LFCA – Nyttige tips for å sikre data og Linux – Del 18

Siden lanseringen på begynnelsen av nittitallet, har Linux vunnet beundring av teknologifellesskapet takket være stabiliteten, allsidigheten, tilpassbarheten og et stort fellesskap av åpen kildekode-utviklere som jobber døgnet rundt for å gi feilrettinger og forbedringer av operativsystem. I det store og hele er Linux det foretrukne operativsystemet for offentlige skyer, servere og superdatamaskiner, og nær 75 % av Internett-vendte produksjonsservere kjører på Linux.

Bortsett fra å drive internett, har Linux funnet veien til den digitale verden og har ikke avtatt siden den gang. Den driver et stort utvalg smarte dingser, inkludert Android-smarttelefoner, nettbrett, smartklokker, smartskjermer og så mange flere.

Er Linux så sikkert?

Linux er kjent for sin sikkerhet på toppnivå, og det er en av grunnene til at det er et favorittvalg i bedriftsmiljøer. Men her er et faktum, ingen operativsystemer er 100% sikre. Mange brukere tror at Linux er et idiotsikkert operativsystem, noe som er en falsk antagelse. Faktisk er ethvert operativsystem med en internettforbindelse utsatt for potensielle brudd og malware-angrep.

I løpet av de første årene hadde Linux en mye mindre teknologisentrisk demografi, og risikoen for å lide av malware-angrep var liten. I dag driver Linux en stor del av internett, og dette har drevet frem veksten av trussellandskapet. Trusselen om malware-angrep er mer reell enn noen gang.

Et perfekt eksempel på et skadelig programvareangrep på Linux-systemer er Erebus-ransomware, en filkrypterende skadelig programvare som påvirket nær 153 Linux-servere til NAYANA, et sørkoreansk webvertsselskap.

Av denne grunn er det klokt å herde operativsystemet ytterligere for å gi det den etterspurte sikkerheten for å beskytte dataene dine.

Tips for herding av Linux-server

Å sikre Linux-serveren din er ikke så komplisert som du kanskje tror. Vi har satt sammen en liste over de beste sikkerhetspolicyene du må implementere for å styrke sikkerheten til systemet ditt og opprettholde dataintegriteten.

1. Oppdater programvarepakkene regelmessig

I de innledende stadiene av Equifax-bruddet utnyttet hackere en allment kjent sårbarhet – Apache Struts – på Equifax sin nettportal for kundeklager.

Apache Struts er et åpen kildekode-rammeverk for å lage moderne og elegante Java-nettapplikasjoner utviklet av Apache Foundation. Stiftelsen ga ut en oppdatering for å fikse sårbarheten 7. mars 2017, og ga en uttalelse om dette.

Equifax ble varslet om sårbarheten og rådet til å lappe søknaden deres, men dessverre forble sårbarheten uopprettet til juli samme år, da det var for sent. Angriperne var i stand til å få tilgang til selskapets nettverk og eksfiltrere millioner av konfidensielle kundeposter fra databasene. Da Equifax fikk vite hva som skjedde, hadde det allerede gått to måneder.

Så hva kan vi lære av dette?

Ondsinnede brukere eller hackere vil alltid undersøke serveren din for mulige programvaresårbarheter som de deretter kan utnytte for å bryte systemet ditt. For å være på den sikre siden, oppdater alltid programvaren til gjeldende versjoner for å bruke oppdateringer på eventuelle eksisterende sårbarheter.

Hvis du kjører Ubuntu eller Debian-baserte systemer, er det første trinnet vanligvis å oppdatere pakkelistene eller depotene som vist.

sudo apt update

For å se etter alle pakkene med tilgjengelige oppdateringer, kjør kommandoen:

sudo apt list --upgradable

Oppgrader programvareapplikasjonene dine til gjeldende versjoner som vist:

sudo apt upgrade

Du kan slå sammen disse to i én kommando som vist.

sudo apt update && sudo apt upgrade

For RHEL og CentOS oppgradere applikasjonene dine ved å kjøre kommandoen:

sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )

Et annet levedyktig alternativ er å aktivere automatiske sikkerhetsoppdateringer for Ubuntu og også sette opp automatiske oppdateringer for CentOS/RHEL.

