जब मुझे किसी मौजूदा लिनक्स सर्वर का प्रबंधन करना है तो यह जांचने का सबसे अच्छा तरीका क्या है कि यह सुरक्षित है?

एक नया सुरक्षित सर्वर सेट करने के तरीके पर कई ट्यूटोरियल हैं ।

लेकिन क्या होगा अगर मुझे कुछ समय पहले स्थापित किए गए सर्वर को किसी और को प्रशासित करना है और मुझे अभी तक इसके कॉन्फ़िगरेशन के बारे में ज्यादा जानकारी नहीं है?

क्या कोई उपकरण है जो स्वचालित रूप से "सामान्य संदिग्धों" की जांच करता है या कुछ चेकलिस्ट जिससे मैं गुजर सकता हूं, यह सुनिश्चित करने के लिए कि कोई स्पष्ट सुरक्षा छेद मौजूद नहीं है? क्या वेब सेवाएँ हैं जो कमजोरियों के लिए दूर से जाँच करती हैं?

नेसस डाउनलोड करें और उस पर एक नेटवर्क जांच करें। यह आपको दूरस्थ रूप से शोषक कमजोरियों के बारे में बताएगा।

इसके अलावा, ओस्सेक स्थापित करें ; हालांकि यह इसका प्राथमिक उद्देश्य नहीं है, यह कुछ सामान्य गलतफहमी (उदाहरण के लिए अनुचित रूप से कॉन्फ़िगर किए गए खाते) पाएगा। और इसका प्राथमिक कार्य - मेजबान आधारित घुसपैठ का पता लगाना - यह पता लगाने में मदद करेगा कि क्या कोई कमजोरियों का फायदा उठाने की कोशिश कर रहा है।

मैं सेंटर फॉर इंटरनेट सिक्योरिटी के "बेंचमार्क" चेकलिस्ट के साथ शुरुआत करूंगा । ये विभिन्न प्रकार के प्लेटफार्मों और सॉफ्टवेयर पैकेजों के लिए सुरक्षा पेशेवरों द्वारा संकलित सर्वसम्मति आधारित चेकलिस्ट हैं। चेकलिस्ट्स द्वारा उल्लिखित कुछ उपकरण, या अन्यथा आमतौर पर सिफारिश की जाती है जो सुरक्षा मुद्दों के लिए आपके शिकार में सहायता करेंगे:

• नेसस / ओपनवीएएस (भेद्यता स्कैनर)
• Nmap (पोर्ट स्कैनर)
• TCPdump / Wireshark (libpcap पैकेट कैप्चर)
• SNORT (घुसपैठ का पता लगाने की प्रणाली)

(डिफ़ॉल्ट रूप से कई लिनक्स सिस्टम पर tcpdump स्थापित है, या आसानी से एक पैकेज रिपॉजिटरी से स्थापित किया जा सकता है, और एक व्यापक मैन पेज है)

यदि यह आपके द्वारा काम करने वाली कंपनी के लिए है, तो सुनिश्चित करें कि सुरक्षा विश्लेषण प्रबंधन द्वारा अधिकृत है, और यह कि स्कैन किसी भी आउटेज या एप्लिकेशन की शिथिलता का कारण नहीं है। हाँ, एक साधारण पोर्ट्सकॉन समस्याएं पैदा कर सकता है - पोर्ट्सकैन पुराने एचपी लेजरजेट प्रिंटर और वे पेपर के ढेर से बाहर थूक देंगे।

पहले क्विक चेक के रूप में:

Daud

netstat -Tnnp

जड़ के रूप में। यह आपको नेटवर्क पर सुनने वाली सभी सेवाओं को दिखाएगा:

यह आपको वह सामान दिखा सकता है जिसे आप तुरंत बंद करना चाहते हैं। फिर आप अन्य उत्तरों में समाधान के साथ जारी रख सकते हैं।

ऐसी सेवाओं के लिए जिन्हें चलाने की आवश्यकता है, लेकिन बाहर से पहुंच योग्य नहीं है (जैसे कि स्थानीय डीबी सर्वर), कॉन्फ़िगरेशन को बदलने पर विचार करें ताकि यह केवल लोकलहोस्ट / 127.0.0.1 पर सुने। इस तरह यह केवल स्थानीय उपयोगकर्ताओं द्वारा ही पहुँचा जा सकता है।

मैं http://www.bastille-unix.org/ पर बास्टिल-लिनक्स की जांच करूंगा , इसकी स्क्रिप्ट का एक सेट जिसे आप चला सकते हैं और यह सिस्टम सेटिंग्स, फ़ाइल अनुमतियां, उपयोगकर्ता सेटअप आदि की जांच कर चुका है। अपने स्वयं के बक्सों पर एक या दो बार, और यदि डिफॉल्ट इंस्टॉल पर समस्या मिलती है (ज्यादातर r_x rsh / rsync बर्तनों पर)। यह html / जावा + शाप / फ्लैट पाठ के रूप में आउटपुट करता है।

क्या डिस्ट्रो?

सामान्य:

• IPtables और / या फ़ायरवॉल सेटिंग्स की समीक्षा करें
• SSHD कॉन्फ़िगरेशन की समीक्षा करें
• सभी बाहरी रूप से सुलभ सेवा कॉन्फ़िगरेशन की समीक्षा करें
• सुनिश्चित करें कि आप उपलब्ध नवीनतम सॉफ्टवेयर चला रहे हैं
• कर्नेल भेद्यता की जाँच करें (uname -a और फिर google)
• संपादन योग्य फ़ाइलों पर उपयोगकर्ता की अनुमति और समूह अनुमतियों की समीक्षा करें

एक और अच्छा पहला चेक नेटवर्क पर दूसरे होस्ट से नैम्प होस्टनाम चलाना है । यह एक बाहरी व्यक्ति के विचार देता है कि मेजबान पर नेटस्टेट ने क्या दिखाया।

यदि आप चिंतित हैं, तो मैं उन ट्यूटोरियल का अनुसरण करने की सलाह दूंगा, जिनका आपने उल्लेख किया है और सर्वर का पुनर्निर्माण कर रहे हैं। खासकर अगर आपको लगता है कि अन्य व्यवस्थापक ने कुछ बुरा छोड़ दिया है। नए व्यवस्थापक के रूप में, आपको पता होना चाहिए कि जो भी सेवा फिर से चल रही है उसे किसी भी तरह से कैसे तैनात किया जाए।

बस यह सुनिश्चित करें कि आप पहले सब कुछ वापस कर लें, आप यह सुनिश्चित करने के लिए सभी विभाजनों की छवि बना सकते हैं कि आप वास्तव में सही हैं।

यदि आपका बॉस आपको जाने नहीं देगा, तो बाकी सभी सिफारिशें मुझे अच्छी लगती हैं :-)

यहाँ कुछ बहुत अच्छी प्रतिक्रियाओं के अलावा, http://www.sans.org/ देखें । यदि आपके पास "रक्षा में गहराई" की बेहतर समझ प्राप्त करने के लिए थोड़ा पढ़ने के लिए तैयार हैं, तो उनके पास कुछ बहुत अच्छे दस्तावेज हैं।

बहुत ही मूल परिसर में से कुछ:

• अपने सर्वर पैच रखें
• केवल उन्हीं सेवाओं को चलाएं जिन्हें चलाने की आवश्यकता है
• सर्वर तक उपयोगकर्ता की पहुंच को सीमित करें

चकोरोटिटक का भी प्रयास करें , यह अधिकांश वितरण के मानक भंडार में आता है और वैसे भी इसे स्थापित करना बहुत आसान है। यह कई ज्ञात कमजोरियों, रूटकिट और वर्म के लिए आपके सिस्टम की जांच करेगा।

एक बात आप प्रणाली का एहसास दिलाने के लिए कर सकते है diff / आदि एक ताजा खिलाफ फ़ोल्डर स्थापित (समान अद्यतन के साथ लागू होता है।) यह आपको बता देंगे क्या बदल गया है तो आप अपने सुरक्षा इस बात की चिंता ध्यान केंद्रित कर सकते हैं।

किस मास में विस्तार करने के लिए, समीक्षा के लिए सिस्टम पर सभी सेटिड और सेटगिड फ़ाइलों को सूचीबद्ध करने के लिए यहां एक सरल खोज आदेश दिया गया है।

find / -type f \( -perm -4000 -o -perm -2000 \) -print

बेशक, जैसे दूसरों ने कहा है, यह सब मान रहा है कि मशीन में पहले से ही रूटकिट नहीं है ...

चिरोटिटक / रक्कुंटर लंबे लटकते हुए फल हैं। यदि आपको एक रूटकिट स्थापित किया गया है, तो जो कुछ भी रिपोर्ट किया गया है, वह समझौता किया जाएगा और इस प्रकार बहुत मदद नहीं करेगा, इसलिए कृपया उन्हें एक ज्ञात स्रोत से डाउनलोड करें, पहले से ही बॉक्स पर उपयोग न करें। एक और अच्छी चाल है एक कर्नेल जिसे आप जानते हैं उसे स्थापित करना अच्छा है (या तो पैकेज से या अपना खुद का रोल करें)। बैकसाइड (lsof -i और 0 uid गैर-रूट खातों) के लिए जाँच करें। फ़ायरवॉल नियमों का निरीक्षण करना आमतौर पर आपको पिछले व्यवस्थापक की आदतों के बारे में बहुत कुछ बता सकता है। उस पर एक वायरशर्क / स्नॉर्ट रखो, कुछ भी असामान्य स्पॉट करने की कोशिश करें। जहां देखो वहां लॉग जा रहे हैं। किसी भी असामान्य कमांड के लिए सभी .profile / .bashrc प्रकार की फ़ाइलों को देखें। किसी भी dodgy होस्ट के लिए .ssh / ज्ञात_होस्ट देखें।