LFCA – Korisni savjeti za zaštitu podataka i Linux – 18. dio

Od svog izdanja ranih devedesetih, Linux je osvojio divljenje tehnološke zajednice zahvaljujući svojoj stabilnosti, svestranosti, prilagodljivosti i velikoj zajednici programera otvorenog koda koji rade danonoćno kako bi osigurali ispravke grešaka i poboljšanja za operacijski sustav. Općenito, Linux je operativni sustav izbora za javni oblak, poslužitelje i superračunala, a blizu 75% produkcijskih poslužitelja okrenutih prema internetu radi na Linuxu.

Osim što pokreće internet, Linux je pronašao put do digitalnog svijeta i od tada ne jenjava. Pokreće široku lepezu pametnih naprava uključujući Android pametne telefone, tablete, pametne satove, pametne zaslone i mnoge druge.

Je li Linux toliko siguran?

Linux je poznat po svojoj vrhunskoj sigurnosti i to je jedan od razloga zašto je omiljen izbor u poslovnim okruženjima. Ali evo činjenice, niti jedan operativni sustav nije 100% siguran. Mnogi korisnici vjeruju da je Linux nepogrešiv operativni sustav, što je pogrešna pretpostavka. Zapravo, svaki operativni sustav s internetskom vezom osjetljiv je na potencijalne provale i napade zlonamjernog softvera.

Tijekom svojih ranih godina, Linux je imao mnogo manju demografiju usmjerenu na tehnologiju i rizik od napada zlonamjernog softvera bio je mali. Danas Linux pokreće veliki dio interneta, a to je potaknulo rast krajolika prijetnji. Prijetnja od napada zlonamjernim softverom stvarnija je nego ikad.

Savršen primjer napada zlonamjernog softvera na Linux sustave je Erebus ransomware, zlonamjerni softver za šifriranje datoteka koji je zahvatio blizu 153 Linux poslužitelja NAYANA, južnokorejske tvrtke za web hosting.

Iz tog razloga, mudro je dodatno očvrsnuti operativni sustav kako bi mu se pružila toliko željena sigurnost za zaštitu vaših podataka.

Savjeti za jačanje Linux poslužitelja

Zaštita vašeg Linux poslužitelja nije tako komplicirana kao što možda mislite. Sastavili smo popis najboljih sigurnosnih politika koje trebate implementirati kako biste ojačali sigurnost svog sustava i održali integritet podataka.

1. Redovito ažurirajte softverske pakete

U početnim fazama provale u Equifax, hakeri su iskoristili nadaleko poznatu ranjivost - Apache Struts - na Equifaxovom web portalu za pritužbe kupaca.

Apache Struts je okvir otvorenog koda za stvaranje modernih i elegantnih Java web aplikacija koje je razvila Apache Foundation. Zaklada je 7. ožujka 2017. objavila zakrpu za popravak ranjivosti i izdala izjavu u tom smislu.

Equifax je obaviješten o ranjivosti i savjetovano im je da zakrpe svoju aplikaciju, ali nažalost, ranjivost je ostala nezakrpana do srpnja iste godine kada je bilo prekasno. Napadači su uspjeli dobiti pristup mreži tvrtke i iz baze podataka izvući milijune povjerljivih podataka o klijentima. Kad je Equifax saznao što se događa, prošla su već dva mjeseca.

Dakle, što možemo naučiti iz ovoga?

Zlonamjerni korisnici ili hakeri uvijek će ispitivati vaš poslužitelj u potrazi za mogućim ranjivostima softvera koje zatim mogu iskoristiti za probijanje vašeg sustava. Kako biste bili sigurni, uvijek ažurirajte svoj softver na trenutnu verziju kako biste primijenili zakrpe na sve postojeće ranjivosti.

Ako koristite Ubuntu ili sustave temeljene na Debianu, prvi korak obično je ažuriranje popisa paketa ili spremišta kao što je prikazano.

sudo apt update

Da biste provjerili sve pakete s dostupnim ažuriranjima, pokrenite naredbu:

sudo apt list --upgradable

Nadogradite svoje softverske aplikacije na njihove trenutne verzije kao što je prikazano:

sudo apt upgrade

Ovo dvoje možete spojiti u jednu naredbu kao što je prikazano.

sudo apt update && sudo apt upgrade

Za RHEL & CentOS nadogradite svoje aplikacije pokretanjem naredbe:

sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )

Druga moguća opcija je omogućiti automatska sigurnosna ažuriranja za Ubuntu i također postaviti automatska ažuriranja za CentOS/RHEL.

