Einrichten des Netzwerks (Netzwerkkarten) Schnittstellen Ubuntu. Anleitung zum Konfigurieren der Internetverbindung in Ubuntu Konfigurieren der Netzwerksicherheit in Ubuntu

Das können wir natürlich sagen Linux mehr sicher(geschützt) als Windows. Sicherheit v Linux eingebaut, und nicht irgendwo an der Seite verschraubt, wie es in Windows implementiert ist. Sicherheit Systeme Linux deckt den Bereich vom Kernel bis zum Desktop ab, aber die Chancen stehen gut, dass Hacker Ihr Home-Verzeichnis (/home) beschädigen.

Ihre Bytes an Fotos, Heimvideos, Dokumenten und Kreditkarten- oder Brieftaschendaten sind die teuersten Informationen auf einem Computer. Natürlich ist Linux nicht anfällig für alle Arten von Internetwürmern und Windows-Viren. Angreifer können jedoch einen Weg finden, auf Ihre Daten in Ihrem Home-Verzeichnis zuzugreifen.

Vorbereiten Ihres alten Computers oder Festplatte Glauben Sie, dass es ausreichen wird, bevor Sie die Formatierung verkaufen? Es wird eine Menge geben moderne Instrumente zur Datenwiederherstellung. Ein Hacker kann Ihre Daten leicht wiederherstellen von Festplatte, unabhängig vom Betriebssystem, an dem Sie gearbeitet haben.

Zu diesem Thema erinnere ich mich an die Erfahrung einer Firma beim Rückkauf von gebrauchten Computern und Festplatten. Im Zuge ihrer Tätigkeit haben sie das Urteil gefällt, dass 90 % der Vorbesitzer ihrer Computer ihre Speichermedien vor dem Verkauf nicht sorgsam gereinigt haben. Und sie extrahierten sehr gewissenhafte Datenbytes. Es ist sogar beängstigend, sich vorzustellen, dass sich irgendwo in den Papierkörben Ihrer Festplatte Informationen befinden, die Sie in Ihre Internetbank oder Ihr Online-Wallet eingeben können.

Beginnen Sie mit den Linux-Sicherheitsgrundlagen

Kommen wir zu den Grundlagen (), die für fast alle funktionieren
Linux-Distributionen.

Lassen Sie uns das Dateisystem in Linux verschlüsseln, um eine umfassendere Linux-Sicherheit zu erzielen

Benutzerpasswörter lösen das Problem nicht, wenn Sie wirklich möchten, dass niemand Ihr Home-Verzeichnis (/home) oder eine bestimmte Byte-Größe lesen kann. Sie können dies tun, damit selbst ein Benutzer mit den höchsten Root-Rechten nicht in der Lage ist, seine Nase zu stecken.

Löschen Sie sensible Dateien, damit sie niemand wiederherstellen kann

Wenn Sie sich entscheiden, Ihren Computer oder Ihr Speichermedium zu verkaufen oder zu spenden, gehen Sie nicht davon aus, dass eine einfache Formatierung Ihre Dateien dauerhaft löscht. Sie können das Tool zum sicheren Löschen von Dateien auf Ihrer Linux-Box installieren, das das Dienstprogramm srm zum sicheren Löschen von Dateien enthält.

Vergessen Sie auch nicht die verfügbaren in Linux Kernel Firewall. Alle Linux-Distributionen enthält lptables, das Teil des Kernels ist. Mit Lptables können Sie Netzwerkpakete filtern. Natürlich können Sie dieses Dienstprogramm im Terminal konfigurieren. Aber diese Methode liegt außerhalb der Macht vieler, einschließlich mir. Also installiere und konfiguriere ich es so einfach, als würde ich ein Spiel spielen.

Wie alle Betriebssysteme neigt Linux dazu, beim Ausführen verschiedener Anwendungen Müll anzusammeln. Und das ist nicht sein Linux-Fehler, denn verschiedene Anwendungen wie Browser, Texteditoren und sogar Videoplayer funktionieren nicht auf Kernel-Ebene und sammeln temporäre Dateien an. Sie können das Dienstprogramm BleachBit für die universelle Müllentsorgung installieren.

Anonymes Surfen, das Verbergen Ihrer IP ist sehr wichtig für die Sicherheit Ihrer Identität unter Linux

Abschließend möchte ich Ihnen noch etwas über das anonyme Surfen im Internet sagen. Manchmal kommt es vor, dass es notwendig ist, wie ich es tue, wenn ich heimlich von meiner Frau Seiten mit erotischen Inhalten besuche. Natürlich habe ich Witze gemacht.

Angreifer können Sie nur schwer erreichen, wenn sie Ihren Standort nicht bestimmen können. Wir verwischen die Spuren mit einer einfachen Konfiguration von zwei zusammenarbeitenden Dienstprogrammen namens privoxy und tor.

Meiner Meinung nach schützt das Befolgen und Konfigurieren all dieser Regeln Sie und Ihren Computer zu 90%.

PS Ich verwende eine Cloud namens Dropbox. Darin speichere ich meine alten und neuen, noch nicht veröffentlichten Artikel. Es ist bequem, von überall auf der Welt und von jedem Computer aus auf Ihre Dateien zuzugreifen. Beim Schreiben von Artikeln für eine Site in Texteditor, speichere ich meine Textdokumente mit einem Passwort und lade sie erst danach auf den Dropbox-Server hoch. Sie sollten niemals unnötige Sicherheit vernachlässigen, die Ihnen nur in die Hände spielt.

Kein Zweifel gerade jetzt installiertes System Linux ist viel widerstandsfähiger gegen verschiedene Malware, Spyware und Hacker als dasselbe Windows-Version... Die meisten Linux-Systeme verwenden jedoch Standardeinstellungen, die nicht ganz sicher sind.

