รักษาความปลอดภัยหน่วยความจำที่ใช้ร่วมกัน
/ dev / shm สามารถใช้ในการโจมตีบริการที่กำลังทำงานอยู่เช่น httpd แก้ไข / etc / fstab เพื่อให้ปลอดภัยยิ่งขึ้น
เปิดหน้าต่างเทอร์มินัลแล้วป้อนข้อมูลต่อไปนี้:
sudo vi /etc/fstab
เพิ่มบรรทัดต่อไปนี้และบันทึก คุณจะต้องรีบูตเพื่อให้การตั้งค่านี้มีผล:
tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0
เครือข่ายแข็งด้วยการตั้งค่า sysctl
ไฟล์ /etc/sysctl.conf มีการตั้งค่า sysctl ทั้งหมด ป้องกันการกำหนดเส้นทางต้นทางของแพ็กเก็ตที่เข้ามาและบันทึก IP ที่มีรูปแบบไม่ถูกต้องป้อนข้อมูลต่อไปนี้ในหน้าต่างเทอร์มินัล
sudo vi /etc/sysctl.conf
แก้ไขไฟล์/etc/sysctl.confและไม่แสดงความคิดเห็นหรือเพิ่มบรรทัดต่อไปนี้:
# IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# Disable source packet routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
# Ignore send redirects
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Block SYN attacks
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
# Log Martians
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
# Ignore Directed pings
net.ipv4.icmp_echo_ignore_all = 1
หากต้องการรีโหลด sysctl ด้วยการเปลี่ยนแปลงล่าสุดให้ป้อน:
sudo sysctl -p
ป้องกันการปลอมแปลง IP
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo vi /etc/host.conf
เพิ่มหรือแก้ไขบรรทัดต่อไปนี้:
order bind,hosts
nospoof on
Harden PHP เพื่อความปลอดภัย
แก้ไขไฟล์ php.ini:
sudo vi /etc/php5/apache2/php.ini
เพิ่มหรือแก้ไขบรรทัดต่อไปนี้:
disable_functions = exec,system,shell_exec,passthru
register_globals = Off
expose_php = Off
magic_quotes_gpc = On
Web Application Firewall - ModSecurity
http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server
ปกป้องจากการโจมตี DDOS (ปฏิเสธการบริการ) - ModEvasive
http://www.thefanclub.co.za/how-to/how-install-apache2-modsecurity-and-modevasive-ubuntu-1204-lts-server
สแกนบันทึกและห้ามโฮสต์ที่น่าสงสัย - DenyHosts และ Fail2Ban
@DenyHosts
DenyHosts เป็นโปรแกรมไพ ธ อนที่บล็อกการโจมตี SSH โดยอัตโนมัติโดยการเพิ่มรายการไปยัง /etc/hosts.deny DenyHosts จะแจ้งผู้ดูแลระบบ Linux เกี่ยวกับโฮสต์ที่ถูกโจมตีโจมตีผู้ใช้และการเข้าสู่ระบบที่น่าสงสัย
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install denyhosts
หลังจากการติดตั้งแก้ไขไฟล์การกำหนดค่า / etc / denyhosts.conf และเปลี่ยนอีเมลและการตั้งค่าอื่น ๆ ตามที่ต้องการ
หากต้องการแก้ไขการตั้งค่าอีเมลผู้ดูแลระบบให้เปิดหน้าต่างเทอร์มินัลแล้วป้อน:
sudo vi /etc/denyhosts.conf
เปลี่ยนค่าต่อไปนี้ตามที่ต้องการบนเซิร์ฟเวอร์ของคุณ:
ADMIN_EMAIL = root@localhost
SMTP_HOST = localhost
SMTP_PORT = 25
#SMTP_USERNAME=foo
#SMTP_PASSWORD=bar
SMTP_FROM = DenyHosts nobody@localhost
#SYSLOG_REPORT=YES
@ Fail2Ban
Fail2ban นั้นล้ำหน้ากว่า DenyHosts เนื่องจากมันขยายการตรวจสอบบันทึกไปยังบริการอื่น ๆ รวมถึง SSH, Apache, Courier, FTP และอื่น ๆ
Fail2ban สแกนไฟล์บันทึกและห้ามแบนด์วิดธ์ IP ที่แสดงสัญญาณที่เป็นอันตราย - รหัสผ่านล้มเหลวมากเกินไปค้นหาการหาช่องโหว่ ฯลฯ
โดยทั่วไปแล้ว Fail2Ban จะใช้เพื่ออัปเดตกฎไฟร์วอลล์เพื่อปฏิเสธที่อยู่ IP ตามระยะเวลาที่กำหนดแม้ว่าจะสามารถกำหนดค่าการดำเนินการอื่นใดก็ได้ Fail2Ban มาพร้อมกับตัวกรองสำหรับบริการต่างๆ (apache, courier, ftp, ssh, ฯลฯ )
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install fail2ban
หลังจากการติดตั้งแก้ไขไฟล์กำหนดค่า/etc/fail2ban/jail.local และสร้างกฎตัวกรองตามต้องการ
หากต้องการแก้ไขการตั้งค่าให้เปิดหน้าต่างเทอร์มินัลแล้วป้อน:
sudo vi /etc/fail2ban/jail.conf
เปิดใช้งานบริการทั้งหมดที่คุณต้องการ fail2ban เพื่อตรวจสอบโดยการเปลี่ยนenabled = false เป็น * enabled = true *
ตัวอย่างเช่นถ้าคุณต้องการเปิดใช้งาน SSH การตรวจสอบและห้ามคุกพบบรรทัดด้านล่างและการเปลี่ยนแปลงการเปิดใช้งานจากfalse เป็น true แค่นั้นแหละ.
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
หากคุณต้องการรับอีเมลจาก Fail2Banหากโฮสต์ถูกแบนให้เปลี่ยนบรรทัดต่อไปนี้เป็นที่อยู่อีเมลของคุณ
destemail = root@localhost
และเปลี่ยนบรรทัดต่อไปนี้จาก:
action = %(action_)s
ไปที่:
action = %(action_mwl)s
นอกจากนี้คุณยังสามารถสร้างตัวกรองกฎสำหรับบริการต่างๆที่คุณต้องการ fail2ban เพื่อตรวจสอบว่าไม่ได้เป็นค่าเริ่มต้น
sudo vi /etc/fail2ban/jail.local
คำแนะนำที่ดีเกี่ยวกับวิธีกำหนดค่า fail2ban และสร้างตัวกรองต่าง ๆ สามารถดูได้ที่HowtoForge - คลิกที่นี่เพื่อดูตัวอย่าง
เมื่อเสร็จสิ้นด้วยการกำหนดค่าของ Fail2Ban เริ่มบริการด้วย:
sudo /etc/init.d/fail2ban restart
คุณสามารถตรวจสอบสถานะได้ด้วย
sudo fail2ban-client status
ตรวจสอบรูทคิท - RKHunter และ CHKRootKit
ทั้งRKHunterและCHKRootkitนั้นทำสิ่งเดียวกัน - ตรวจสอบระบบของคุณเพื่อหารูทคิท ไม่เป็นอันตรายต่อการใช้งานทั้งคู่
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install rkhunter chkrootkit
ในการรัน chkrootkit เปิดหน้าต่างเทอร์มินัลและป้อน:
sudo chkrootkit
เพื่ออัปเดตและเรียกใช้ RKHunter เปิดเทอร์มินัลแล้วป้อนข้อมูลต่อไปนี้
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check
สแกนพอร์ตที่เปิด - Nmap
Nmap ("Network Mapper") เป็นยูทิลิตี้ฟรีและโอเพ่นซอร์สสำหรับการค้นหาเครือข่ายและการตรวจสอบความปลอดภัย
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install nmap
สแกนระบบของคุณสำหรับพอร์ตที่เปิดด้วย:
nmap -v -sT localhost
การสแกน SYN พร้อมกับสิ่งต่อไปนี้:
sudo nmap -v -sS localhost
วิเคราะห์ไฟล์บันทึกของระบบ - LogWatch
Logwatch เป็นระบบวิเคราะห์บันทึกที่ปรับแต่งได้ Logwatch แยกวิเคราะห์ผ่านบันทึกของระบบของคุณและสร้างรายงานการวิเคราะห์พื้นที่ที่คุณระบุ Logwatch ใช้งานง่ายและจะทำงานได้ทันทีจากแพ็คเกจในระบบส่วนใหญ่
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install logwatch libdate-manip-perl
ในการดูเอาต์พุตของบันทึกดูใช้น้อย:
sudo logwatch | less
หากต้องการส่งรายงานรายงานการตรวจสอบย้อนหลัง 7 วันที่ผ่านมาไปยังที่อยู่อีเมลให้ป้อนข้อมูลต่อไปนี้และแทนที่ mail@domain.com ด้วยอีเมลที่จำเป็น :
sudo logwatch --mailto mail@domain.com --output mail --format html --range 'between -7 days and today'
ตรวจสอบความปลอดภัยของระบบของคุณ - Tiger
Tiger เป็นเครื่องมือรักษาความปลอดภัยที่สามารถใช้ได้ทั้งกับระบบตรวจสอบความปลอดภัยและระบบตรวจจับการบุกรุก
เปิด Terminal และป้อนข้อมูลต่อไปนี้:
sudo apt-get install tiger
ในการวิ่งเสือเข้า:
sudo tiger
เอาต์พุต Tiger ทั้งหมดสามารถพบได้ใน / var / log / tiger
หากต้องการดูรายงานความปลอดภัยของเสือเปิดเทอร์มินัลแล้วป้อนข้อมูลต่อไปนี้:
sudo less /var/log/tiger/security.report.*
สำหรับความช่วยเหลือเพิ่มเติม
