Verhardende Ubuntu 14.04-server

Verharden is het proces van het verminderen van kwetsbaarheden en het beveiligen van een systeem tegen mogelijke aanvalspunten. Het verminderen van kwetsbaarheden omvat het verwijderen van onnodige services, gebruikersnamen en logins en het uitschakelen van onnodige poorten. In dit artikel laten we je zien hoe je een Ubuntu-server kunt verharden.

Vereisten

Ubuntu 14.04 LTS-server met Open SSH geïnstalleerd.

Aan de slag: werk het systeem bij

Het systeem up-to-date houden is nodig na het installeren van een besturingssysteem. Dit zal de bekende kwetsbaarheden in uw systeem verminderen.

Voor Ubuntu 14.04 voer je het volgende uit:

 sudo apt-get update sudo apt-get upgrade sudo apt-get autoremove sudo apt-get autoclean 

Schakel automatische beveiligingsupdates in

Het inschakelen van automatische updates kan erg belangrijk zijn om uw server te beveiligen. Om de "onbeheerde upgrades" te installeren, uitvoeren

 sudo apt-get installeer onbewaakte upgrades 

Voer de volgende opdracht uit om dit in te schakelen:

 sudo dpkg-reconfigure -plow onbeheerd-upgrades 

Hiermee wordt het bestand "/etc/apt/apt.conf.d/20auto-upgrades" gemaakt dat hieronder wordt weergegeven.

 APT :: Periodiek :: Update-Pakket-lijsten "1"; APT :: Periodiek :: Onbeheerde upgrade "1"; 

Maak "shadow user" met sudo-bevoegdheden

Het gebruik van een "schaduwgebruiker" in plaats van het root-account is om veiligheidsredenen noodzakelijk. U kunt een gebruiker maken die voor andere gebruikers niet eenvoudig te raden is. In deze tutorial gebruiken we "maketech111" als gebruikersnaam.

Voer de volgende opdracht uit om een ​​gebruiker te maken:

 sudo useradd -d / home / maketech111 -s / bin / bash -m maketech111 

Voer de volgende opdracht uit om de gebruiker sudo-toegang te geven:

 sudo usermod -a -G sudo maketech111 

Voer de volgende opdracht uit om een ​​wachtwoord in te stellen:

 sudo passwd maketech111 

Opmerking: zorg dat uw wachtwoord ten minste acht tekens lang is en een complexe combinatie van cijfers, letters en leestekens bevat.

Om de wachtwoordprompt voor sudo te verwijderen, bewerkt u het sudoers-bestand.

 sudo nano / etc / sudoers 

Toevoegen / bewerken zoals hieronder beschreven.

 maketech111 ALL = (ALL) NOPASSWD: ALL 

Sla het bestand op en sluit af.

Schakel root-account uit

Het uitschakelen van het root-account is om veiligheidsredenen noodzakelijk.

Gebruik de volgende opdracht om het root-account uit te schakelen:

 sudo passwd -l root 

Als u het account opnieuw moet inschakelen, voert u de volgende opdracht uit:

 sudo passwd -u root 

Voeg een SWAP-partitie toe

Sommige Ubuntu-servers zijn niet geconfigureerd met SWAP. SWAP wordt gebruikt wanneer de hoeveelheid totaal fysiek geheugen (RAM) vol is.

Voer de volgende opdracht uit om te controleren op SWAP-ruimte:

 sudo swapon -s 

Als er geen SWAP-bestand is, zou u de volgende uitvoer moeten krijgen.

 Bestandsnaam Type Formaat Gebruikte prioriteit 

Als u het 4 GB-SWAP-bestand wilt maken, moet u de opdracht "dd" gebruiken.

 sudo dd if = / dev / zero of = / swapfile bs = 4M count = 1000 

Voer de volgende opdracht uit om het SWAP-bestand in te stellen:

 sudo mkswap / swapfile 

Om het wisselbestand te activeren, voert u uit

 sudo swapon / swapfile sudo swapon -s 

Dit wordt als volgt uitgevoerd:

 Bestandsnaam Type Grootte Gebruikt Priority / swapfile-bestand 4096000 0 -1 

Om het permanent in te schakelen, bewerkt u het bestand "/ etc / fstab".

 sudo nano / etc / fstab 

Voeg de volgende regel toe:

 / swapfile swap-verwisseling standaard 0 0 

Verbeter de SWAP-prestaties

Stel de juiste swappiness-waarde in om de algehele prestaties van het systeem te verbeteren.