Einige Linux-Distributionen sind so konzipiert, dass sie sofort einsatzbereit sind, aber für Neulinge, insbesondere Nicht-Computersicherheitsexperten, sind sie in der Regel sehr schwierig.

Ubuntu ist heute die beliebteste Linux-Distribution. Dies liegt an vielen Faktoren, von denen einer ist, dass es für Anfänger am einfachsten ist. Das hat seine positiven Seiten, aber auch aus diesem Grund gibt es einige Schwächen im System, die die Entwickler mit der Entscheidung für Benutzerfreundlichkeit hinterlassen haben. In diesem Artikel werfen wir einen Blick darauf, wie die Sicherheitskonfiguration unter Ubuntu 16.04 durchgeführt wird. Diese Einstellungen sind nicht so kompliziert, aber sie helfen Ihnen, das System widerstandsfähiger gegen die gängigsten Angriffsmethoden zu machen.

Das erste, was Sie wissen müssen, ist, Ihr System ständig auf dem neuesten Stand zu halten. Im Kernel werden ständig neue Schwachstellen entdeckt und Software, ein Beispiel ist die gleiche Drity COW. Die Entwickler beheben diese Fehler sehr schnell, aber um diese Korrekturen auf Ihr System anzuwenden, müssen Sie es rechtzeitig aktualisieren.

Ein weiterer wichtiger Hinweis ist das Passwort des Benutzers. Verwenden Sie keinen Benutzer ohne Kennwort. Wenn Sie Ihren Computer mit anderen teilen möchten, erstellen Sie neues Konto zB Gast. Aber verwenden Sie immer Passwörter. Operationssaal Linux-System wurde ursprünglich als Mehrbenutzersystem mit Blick auf die Sicherheit aller Benutzer entwickelt, daher sollten Sie diese Gelegenheit nicht verpassen. Aber dies sind alle Tipps, die Sie wahrscheinlich bereits kennen. Schauen wir uns einige wirklich nützliche Möglichkeiten an, um die Sicherheit von Ubuntu zu erhöhen.

1. Gemeinsamen Speicher einrichten

Standardmäßig wird das gesamte Volumen geteilte Erinnerung/run/shm ist Lese-/Schreibzugriff mit der Fähigkeit, Programme auszuführen. Dies wird als Sicherheitslücke angesehen und viele Exploits verwenden /run /shm, um laufende Dienste anzugreifen. Für die meisten Desktop- und insbesondere Servergeräte wird empfohlen, diese Datei im schreibgeschützten Modus bereitzustellen. Fügen Sie dazu die folgende Zeile zu /etc/fstab hinzu:

sudo vi / etc / fstab

none / run / shm tmpfs defaults, ro 0 0

Trotzdem funktionieren einige Programme nicht, wenn /run /shm schreibgeschützt ist, eines davon ist Google Chrome... Wenn Sie Google Chrome verwenden, müssen wir die Schreibfähigkeit beibehalten, können jedoch die Ausführung von Programmen verhindern, fügen Sie dazu die folgende Zeile anstelle der oben vorgeschlagenen hinzu:

none / run / shm tmpfs rw, noexec, nosuid, nodev 0 0

2. Verweigern Sie die Verwendung von su für Nicht-Administratoren

Neben Ihrem Konto hat Ubuntu auch einen Gast Konto mit dem Sie Ihren Laptop mit einem Freund teilen können. Mit dem Dienstprogramm su können Sie Programme unter einem anderen Benutzer ausführen. Es ist sehr nützlich bei der Systemadministration und bei richtiger Anwendung von entscheidender Bedeutung. Trotzdem können alle Linux-Benutzer auf dieses Dienstprogramm zugreifen, und dies ist bereits Missbrauch. Um dem Gastkonto den Zugriff auf den Befehl su zu verweigern, führen Sie Folgendes aus:

sudo dpkg-statoverride --update - Root hinzufügen sudo 4750 / bin / su

3. Schützen Sie Ihr Home-Verzeichnis

Ihr Standard-Home-Verzeichnis ist für jeden Benutzer des Systems zugänglich. Wenn Sie also ein Gastkonto haben, kann der Gast voller Zugriff auf alle Ihre persönlichen Dateien und Dokumente. Aber Sie können es nur Ihnen zur Verfügung stellen. Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus:

chmod 0700 / home / Benutzername

Es legt die Rechte so fest, dass der Besitzer des Ordners, dh Sie, auf alles zugreifen können und andere Benutzer den Inhalt nicht einmal sehen können. Alternativ können Sie 750 Berechtigungen festlegen, die Benutzern in derselben Gruppe wie Sie Lesezugriff auf Ihren Ordner gewähren:

chmod 0750 / home / Benutzername

Jetzt wird die Sicherheit von Ubuntu 16.04 und insbesondere Ihrer persönlichen Daten etwas höher sein.

4. Deaktivieren Sie die SSH-Anmeldung als root

Standardmäßig können Sie in Ubuntu als Superuser per SSH in das System einloggen. Obwohl Sie ein Passwort für den Root-Benutzer festlegen, kann dies potenziell gefährlich sein, denn wenn das Passwort sehr einfach ist, kann ein Angreifer es mit Brute-Force-Methoden erzwingen und die volle Kontrolle übernehmen des Computers. Der sshd-Dienst ist möglicherweise nicht auf Ihrem System installiert. So überprüfen Sie den Lauf:

Wenn Sie eine Meldung zur Ablehnung der Verbindung erhalten, bedeutet dies, dass kein SSH-Server installiert ist und Sie diesen Schritt überspringen können. Aber wenn es installiert ist, muss es mit konfiguriert werden Konfigurationsdatei/etc/ssh/sshd_config. Öffnen Sie diese Datei und ersetzen Sie die Zeile:

PermitRootLogin ja

PermitRootLogin-Nr

Fertig, jetzt wird es schwieriger, sich per SSH in Ihr System einzuloggen, aber die Sicherheitskonfiguration in Ubuntu 16.04 ist noch nicht abgeschlossen.

