Εξάλειψη των περιττών και μη ασφαλισμένων υπηρεσιών για την αποφυγή της απόκρυψης

Οι περιττές και μη εξασφαλισμένες υπηρεσίες μπορούν να οδηγήσουν σε ανοιχτή πόρτα για χάκερ. Όταν γνωρίζετε ποιοι δαίμονες και εφαρμογές εκτελούνται - όπως το FTP, το telnet και ένας διακομιστής ιστού - είναι ωραίο να γνωρίζετε ακριβώς ποιες εκδόσεις εκτελούνται, ώστε να μπορείτε να αναζητήσετε τις σχετικές ευπάθειές τους και να αποφασίσετε αν θα τις απενεργοποιήσετε. Ο ιστότοπος της Εθνικής Βάσης Δεδομένων Ευπάθειας αποτελεί έναν καλό πόρο για τον εντοπισμό τρωτών σημείων.

Αναζητήσεις

Αρκετά εργαλεία ασφαλείας μπορούν να βοηθήσουν στον προσδιορισμό τρωτών σημείων. Αυτοί οι τύποι βοηθητικών προγραμμάτων ενδέχεται να μην προσδιορίζουν όλες τις εφαρμογές μέχρι τον ακριβή αριθμό έκδοσης, αλλά είναι ένας πολύ ισχυρός τρόπος συλλογής πληροφοριών συστήματος.

Αδυναμίες

Προσέξτε ιδιαίτερα αυτές τις γνωστές αδυναμίες ασφαλείας σε ένα σύστημα:

• Το ανώνυμο FTP - ειδικά εάν δεν έχει ρυθμιστεί σωστά - μπορεί να προσφέρει έναν τρόπο για έναν εισβολέα να κατεβάσει και να αποκτήσει πρόσβαση σε αρχεία στο σύστημά σας.

• Το Telnet και το FTP είναι ευάλωτα σε συλλήψεις αναλυτών δικτύου του αναγνωριστικού χρήστη του σαφούς κειμένου και του κωδικού πρόσβασης που χρησιμοποιούν οι εφαρμογές. Οι σύνδεσμοί τους μπορούν επίσης να επιτεθούν με βίαιη δύναμη.

• Οι παλιές εκδόσεις του sendmail έχουν πολλά προβλήματα ασφαλείας.

• Οι υπηρεσίες R, όπως rlogin, rdist, rexecd, rsh και rcp, είναι ιδιαίτερα ευάλωτες στις επιθέσεις.

Πολλοί διακομιστές ιστού λειτουργούν σε Linux, οπότε δεν μπορείτε να παραβλέψετε τη σημασία του ελέγχου για τις αδυναμίες του Apache, του Tomcat και των συγκεκριμένων εφαρμογών σας. Για παράδειγμα, ένα κοινό ευπάθεια του Linux είναι ότι τα ονόματα χρηστών μπορούν να προσδιοριστούν μέσω του Apache όταν δεν έχει απενεργοποιηθεί η οδηγία UserDir στο httpd του. conf αρχείο.

Μπορείτε να εκμεταλλευτείτε αυτήν την αδυναμία με το χέρι περιηγώντας σε γνωστούς φακέλους χρηστών, όπως // www. site σας. com / user_name ή, ακόμα καλύτερα, χρησιμοποιώντας έναν σαρωτή ευπάθειας, όπως το webInspect ή το QualysGuard, για την αυτόματη απαρίθμηση του συστήματος. Είτε έτσι είτε αλλιώς, μπορεί να μπορείτε να μάθετε ποιοι χρήστες Linux υπάρχουν και στη συνέχεια να ξεκινήσετε μια επίθεση κατάσβεσης με κωδικό πρόσβασης στο διαδίκτυο. Υπάρχουν επίσης πολλοί τρόποι πρόσβασης στα αρχεία συστήματος (συμπεριλαμβανομένου του / etc / passwd) μέσω ευπαθούς κώδικα CGI.

Ομοίως, το FTP συχνά εκτελείται χωρίς ασφάλεια σε συστήματα Linux. Υπάρχουν συστήματα Linux με ανώνυμη δυνατότητα FTP που μοιράζονταν ευαίσθητες υπηρεσίες υγειονομικής περίθαλψης και οικονομικές πληροφορίες σε όλους στο τοπικό δίκτυο. Έτσι, μην ξεχάσετε να αναζητήσετε τα απλά πράγματα.

Εργαλεία

Τα παρακάτω εργαλεία μπορούν να διεκπεραιώσουν πιο λεπτομερή συλλογή πληροφοριών πέρα ​​από τη σάρωση για θύρα για να απαριθμήσουν τα συστήματα Linux και να δουν τι βλέπουν οι χάκερ:

• Το Nmap μπορεί να ελέγξει για συγκεκριμένες εκδόσεις των υπηρεσιών που έχουν φορτωθεί.Απλά εκτελέστε το Nmap με το διακόπτη γραμμής εντολών -sV.

  

• Το Amap είναι παρόμοιο με το Nmap, αλλά έχει μερικά πλεονεκτήματα:

  • Το Amap είναι πολύ πιο γρήγορο για αυτούς τους τύπους σαρώσεων.

  • Το Amap μπορεί να ανιχνεύσει εφαρμογές που έχουν ρυθμιστεί ώστε να εκτελούνται σε μη τυπικές θύρες, όπως το Apache που εκτελείται στη θύρα 6789 αντί για τις προεπιλεγμένες 80.

  Το Amap εκτελέστηκε με τις ακόλουθες επιλογές για να απαριθμήσει κάποιες συχνά θύρες:

  • 1 κάνει την σάρωση να τρέχει γρηγορότερα.