U kunt dit doen met de volgende opdracht:

 sudo echo 0 >> / proc / sys / vm / swappiness sudo echo vm.swappiness = 0 >> /etc/sysctl.conf 

Start het systeem opnieuw op om te controleren of SWAP correct wordt geactiveerd.

Schakel IPv6 uit

Het wordt aanbevolen om IPv6 uit te schakelen, omdat dit problemen oplevert bij een trage internetverbinding.

Als u IPv6 wilt uitschakelen, bewerkt u het bestand "/etc/sysctl.conf".

 sudo nano /etc/sysctl.conf 

Bewerken zoals hieronder beschreven:

 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 

Om de configuratie opnieuw te laden, voert u uit

 sudo sysctl -p 

Schakel IRQBALANCE uit

IRQBALANCE wordt gebruikt om hardware-interrupts over meerdere CPU's te verdelen om de systeemprestaties te verbeteren. Het wordt aanbevolen om IRQBALANCE uit te schakelen om onderbrekingen in de hardware in uw threads te voorkomen.

Om IRQBALANCE uit te schakelen, bewerk "/ etc / default / irqbalance"

 sudo nano / etc / default / irqbalance 

en verander de ENABLED waarde in 0:

 INGESCHAKELD = 0 

Fix OpenSSL heartbleed bug

De Heartbleed is een ernstige kwetsbaarheid in de OpenSSL. Hiermee kan een gebruiker op afstand het geheugen in 64k-blokken lekken. Hackers kunnen vervolgens de persoonlijke sleutels ophalen om gegevens zoals de gebruikersnaam en het wachtwoord van de gebruiker te ontsleutelen.

De heartbleed bug werd gevonden in OpenSSL 1.0.1 en is aanwezig in de volgende versies:

• 1.0.1
• 1.0.1a
• 1.0.1b
• 1.0.1c
• 1.0.1d
• 1.0.1e
• 1.0.1f

Voer de volgende opdrachten uit om de versie van OpenSSL in uw systeem te controleren:

 sudo openssl-versie -v sudo openssl-versie -b 

Dit zal iets als het volgende weergeven:

 OpenSSL 1.0.1 10 maart 2012 gebouwd op: wo 2 januari 18:45:51 UTC 2015 

Als de datum ouder is dan "Mon 7 april 20:33:29 UTC 2014" en de versie is "1.0.1", is uw systeem kwetsbaar voor de Heartbleed-bug.

Om deze bug te verhelpen, update OpenSSL naar de nieuwste versie en voer het uit

 sudo apt-get update sudo apt-get upgrade openssl libssl-dev sudo apt-cache tactiek openssl libssl-dev 

Controleer nu de versie en voer uit

 sudo openssl-versie -b 

Dit zal iets als het volgende weergeven:

 gebouwd op: Mon Apr 7 20:31:55 UTC 2014 

Beveilig de console, het gedeelde geheugen, / tmp en / var / tmp

Beveilig de console

Standaard zijn veel terminals ingeschakeld in uw systeem. U kunt slechts één terminal toestaan ​​en de andere terminals uitschakelen.

Als u alleen "tty1" wilt toestaan ​​en andere terminals wilt uitschakelen, bewerkt u het bestand "/ etc / securetty".

 sudo nano / etc / securetty 

Voeg de volgende regels toe / bewerk deze:

 tty1 # tty2 # tty3 # tty4 # etc ... 

Om het bestand "/ etc / securetty" te beveiligen, wijzigt u de toestemming van het bestand en voert u de volgende opdrachten uit:

 sudo chown root: root / etc / securetty sudo chmod 0600 / etc / securetty 

Secure Shared Memory

Elke gebruiker kan gedeeld geheugen gebruiken om aanvallen uit te voeren op een actieve service, zoals apache of httpd. Standaard is gedeeld geheugen lees / schrijf gemount met execute permissie.

Om het veiliger te maken, bewerkt u het bestand "/ etc / fstab".

 sudo nano / etc / fstab 

Voeg de volgende regel toe:

 tmpfs / run / shm tmpfs ro, noexec, nosuid 0 0 

Om de wijzigingen aan te brengen zonder opnieuw op te starten, kunt u uitvoeren

 sudo mount -a 

Secure / tmp en / var / tmp

Tijdelijke directory's zoals / tmp, / var / tmp en / dev / shm openen de deur voor aanvallers om ruimte te bieden voor het uitvoeren van scripts en schadelijke uitvoerbare bestanden.