5. Installieren Sie die Firewall

Vielleicht haben Sie auf Ihrem Rechner nicht nur einen SSH-Server installiert, sondern auch einen Datenbankdienst und einen Apache- oder Nginx-Webserver. Wenn es sich um einen Heimcomputer handelt, möchten Sie wahrscheinlich nicht, dass jemand anderes eine Verbindung zu Ihrer lokalen Site oder Datenbank herstellen kann. Um dies zu verhindern, müssen Sie eine Firewall installieren. Es wird empfohlen, gufw unter Ubuntu zu verwenden, da es speziell für dieses System entwickelt wurde.

Führen Sie zum Installieren Folgendes aus:

sudo apt install gufw

Dann müssen Sie das Programm öffnen, den Schutz aktivieren und alle eingehenden Verbindungen blockieren. Erlauben Sie nur die notwendigen Ports für den Browser und andere bekannte Programme. Lesen Sie mehr in der Anleitung.

6. Schutz vor MITM-Angriffen

Das Wesen eines MITM- oder Man-in-the-Middle-Angriffs besteht darin, dass eine andere Person alle Pakete abfängt, die Sie an den Server übertragen, sodass sie alle Ihre Passwörter und persönlichen Daten erhalten können. Wir können nicht alle Angriffe dieser Art abwehren, aber eine Vielzahl von MITM-Angriffen - ARP-Angriffe - sind in öffentlichen lokalen Netzwerken recht beliebt. Mit den Funktionen des ARP-Protokolls gibt sich ein Angreifer als Router vor Ihrem Computer aus und Sie senden alle Ihre Datenpakete an ihn. Davor können Sie sich ganz einfach mit dem Dienstprogramm TuxCut schützen.

Es gibt kein Programm in den offiziellen Repositories. Um es zu installieren, müssen Sie das Paket von GitHub herunterladen:

wget https://github.com/a-atalla/tuxcut/releases/download/6.1/tuxcut_6.1_amd64.deb

Installieren Sie dann das resultierende Paket:

sudo apt install tuxcut_6.1_amd64.deb

Bevor Sie das Programm starten, starten Sie seinen Dienst:

sudo systemctl start tuxcutd

Das Hauptfenster des Dienstprogramms sieht wie folgt aus:

Hier werden die IP-Adressen aller mit dem Netzwerk verbundenen Benutzer angezeigt, sowie die zugehörige MAC-Adresse für jeden von ihnen. Wenn Sie das Kontrollkästchen Schutzmodus aktivieren, schützt das Programm vor ARP-Angriffen. Sie können es in öffentlichen Netzwerken wie öffentlichem WLAN verwenden, wo Sie um Ihre Sicherheit fürchten.

Schlussfolgerungen

Nun, das ist es, jetzt ist die Sicherheitseinrichtung für Ubuntu 16.04 abgeschlossen und Ihr System ist viel sicherer. Wir haben die gängigsten Angriffsvektoren und Methoden zum Eindringen in das System blockiert, die von Hackern verwendet werden. Wenn Sie andere nützliche Möglichkeiten zur Verbesserung der Sicherheit in Ubuntu kennen, schreiben Sie in die Kommentare!

Keiner von uns will persönliche Informationen in die falschen Hände geraten. Doch wie schützen Sie Ihr System vor Angriffen und Datendiebstahl? Muss man wirklich kilometerlange Handbücher zum Einrichten und Verschlüsselungsalgorithmen lesen? Gar nicht nötig. In diesem Artikel zeige ich Ihnen, wie Sie ein Linux-System in nur 30 Minuten sicher machen.

Einführung

Wir leben im Jahrhundert mobile Geräte und ständig online. Wir gehen mit einem Laptop in Cafés und betreiben Webserver auf unseren Heimcomputern, die im Internet exponiert sind. Wir registrieren uns auf Hunderten von Websites und verwenden dieselben Passwörter für Webdienste. Wir haben immer ein Smartphone in der Tasche mit Dutzenden von Passwörtern darin und Schlüssel von mehreren SSH-Servern sind gespeichert. Wir sind so daran gewöhnt, dass Dienste von Drittanbietern sich um unsere Privatsphäre kümmern, dass wir bereits aufgehört haben, darauf zu achten.

Als ich mein Smartphone verlor, hatte ich großes Glück, dass sich die darauf installierte Diebstahlsicherung als effizient herausstellte und es mir ermöglichte, alle Daten aus der Ferne aus dem Speicher des Geräts zu löschen. Als ich auf einem Heimrechner versehentlich einen SSH-Port mit einem User ohne Passwort (!) zur Außenwelt (!!) öffnete, hatte ich großes Glück, dass Script-Kiddies auf den Rechner gelangten, was, abgesehen von der lustigen Shell Geschichte, hinterließen keine ernsthaften Spuren ihres Verbleibs im System. Als ich versehentlich mit meinem Gmail-Passwort ein Inserat im Internet veröffentlicht habe, hatte ich großes Glück, es zu finden freundliche Person der mich davor gewarnt hat.