2. Fjern eldre kommunikasjonstjenester/protokoller

Til tross for støtten for en myriade av eksterne protokoller, kan eldre tjenester som rlogin, telnet, TFTP og FTP utgjøre enorme sikkerhetsproblemer for systemet ditt. Dette er gamle, utdaterte og usikre protokoller der data sendes i ren tekst. Hvis disse finnes, bør du vurdere å fjerne dem som vist.

For Ubuntu/Debian-baserte systemer, kjør:

sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

For RHEL/CentOS-baserte systemer, kjør:

sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Lukk ubrukte porter på brannmuren

Når du har fjernet alle de usikre tjenestene, er det viktig å skanne serveren din for åpne porter og lukke alle ubrukte porter som potensielt kan brukes som et inngangspunkt av hackere.

Anta at du vil blokkere port 7070 på UFW-brannmuren. Kommandoen for dette vil være:

sudo ufw deny 7070/tcp

Last deretter inn brannmuren på nytt for at endringene skal tre i kraft.

sudo ufw reload

For Firewalld, kjør kommandoen:

sudo firewall-cmd --remove-port=7070/tcp  --permanent

Og husk å laste inn brannmuren på nytt.

sudo firewall-cmd --reload

Krysssjekk deretter brannmurreglene som vist:

sudo firewall-cmd --list-all

4. Sikker SSH-protokoll

SSH-protokollen er en ekstern protokoll som lar deg koble til enheter på et nettverk på en sikker måte. Selv om det anses som sikkert, er ikke standardinnstillingene nok, og noen ekstra justeringer kreves for ytterligere å avskrekke ondsinnede brukere fra å bryte systemet ditt.

Vi har en omfattende guide for hvordan du herder SSH-protokollen. Her er de viktigste høydepunktene.

  • Konfigurer passordløs SSH-pålogging og aktiver privat/offentlig nøkkelautentisering.
  • Deaktiver SSH ekstern rotpålogging.
  • Deaktiver SSH-pålogginger fra brukere med tomme passord.
  • Deaktiver passordautentisering helt og hold deg til SSH privat/offentlig nøkkelautentisering.
  • Begrens tilgang til spesifikke SSH-brukere.
  • Konfigurer en grense for passordforsøk.

5. Installer og aktiver Fail2ban

Fail2ban er et åpen kildekode-inntrengningsforebyggende system som beskytter serveren din mot bruteforce-angrep. Det beskytter Linux-systemet ditt ved å forby IP-er som indikerer ondsinnet aktivitet som for mange påloggingsforsøk. Ut av esken leveres den med filtre for populære tjenester som Apache webserver, vsftpd og SSH.

Vi har en veiledning for hvordan du konfigurerer Fail2ban for å styrke SSH-protokollen ytterligere.

6. Håndhev passordstyrke ved å bruke PAM-modulen

Gjenbruk av passord eller bruk av svake og enkle passord undergraver i stor grad sikkerheten til systemet ditt. Du håndhever en passordpolicy, bruk pam_cracklib for å angi eller konfigurere kravene til passordstyrke.

Ved å bruke PAM-modulen kan du definere passordstyrken ved å redigere /etc/pam.d/system-auth-filen. Du kan for eksempel angi passordkompleksitet og forhindre gjenbruk av passord.

7. Installer et SSL/TLS-sertifikat

Hvis du kjører et nettsted, sørg alltid for å sikre domenet ditt ved hjelp av et SSL/TLS-sertifikat for å kryptere data som utveksles mellom brukerens nettleser og nettserveren.

8. Deaktiver svake krypteringsprotokoller og chiffernøkler

Når du krypterer nettstedet ditt, bør du også vurdere å deaktivere svake krypteringsprotokoller. På tidspunktet for skriving av denne veiledningen er den nyeste protokollen TLS 1.3, som er den vanligste og mest brukte protokollen. Tidligere versjoner som TLS 1.0, TLS 1.2 og SSLv1 til SSLv3 har vært assosiert med kjente sårbarheter.

Innpakning

Det var et sammendrag av noen av trinnene du kan ta for å sikre datasikkerhet og personvern for Linux-systemet ditt.