Indholdsfortegnelse:
Video: RisikoRedusering - Hvordan eliminere unødvendig eksamensstress 2024
Unødvendige og usikrede tjenester kan føre til en åben dør til hackere. Når du ved, hvilke dæmoner og applikationer der kører - f.eks. FTP, telnet og en webserver - er det rart at vide præcis, hvilke versioner der kører, så du kan slå op på deres tilknyttede sårbarheder og beslutte, om du vil slukke dem. Databasen for sårbarhed på nationalt plan er en god ressource til bestemmelse af sårbarheder.
Søgninger
Flere sikkerhedsværktøjer kan hjælpe med at bestemme sårbarheder. Disse typer af værktøjer kan muligvis ikke identificere alle applikationer ned til det nøjagtige versionsnummer, men de er en meget kraftfuld måde at indsamle systemoplysninger på.
Sårbarheder
Vær særlig opmærksom på disse kendte sikkerhedssvagheder i et system:
-
Anonym FTP - især hvis den ikke er konfigureret korrekt - kan give en hacker mulighed for at downloade og få adgang til filer på dit system.
-
Telnet og FTP er sårbare over for netværksanalysatorfangster af cleartext-bruger-id og adgangskode, som applikationerne bruger. Deres logins kan også blive angrebet kraftigt.
-
Gamle versioner af sendmail har mange sikkerhedsproblemer.
-
R-tjenester, som rlogin, rdist, rexecd, rsh og rcp, er særligt sårbare over for angreb.
Mange webservere kører på Linux, så du kan ikke overse vigtigheden af at kontrollere svagheder i Apache, Tomcat og dine specifikke applikationer. For eksempel er en almindelig Linux-sårbarhed, at brugernavne kan bestemmes via Apache, når det ikke har UserDir-direktivet deaktiveret i dets httpd. conf fil.
Du kan udnytte denne svaghed manuelt ved at browse til kendte brugermapper, som f.eks. // www. din ~ website. com / user_name eller endnu bedre ved at bruge en sårbarhedsscanner, såsom webInspect eller QualysGuard, til automatisk at opregne systemet. Uanset hvad du kan, kan du finde ud af, hvilke Linux-brugere der findes, og derefter starte et webadgangskode-cracking angreb. Der er også mange måder at få adgang til systemfiler (inklusive / etc / passwd) via sårbar CGI-kode.
Ligeledes kører FTP ofte usikret på Linux-systemer. Der er Linux-systemer med anonym FTP-aktiveret, der delte følsom sundhedspleje og finansiel information til alle på det lokale netværk. Så glem ikke at kigge efter de enkle ting.
Værktøjer
Følgende værktøjer kan udføre mere dybtgående informationsindsamling ud over portscanning for at opregne dine Linux-systemer og se, hvad hackere ser:
-
Nmap kan tjekke for specifikke versioner af de indlæste tjenester.Du skal blot køre Nmap med kommandolinjens -sV-switch.
-
Amap ligner Nmap, men det har et par fordele:
-
Amap er meget hurtigere for disse typer scanninger.
-
Amap kan registrere programmer, der er konfigureret til at køre på ikke-standardporte, f.eks. Apache, der kører på port 6789 i stedet for standard 80.
Amap blev kørt med følgende muligheder for at optælle nogle almindeligt hackede porte:
-
- 1 gør scanningen hurtigere.
-
-b udskriver svarene i ASCII-tegn.
-
-q springer rapportering af lukkede porte.
-
21 prober FTP-kontrolporten.
-
22 probes SSH porten.
-
23 probes telnet porten.
-
80 probes HTTP porten.
-
-
netstat viser de tjenester, der kører på en lokal maskine. Indtast denne kommando, mens du er logget ind:
netstat -anp
-
List Open Files (lsof) viser processer, der lytter og filer, der er åbne på systemet.
Modforanstaltninger mod hack-angreb på unødvendige tjenester
Du kan og bør deaktivere de unødvendige tjenester på dine Linux-systemer. Dette er en af de bedste måder at holde dit Linux-system sikkert. Som at reducere antallet af indgangspunkter i dit hus, desto flere indgangspunkter eliminerer færre steder, en indtrenger kan bryde ind.
Deaktivering af unødvendige tjenester
Den bedste metode til at deaktivere unødvendige tjenester afhænger af, hvordan dæmonen er indlæst i det første sted. Du har flere steder at deaktivere tjenester, afhængigt af den version af Linux, du kører.
inetd. conf (eller xinetd. conf)
Hvis det giver god forretningssans, skal du deaktivere unødvendige tjenester ved at kommentere indlæsningen af dæmoner, du ikke bruger. Følg disse trin:
-
Indtast følgende kommando ved Linux-prompt:
ps -aux
Proces ID (PID) for hver demon, herunder inetd, er angivet på skærmen.
-
Noter PID for inetd.
-
Åben / etc / inetd. conf i Linux tekst editoren vi ved at indtaste følgende kommando:
vi / etc / inetd. conf
eller
/ etc / xinetd. conf
-
Når du har filen indlæst i vi, skal du aktivere indsætningsmodus ved at trykke på I.
-
Flyt markøren til begyndelsen af linjen på den dæmon, du vil deaktivere, f.eks. httpd og skriv # på begyndelsen af linjen.
Dette trin kommenterer linjen og forhindrer det i at blive indlæst, når du genstarter serveren eller genstarter inetd.
-
For at afslutte vi og gemme dine ændringer, tryk på Esc for at forlade indsætningsmodus, skriv: wq, og tryk derefter på Enter.
Dette fortæller vi, at du vil skrive dine ændringer og afslutte.
-
Genstart inetd ved at indtaste denne kommando med inetd PID:
kill -HUP PID
chkconfig
Hvis du ikke har en inetd. conf-fil, kører din version af Linux sikkert xinetd-programmet - en mere sikker udskiftning til inetd - at lytte til indgående anmodninger om netværksapplikation. Du kan redigere / etc / xinetd. conf fil hvis dette er tilfældet. For mere information om brugen af xinetd og xinetd. conf, indtast mand xinetd eller mand xinetd. conf ved en Linux kommandoprompt.
Hvis du kører Red Hat 7. 0 eller nyere, kan du køre programmet / sbin / chkconfig for at slukke for de dæmoner, du ikke vil indlæse.
Du kan også indtaste chkconfig -list ved en kommandoprompt for at se, hvilke tjenester der er aktiveret i xinetd. conf fil.
Hvis du vil deaktivere en bestemt tjeneste, skal du sige snmp, skriv følgende:
chkconfig --del snmpd
Adgangskontrol
TCP-indpakningspakker kan styre adgangen til kritiske tjenester, som du kører, f.eks. FTP eller HTTP. Dette program styrer adgang for TCP-tjenester og logger deres brug, hjælper dig med at styre adgang via værtsnavn eller IP-adresse og spore skadelige aktiviteter.