Vielleicht kratze ich, aber ich bin fest davon überzeugt, dass vielen, die diese Zeilen lesen, solche Vorfälle passiert sind. Und es ist gut, wenn diese Leute sich im Gegensatz zu mir ernsthaft um den Schutz ihres Autos kümmern. Schließlich hätte die Diebstahlsicherung vielleicht nicht funktioniert, und statt eines Script-Kiddies konnten ernsthafte Leute ins Auto einsteigen, und ich konnte mein Smartphone nicht verlieren, aber meinen Laptop, auf dem es außer dem Passwort des Benutzers keinen anderen Schutz gab. Nein, auf eine Google-Zwei-Faktor-Authentifizierung und dumme Passwörter in unserer Zeit zu verlassen lohnt sich definitiv nicht, man braucht etwas Ernsteres.

Dieser Artikel ist ein paranoider Unixoid-Leitfaden, der sich dem vollständigen Schutz eines Linux-Rechners vor allem und jedem widmet. Ich zögere zu sagen, dass alles, was hier beschrieben wird, für die Bewerbung obligatorisch ist. Im Gegenteil, dies ist eine Sammlung von Rezepten, Informationen, mit denen Sie sich und Ihre Daten dort schützen können, wo es in Ihrer speziellen Situation benötigt wird.

Passwort!

Alles beginnt mit Passwörtern. Sie sind überall: im Login-Fenster einer Linux-Distribution, in Registrierungsformularen auf Internetseiten, auf FTP- und SSH-Servern und auf dem Sperrbildschirm des Smartphones. Der Standard für Passwörter beträgt heute 8-12 Zeichen in verschiedenen Fällen, einschließlich Zahlen. Es ist ziemlich mühsam, solche Passwörter mit eigenem Verstand zu generieren, aber es gibt eine einfache Möglichkeit, dies automatisch zu tun:

$ openssl rand -base64 6

Keine externen Anwendungen, keine Webbrowser-Erweiterungen, OpenSSL ist auf jedem Computer vorhanden. Wenn es jedoch für jemanden bequemer ist, kann er pwgen für diese Zwecke installieren und verwenden (sie sagen, das Passwort wird stärker sein):

$ pwgen -Bs 8 1

Wo werden Passwörter gespeichert? Jeder User hat heute so viele davon, dass es einfach unmöglich ist, alles im Kopf zu behalten. Vertrauen Sie dem automatischen Speichersystem des Browsers? Sie können, aber wer weiß, wie Google oder Mozilla damit umgehen. Snowden sagte, dass es nicht sehr gut sei. Daher müssen Passwörter auf der Maschine selbst in einem verschlüsselten Container gespeichert werden. Die Gründerväter empfehlen dafür KeePassX zu verwenden. Eine grafische Sache, die den Gründervätern selbst nicht gefällt, die aber überall funktioniert, auch bei der bekannten Android-Google-Sonde (KeePassDroid). Es bleibt nur noch, die Datenbank mit Passwörtern an die richtige Stelle zu übertragen.

Wir verschlüsseln

In diesem Wort steckt so viel Verschlüsselung ... Heute ist Verschlüsselung überall und nirgendwo gleichzeitig. Wir sind gezwungen, HTTPS-Versionen von Websites zu verwenden, aber das ist uns egal. Uns wird gesagt: "Verschlüsseln Sie das Home-Verzeichnis", und wir sagen: "Dann richte ich es ein." Uns wird gesagt: "Die Lieblingsbeschäftigung der Dropbox-Mitarbeiter ist das Lachen über die persönlichen Fotos der Nutzer", und wir: "Lasst sie lachen." Inzwischen ist Verschlüsselung der einzige absolute Schutz, der heute verfügbar ist. Es ist auch sehr zugänglich und glättet Falten.

Linux bietet jede Menge Verschlüsselungstools für alles und jeden, von Partitionen auf Ihrer Festplatte bis hin zu einzelnen Dateien. Die drei bekanntesten und bewährtesten Tools sind dm-crypt / LUKS, ecryptfs und encfs. Die erste verschlüsselt ganze Festplatten und Partitionen, die zweite und dritte verschlüsselt Verzeichnisse mit wichtige Informationen, jede Datei separat, was sehr praktisch ist, wenn Sie inkrementelle Backups erstellen oder in Verbindung mit Dropbox verwenden möchten. Es gibt auch einige weniger bekannte Tools, darunter beispielsweise TrueCrypt.

Lassen Sie mich gleich darauf hinweisen, dass das Verschlüsseln einer gesamten Festplatte eine schwierige Aufgabe und vor allem nutzlos ist. Im Root-Verzeichnis gibt es nichts besonders Vertrauliches, und es kann nichts sein, aber das Home-Verzeichnis und Swap sind nur eine Fundgrube an Informationen. Außerdem ist der zweite noch größer als der erste, da Daten und Passwörter bereits in entschlüsselter Form dorthin gelangen können (normale Programmierer verbieten dem System, solche Daten in einen Swap zu werfen, aber eine solche Minderheit). Das Einrichten der Verschlüsselung für beide ist sehr einfach, installieren Sie einfach die ecrypts-Tools:

$ sudo apt-get install ecryptfs-utils

Und tatsächlich aktivieren Sie die Verschlüsselung:

$ sudo ecryptfs-setup-swap $ ecryptfs-setup-private

Dann müssen Sie nur noch Ihr Passwort für die Anmeldung eingeben und das System erneut betreten. Ja, es ist wirklich so einfach. Der erste Befehl wird den Swap verschlüsseln und neu mounten, indem die entsprechenden Zeilen in /etc/fstab geändert werden. Der zweite erstellt die Verzeichnisse ~ / .Private und ~ / Private, in denen die verschlüsselten bzw. entschlüsselten Dateien gespeichert werden. Bei der Anmeldung wird das PAM-Modul pam_ecryptfs.so ausgelöst und das erste Verzeichnis mit transparenter Datenverschlüsselung in das zweite eingehängt. Nach dem Aushängen ist ~ / Private leer und ~ / .Private enthält alle verschlüsselten Dateien.

