חביב מ'הני/ויקימדיה, CC BY-SA

כיום, העלאת שרת על אחסון היא עניין של כמה דקות וכמה לחיצות עכבר. אבל מיד לאחר ההשקה הוא מוצא את עצמו בסביבה עוינת, כי הוא פתוח לכל האינטרנט כמו בחורה תמימה בדיסקו רוקיסט. סורקים ימצאו אותו במהירות ויזהו אלפי בוטים עם סקריפט אוטומטית שסורקים את הרשת בחיפוש אחר פגיעויות ותצורות שגויות. יש כמה דברים שעליך לעשות מיד לאחר ההשקה כדי להבטיח הגנה בסיסית.

תוכן

• משתמש לא שורש
• מפתחות במקום סיסמאות SSH
• חומת אש
• Fail2Ban
• עדכוני אבטחה אוטומטיים
• שינוי יציאות ברירת המחדל

משתמש לא שורש

הצעד הראשון הוא ליצור לעצמך משתמש שאינו שורש. הנקודה היא שהמשתמש root הרשאות מוחלטות במערכת, ואם תאפשר לו ניהול מרחוק, אז תעשה חצי מהעבודה עבור ההאקר, ותשאיר לו שם משתמש חוקי.

לכן, עליך ליצור משתמש נוסף ולהשבית ניהול מרחוק באמצעות SSH עבור root.

משתמש חדש מופעל על ידי הפקודה useradd:

useradd [options] <username>

אז מתווספת לו סיסמה עם הפקודה passwd:

passwd <username>

לבסוף, יש להוסיף משתמש זה לקבוצה שיש לה את הזכות לבצע פקודות מוגברות sudo. בהתאם להפצת לינוקס, אלו עשויות להיות קבוצות שונות. לדוגמה, ב-CentOS וב-Red Hat, המשתמש מתווסף לקבוצה wheel:

usermod -aG wheel <username>

באובונטו זה מתווסף לקבוצה sudo:

usermod -aG sudo <username>

מפתחות במקום סיסמאות SSH

כוח גס או דליפות סיסמה הן וקטור התקפה סטנדרטי, לכן עדיף להשבית את אימות הסיסמה ב-SSH (Secure Shell) ולהשתמש במקום זאת באימות מפתח.

קיימות תוכניות שונות להטמעת פרוטוקול SSH, כגון lsh и dropbear, אבל הפופולרי ביותר הוא OpenSSH. התקנת לקוח OpenSSH באובונטו:

sudo apt install openssh-client

התקנת שרת:

sudo apt install openssh-server

הפעלת הדמון SSH (sshd) בשרת אובונטו:

sudo systemctl start sshd

הפעל אוטומטית את הדמון בכל אתחול:

sudo systemctl enable sshd

יש לציין שחלק השרת של OpenSSH כולל את חלק הלקוח. כלומר דרך openssh-server אתה יכול להתחבר לשרתים אחרים. יתרה מכך, ממחשב הלקוח שלך, אתה יכול להפעיל מנהרת SSH משרת מרוחק למארח של צד שלישי, ואז המארח של הצד השלישי ישקול את השרת המרוחק כמקור הבקשות. תכונה שימושית מאוד למיסוך המערכת שלך. ראה מאמר לפרטים "טיפים מעשיים, דוגמאות ומנהרות SSH".

במחשב לקוח, בדרך כלל אין הגיון להתקין שרת מלא על מנת למנוע אפשרות של חיבור מרחוק למחשב (למטרות אבטחה).