2. Uklonite naslijeđene komunikacijske usluge/protokole

Unatoč podršci za mnoštvo udaljenih protokola, naslijeđene usluge kao što su rlogin, telnet, TFTP i FTP mogu predstavljati velike sigurnosne probleme za vaš sustav. To su stari, zastarjeli i nesigurni protokoli u kojima se podaci šalju u obliku običnog teksta. Ako postoje, razmislite o njihovom uklanjanju kao što je prikazano.

Za sustave temeljene na Ubuntu/Debianu, izvršite:

sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Za sustave temeljene na RHEL/CentOS, izvršite:

sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Zatvorite neiskorištene priključke na vatrozidu

Nakon što ste uklonili sve nesigurne usluge, važno je skenirati vaš poslužitelj u potrazi za otvorenim portovima i zatvoriti sve neiskorištene portove koje hakeri potencijalno mogu koristiti kao ulaznu točku.

Pretpostavimo da želite blokirati priključak 7070 na UFW vatrozidu. Naredba za ovo će biti:

sudo ufw deny 7070/tcp

Zatim ponovno učitajte vatrozid kako bi promjene stupile na snagu.

sudo ufw reload

Za Firewalld pokrenite naredbu:

sudo firewall-cmd --remove-port=7070/tcp  --permanent

I ne zaboravite ponovno učitati vatrozid.

sudo firewall-cmd --reload

Zatim provjerite pravila vatrozida kao što je prikazano:

sudo firewall-cmd --list-all

4. Sigurni SSH protokol

SSH protokol je udaljeni protokol koji vam omogućuje sigurno povezivanje s uređajima na mreži. Iako se smatra sigurnim, zadane postavke nisu dovoljne i potrebna su dodatna podešavanja kako bi se zlonamjerni korisnici dodatno odvratili od provale u vaš sustav.

Imamo opsežan vodič o tome kako ojačati SSH protokol. Ovdje su glavni naglasci.

  • Konfigurirajte SSH prijavu bez lozinke i omogućite autentifikaciju privatnog/javnog ključa.
  • Onemogući SSH udaljenu korijensku prijavu.
  • Onemogućite SSH prijave korisnika s praznim lozinkama.
  • Potpuno onemogućite provjeru autentičnosti lozinke i držite se provjere autentičnosti SSH privatnim/javnim ključem.
  • Ograničite pristup određenim SSH korisnicima.
  • Konfigurirajte ograničenje za pokušaje unosa lozinke.

5. Instalirajte i omogućite Fail2ban

Fail2ban je sustav za sprječavanje upada otvorenog koda koji štiti vaš poslužitelj od bruteforce napada. Štiti vaš Linux sustav zabranom IP adresa koje ukazuju na zlonamjernu aktivnost kao što je previše pokušaja prijave. Izvan kutije, isporučuje se s filtrima za popularne usluge kao što su Apache web poslužitelj, vsftpd i SSH.

Imamo vodič o tome kako konfigurirati Fail2ban za daljnje jačanje SSH protokola.

6. Pojačajte snagu lozinke pomoću PAM modula

Ponovno korištenje lozinki ili korištenje slabih i jednostavnih lozinki uvelike narušava sigurnost vašeg sustava. Provodite politiku lozinke, koristite pam_cracklib da postavite ili konfigurirate zahtjeve za jačinu lozinke.

Koristeći PAM modul, možete definirati snagu lozinke uređivanjem datoteke /etc/pam.d/system-auth. Na primjer, možete postaviti složenost lozinke i spriječiti ponovnu upotrebu lozinki.

7. Instalirajte SSL/TLS certifikat

Ako imate web stranicu, uvijek osigurajte svoju domenu pomoću SSL/TLS certifikata za šifriranje podataka koji se razmjenjuju između preglednika korisnika i web poslužitelja.

8. Onemogućite slabe protokole šifriranja i šifrirane ključeve

Nakon što kriptirate svoje web mjesto, razmislite io onemogućavanju slabih protokola šifriranja. U vrijeme pisanja ovog vodiča, najnoviji protokol je TLS 1.3, koji je najčešći i najčešće korišten protokol. Ranije verzije kao što su TLS 1.0, TLS 1.2 i SSLv1 do SSLv3 povezane su s poznatim ranjivostima.

Završavati

To je bio sažetak nekih koraka koje možete poduzeti kako biste osigurali sigurnost podataka i privatnost za svoj Linux sustav.