Es ist nicht verboten, das gesamte Home-Verzeichnis als Ganzes zu verschlüsseln. In diesem Fall wird die Leistung nicht stark nachlassen, aber alle Dateien werden im Allgemeinen geschützt, einschließlich des gleichen Netzwerkverzeichnisses ~ / Dropbox. Das geht so:

# ecryptfs-migrate-home -u vasya

Der Speicherplatz sollte übrigens 2,5 mal größer sein als die Daten von vasya, daher empfehle ich, ihn vorher zu bereinigen. Nach Abschluss des Vorgangs sollten Sie sich sofort als Benutzer vasya einloggen und die Funktionsfähigkeit überprüfen:

$ montieren | grep Privat /home/vasya/.Privat auf /home / vasya type ecryptfs ...

Ist alles in Ordnung, kann die unverschlüsselte Kopie der Daten überschrieben werden:

$ sudo rm -r /home/vasya.*

Wir fegen die Spuren

OK, Passwörter an einem sicheren Ort, auch persönliche Dateien, was nun? Jetzt müssen wir sicherstellen, dass einige unserer personenbezogenen Daten nicht in falsche Hände geraten. Es ist für niemanden ein Geheimnis, dass beim Löschen einer Datei der eigentliche Inhalt auf dem Medium verbleibt, auch wenn danach formatiert wird. Unsere verschlüsselten Daten sind auch nach dem Löschen sicher, aber was ist mit Flash-Laufwerken und anderen Speicherkarten? Hier kommt das Dienstprogramm srm zum Einsatz, das nicht nur die Datei löscht, sondern auch die restlichen Datenblöcke mit Müll füllt:

$ sudo apt-get install secure-delete $ srm secretfile.txt home-video.mpg

# dd if = / dev / null von = / dev / sdb

Dieser Befehl löscht alle Daten auf dem SDB-Stick. Als nächstes muss noch eine Partitionstabelle (mit einer Partition) erstellt und in das gewünschte Dateisystem formatiert werden. Es wird empfohlen, dafür fdisk und mkfs.vfat zu verwenden, aber Sie können mit dem grafischen gparted auskommen.

Verhindern von BruteForce-Angriffen

Fail2ban ist ein Daemon, der Protokolle nach Versuchen durchsucht, Passwörter für Netzwerkdienste zu erraten. Wenn solche Versuche gefunden werden, wird die verdächtige IP-Adresse mit Hilfe von iptables oder TCP-Wrappern blockiert. Der Dienst ist in der Lage, den Besitzer des Hosts per E-Mail über den Vorfall zu benachrichtigen und die Sperre über . freizugeben Zeit einstellen... Fail2ban wurde ursprünglich entwickelt für SSH-Schutz, heute bieten wir fertige Beispiele für Apache, lighttpd, Postfix, exim, Cyrus IMAP, named usw. an. Darüber hinaus kann ein Fail2ban-Prozess mehrere Dienste gleichzeitig schützen.

Geben Sie unter Ubuntu / Debian zur Installation Folgendes ein:

# apt-get install fail2ban

Configs befinden sich im Verzeichnis /etc/fail2ban. Nachdem Sie die Konfiguration geändert haben, starten Sie fail2ban mit dem Befehl neu:

# /etc/init.d/fail2ban Neustart

Bedrohung von außen

Jetzt kümmern wir uns um die Bedrohungen, die aus der Tiefe kommen weltweites Netz... An dieser Stelle sollte ich anfangen, über iptables und pf zu sprechen, die auf einem dedizierten Computer mit OpenBSD ausgeführt werden, aber das ist übertrieben, wenn ipkungfu verfügbar ist. Was ist das? Dies ist das Skript, das uns die ganze Drecksarbeit der Firewall-Konfiguration abnimmt, ohne kilometerlange Regellisten erstellen zu müssen. Installieren:

$ sudo apt-get install ipkungfu

Bearbeiten der Konfiguration:

$ sudo vi /etc/ipkungfu/ipkungfu.conf # Das lokale Netzwerk wenn ja - schreibe die Netzwerkadresse zusammen mit der Maske, nein - schreibe die Loopback-Adresse LOCAL_NET = "127.0.0.1" # Unsere Maschine ist kein Gateway GATEWAY = 0 # Schließe die notwendigen Ports FORBIDDEN_PORTS = "135 137 139" # Blockiere Pings , 90% der Kiddis fallen in dieser Phase ab BLOCK_PINGS = 1 # Verdächtige Pakete verwerfen (alle Arten von Floods) SUSPECT = "DROP" # "falsche" Pakete verwerfen (einige Arten von DoS) KNOWN_BAD = "DROP" # Portscan? In den Müll! PORT_SCAN = "DROP"

Um ipkungfu zu aktivieren, öffnen Sie die Datei /etc/default/ipkungfu und ändern Sie die Zeile IPKFSTART = 0 in IPKFSTART = 1. Führen Sie Folgendes aus:

$ sudo ipkungfu

Bearbeiten wir außerdem /etc/sysctl.conf:

$ sudo vi /etc/systcl.conf # ICMP-Weiterleitungen löschen (gegen MITM-Angriffe) net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 # TCP-Synccookies aktivieren net.ipv4 .tcp_syncookies = 1 # Verschiedene Optimierungen (Schutz vor Spoofing, Erhöhung der Warteschlange von "halboffenen" TCP-Verbindungen usw.) net.ipv4.tcp_timestamps = 0 net.ipv4.conf.all.rp_filter = 1 net.ipv4.tcp_max_syn_back = 1280 Kernel .core_uses_pid = 1

Wir aktivieren die Änderungen:

