Eliminere unødvendige og usikrede tjenester for å unngå å bli hakkede - dummies

Unødvendige og usikrede tjenester kan føre til en åpen dør for hackere. Når du vet hvilke demoner og applikasjoner som kjører - som FTP, telnet og en webserver - er det fint å vite nøyaktig hvilke versjoner som kjører, slik at du kan slå opp de tilhørende sårbarhetene og bestemme om du vil slå dem av. Databasen Nasjonal sikkerhetsproblem er en god ressurs for å bestemme sårbarheter.

Søkninger

Flere sikkerhetsverktøy kan bidra til å avgjøre sårbarheter. Disse typer verktøy kan ikke identifisere alle applikasjoner ned til det eksakte versionsnummeret, men de er en svært kraftig måte å samle systeminformasjon på.

Sikkerhetsproblemer

Vær spesielt oppmerksom på disse kjente sikkerhetssvakhetene i et system:

• Anonym FTP - spesielt hvis den ikke er riktig konfigurert - kan gi en måte for en angriper å laste ned og få tilgang til filer på systemet.

• Telnet og FTP er sårbare for nettverksanalysatorfangster av cleartext-bruker-ID og passord som applikasjonene bruker. Deres pålogginger kan også bli brutt-kraft angrepet.

• Gamle versjoner av sendmail har mange sikkerhetsproblemer.

• R-tjenester, som rlogin, rdist, rexecd, rsh og rcp, er spesielt utsatt for angrep.

Mange webservere kjører på Linux, så du kan ikke overse viktigheten av å sjekke om svakheter i Apache, Tomcat og dine spesifikke applikasjoner. For eksempel er et vanlig Linux-sikkerhetsproblem at brukernavn kan bestemmes via Apache når den ikke har UserDir-direktivet deaktivert i httpd. conf fil.

Du kan utnytte denne svakheten manuelt ved å bla til kjente brukermapper, for eksempel // www. din ~ nettstedet. com / user_name eller enda bedre, ved å bruke en sårbarhetsskanner, for eksempel webInspect eller QualysGuard, for automatisk å oppsummere systemet. Uansett kan du kanskje finne ut hvilke Linux-brukere som eksisterer og deretter starte et web-passord-cracking angrep. Det finnes også mange måter å få tilgang til systemfiler (inkludert / etc / passwd) via sårbar CGI-kode.

På samme måte kjører FTP ofte usikret på Linux-systemer. Det er Linux-systemer med anonym FTP-aktivert som delte sensitiv helsetjenester og finansiell informasjon til alle på det lokale nettverket. Så ikke glem å lete etter enkle ting.

Verktøy

Følgende verktøy kan utføre mer grundig informasjonsinnsamling utenom portskanning for å oppsummere Linux-systemene dine og se hva hackere ser:

• Nmap kan sjekke for bestemte versjoner av tjenestene som er lastet.Bare kjør Nmap med -VV kommandolinjebryteren.

  

• Amap ligner på Nmap, men det har et par fordeler:

  • Amap er mye raskere for disse typer skanninger.

  • Amap kan registrere applikasjoner som er konfigurert til å kjøre på ikke-standardporter, for eksempel Apache kjører på port 6789 i stedet for standard 80.

  Amap ble kjørt med følgende alternativer for å telle noen vanlige hackede porter:

  • - 1 gjør skanningen raskere.

  • -b skriver svarene i ASCII-tegn.

  • -q hopper rapportering av lukkede porter.

  • 21 probes FTP-kontrollporten.

  • 22 probes SSH-porten.

  • 23 probes telnet porten.

  • 80 probes

    

• netstat viser tjenestene som kjører på en lokal maskin. Skriv inn denne kommandoen mens du er logget inn:

  netstat -anp
  

• Liste Åpne filer (lsof) viser prosesser som lytter og filer som er åpne på systemet.

Tiltak mot hackangrep på unødvendige tjenester

Du kan og bør deaktivere unødvendige tjenester på Linux-systemene dine. Dette er en av de beste måtene å holde Linux-systemet ditt sikkert. Som å redusere antall inngangspunkter i huset ditt, desto flere inngangspunkter eliminerer du færre steder en inntrenger kan bryte inn.

Deaktivering av unødvendige tjenester

Den beste metoden for å deaktivere unødvendige tjenester, avhenger av hvordan demonen lastes inn det første stedet. Du har flere steder å deaktivere tjenester, avhengig av hvilken versjon av Linux du kjører.

inetd. conf (eller xinetd. conf)

Hvis det gir god forretningsfølelse, deaktiver unødvendige tjenester ved å kommentere lastingen av daemoner du ikke bruker. Følg disse trinnene:

1. Skriv inn følgende kommando i Linux-spørringen:

   ps -aux
   

   Prosess-ID-en (PID) for hver demon, inkludert inetd, er oppført på skjermen.

2. Legg merke til PID for inetd.

3. Åpne / etc / inetd. conf i Linux tekstredigerer vi ved å skrive inn følgende kommando:

   vi / etc / inetd. conf
   

   Or

   / etc / xinetd. conf
   

4. Når du har filen lastet inn i, aktiverer du innstillingsmodusen ved å trykke I.

5. Flytt markøren til begynnelsen av linjen til demonen du vil deaktivere, for eksempel httpd og skriv # på begynnelsen av linjen.

   Dette trinnet kommenterer linjen og forhindrer at det lastes inn når du starter serveren på nytt eller starter på nytt.

6. For å avslutte vi og lagre endringene, trykk på Esc for å gå ut av innstillingsmodusen, skriv: wq, og trykk deretter på Enter.

   Dette forteller vi at du vil skrive endringene og avslutte.

7. Start på nytt ved å skrive inn denne kommandoen med inetd PID:

   

kill -HUP PID

chkconfig

Hvis du ikke har en inetd. conf-fil, vil din versjon av Linux formentlig kjøre xinetd-programmet - en sikrere erstatning for inetd - for å lytte etter innkommende nettverksapplikasjonsforespørsler. Du kan redigere / etc / xinetd. conf fil hvis dette er tilfelle. For mer informasjon om bruken av xinetd og xinetd. conf, skriv inn mann xinetd eller mann xinetd. conf på en Linux kommandoprompt.

Hvis du kjører Red Hat 7. 0 eller nyere, kan du kjøre programmet / sbin / chkconfig for å slå av de demonene du ikke vil laste.

Du kan også skrive inn chkconfig -list ved en ledetekst for å se hvilke tjenester som er aktivert i xinetd. conf fil.

Hvis du vil deaktivere en bestemt tjeneste, si snmp, skriv inn følgende:

chkconfig - del snmpd

Tilgangskontroll

TCP Wrappers kan kontrollere tilgangen til kritiske tjenester du kjører, for eksempel FTP eller HTTP. Dette programmet styrer tilgang for TCP-tjenester og logger bruken av dem, og hjelper deg med å kontrollere tilgang via vertsnavn eller IP-adresse og spore skadelige aktiviteter.