  • -b εκτυπώνει τις απαντήσεις σε χαρακτήρες ASCII.

  • -q παραλείπει την αναφορά κλειστών θυρών.

  • 21 ανιχνεύει τη θύρα ελέγχου FTP.

  • 22 ανιχνεύει τη θύρα SSH.

  • 23 ανιχνεύει τη θύρα telnet.

  • 80 ανιχνεύει τη θύρα

    

• Το netstat εμφανίζει τις υπηρεσίες που εκτελούνται σε ένα τοπικό μηχάνημα. Εισαγάγετε αυτήν την εντολή κατά τη σύνδεση:

  netstat -anp
  

• Η λίστα Open Files (lsof) εμφανίζει τις διαδικασίες που ακούν και τα αρχεία που είναι ανοιχτά στο σύστημα.

Αντίμετρα κατά της προσβολής από αθέμιτες υπηρεσίες

Μπορείτε και πρέπει να απενεργοποιήσετε τις άσκοπες υπηρεσίες στα συστήματά σας Linux. Αυτός είναι ένας από τους καλύτερους τρόπους για να διατηρήσετε το σύστημα Linux σας ασφαλή. Όπως μειώνοντας τον αριθμό των σημείων εισόδου στο σπίτι σας, τόσο περισσότερα σημεία εισόδου εξαλείφετε τα λιγότερα σημεία που μπορεί να εισβάλλει ένας εισβολέας.

Απενεργοποίηση υπηρεσιών που δεν χρειάζονται

Η καλύτερη μέθοδος απενεργοποίησης των υπηρεσιών που δεν χρειάζεστε εξαρτάται από τον τρόπο φόρτωσης του δαίμονα η πρώτη θέση. Έχετε πολλά μέρη για να απενεργοποιήσετε τις υπηρεσίες, ανάλογα με την έκδοση του Linux που τρέχετε.

inetd. conf (ή xinetd. conf)

Αν έχει καλή επιχειρηματική λογική, απενεργοποιήστε τις υπηρεσίες που δεν χρειάζεστε σχολιάζοντας τη φόρτωση των δαίμονες που δεν χρησιμοποιείτε. Ακολουθήστε τα παρακάτω βήματα:

1. Πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών του Linux:

   ps -aux
   

   Το αναγνωριστικό διαδικασίας (PID) για κάθε δαίμονα, συμπεριλαμβανομένου του inetd, παρατίθεται στην οθόνη.

2. Σημειώστε το PID για το inetd.

3. Άνοιγμα / etc / inetd. conf στον επεξεργαστή κειμένου Linux vi εισάγοντας την ακόλουθη εντολή:

   vi / etc / inetd. conf
   

   Ή

   / etc / xinetd. conf
   

4. Όταν έχετε φορτώσει το αρχείο στο vi, ενεργοποιήστε τη λειτουργία εισαγωγής πατώντας I.

5. Μετακινήστε το δρομέα στην αρχή της γραμμής του δαίμονα που θέλετε να απενεργοποιήσετε, όπως httpd, και πληκτρολογήστε # at την αρχή της γραμμής.

   Αυτό το βήμα σχολιάζει τη γραμμή και αποτρέπει τη φόρτωσή του κατά την επανεκκίνηση του διακομιστή ή την επανεκκίνηση του inetd.

6. Για να βγείτε από το vi και να αποθηκεύσετε τις αλλαγές σας, πατήστε Esc για έξοδο από τη λειτουργία εισαγωγής, πληκτρολογήστε: wq και στη συνέχεια πατήστε Enter.

   Αυτό λέει στο vi ότι θέλετε να γράψετε τις αλλαγές σας και να κλείσετε.

7. Επανεκκινήστε inetd εισάγοντας αυτή την εντολή με το inetd PID:

   

kill -HUP PID

chkconfig

Αν δεν έχετε inetd. conf, η έκδοση του Linux σας πιθανώς τρέχει το πρόγραμμα xinetd - μια ασφαλέστερη αντικατάσταση του inetd - για να ακούσει τις εισερχόμενες αιτήσεις δικτύου. Μπορείτε να επεξεργαστείτε το αρχείο / etc / xinetd. conf αρχείο αν αυτό συμβαίνει. Για περισσότερες πληροφορίες σχετικά με τη χρήση του xinetd και του xinetd. conf, πληκτρολογήστε άνθρωπος xinetd ή άνθρωπος xinetd. conf σε μια γραμμή εντολών Linux.

Εάν εκτελείτε Red Hat 7. 0 ή νεότερη έκδοση, μπορείτε να εκτελέσετε το / sbin / chkconfig πρόγραμμα για να απενεργοποιήσετε τους δαίμονες που δεν θέλετε να φορτώσετε.

Μπορείτε επίσης να εισαγάγετε chkconfig-λίστα σε μια γραμμή εντολών για να δείτε ποιες υπηρεσίες είναι ενεργοποιημένες στο xinetd. conf αρχείο.

Εάν θέλετε να απενεργοποιήσετε μια συγκεκριμένη υπηρεσία, ας πούμε snmp, πληκτρολογήστε τα ακόλουθα:

chkconfig --del snmpd

Έλεγχος πρόσβασης

TCP Wrappers μπορούν να ελέγχουν την πρόσβαση σε κρίσιμες υπηρεσίες που εκτελείτε, ή HTTP. Αυτό το πρόγραμμα ελέγχει την πρόσβαση για υπηρεσίες TCP και καταγράφει τη χρήση τους, βοηθώντας σας να ελέγχετε την πρόσβαση μέσω hostname ή IP address και να παρακολουθείτε κακόβουλες δραστηριότητες.