Rafforzamento della sicurezza di server e sistemi operativi

La sicurezza del server è molto importante per proteggere i dati da potenziali intrusi. L'amministratore di sistema è responsabile della sicurezza del server. Innanzitutto, si può affermare che la sicurezza fisica dei sistemi è importante.

Sicurezza fisica dei sistemi di accesso e dei server

Il L'indurimento è il rafforzamento o l'indurimento di un sistema, è il processo di protezione di un sistema riducendo le vulnerabilità. Un sistema è più vulnerabile quando fornisce più funzioni o servizi.
Alcune cose da tenere a mente per evitare attacchi in genere includono la rimozione di software non necessario, nomi utente o accessi non necessari e la disattivazione o la rimozione di servizi non necessari.
Ce ne sono diversi Metodi di tempra su sistemi Unix e Linux. Ciò può comportare, tra le altre misure, la chiusura delle porte di rete aperte. In altri tutorial abbiamo visto come fermare i servizi Applicare misure di sicurezza per i server VPS e Come configurare un firewall per proteggere il tuo server Linux.
La creazione di sistemi di rilevamento delle intrusioni, firewall e sistemi di prevenzione delle intrusioni come Bastille Linux, Aumenta la sicurezza di Linux con Bastille, ad esempio per disabilitare funzionalità che non sono necessarie nei file di configurazione o implementare altre attività di protezione.
Le istruzioni in questo tutorial sono per Linux CentOS / RHEL o distribuzione Linux basata su Ubuntu/Debian, che sono le più utilizzate nei server.
Protocollo di comunicazione SSH
ObbiettivoImpedisci l'accesso all'utente root e crea un nuovo utente amministratore
Per fare ciò andiamo in una finestra di terminale e scriviamo il seguente comando
 sudo gedit / etc / ssh / sshd_config
Quindi cerchiamo la riga:
 Porta 22
e lo cambiamo in un altro numero questo cambierà la porta SSH:
 Porta 4655
E poi cerchiamo la riga e cambiamo il login di root in no:
 PermitRootLogin no
Salviamo e poi riavviamo ssh con il seguente comando:
 sudo service ssh riavvio
Con questo sarà fatto.
Difese che ogni server deve avere per prevenire gli attacchi

Sistema antintrusione


IDS o sistema di rilevamento delle intrusioni è un software che viene utilizzato per rilevare accessi non autorizzati a un computer all'interno di una rete. Questi accessi possono essere attacchi o utenti senza autorizzazione.
Alcuni IDS conosciuti per Linux sono:
Tripwireè uno strumento di integrità e sicurezza dei dati utilizzato per monitorare e segnalare la modifica di file specifici a livello di sistema. Se dei file vengono modificati o modificati, verrà inviato un avviso all'amministratore. Se le modifiche sono valide, le modifiche possono essere aggiunte o accettate tramite il database di Tripwire. In questo modo non verrà rilevato in un'altra scansione.
Per installarlo, apriamo una finestra di terminale e digitiamo i seguenti comandi:
 sudo apt-get install tripwire
Per usarlo scriviamo il seguente codice:
 sudo tripwire -init
 sudo tripwire --check --interactive
Una volta terminata l'analisi, verrà generato un report con tutte le informazioni del sistema, se ci sono settori vulnerabili e quali sono i file:

Altri IDS che possiamo testare sono:
  • sbuffa
  • coperchi
  • snob

Sistema di rilevamento delle intrusioni in un host


HIDS questo tipo di software è quello che viene chiamato come Sistema di rilevamento delle intrusioni dell'host o Sistema di rilevamento delle intrusioni in un Host. Funziona monitorando e analizzando il sistema cercando di rilevare anomalie che potrebbero mettere a rischio la rete o il sistema, quello che fa questo software è verificare le attività che vengono svolte sul computer host.
Alcuni HDIS noto sono:
TigreÈ uno strumento HIDS poiché esegue un audit di sicurezza, oltre a vari controlli di sicurezza, controlla le password deboli, esegue la scansione del sistema per ascoltare le chiamate backdoor che sono Trojan che aprono una porta nel sistema e consentono ad altri aggressori di entrare. L'output può essere formattato in un documento HTML, che puoi quindi aprire con qualsiasi browser.

Per installarlo andiamo in una finestra di terminale ed eseguiamo il seguente comando
 sudo apt-get install tiger
Per fare un controllo completo del sistema scriviamo il seguente comando:
 sudo tigre -H
Questo genererà un report con le modifiche, il report lo salverà nella cartella:
/var/log/tiger/security.report.myuser.150905-17:45.html

Sistema di rilevamento delle intrusioni di rete


NIDS è un sistema di rilevamento delle intrusioni software in una rete. Monitora una rete cercando di rilevare anomalie, come attacchi DDOS o denial of service, scansione di porte sia interne che esterne o tentativi di accesso a un computer senza autorizzazione, tale rilevamento viene effettuato analizzando il traffico di rete in entrata e in uscita in tempo reale .
La metodologia utilizzata dal software NIDS consiste nell'analizzare tutti i pacchetti, cercando possibili attività o codici noti e sospetti. I NIDS analizzano il traffico in entrata, e anche quello in uscita in una rete e anche il traffico all'interno della rete, poiché alcuni attacchi potrebbero essere avviati dall'interno della rete con certificazioni autorizzate dal sistema protetto stesso. L'analisi di un NIDS non consuma molte risorse di rete anche se viene eseguita in tempo reale
Un NIDS ampiamente utilizzato è Snort sbuffa
sbuffaSnort è uno sniffer e uno sniffer di pacchetti che analizza i pacchetti di una rete che entrano ed escono. Dispongono di database con attività note e implementano un motore di rilevamento degli attacchi e scansione delle porte che consente la registrazione, l'avviso di qualsiasi anomalia definita nel database o la registrazione di una nuova. Pertanto, non solo previene le intrusioni, ma verifica anche i pacchetti inviati e ricevuti sulla rete, in modo da poter prevenire tentativi di attacco, scansione del protocollo, ecc. Tutto questo in tempo reale.
Installiamo installa Sniffare su Linux, per usare questo NIDS:
 sudo apt-get update
 sudo apt-get install snort
All'inizio dell'installazione, ci chiederà di indicare quale è l'intervallo IP nella rete.

Ricorda che la subnet mask indicherà il numero di PC o IP disponibili su quella rete, per avere un riferimento abbiamo la seguente tabella che mostra il numero di PC o IP in base alla subnet mask che utilizziamo:

Per verificare che sia stato installato correttamente, dalla finestra del terminale scriviamo il seguente comando:
 sniffa --versione
Successivamente dovremo configurare Snort, per svolgere questo compito da una finestra di terminale scriveremo il seguente comando:
 sudo dpkg riconfigura snort
In questo caso vediamo che ho una rete ethernet 192.168.0.1 e una rete wlan 192.168.0.0, per questa configurazione la mia rete interna è l'ethernet del router e l'ip wlan è il modem via cavo.
Pertanto come configurazione useremo etho0. Configuriamo alcuni dati come numero di alert, email dove inviare alert, controlliamo tutti i pacchetti in rete o solo quelli dall'interfaccia selezionata, ecc.
Alla fine della configurazione indichiamo che snort si avvia come servizio ogni volta che il computer o il server si avvia, questo può essere fatto tramite il seguente comando:
 sudo /etc/init.d/snort restart
Per verificare che funzioni correttamente dall'inizio utilizziamo i seguenti comandi
 sudo /etc/init.d/snort status

Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave