Θωρακίστε τo Linux σας

[*Zero*]

Επτά (απλά) βήματα για να βελτιώσετε την ασφάλεια στο Linux σας ...

 

Είναι ευρέως γνωστό ότι το λειτουργικό Linux θεωρείται πολύ πιο σταθερό σε σχέση με τα Windows ή και άλλα λειτουργικά συστήματα.

 

Βέβαια σημαντικό ρόλο στην γενικότερη απόδοση που μπορεί να έχει κάποιο λειτουργικό παίζει και το επίπεδο ασφάλειας που αυτό παρέχει.

 

Όμως, παρά την παραπάνω παραδοχή, η διαδικασία για την δημιουργία ενός αξιόπιστου επιπέδου ασφαλείας στο Linux δεν είναι δεδομένη. Γι' αυτό και θα προσπαθήσουμε παρακάτω να εξηγήσουμε με επτά απλά βήματα την διαδικασία για να θωρακίσει κάποιος χρήστης το Linux (του):

1. Προστασία του root account

 

Το πρώτο βήμα προστασίας του Linux έχει άμεση σχέση με το Root Account. Ο χρήστης θα πρέπει να φροντίσει έτσι ώστε το password για το Root Account να είναι δύσκολο και φυσικά να το αλλάζει τακτικά.

 

Στην συνέχεια θα πρέπει να φροντίσει ώστε να περιορίσει τα τερματικά που μπορεί να χρησιμοποιεί ως root. Η μείωση των τερματικών επιτυγχάνεται με αλλαγές στο αρχείο /etc/security.

 

Συγκεκριμένα, για να αποφύγει ο χρήστης να ξεχάσει κάποιο τερματικό στο Root Account ανοικτό θα πρέπει να θέσει την μεταβλητή ώστε να γίνεται απενεργοποίηση του τερματικού όταν αυτό παραμένει ανενεργό για κάποιο διάστημα. Έτσι θα πρέπει να τροποποιήσετε το αρχείο /etc/profile και να προσθέσετε το TMOUT=3600 (για μέγιστο διάστημα αδράνειας ίσο με μια ώρα) μετά την γραμμή "HISTFILESIZE=".

 

Επιπλέον θα πρέπει να απενεργοποιηθεί το αρχείο με το ιστορικό της χρήσης της γραμμής εντολών του root που μπορεί να περιέχει σημαντικές πληροφορίες για κάποιον εισβολέα. Αυτό γίνεται θέτοντας και πάλι στο /etc/profile την μεταβλητή "HISTFILESIZE=0".

Τέλος, καλό θα είναι ο χρήστης να χρησιμοποιεί το root account όσο το δυνατόν λιγότερο.

2. Εγκατάσταση Firewall

 

Η εγκατάσταση ενός Firewall δίνει την δυνατότητα στο σύστημα να επιτρέπει-αποτρέπει την είσοδο και έξοδο πακέτων δεδομένων βάσει οριζόμενων από τον χρήστη κανόνων.

 

Υπάρχουν αρκετές τέτοιες εφαρμογές για το Linux, αλλά είναι εφικτή χωρίς επιπρόσθετο λογισμικό και με τη χρήση εντολών συστήματος (όπως ipchanes και iptables εντολές ), να γίνει μια βασική έστω προφύλαξη του συστήματος.

 

Όταν πλέον έχει γίνει η εγκατάσταση του Firewall, ο χρήστης θα πρέπει να θέσει κανόνες αναφορικά με τη διαχείριση εισερχομένων και εξερχόμενων από το σύστημα πακέτων.

 

Καλό είναι ο χρήστης να δοκιμάζει περιοδικά την λειτουργία του Firewall ώστε να είναι σίγουρος ότι δεν υπάρχουν ανοικτές δίοδοι στο σύστημα για κάποιον εισβολέα.

