidinių branduolio struktūrų vietą.
Branduolio adresai, kaip svarbi informacija, yra neprieinami paprastiems vartotojams.
Pradedant nuo Ubuntu 11.04, /proc/sys/kernel/kptr_restrict yra „1“ ir blokuoja branduolio adreso informacijos nutekėjimą.
Be to, įvairūs failai ir katalogai yra tik skaitomi root.
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo
Naudokite test-kernel-security.py testus.
Juodasis retų protokolų sąrašas
Paprastai branduolys leidžia automatiškai įkelti visus tinklo protokolus pagal poreikį naudojant MODULE_ALIAS_NETPROTO(PF_...) makrokomandas.
Kadangi daugelis šių protokolų yra pasenę, reti ir mažai naudingi paprastam Ubuntu vartotojui, be to, juose gali būti nežinomų pažeidžiamumų, jie buvo įtraukti į juodąjį sąrašą nuo Ubuntu 11.04 versijos.
Į juodąjį sąrašą: ax25, netrom, x25, rose, decnet, econet, rds ir af_802154.
Jei reikia kurio nors iš šių protokolų, juos galima įkelti per modprobe arba redaguojant /etc/modprobe.d/blacklist-rare-network.conf.
Naudokite test-kernel-security.py testus.
Sistemos skambučių filtravimas
Programos gali filtruoti branduolio iškvietimus naudodamos seccomp_filter.
Tai atliekama konteineriuose arba smėlio dėžėse, siekiant dar labiau apriboti galimai nepatikimą programinę įrangą.
Naudokite test-kernel-security.py testus.
Rezultatas
Perskaičius aišku, kad „Canonical“ rimtai žiūri į Ubuntu saugumą. Du projektai, AppArmor ir Yama, jau seniai buvo susiję su Ubuntu ir padeda pagerinti saugumą. Ubuntu pagal nutylėjimą neatidaro nereikalingų prievadų-durelių tinkle ir nelaukia nuotykių jungčių ant galvos. „AppArmor“ profiliai buvo sukurti pagrindinėms programoms, veikiančioms su tinklu, kurios kontroliuoja programas.
Jūsų kompiuteris bus saugus su Ubuntu!
Administravimo įrankių diegimas ir konfigūravimas, tinklo konfigūravimas
Įdiegę bazinę operacinę sistemą ubuntu14.04 iš minimalaus platinimo, pirmiausia reikia apsvarstyti, kaip patogiai ją valdyti. Iš esmės ssh/telnet yra naudojamas *nix pagrindu veikiančių serverių konfigūravimui ir valdymui, tačiau pastaruoju metu tam pakankamai tinkami pasirodė ir žiniatinklio įrankiai. Naudoju nemokamus sprendimus webmin Ir Ajenti. Abi šios plokštės nusipelno dėmesio, ir nepaisant to, kad jos gali viską padaryti atskirai, kiekviena iš jų kažkuo tinkama, todėl geriau turėti abi. Norėčiau pastebėti, kad koviniuose gamybos serveriuose tokie sprendimai nėra diegiami dėl saugumo. Visgi, kuo daugiau valdymo sistemų, tuo didesnė tikimybė rasti jose pažeidžiamumą. Todėl jei jūsų saugumo reikalavimai yra „paranoja“ lygyje, tai tiesiog susitaikykite su tuo, kad su serveriu turėsite dirbti tik per ssh (per konsolę).
tinklo sąranka ubuntu 14.04
Norėdami susisiekti su mūsų serveriu tinkle, pirmiausia turite jį sukonfigūruoti. Pagal numatytuosius nustatymus diegimo metu tinklas buvo sukonfigūruotas automatiškai, o jei diegimo programa tinkle rado DHCP serverį, greičiausiai jis jau viską sukonfigūravo pagal poreikį. Jei tinkle nėra DHCP serverio, diegimo programa vis tiek viską sukonfigūravo remdamasi maršrutizatoriaus, prie kurio prijungta tinklo plokštė, apklausa. Norėdami pamatyti, kaip šiuo metu sukonfigūruotas tinklas, tiesiog įveskite terminalą:
Ką mes čia matome:
Turime dvi tinklo sąsajas eth0 ir lo, kur lo yra "loopback sąsaja", o eth0 yra mūsų tinklo plokštės pavadinimas, o jei lo yra nepakitusi tinklo sąsaja, visos kitos sąsajos gali skirtis pavadinimu. Jei sistemos bloke yra įdiegtos dvi tinklo plokštės, jų sąsajos greičiausiai atrodys kaip eth0 ir eth1 ir pan. Sąsajos pavadinimo išvaizda priklauso nuo tinklo plokštės tipo, pavyzdžiui, jei tinklo plokštė veikia naudodama „WiFi“ protokolą, greičiausiai ji turės pavadinimą wlan0.
Norėdami sukonfigūruoti tinklą, redaguokite šį failą:
sudo nano /etc/network/interfaces
Perkelkime ją į šią formą:
iface eth0 inet statinis
adresas 192.168.0.184
tinklo kaukė 255.255.255.0
vartai 192.168.0.1
auto eth0
dns vardų serveriai 8.8.8.8 8.8.4.4
Kur: iface eth0 inet statinis- nurodo, kad sąsaja (iface eth0) yra IPv4 (inet) adresų diapazone su statiniu IP (statinis);
adresas 192.168.0.184- rodo, kad mūsų tinklo plokštės IP adresas (adresas) yra 192.168.0.184;
tinklo kaukė 255.255.255.0- rodo, kad mūsų potinklio kaukė (tinklo kaukė) yra 255.255.255.0;
vartai 192.168.0.1- numatytasis šliuzo adresas 192.168.0.254;
auto eth0- nurodo sistemai, kad eth0 sąsaja turi būti automatiškai įjungta, kai sistema paleidžiama naudojant aukščiau nurodytus parametrus.
eth0— prijungtos sąsajos pavadinimas. Sąsajų sąrašą galima peržiūrėti įvedus ifconfig
dns vardų serveriai- DNS serveriai rašomi su tarpu.
Kaip matote mano atveju, nusprendžiau nustatyti statinį IP 192.168.0.184
iš naujo paleiskite serverį su komanda
Mes sujungiame savo serverį iš tinklo ir įsitikiname, kad jis matomas. Dabar atėjo laikas užmegzti ryšį su juo per SSH, tam mes iš tikrųjų įdiegsime ssh serverį:
sudo apt-get install ssh
Dabar prie mūsų serverio galite prisijungti per ssh per putty programą, pavyzdžiui, dabar galite įvesti komandas ne rankiniu būdu, o nukopijuodami ir įklijuodami mums reikalingas eilutes į ssh klientą, nes ateityje tai stebėtinai palengvins konfigūraciją, nes tuoj pamatysite patys:
VISOS KOMANDOS PO ŠIA EILUTĖS ĮVEDAMOS SUPERVARTOJO VARDU, ir norėdami įeiti į supervartotojo režimą, turite įvesti:
Webmin diegimas
echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key add jcameron-key.asc apt-get update apt-get install -y webmin
aidas "deb https://download.webmin.com/download/repository sarge contrib">> aidas „deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib“>> /etc/apt/sources. sąrašą wgethttps: //www.webmin.com/jcameron-key.asc apt-key pridėti jcameron-key. asc apt-get update apt - gauti įdiegti - y webmin |
Viskas! 6 nuosekliai įvestos komandos ir webmin įdiegta bei sukonfigūruota. Dabar galite pereiti per naršyklę adresu:
https://192.168.0.184:10000
Pagal numatytuosius nustatymus webmin atrodo minimalistiškai, sąsaja pagal numatytuosius nustatymus rodoma anglų kalba, tačiau viskas pritaikoma!
Mes tai darome taip:
Pasirodo taip:
