LFCA – Mapuslanon nga mga Tip sa Pagsiguro sa Data ug Linux – Bahin 18

Sukad sa pagpagawas niini sa unang bahin sa nineties, ang Linux nakadaog sa pagdayeg sa teknolohiya nga komunidad tungod sa kalig-on, versatility, customizability, ug usa ka dako nga komunidad sa mga open-source developers nga nagtrabaho sa tibuok-panahon aron sa paghatag og mga pag-ayo sa bug ug pagpaayo sa operating system. Sa kadaghanon, ang Linux mao ang operating system nga gipili alang sa publiko nga panganod, mga server, ug mga supercomputer, ug hapit sa 75% sa mga server sa produksiyon nga nag-atubang sa internet nga nagdagan sa Linux.

Gawas sa pagpaandar sa internet, ang Linux nakakaplag sa dalan ngadto sa digital nga kalibutan ug wala mohunong sukad niadto. Gigahom niini ang daghang mga smart gadgets lakip ang Android smartphones, tablets, smartwatches, smart display ug daghan pa.

Luwas ba ang Linux?

Ang Linux nabantog tungod sa taas nga lebel sa seguridad niini ug kini usa sa mga hinungdan ngano nga naghimo kini usa ka paborito nga kapilian sa mga palibot sa negosyo. Apan ania ang usa ka kamatuoran, walay operating system nga 100% nga luwas. Daghang mga tiggamit ang nagtuo nga ang Linux usa ka walay kapuslanan nga operating system, nga usa ka sayup nga pangagpas. Sa tinuud, ang bisan unsang operating system nga adunay koneksyon sa internet dali nga maapektuhan sa mga potensyal nga paglapas ug pag-atake sa malware.

Sa unang mga tuig niini, ang Linux adunay mas gamay nga tech-centric demographic ug ang risgo sa pag-antos sa mga pag-atake sa malware layo ra. Karong panahona ang Linux naggahum sa usa ka dako nga tipik sa internet, ug kini nagduso sa pagtubo sa hulga nga talan-awon. Ang hulga sa mga pag-atake sa malware mas tinuod kaysa kaniadto.

Usa ka hingpit nga pananglitan sa pag-atake sa malware sa mga sistema sa Linux mao ang Erebus ransomware, usa ka file-encrypting malware nga nakaapekto sa duolan sa 153 ka mga server sa Linux sa NAYANA, usa ka kompanya sa web hosting sa South Korea.

Tungod niini nga rason, maalamon nga patig-a pa ang operating system aron mahatagan kini sa gitinguha nga seguridad aron mapanalipdan ang imong datos.

Mga Tip sa Pagpagahi sa Server sa Linux

Ang pagsiguro sa imong Linux server dili ingon ka komplikado sama sa imong gihunahuna. Naghimo kami og usa ka lista sa labing maayo nga mga palisiya sa seguridad nga kinahanglan nimong ipatuman aron mapalig-on ang seguridad sa imong sistema ug mapadayon ang integridad sa datos.

Sa una nga mga yugto sa paglapas sa Equifax, gigamit sa mga hacker ang usa ka kaylap nga nahibal-an nga kahuyangan - Apache Struts - sa portal sa reklamo sa kustomer sa Equifax.

Ang Apache Struts usa ka open-source framework alang sa paghimo og moderno ug elegante nga Java web applications nga gihimo sa Apache Foundation. Ang Foundation nagpagawas usa ka patch aron ayohon ang pagkahuyang kaniadtong Marso 7, 2017, ug nagpagula usa ka pahayag sa kana nga epekto.

Gipahibalo ang Equifax sa pagkahuyang ug gitambagan nga i-patch ang ilang aplikasyon, apan ikasubo, ang pagkahuyang nagpabilin nga wala ma-patch hangtod Hulyo sa parehas nga tuig diin ulahi na kaayo. Ang mga tig-atake nakahimo sa pag-access sa network sa kompanya ug gi-exfiltrate ang milyon-milyon nga kompidensyal nga mga rekord sa kustomer gikan sa mga database. Sa panahon nga ang Equifax nakahibalo sa nahitabo, duha ka bulan na ang milabay.

Busa, unsay atong makat-onan niini?

Ang mga malisyoso nga tiggamit o hacker kanunay nga magsusi sa imong server alang sa posible nga mga kahuyangan sa software nga mahimo nilang magamit aron makalapas sa imong sistema. Aron mahimong luwas nga bahin, kanunay nga i-update ang imong software sa karon nga mga bersyon niini aron magamit ang mga patch sa bisan unsang mga kahuyangan.

Kung nagdagan ka sa mga sistema nga nakabase sa Ubuntu o Debian, ang una nga lakang mao ang kasagaran nga pag-update sa imong mga lista sa pakete o mga repositoryo sama sa gipakita.

$ sudo apt update

Aron masusi ang tanan nga mga pakete nga adunay magamit nga mga update, padagana ang mando:

$ sudo apt list --upgradable

Ang pag-upgrade sa imong software applications ngadto sa ilang kasamtangang mga bersyon sama sa gipakita:

$ sudo apt upgrade

Mahimo nimong isumpay kining duha sa usa ka sugo sama sa gipakita.

$ sudo apt update && sudo apt upgrade

Alang sa RHEL & CentOS i-upgrade ang imong mga aplikasyon pinaagi sa pagpadagan sa mando:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Ang laing mahimo nga kapilian mao ang pag-setup sa mga awtomatikong pag-update alang sa CentOS/RHEL.

Bisan pa sa suporta niini alang sa daghang mga hilit nga protocol, ang mga serbisyo sa panulundon sama sa rlogin, telnet, TFTP ug FTP mahimong makahatag daghang mga isyu sa seguridad alang sa imong sistema. Kini mga karaan, karaan, ug dili sigurado nga mga protocol diin ang datos gipadala sa yano nga teksto. Kung naa na kini, hunahunaa nga tangtangon kini sama sa gipakita.

Alang sa mga sistema nga nakabase sa Ubuntu/Debian, ipatuman ang:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Alang sa mga sistema nga nakabase sa RHEL/CentOS, ipatuman:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Kung natangtang na nimo ang tanan nga mga serbisyo nga wala’y kasegurohan hinungdanon nga i-scan ang imong server alang sa mga bukas nga pantalan ug isira ang bisan unsang wala magamit nga mga pantalan nga mahimo’g magamit nga usa ka entry point sa mga hacker.

Ibutang ta nga gusto nimong babagan ang port 7070 sa UFW firewall. Ang sugo alang niini mao ang:

$ sudo ufw deny 7070/tcp

Dayon i-reload ang firewall para ma-epekto ang mga kausaban.

$ sudo ufw reload

Alang sa Firewalld, padagana ang sugo:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Ug hinumdomi nga i-reload ang firewall.

$ sudo firewall-cmd --reload

Dayon cross-check ang mga lagda sa firewall sama sa gipakita:

$ sudo firewall-cmd --list-all

Ang SSH protocol usa ka hilit nga protocol nga nagtugot kanimo nga luwas nga makonektar sa mga aparato sa usa ka network. Samtang kini gikonsiderar nga luwas, ang mga default setting dili igo ug ang pipila ka mga dugang nga pag-tweak gikinahanglan aron sa dugang nga pagpugong sa mga malisyosong tiggamit sa paglapas sa imong sistema.

Adunay kami usa ka komprehensibo nga giya kung giunsa pagpagahi ang protocol sa SSH. Ania ang mga nag-unang highlight.

  • I-configure ang walay password nga SSH login ug i-enable ang pribado/publiko nga key authentication.
  • Disable SSH remote root login.
  • Disable SSH logins gikan sa mga user nga walay sulod nga password.
  • I-disable ang bug-os nga pag-authenticate sa password ug ipabilin sa SSH pribado/publiko nga key authentication.
  • Limita ang pag-access sa piho nga mga gumagamit sa SSH.
  • Pag-configure og limitasyon para sa pagsulay sa password.

Ang Fail2ban usa ka open-source intrusion prevention system nga nanalipod sa imong server gikan sa bruteforce attacks. Gipanalipdan niini ang imong sistema sa Linux pinaagi sa pagdili sa mga IP nga nagpaila sa makadaot nga kalihokan sama sa daghang pagsulay sa pag-login. Gawas sa kahon, gipadala kini nga adunay mga pagsala alang sa mga sikat nga serbisyo sama sa Apache webserver, vsftpd ug SSH.

Kami adunay giya kung giunsa ang pag-configure sa Fail2ban aron mapalig-on pa ang protocol sa SSH.

Ang paggamit pag-usab sa mga password o paggamit sa huyang ug yano nga mga password makadaut pag-ayo sa seguridad sa imong sistema. Gipatuman nimo ang usa ka palisiya sa password, gamita ang pam_cracklib aron itakda o i-configure ang mga kinahanglanon sa kusog sa password.

Gamit ang module sa PAM, mahimo nimong ipasabut ang kusog sa password pinaagi sa pag-edit sa /etc/pam.d/system-auth file. Pananglitan, mahimo nimong itakda ang pagkakomplikado sa password ug mapugngan ang paggamit pag-usab sa mga password.

Kung nagdagan ka ug website, siguruha kanunay nga ma-secure ang imong domain gamit ang SSL/TLS nga sertipiko aron ma-encrypt ang datos nga gibaylo tali sa browser sa mga tiggamit ug sa webserver.

Sa higayon nga imong ma-encrypt ang imong site, hunahunaa usab ang pag-disable sa huyang nga mga protocol sa pag-encrypt. Sa panahon sa pagsulat niini nga giya, ang pinakabag-o nga protocol mao ang TLS 1.3, nga mao ang labing komon ug kaylap nga gigamit nga protocol. Ang mga nauna nga bersyon sama sa TLS 1.0, TLS 1.2, ug SSLv1 hangtod sa SSLv3 nalambigit sa nahibal-an nga mga kahuyangan.

[ Tingali ganahan ka usab: Giunsa Pag-enable ang TLS 1.3 sa Apache ug Nginx]

Kana usa ka summary sa pipila ka mga lakang nga imong mahimo aron masiguro ang seguridad sa datos ug pagkapribado alang sa imong sistema sa Linux.