אז, עבור המשתמש החדש שלך, תחילה עליך ליצור מפתחות SSH במחשב שממנו תיגש לשרת:

ssh-keygen -t rsa

המפתח הציבורי מאוחסן בקובץ .pub ונראה כמו מחרוזת של תווים אקראיים שמתחילה ב ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

לאחר מכן, מתחת לשורש, צור ספריית SSH בשרת בספריית הבית של המשתמש והוסף את המפתח הציבורי של SSH לקובץ authorized_keys, באמצעות עורך טקסט כמו Vim:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

לבסוף, הגדר את ההרשאות הנכונות עבור הקובץ:

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

ושנה בעלות למשתמש זה:

chown -R username:username /home/username/.ssh

בצד הלקוח, עליך לציין את המיקום של המפתח הסודי לאימות:

ssh-add DIR_PATH/keylocation

כעת תוכל להיכנס לשרת תחת שם המשתמש באמצעות המפתח הזה:

ssh [username]@hostname

לאחר אישור, אתה יכול להשתמש בפקודה scp כדי להעתיק קבצים, כלי השירות sshfs לטעון מרחוק של מערכת קבצים או ספריות.

רצוי לעשות מספר עותקי גיבוי של המפתח הפרטי, כי אם תבטל את אימות הסיסמה ותאבד אותו, אז לא תהיה לך שום דרך להיכנס לשרת שלך בכלל.

כפי שצוין לעיל, ב-SSH אתה צריך להשבית את האימות עבור root (זו הסיבה שהתחלנו משתמש חדש).

ב- CentOS/Red Hat אנו מוצאים את הקו PermitRootLogin yes בקובץ התצורה /etc/ssh/sshd_config ותשנה את זה:

PermitRootLogin no

באובונטו הוסף את השורה PermitRootLogin no לקובץ התצורה 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

לאחר וידוא שהמשתמש החדש מאמת באמצעות המפתח שלו, תוכל להשבית את אימות הסיסמה כדי למנוע את הסיכון של דליפת סיסמה או כוח גס. כעת, על מנת לגשת לשרת, תוקף יצטרך לקבל מפתח פרטי.

ב- CentOS/Red Hat אנו מוצאים את הקו PasswordAuthentication yes בקובץ התצורה /etc/ssh/sshd_config ותשנה את זה ככה:

PasswordAuthentication no

באובונטו הוסף את השורה PasswordAuthentication no לתייק 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

להוראות על הפעלת אימות דו-גורמי באמצעות SSH, ראה כאן.

חומת אש

חומת האש מבטיחה שרק התעבורה בפורטים שאתה מאפשר ישירות תעבור לשרת. זה מגן מפני ניצול של יציאות שמופעלות בטעות עם שירותים אחרים, מה שמקטין מאוד את משטח ההתקפה.

לפני התקנת חומת אש, עליך לוודא ש-SSH נכלל ברשימת ההחרגות ולא ייחסם. אחרת, לאחר הפעלת חומת האש, לא נוכל להתחבר לשרת.

הפצת אובונטו מגיעה עם חומת אש לא מסובכת (ufw), ועם CentOS/Red Hat - firewalld.

מאפשר SSH בחומת האש באובונטו:

sudo ufw allow ssh

ב- CentOS/Red Hat השתמש בפקודה firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

לאחר הליך זה, תוכל להפעיל את חומת האש.

ב- CentOS/Red Hat, הפעל את שירות systemd עבור חומת אש:

sudo systemctl start firewalld
sudo systemctl enable firewalld

באובונטו אנו משתמשים בפקודה הבאה:

sudo ufw enable

Fail2Ban

שירות Fail2Ban מנתח יומנים בשרת וסופר את מספר ניסיונות הגישה מכל כתובת IP. ההגדרות מפרטות את הכללים לכמה ניסיונות גישה מותרים לפרק זמן מסוים - לאחר מכן כתובת IP זו נחסמת לפרק זמן מוגדר. לדוגמה, בואו נאפשר 5 ניסיונות אימות SSH כושלים בתוך שעתיים, ואז נחסום את כתובת ה-IP הנתונה למשך 2 שעות.

התקנת Fail2Ban על CentOS ו-Red Hat:

sudo yum install fail2ban

התקנה באובונטו ובדביאן:

sudo apt install fail2ban

לְהַשִׁיק:

systemctl start fail2ban
systemctl enable fail2ban

לתוכנית יש שני קובצי תצורה: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf. הגבלות איסור מצוינות בקובץ השני.

כלא עבור SSH מופעל כברירת מחדל עם הגדרות ברירת מחדל (5 ניסיונות, מרווח של 10 דקות, חסימה למשך 10 דקות).

[DEFAULT] ignorecommand=bantime=10m findtime=10m maxretry=5

בנוסף ל-SSH, Fail2Ban יכול להגן על שירותים אחרים בשרת האינטרנט של nginx או Apache.

עדכוני אבטחה אוטומטיים

כפי שאתה יודע, פגיעויות חדשות נמצאות כל הזמן בכל התוכניות. לאחר פרסום המידע, ניצולים מתווספים לחבילות ניצול פופולריות, אשר נמצאות בשימוש מאסיבי על ידי האקרים ובני נוער בעת סריקת כל השרתים ברצף. לכן, חשוב מאוד להתקין עדכוני אבטחה ברגע שהם מופיעים.

בשרת אובונטו, עדכוני אבטחה אוטומטיים מופעלים כברירת מחדל, כך שאין צורך בפעולה נוספת.

ב- CentOS/Red Hat אתה צריך להתקין את האפליקציה dnf-אוטומטי והפעל את הטיימר:

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

בדיקת טיימר:

sudo systemctl status dnf-automatic.timer

שינוי יציאות ברירת המחדל

SSH פותח בשנת 1995 כדי להחליף את telnet (יציאה 23) ו-ftp (יציאה 21), אז מחבר התוכנית, Tatu Iltonen יציאה 22 שנבחרה כברירת מחדל, ואושר על ידי IANA.

באופן טבעי, כל התוקפים מודעים לאיזה פורט SSH פועל - וסורקים אותו יחד עם שאר הפורטים הסטנדרטיים כדי לגלות את גרסת התוכנה, לבדוק סיסמאות שורש סטנדרטיות וכו'.

שינוי פורטים סטנדרטיים - ערפול - מספר פעמים מפחית את כמות תעבורת האשפה, את גודל היומנים והעומס על השרת, וגם מקטין את משטח ההתקפה. למרות שחלק לבקר את השיטה הזו של "הגנה באמצעות ערפול" (ביטחון דרך ערפול). הסיבה היא שהטכניקה הזו מנוגדת לבסיס הגנה אדריכלית. לכן, למשל, המכון הלאומי האמריקאי לתקנים וטכנולוגיה ב "מדריך אבטחת שרת" מצביע על הצורך בארכיטקטורת שרת פתוח: "האבטחה של מערכת לא צריכה להסתמך על סודיות היישום של מרכיביה", נכתב במסמך.

תיאורטית, שינוי יציאות ברירת המחדל נוגד את הנוהג של ארכיטקטורה פתוחה. אך בפועל, כמות התעבורה הזדונית למעשה מצטמצמת, כך שמדובר באמצעי פשוט ויעיל.

ניתן להגדיר את מספר היציאה על ידי שינוי ההנחיה Port 22 בקובץ התצורה / etc / ssh / sshd_config. זה מצוין גם על ידי הפרמטר -p <port> в sshd. לקוח ותוכניות SSH sftp תומך גם באפשרות -p <port>.

פרמטר -p <port> ניתן להשתמש כדי לציין את מספר היציאה בעת חיבור עם הפקודה ssh בלינוקס. IN sftp и scp נעשה שימוש בפרמטר -P <port> (אותית P). הוראת שורת הפקודה עוקפת כל ערך בקובצי תצורה.

אם ישנם שרתים רבים, כמעט כל הפעולות הללו להגנה על שרת לינוקס יכולות להיות אוטומטיות בסקריפט. אבל אם יש רק שרת אחד, אז עדיף לשלוט על התהליך באופן ידני.

על זכויות הפרסום

הזמינו והתחילו מיד! יצירת VDS כל תצורה ועם כל מערכת הפעלה תוך דקה. התצורה המקסימלית תאפשר לך לצאת עד הסוף - 128 ליבות CPU, 512 GB RAM, 4000 GB NVMe. אפי 🙂

מקור: www.habr.com