Beveiligde map / tmp

Maak een bestandssysteembestand van 1 GB voor de / tmp-partitie.

 sudo dd if = / dev / zero of = / usr / tmpDSK bs = 1024 count = 1024000 sudo mkfs.ext4 / usr / tmpDSK 

Maak een back-up van de huidige / tmp-map:

 sudo cp -avr / tmp / tmpbackup 

Koppel de nieuwe / tmp-partitie en stel de juiste machtigingen in.

 sudo mount -t tmpfs -o loop, noexec, nosuid, rw / usr / tmpDSK / tmp sudo chmod 1777 / tmp 

Kopieer de gegevens uit de back-upmap en verwijder de back-upmap.

 sudo cp -avr / tmpbackup / * / tmp / sudo rm -rf / tmpbackup 

Stel de / tmp in de fbtab in.

 sudo nano / etc / fstab 

Voeg de volgende regel toe:

 / usr / tmpDSK / tmp tmpfs lus, nosuid, noexec, rw 0 0 

Test uw fstab-invoer.

 sudo mount -a 

Secure / var / tmp:

Sommige software gebruikt deze map als een tijdelijke map, dus we moeten deze ook beveiligen.

Om te beveiligen / var / tmp, maak een symbolische link die / var / tmp naar / tmp wijst.

 sudo mv / var / tmp / var / tmpold sudo ln -s / tmp / var / tmp sudo cp -avr / var / tmpold / * / tmp / 

Stel beveiligingslimieten in en schakel ongewenste services uit

Stel beveiligingslimieten in

Om uw systeem tegen aanvallen van vorkbommen te beschermen, moet u een proceslimiet instellen voor uw gebruikers.

Om dit in te stellen, bewerkt u het bestand "/etc/security/limits.conf",

 sudo nano /etc/security/limits.conf 

en bewerk de volgende regel:

 user1 hard nproc 100 @ group1 hard nproc 20 

Dit voorkomt dat gebruikers van een specifieke groep maximaal twintig processen hebben en maximaliseren het aantal processen tot honderd voor gebruiker1.

Schakel onnodige services uit

Veel services in Ubuntu nemen geheugen en schijfruimte in beslag die u mogelijk nodig heeft. Het uitschakelen of verwijderen van onnodige services kan de algehele systeemprestaties verbeteren.

Om uit te vinden welke services momenteel worden uitgevoerd, voert u de volgende opdracht uit:

 sudo initctl lijst | grep running 

U kunt het uitschakelen door deze opdracht uit te voeren.

 sudo update-rc.d -f servicenaam verwijderen sudo apt-get purge service_name 

Fix Shellshock Bash-kwetsbaarheid:

Door de kwetsbaarheid van Shellshock kunnen hackers Bash-omgevingsvariabelen toewijzen en ongeoorloofde toegang krijgen tot het systeem. Deze kwetsbaarheid is heel gemakkelijk te exploiteren.

Voer de volgende opdracht uit om de kwetsbaarheid van het systeem te controleren:

 sudo env i = '() {:;}; echo Uw systeem is Bash-kwetsbaar 'bash -c' echo Bash-kwetsbaarheidstest ' 

Als u de onderstaande uitvoer ziet, betekent dit dat uw systeem kwetsbaar is.

 Uw systeem is een Bash-kwetsbare Bash-kwetsbaarheidstest 

Om dit beveiligingslek te verhelpen, voert u de volgende opdracht uit:

 sudo apt-get update; sudo apt-get install - alleen-upgrade bash 

Als u de opdracht opnieuw uitvoert, ziet u:

 bash: waarschuwing: VAR: negeren functiedefinitie poging bash: foutimportfunctie-definitie voor `VAR 'Bash-kwetsbaarheidstest 

Conclusie:

Hier hebben we basiszaken uitgelegd die je zou kunnen doen om Ubuntu te verharden. U zou nu voldoende kennis moeten hebben van elementaire beveiligingspraktijken die u kunt implementeren op uw Ubuntu-server. Ik hoop dat dit bericht nuttig voor je zal zijn.

Referentie : Ubuntu verhardingsgids