$ sudo sysctl -p

Erkennen von Einbrüchen

Snort ist eines der beliebtesten Admin-Tools und die Hauptfigur in allen Sicherheitsleitfäden. Ein Stück mit langer Geschichte und kolossalen Möglichkeiten, dem ganze Bücher gewidmet sind. Was macht er in unserem Guide zu schnelle Einrichtung sicheres System? Und hier gehört es hin, Snort muss nicht konfiguriert werden:

$ sudo apt-get install snort $ snort -D

Alles! Ich mache keine Witze, Standardeinstellungen Snort ist mehr als genug, um typische Netzwerkdienste zu schützen, wenn Sie diese natürlich haben. Sie müssen nur von Zeit zu Zeit in das Protokoll schauen. Und darin finden Sie Zeilen wie diese:

[**] MS-SQL-Testantwortüberlaufversuch [**] http://www.securityfocus.com/bid/9407]

Hoppla. Jemand hat versucht, einen Pufferüberlauf in MySQL zu verursachen. Es gibt auch einen Link zur Seite mit detaillierte Beschreibung Probleme. Schönheit.

Jemand hat geerbt...

Jemand, der besonders schlau ist, konnte unsere Firewall umgehen, an Snort vorbeikommen, Root-Rechte auf dem System und meldet sich nun regelmäßig über die installierte Hintertür am System an. Es ist nicht gut, die Hintertür muss gefunden, entfernt und das System aktualisiert werden. Um nach Rootkits und Backdoors zu suchen, verwenden wir rkhunter:

$ sudo apt-get install rkhunter

Starten:

$ sudo rkhunter -c --sk

Softina überprüft das gesamte System auf Rootkits und zeigt die Ergebnisse an. Wenn die Malware gefunden wird, zeigt rkhunter auf den Speicherort und sie kann gelöscht werden. Ein ausführlicheres Protokoll befindet sich hier: /var/log/rkhunter.log. Es ist besser, rkhunter jeden Tag als Cron-Job auszuführen:

$ sudo vi /etc/cron.daily/rkhunter.sh #! / bin / bash / usr / bin / rkhunter -c --cronjob 2> & 1 | mail -s "RKhunter Scan-Ergebnisse" [E-Mail geschützt]

Wir ersetzen Vasyas E-Mail-Adresse durch unsere eigene und machen das Skript ausführbar:

$ sudo chmod + x /etc/cron.daily/rkhunter.sh

$ sudo rkhunter --update

Es kann übrigens vor dem Check-Befehl im Cron-Skript hinzugefügt werden. Zwei weitere Tools zum Auffinden von Rootkits:

$ sudo apt-get install tiger $ sudo tiger $ sudo apt-get install lynis $ sudo lynis -c

Tatsächlich sind es die gleichen Fabergé-Eier aus der Vogelperspektive, aber ihre Basen sind unterschiedlich. Es kann mit ihrer Hilfe möglich sein, herauszufinden, was rkhunter übersehen hat. Debsums ist ein Tool zur Überprüfung der Prüfsummen von Dateien. installierte Pakete mit einer Referenz. Wir stellen:

$ sudo apt-get install debsums

Wir starten die Prüfung:

$ sudo debsums -ac

Wie immer? Start kann zu Cron-Jobs hinzugefügt werden.

Außerhalb

Lassen Sie uns nun darüber sprechen, wie Sie Ihre Anonymität im Web wahren und Zugriff auf Websites und Seiten erhalten, die auf Anfrage verschiedener Urheberrechtsorganisationen und anderer Mizulins gesperrt wurden. Der einfachste Weg, dies zu tun, besteht darin, einen der Tausenden von Proxy-Servern auf der ganzen Welt zu verwenden. Viele von ihnen sind kostenlos, kürzen den Kanal jedoch oft auf die Geschwindigkeit eines alten analogen Modems.

Um einfach auf Websites zu navigieren und Proxys nur bei Bedarf zu aktivieren, können Sie eine der vielen Erweiterungen für Chrome und Firefox verwenden, die auf Anfrage des Proxy-Umschalters leicht im Verzeichnis zu finden sind. Wir installieren, fahren die Liste der erforderlichen Proxys ein und wechseln zum gewünschten, wobei anstelle der Seite ein Schild "Der Zugriff auf die Seite ist auf Anfrage von Herrn Skumbrievich eingeschränkt" angezeigt wird.

In Situationen, in denen die gesamte Site unter den Filter gefallen ist und ihre Adresse auf der Seite der DNS-Server der Anbieter auf die schwarze Liste gesetzt wurde, können Sie kostenlose DNS-Server verwenden, deren Adressen veröffentlicht werden. Nehmen Sie einfach zwei beliebige Adressen und fügen Sie /etc/resolv.conf hinzu:

Nameserver 156.154.70.22 Nameserver 156.154.71.22

Um zu verhindern, dass verschiedene DHCP-Clients und NetworkManager die Datei mit den vom Provider oder Router erhaltenen Adressen überschreiben, machen wir die Datei mit erweiterten Attributen nicht wiederbeschreibbar:

$ sudo chattr + i /etc/resolv.conf

Dadurch wird die Datei für alle, einschließlich Root, schreibgeschützt.

Um Ihr Interneterlebnis weiter zu anonymisieren, können Sie auch den dnscrypt-Daemon verwenden, der alle Anfragen an den DNS-Server zusätzlich zum Proxy-Server verschlüsselt, der für die Verbindung mit der Site selbst verwendet wird. Installieren:

$ wget http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-1.3.2.tar.bz2 $ bunzip2 -cd dnscrypt-proxy - *.tar.bz2 | tar xvf - $ cd dnscrypt-proxy- * $ sudo apt-get install build-essential $ ./configure && make -j2 $ sudo make install

Geben Sie die Loopback-Adresse in /etc/resolv.conf an:

$ vi /etc/resolv.conf-Nameserver 127.0.0.1

Wir starten den Daemon:

$ sudo dnscrypt-proxy --daemonize

Es gibt übrigens Versionen von dnscrypt für Windows, iOS und Android.