3. Χρήση του Open SSH για δικτυακή ανταλλαγή δεδομένων

 

Το Open SSH είναι οικογένεια εργαλείων που επιτρέπει την αποστολή και λήψη δεδομένων σε μορφή, παρέχοντας κατ' αυτόν τον τρόπο προστασία προστασία σε κρίσιμες πληροφορίες που δικτυακά.

4. Απενεργοποίηση λειτουργιών που δεν χρησιμοποιούνται συχνά

 

Σχεδόν σε κάθε διανομή Linux υπάρχουν εργαλεία (utilities) που ενώ ο χρήστης τα χρησιμοποιεί σπάνια, αυτά αποτελούν από μόνα τους ένα πολύ εύκολο τρόπο για κάποιον εισβολέα να εισέλθει στο σύστημα. Τέτοια utilities είναι μεταξύ άλλων τα FTP, Telnet κ.α. Αυτά μπορούν εύκολα να απενεργοποιηθούν με αφαίρεση των σχετικών γραμμών από τα/etc/inet.conf ή /etc/xinet.conf. αρχεία, εντολών που τα θέτουν σε λειτουργία.

 

Συγκεκριμένα οι αλλαγές αυτές συνίστανται στην αφαίρεση των παρακάτω γραμμών ή παρόμοιων ανάλογα με την διανομή του Linux που έχετε:

 

* FTP : 127.0.0.1:8021 stream tcp nowait root /usr/libexec/ftp-proxy ftp-proxy

* TELNET : in.: 192.168.1., .another.trusted.network

 

5. Χρήση anti-spam και anti-virus λογισμικού

 

Παρόλο που το Linux είναι ιδιαίτερα ανθεκτικό ενάντια στους ιούς, το ηλεκτρονικό ταχυδρομείο μπορεί να είναι ένας εύκολος κανάλι επίθεσης από ιούς στο σύστημα

 

Καλό θα είναι λοιπόν να γίνει εγκατάσταση κάποιων πακέτων λογισμικού (υπάρχουν αρκετά πακέτα open source λογισμικού στο διαδίκτυο με πολύ ικανοποιητικά αποτελέσματα) ώστε να προστατευτεί το σύστημα από πιθανά spam μηνύματα ή και μηνύματα που περιέχουν ιούς

6. Εγκατάσταση λογισμικού ανίχνευσης εισβολών στο σύστημα

 

Μια πολύ σημαντική παράμετρος της ασφάλειας του λειτουργικού συστήματος είναι η δυνατότητα ανίχνευσης ύποπτων και κακόβουλων εισβολέων στο σύστημα όσο το δυνατόν νωρίτερα.

 

Αυτό επιτυγχάνεται με την εγκατάσταση των λεγόμενων IDS (Intrusion Detection System) utilities όπως επίσης και των LIDS,Snort,Tripwire.

7. Συνεχής έλεγχος του συστήματος

 

Ίσως ο πιο αποτελεσματικός τρόπος για να ελέγχετε το επίπεδο ασφαλείας του συστήματός είναι να γίνετε τακτικός έλεγχος για "ύποπτα" αρχεία .Ο έλεγχος αυτός γίνεται με την βοήθεια προγραμμάτων anti-virus.

 

Ωστόσο, με τη χρήση utilities,όπως το John the Ripper, μπορούμε να διαπιστώσουμε πόσο εύκολο είναι να «σπάσει» ο κωδικός του συστήματος ασφαλείας , εισβάλλοντας σε ένα port που έχει μείνει ανοικτό.

Επίλογος

 

Εν κατακλείδι, θα πρέπει πάντα να θυμόμαστε ότι ο καλύτερος και ασφαλέστερος τρόπος για να κρατήσουμε το σύστημα μας σε ένα ικανοποιητικό επίπεδο ασφάλειας είναι να ανανεώνουμε και να αναβαθμίζουμε συνεχώς το λογισμικό που χρησιμοποιούμε για αυτό το σκοπό.

 

πηγή