Tips Memperkeras Keamanan Server Linux 2 - PTIK-UNM MAKASSAR
Breaking News

Tips Memperkeras Keamanan Server Linux 2

Lanjutan dari Tips Memperkeras Keamanan Server Linux yang pertama.



# 11: Konfigurasi Iptables dan TCPWrappers
Iptables adalah ruang pengguna program aplikasi yang memungkinkan Anda untuk mengkonfigurasi firewall (Netfilter) yang disediakan oleh kernel Linux. Gunakan firewall untuk menyaring lalu lintas dan mengizinkan hanya lalu lintas yang diperlukan. Juga menggunakan TCPWrappers berbasis host jaringan sistem ACL untuk akses jaringan filter untuk internet. Anda dapat mencegah penolakan banyak serangan layanan dengan bantuan Iptables


# 12: Kernel Linux / etc / sysctl.conf Pengerasan
/ Etc / sysctl.conf file ini digunakan untuk mengkonfigurasi parameter kernel pada saat runtime. Linux membaca dan menerapkan pengaturan dari / etc / sysctl.conf pada saat boot. Contoh / etc / sysctl.conf :

# Hidupkan execshield
kernel.exec-perisai = 1
kernel.randomize_va_space = 1
# Aktifkan perlindungan IP spoofing
net.ipv4.conf.all.rp_filter = 1
# Nonaktifkan source routing IP
net.ipv4.conf.all.accept_source_route = 0
# Mengabaikan permintaan siaran
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_messages = 1
# Pastikan paket palsu logout
net.ipv4.conf.all.log_martians = 1


# 13: Partisi Disk terpisah
Pemisahan file sistem operasi dari file pengguna dapat mengakibatkan menjadi sistem yang lebih baik dan aman. Pastikan filesystem berikut ini dipasang pada partisi yang terpisah:

/ Usr
/ Home
/ Var dan / var / tmp
/ Tmp

Buat partisi untuk septate akar server Apache dan FTP. Edit / etc / fstab file dan pastikan Anda menambahkan opsi konfigurasi berikut:

  • noexec – Jangan mengatur pelaksanaan setiap binari di partisi ini (mencegah eksekusi binari tetapi memungkinkan skrip).
  • nodev – Jangan biarkan karakter atau perangkat khusus pada partisi ini (mencegah penggunaan file perangkat seperti nol, sda dll).
  • nosuid – Jangan mengatur akses SUID / SGID pada partisi ini (mencegah bit setuid).
Contoh / etc / fstab untuk entri untuk membatasi akses pengguna di / dev/sda5 (ftp server direktori root):

/dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2

# 13.1: Kuota Disk
Membuat kuota disk yakin diaktifkan untuk semua pengguna. Untuk menerapkan kuota disk, gunakan langkah-langkah berikut:

  • Aktifkan kuota per sistem file dengan memodifikasi file / etc / fstab.
  • Remount sistem file (s).
  • Buat file kuota database dan menghasilkan tabel penggunaan disk.
  • Menetapkan kebijakan kuota.
  • Lihat disk yang menerapkan kuota tutorial untuk rincian lebih lanjut.

# 14: Turn Off IPv6
Internet Protocol versi 6 (IPv6) menyediakan lapisan Internet baru dari protokol TCP / IP yang menggantikan Internet Protokol versi 4 (IPv4) dan memberikan banyak manfaat. Saat ini tidak ada alat yang baik di luar yang dapat memeriksa sistem melalui jaringan untuk masalah keamanan IPv6. Kebanyakan distro Linux mulai mengaktifkan protokol IPv6 secara default. Crackers dapat mengirimkan lalu lintas yang buruk melalui IPv6 sebagai admin paling tidak memonitor. Kecuali konfigurasi jaringan memerlukan itu, menonaktifkan IPv6 atau mengkonfigurasi firewall Linux IPv6


# 15: Nonaktifkan SUID dan SGID Binari yang Tidak Diinginkan
Semua SUID / SGID bit file yang diaktifkan dapat disalahgunakan ketika dieksekusi SUID / SGID memiliki masalah keamanan atau bug. Semua pengguna lokal atau remote dapat menggunakan file tersebut. Ini adalah ide yang baik untuk menemukan semua file tersebut. Gunakan menemukan perintah sebagai berikut:

#See all set user id files:
find / -perm +4000
# See all group id files
find / -perm +2000
# Or combine both in a single command
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls

Anda harus menyelidiki setiap file dilaporkan. Lihat halaman berkas pria dilaporkan untuk rincian lebih lanjut.

# 15.1:World-Writable Files
Siapa saja dapat memodifikasi world-writable file yang dihasilkan menjadi masalah keamanan. Gunakan perintah berikut untuk menemukan semua yang dapat ditulis dan lengket bit file set:

# find /dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

Anda harus menyelidiki setiap file dilaporkan dan baik mengatur pengguna yang benar dan izin kelompok atau menghapusnya.
# 15,2: File Noowner
File tidak dimiliki oleh setiap pengguna atau kelompok dapat menimbulkan masalah keamanan. Hanya menemukan mereka dengan perintah berikut yang tidak termasuk pengguna yang valid dan kelompok yang valid

# find /dir -xdev \( -nouser -o -nogroup \) -print

Anda harus menyelidiki setiap file dilaporkan dan baik menetapkan ke pengguna yang tepat dan kelompok atau menghapusnya.


# 16: Gunakan Sebuah Layanan Otentikasi Terpusat
Tanpa sistem otentikasi terpusat, pengguna auth data menjadi tidak konsisten, yang dapat menyebabkan ke out-of-date kredensial dan rekening terlupakan yang seharusnya sudah dihapus di tempat pertama. Sebuah layanan otentikasi terpusat memungkinkan Anda mempertahankan kontrol pusat terhadap Linux / UNIX rekening dan data otentikasi. Anda dapat menyimpan data auth disinkronisasi antara server. Jangan menggunakan layanan NIS untuk otentikasi terpusat. Gunakan openldap untuk klien dan server.
# 16.1: Kerberos
Kerberos melakukan otentikasi sebagai layanan otentikasi dipercaya pihak ketiga dengan menggunakan rahasia bersama kriptografi dengan asumsi bahwa paket-paket perjalanan sepanjang jaringan yang tidak aman dapat dibaca, dimodifikasi, dan dimasukkan. Kerberos dibangun di simetrik kriptografi kunci dan membutuhkan sebuah pusat distribusi kunci. Anda dapat membuat remote login, copy remote, aman antar-sistem menyalin file dan lain berisiko tinggi tugas yang lebih aman dan lebih terkendali menggunakan Kerberos. Jadi, ketika pengguna otentikasi ke layanan jaringan menggunakan Kerberos, pengguna yang tidak sah mencoba untuk mengumpulkan password dengan memonitor lalu lintas jaringan secara efektif digagalkan. Lihat bagaimana untuk setup dan menggunakan Kerberos .


# 17: Logging dan Audit
Anda perlu mengkonfigurasi logging dan audit untuk mengumpulkan semua upaya hacking dan retak. Dengan data default syslog toko di / var / log / direktori. Ini juga berguna untuk mengetahui kesalahan konfigurasi perangkat lunak yang dapat membuka sistem anda terhadap berbagai serangan.
# 17,1: Pesan monitor Login Mencurigakan Dengan Logwatch / Logcheck
Baca log Anda menggunakan logwatch atau logcheck . Alat-alat ini membuat log kehidupan bacaan Anda lebih mudah. Anda mendapatkan laporan rinci tentang item yang tidak biasa di syslog melalui email. Sebuah laporan sampel syslog:

################### Logwatch 7.3 (03/24/06) #################### Processing Initiated: Fri Oct 30 04:02:03 2009 Date Range Processed: yesterday ( 2009-Oct-29 ) Period is day. Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: www-52.nixcraft.net.in ################################################################## ——————— Named Begin ———————— **Unmatched Entries** general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s) general: info: zone XXXXXX.com/IN: refresh: retry limit for om ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s) general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s) general: info: zone XXXXXX.com/IN: refresh: retry limit for om ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s) ———————- Named End ————————- ——————— iptables firewall Begin ———————— Logged 87 packets on interface eth0 From 58.y.xxx.ww – 1 packet to tcp(8080) From 59.www.zzz.yyy – 1 packet to tcp(22) From 60.32.nnn.yyy – 2 packets to tcp(45633) From 222.xxx.ttt.zz – 5 packets to tcp(8000,8080,8800) ———————- iptables firewall End ————————- ——————— SSHD Begin ———————— Users logging in through sshd: root: 123.xxx.ttt.zzz: 6 times ———————- SSHD End ————————- ——————— Disk Space Begin ———————— Filesystem Size Used Avail Use% Mounted on /dev/sda3 450G 185G 241G 44% / /dev/sda1 99M 35M 60M 37% /boot ———————- Disk Space End ————————- ###################### Logwatch End #########################

# 17,2: Sistem Akuntansi dengan auditd
Auditd ini disediakan untuk audit sistem. Hal ini bertanggung jawab untuk menulis catatan audit ke disk. Selama startup, aturan di / etc / audit.rules dibaca oleh daemon ini. Anda dapat membuka file / etc / audit.rules dan membuat perubahan seperti file setup lokasi log audit dan pilihan lain. Dengan auditd Anda dapat menjawab pertanyaan-pertanyaan berikut:

  • Sistem startup dan acara shutdown (reboot / halt).
  • Tanggal dan waktu acara.
  • Pengguna respoisble untuk acara tersebut (seperti mencoba untuk mengakses / path / ke file / topsecret.dat).
  • Jenis aktivitas (sunting, mengakses, menghapus, menulis, memperbarui file & perintah).
  • Keberhasilan atau kegagalan acara.
  • Catatan peristiwa yang Mengubah tanggal dan waktu.
  • Cari tahu siapa membuat perubahan untuk mengubah pengaturan jaringan sistem.
  • Rekam peristiwa yang mengubah user / group.
  • Lihat yang melakukan perubahan ke berkas dll

#18: Secure OpenSSH Server
Protokol SSH direkomendasikan untuk remote login dan transfer file jarak jauh. Namun, ssh terbuka untuk banyak serangan. Lihat bagaimana mengamankan OpenSSH server:


# 19: Gunakan Instal Dan Intrusion Detection System
Sebuah sistem deteksi intrusi jaringan (NIDS) adalah sistem deteksi intrusi yang mencoba untuk mendeteksi aktivitas berbahaya seperti serangan penolakan layanan, port scan atau bahkan mencoba untuk memecahkan ke dalam komputer dengan memonitor lalu lintas jaringan.
Ini adalah praktik yang baik untuk menyebarkan setiap memeriksa integritas perangkat lunak sebelum sistem berjalan secara online dalam lingkungan produksi. Jika instalasi perangkat lunak AIDE mungkin sebelum sistem terhubung ke jaringan apapun. AIDE berbasis host intrusion detection sistem (HIDS) dapat memonitor dan menganalisa internal sebuah sistem komputasi.
Snort adalah sebuah perangkat lunak untuk deteksi intrusi yang mampu melakukan penebangan paket dan real-time analisis lalu lintas pada jaringan IP.


# 20: Melindungi File, Direktori dan Email
Linux menawarkan perlindungan yang sangat baik terhadap akses data yang tidak sah. Berkas perizinan dan MAC mencegah akses yang tidak sah mengakses data. Namun, perizinan yang ditetapkan oleh Linux tidak relevan jika seorang penyerang memiliki akses fisik ke komputer dan hanya dapat memindahkan hard drive komputer ke sistem lain untuk menyalin dan menganalisis data yang sensitif. Anda dapat dengan mudah melindungi file, dan partitons di Linux menggunakan alat berikut:

  • Untuk mengenkripsi dan mendekripsi file dengan password, gunakan perintah gpg .
  • Linux atau UNIX sandi melindungi file dengan openssl dan utilitas lain.
  • Lihat bagaimana untuk mengenkripsi direktori dengan ecryptfs.
  • TrueCrypt adalah gratis, open source disk enkripsi perangkat lunak untuk Windows 7/Vista/XP, Mac OS X dan Linux.
  • Howto: Disk dan enkripsi partisi di Linux untuk perangkat mobile .
  • Cara setup swap terenkripsi di Linux.
# 20,1: Mengamankan Email Server
Anda dapat menggunakan sertifikat SSL dan kunci gpg untuk mengamankan komunikasi email pada server dan komputer klien

Tidak ada komentar untuk "Tips Memperkeras Keamanan Server Linux 2"