Kiedy muszę administrować istniejącym serwerem Linux, co jest najlepszym sposobem, aby sprawdzić, czy jest bezpieczny?

Istnieje wiele samouczków dotyczących konfigurowania nowego zabezpieczonego serwera.

Ale co jeśli będę musiał administrować serwerem, który ktoś skonfigurował jakiś czas temu i nie wiem jeszcze dużo o jego konfiguracji?

Czy jest jakieś narzędzie, które automatycznie sprawdza „zwykłych podejrzanych” lub jakąś listę kontrolną, przez którą mogę przejść, aby upewnić się, że nie ma żadnych oczywistych luk w zabezpieczeniach? Czy istnieją usługi internetowe, które zdalnie sprawdzają podatność na zagrożenia?

Pobierz Nessus i wykonaj na nim kontrolę sieci. Powie ci o zdalnie wykorzystywanych lukach.

Zainstaluj także Ossec ; chociaż nie jest to jego głównym celem, znajdzie pewne typowe błędne konfiguracje (na przykład nieprawidłowo skonfigurowane konta). Jego podstawowa funkcja - wykrywanie włamań na podstawie hosta - pomoże ustalić, czy ktoś próbuje wykorzystać luki w zabezpieczeniach.

Zacznę od „kontrolnych” list kontrolnych Centrum Internet Security . Są to oparte na konsensusie listy kontrolne opracowane przez specjalistów ds. Bezpieczeństwa dla różnych platform i pakietów oprogramowania. Niektóre narzędzia wymienione w listach kontrolnych lub w inny sposób powszechnie zalecane, które pomogą w polowaniu na problemy bezpieczeństwa:

• Nessus / OpenVAS (skaner podatności)
• Nmap (skaner portów)
• TCPdump / Wireshark (przechwytywanie pakietów libpcap)
• SNORT (system wykrywania włamań)

(tcpdump jest domyślnie instalowany w wielu systemach Linux, lub może być łatwo zainstalowany z repozytorium pakietów i ma obszerną stronę podręcznika)

Jeśli dotyczy to firmy, w której pracujesz, upewnij się, że analiza bezpieczeństwa jest autoryzowana przez kierownictwo i że skany nie spowodują żadnego wyłączenia ani głupoty aplikacji. Tak, prosty portcan może powodować problemy - skanuje starsze drukarki HP Laserjet i wypluwa stosy papieru.

Jako bardzo szybkie pierwsze sprawdzenie:

Biegać

netstat -ltnp

jako root. To pokaże wszystkie usługi nasłuchujące w sieci:

Może to pokazać ci rzeczy, które chcesz od razu zamknąć. Następnie możesz kontynuować rozwiązania z innych odpowiedzi.

W przypadku usług, które muszą być uruchomione, ale nie są dostępne z zewnątrz (np. Lokalny serwer DB), rozważ zmianę konfiguracji, aby nasłuchiwała tylko na localhost / 127.0.0.1. W ten sposób mogą uzyskać do niego dostęp tylko lokalni użytkownicy.

Sprawdziłbym Bastille-Linux na stronie http://www.bastille-unix.org/ , to zestaw skryptów, które można uruchomić i sprawdzi ustawienia systemu, uprawnienia do plików, ustawienia użytkownika itp. Użyłem go raz lub dwa razy na własnych polach i jeśli znajdzie problemy w domyślnych instalacjach (głównie r_x na narzędziach rsh / rsync). Wykazuje jako html / java + curses / płaski tekst.

Co za dystrybucja?

Generał:

• Przejrzyj ustawienia iptables i / lub zapory ogniowej
• Przejrzyj konfiguracje SSHD
• Przejrzyj wszystkie konfiguracje usług dostępne z zewnątrz
• Upewnij się, że korzystasz z najnowszego dostępnego oprogramowania
• Sprawdź luki w zabezpieczeniach jądra (uname -a, a potem google)
• Przejrzyj uprawnienia użytkownika i uprawnienia grupy do plików edytowalnych

Innym dobrym pierwszym sprawdzeniem jest uruchomienie nazwy hosta nmap z innego hosta w sieci. Daje to pogląd z zewnątrz na to, co netstat pokazał na hoście.

Jeśli się martwisz, polecam wykonanie tych samouczków, o których wspomniałeś, i przebudowanie serwera. Zwłaszcza jeśli uważasz, że drugi administrator mógł zostawić coś złego. Jako nowy administrator powinieneś wiedzieć, jak wdrożyć dowolną usługę, którą ponownie uruchamia.

Po prostu upewnij się, że najpierw wykonałeś kopię zapasową wszystkich elementów, możesz zobrazować wszystkie partycje, aby upewnić się, że naprawdę wszystko działa poprawnie.

Jeśli twój szef ci na to nie pozwoli, rekomendacje dla wszystkich brzmią dla mnie dobrze :-)

Oprócz niektórych bardzo dobrych odpowiedzi tutaj, sprawdź http://www.sans.org/ . Mają bardzo dobre dokumenty, jeśli chcesz trochę przeczytać, aby lepiej zrozumieć „obronę w głębi”.

Niektóre z bardzo podstawowych przesłanek:

• łataj swoje serwery
• uruchom tylko te usługi, które muszą być uruchomione
• ograniczyć dostęp użytkownika do serwera

Wypróbuj także program chkrootkit , który znajduje się w standardowym repozytorium większości dystrybucji i jest bardzo łatwy w instalacji. Sprawdzi twój system pod kątem wielu znanych luk, rootkitów i robaków.

Jedną z rzeczy, które możesz zrobić, aby poczuć system, jest odróżnienie folderu / etc od nowej instalacji (z tymi samymi zastosowanymi aktualizacjami). To powie ci, co się zmieniło, abyś mógł skoncentrować się na swoich obawach dotyczących bezpieczeństwa.

Aby rozwinąć to, co powiedział mas, oto proste polecenie find, aby wyświetlić listę wszystkich plików setuid i setgid w systemie do przejrzenia.

find / -type f \( -perm -4000 -o -perm -2000 \) -print

Oczywiście, jak powiedzieli inni, to wszystko przy założeniu, że maszyna nie ma już rootkita ...

Chrootkit / rkhunter to długo wiszący owoc. Jeśli masz zainstalowany rootkit, wszystko, co zostanie zgłoszone, zostanie naruszone, a zatem nie będzie zbyt dużej pomocy, więc pobierz je ze znanego źródła, nie używaj tych, które są już na pudełku. Inną dobrą sztuczką jest instalacja jądra, o którym wiesz, że jest dobre (albo z pakietów, albo z własnego). Sprawdź, czy nie ma backdoorów (lsof -i i 0 kont użytkowników innych niż root). Sprawdzanie reguł zapory może zwykle powiedzieć wiele na temat nawyków poprzednich administratorów. Umieść na nim wireshark / snort, spróbuj dostrzec coś niezwykłego. Zobacz, dokąd idą dzienniki. Sprawdź wszystkie pliki typu .profile / .bashrc pod kątem nietypowych poleceń. Poszukaj podejrzanych hostów w .ssh / known_hosts.