Zwiebelrouting

Was ist Zwiebelrouting? Das ist Tor. Und Tor wiederum ist ein System, mit dem Sie vollständig erstellen können anonymes Netzwerk mit Internetzugang. Der Begriff „Zwiebel“ wird hier in Bezug auf ein Betriebsmodell verwendet, bei dem jedes Netzwerkpaket in drei Verschlüsselungsschichten „verpackt“ wird und auf seinem Weg zum Adressaten drei Knoten durchläuft, von denen jeder seine eigene Ebene erstellen und das Ergebnis weitergeben. Alles ist natürlich komplizierter, aber wichtig für uns ist nur, dass dies eine der wenigen Arten der Vernetzung ist, die es Ihnen ermöglicht, völlige Anonymität zu wahren.

Wo jedoch Anonymität herrscht, gibt es Verbindungsprobleme. Und Tor hat mindestens drei davon: Es ist ungeheuer langsam (dank der Verschlüsselung und Übertragung durch eine Kette von Knoten), es wird Ihr Netzwerk belasten (weil Sie selbst einer der Knoten sein werden) und es ist anfällig zur Verkehrsüberwachung. Letzteres ist eine natürliche Folge der Möglichkeit, über das Tor-Netzwerk auf das Internet zuzugreifen: Der letzte Knoten (Exit) entfernt die letzte Verschlüsselungsschicht und kann auf die Daten zugreifen.

Tor ist jedoch sehr einfach zu installieren und zu verwenden:

$ sudo apt-get install tor

Das war's, jetzt wird es auf dem lokalen Computer einen Proxy-Server geben, der zum Tor-Netzwerk führt. Adresse: 127.0.0.1:9050, Sie können es mit derselben Erweiterung in den Browser fahren oder über die Einstellungen hinzufügen. Beachten Sie, dass dies SOCKS und keine HTTP-Proxys sind.

DIE INFO

Die Android-Version von Tor heißt Orbot.

Einfügen Befehlszeile Wenn das Passwort nicht im Verlauf gespeichert wurde, können Sie einen cleveren Trick namens "Ein Leerzeichen am Anfang des Befehls hinzufügen" verwenden.

Es ist ecryptfs, das verwendet wird, um das Home-Verzeichnis in Ubuntu zu verschlüsseln.

Kampf gegen Überschwemmungen

Hier sind ein paar Befehle, die beim Überfluten Ihres Hosts helfen können.

Zählen der Anzahl der Verbindungen an einem bestimmten Port:

$ netstat -na | grep ": port \" | wc -l

Zählen der "halboffenen" TCP-Verbindungen:

$ netstat -na | grep ": port \" | grep SYN_RCVD | wc -l

Anzeigen der Liste der IP-Adressen, von denen Verbindungsanfragen kommen:

Verdächtige Pakete mit tcpdump analysieren:

# tcpdump -n -i eth0 -s 0 -w output.txt dst-Port Port und Host des IP-Servers

Wir trennen die Verbindungen des Angreifers:

# iptables -A INPUT -s IP-Angreifer -p tcp --destination-port port -j DROP

Wir begrenzen die maximale Anzahl von "halboffenen" Verbindungen von einer IP zu einem bestimmten Port:

# iptables -I INPUT -p tcp --syn --dport port -m iplimit --iplimit-above 10 -j DROP

Antworten auf ICMP-ECHO-Anfragen deaktivieren:

# iptables -A INPUT -p icmp -j DROP --icmp-type 8

Schlussfolgerungen

Das ist alles. Ohne ins Detail zu gehen und ohne Handbücher studieren zu müssen, haben wir eine Linux-Box geschaffen, die vor fremdem Eindringen, vor Rootkits und anderen Infektionen, vor direkten menschlichen Eingriffen, vor Verkehrsüberwachung und -überwachung geschützt ist. Es bleibt nur noch, das System regelmäßig zu aktualisieren, SSH-Passwortanmeldungen zu deaktivieren, unnötige Dienste zu entfernen und Konfigurationsfehler zu vermeiden.

Auf der jährlichen LinuxCon im Jahr 2015 teilte der Schöpfer des GNU/Linux-Kernels Linus Torvalds seine Ansichten zur Systemsicherheit. Er betonte die Notwendigkeit, die Auswirkungen des Vorhandenseins bestimmter Fehler durch einen kompetenten Schutz abzuschwächen, sodass bei einer Fehlfunktion einer Komponente die nächste Schicht das Problem überlagert.

In diesem Artikel versuchen wir, dieses Thema aus praktischer Sicht zu behandeln:

7. Firewalls installieren

Kürzlich gab es eine neue Schwachstelle, die DDoS-Angriffe auf Server unter . ermöglicht Linux-Verwaltung... Ende 2012 trat mit der Version 3.6 ein Fehler im Kernel des Systems auf. Die Schwachstelle ermöglicht es Hackern, Viren in Download-Dateien und Webseiten einzuschleusen und Tor-Verbindungen aufzudecken, und das Hacken erfordert nicht viel Mühe - die IP-Spoofing-Methode funktioniert.

Der größte Schaden für verschlüsselte HTTPS- oder SSH-Verbindungen besteht darin, die Verbindung zu unterbrechen, aber ein Angreifer kann neue Inhalte in ungeschützten Datenverkehr platzieren, einschließlich Malware... Zum Schutz vor solchen Angriffen eignet sich eine Firewall.

Zugriff mit Firewall blockieren

Firewall ist eines der wichtigsten Tools zum Blockieren unerwünschten eingehenden Datenverkehrs. Wir empfehlen Ihnen, nur den Verkehr zuzulassen, den Sie wirklich benötigen, und alles andere vollständig zu verweigern.

Die meisten Linux-Distributionen verfügen über einen iptables-Controller für die Paketfilterung. Es wird normalerweise von erfahrenen Benutzern verwendet, und für eine vereinfachte Konfiguration können Sie die UFW-Dienstprogramme in Debian / Ubuntu oder FirewallD in Fedora verwenden.

8. Deaktivieren Sie unnötige Dienste

Experten der University of Virginia empfehlen, alle Dienste zu deaktivieren, die Sie nicht verwenden. Einige Hintergrundprozesse sind so eingestellt, dass sie automatisch geladen und ausgeführt werden, bis das System heruntergefahren wird. Um diese Programme zu konfigurieren, müssen Sie die Init-Skripte überprüfen. Dienste können über inetd oder xinetd gestartet werden.

Wenn Ihr System über inetd konfiguriert ist, können Sie in der Datei /etc/inetd.conf die Liste der Hintergrund-"Daemons"-Programme bearbeiten; um das Laden des Dienstes zu deaktivieren, setzen Sie einfach ein "#"-Zeichen am Anfang des Zeile und wandelt sie von einer ausführbaren Datei in einen Kommentar um.

Wenn das System xinetd verwendet, befindet sich seine Konfiguration im Verzeichnis /etc/xinetd.d. Jede Verzeichnisdatei definiert einen Dienst, der durch Angabe von disable = yes deaktiviert werden kann, wie in diesem Beispiel:

Servicefinger (socket_type = stream wait = no user = none server = /usr/sbin/in.fingerd disable = yes)
Es lohnt sich auch, nach persistenten Prozessen zu suchen, die nicht von inetd oder xinetd verwaltet werden. Sie können Startskripte in den Verzeichnissen /etc/init.d oder /etc/inittab konfigurieren. Führen Sie nach den vorgenommenen Änderungen den Befehl als Root-Konto aus.

/etc/rc.d/init.d/inet Neustart

9. Schützen Sie den Server physisch

Es gibt keine Möglichkeit, sich mit physischem Zugriff auf den Server vollständig vor böswilligen Angriffen zu schützen. Daher ist es notwendig, den Raum, in dem sich Ihr System befindet, abzusichern. Rechenzentren überwachen die Sicherheit ernsthaft, schränken den Zugriff auf Server ein, installieren Sicherheitskameras und weisen permanente Sicherheit zu.

Um das Rechenzentrum zu betreten, müssen alle Besucher bestimmte Authentifizierungsstufen durchlaufen. Es wird auch dringend empfohlen, in allen Bereichen des Centers Bewegungsmelder zu verwenden.

10. Schützen Sie den Server vor unbefugtem Zugriff

Ein nicht autorisiertes Zugriffssystem (IDS) sammelt Daten über die Systemkonfiguration und Dateien und vergleicht diese Daten dann mit neuen Änderungen, um festzustellen, ob sie für das System schädlich sind.

Tripwire- und Aide-Tools sammeln beispielsweise eine Datenbank mit Systemdateien und schützen Sie sie mit einem Satz Schlüssel. Psad wird verwendet, um verdächtige Aktivitäten mithilfe von Firewall-Berichten zu verfolgen.

Bro wurde entwickelt, um das Netzwerk zu überwachen, verdächtige Aktivitätsmuster zu verfolgen, Statistiken zu sammeln, Systembefehle auszuführen und Warnungen zu generieren. RKHunter kann zum Schutz vor Viren verwendet werden, am häufigsten Rootkits. Dieses Dienstprogramm überprüft Ihr System auf bekannte Schwachstellen und kann unsichere Einstellungen in Anwendungen identifizieren.

Fazit

Die oben genannten Tools und Einstellungen helfen Ihnen, das System teilweise zu schützen, aber die Sicherheit hängt von Ihrem Verhalten und Ihrem Verständnis der Situation ab. Ohne Achtsamkeit, Vorsicht und ständiges Selbstlernen können alle Schutzmaßnahmen nicht funktionieren.

In diesem Artikel versuchen wir, dieses Thema aus praktischer Sicht zu behandeln:

7. Firewalls installieren

Vor kurzem gab es eine neue Schwachstelle, die DDoS-Angriffe auf Linux-Server ermöglicht. Ende 2012 trat mit der Version 3.6 ein Fehler im Kernel des Systems auf. Die Schwachstelle ermöglicht es Hackern, Viren in Download-Dateien und Webseiten einzuschleusen und Tor-Verbindungen aufzudecken, und das Hacken erfordert nicht viel Mühe - die IP-Spoofing-Methode funktioniert.

Der größte Schaden für verschlüsselte HTTPS- oder SSH-Verbindungen besteht darin, die Verbindung zu unterbrechen, aber ein Angreifer kann neue Inhalte, einschließlich Malware, in den ungeschützten Datenverkehr einbringen. Zum Schutz vor solchen Angriffen eignet sich eine Firewall.

Zugriff mit Firewall blockieren

8. Deaktivieren Sie unnötige Dienste

/etc/rc.d/init.d/inet Neustart

9. Schützen Sie den Server physisch

Um das Rechenzentrum zu betreten, müssen alle Besucher bestimmte Authentifizierungsstufen durchlaufen. Es wird auch dringend empfohlen, in allen Bereichen des Centers Bewegungsmelder zu verwenden.

10. Schützen Sie den Server vor unbefugtem Zugriff

Beispielsweise sammeln die Tools Tripwire und Aide eine Datenbank mit Systemdateien und schützen sie mit einem Satz von Schlüsseln. Psad wird verwendet, um verdächtige Aktivitäten mithilfe von Firewall-Berichten zu verfolgen.