Λίστα ελέγχου σκλήρυνσης διακομιστών Linux

Μια προεπιλεγμένη εγκατάσταση Linux δεν είναι μια ασφαλής εγκατάσταση Linux. Οι λανθασμένες ρυθμίσεις, όπως η ανοικτή πρόσβαση SSH root, τα αδύναμα τείχη προστασίας και το μη ενημερωμένο λογισμικό ευθύνονται για την πλειονότητα των παραβιάσεων. Οι νέοι διακομιστές έρχονται αντιμέτωποι με αυτοματοποιημένες σαρώσεις μέσα σε λίγα λεπτά από τη στιγμή που θα τεθούν σε λειτουργία, οπότε η σκλήρυνση πρέπει να γίνει πριν από οτιδήποτε άλλο.

Αυτός ο κατάλογος ελέγχου καλύπτει τα βασικά βήματα: κλείδωμα του SSH, διαμόρφωση των τειχών προστασίας, επιδιόρθωση, αυστηροποίηση των δικαιωμάτων αρχείων, ενεργοποίηση υποχρεωτικών ελέγχων πρόσβασης και ρύθμιση της καταγραφής ελέγχου.

Κλείδωμα του SSH

Το SSH είναι το κύριο σημείο πρόσβασής σας και το πρώτο πράγμα που εξετάζουν οι επιτιθέμενοι. Η προεπιλεγμένη διαμόρφωση (password auth, root login, port 22) είναι ακριβώς αυτό που αναζητούν οι αυτοματοποιημένοι σαρωτές.

Δημιουργήστε ένα ζεύγος κλειδιών Ed25519, το οποίο προσφέρει καλύτερη ασφάλεια και απόδοση από το RSA:

ssh-keygen -t ed25519

Μόλις λειτουργήσει η σύνδεση με βάση το κλειδί, ενημερώστε το αρχείο /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Αλλάξτε την προεπιλεγμένη θύρα από 22 σε κάτι λιγότερο προφανές. Αυτό δεν θα σταματήσει έναν αποφασισμένο επιτιθέμενο, αλλά μειώνει σημαντικά το θόρυβο από τις αυτοματοποιημένες σαρώσεις.

Να δοκιμάζετε πάντα τις αλλαγές από ένα δεύτερο τερματικό πριν κλείσετε την τρέχουσα συνεδρία σας. Εκτελέστε το sudo sshd -t για να ελέγξετε για συντακτικά σφάλματα και, στη συνέχεια, το systemctl reload sshd για να το εφαρμόσετε χωρίς να εγκαταλείψετε τις ενεργές συνδέσεις.

Προσθέστε έλεγχο ταυτότητας δύο παραγόντων

2FA σημαίνει ότι ένας εισβολέας χρειάζεται τόσο το κλειδί SSH όσο και φυσική πρόσβαση στη συσκευή σας. Εγκαταστήστε την ενότητα PAM του Google Authenticator:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Εκτελέστε το google-authenticator για κάθε χρήστη για να δημιουργήσετε ένα μυστικό κλειδί και κωδικούς ανάκτησης. Αποθηκεύστε τους κωδικούς ανάκτησης εκτός σύνδεσης.

Προσθέστε αυτή τη γραμμή στο αρχείο /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Στη συνέχεια, ενημερώστε το αρχείο /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Διατηρήστε μια ενεργή συνεδρία ανοιχτή κατά τη διάρκεια των δοκιμών. Οι κωδικοί TOTP εξαρτώνται από την ακριβή ώρα του συστήματος, οπότε βεβαιωθείτε ότι το NTP λειτουργεί.

Διαμόρφωση τειχών προστασίας και Fail2Ban

Εκτελέστε ένα τείχος προστασίας με βάση τον κεντρικό υπολογιστή, ακόμη και αν ο διακομιστής σας βρίσκεται πίσω από ένα τείχος προστασίας δικτύου. Η αρχή είναι απλή: αρνηθείτε όλη την εισερχόμενη κυκλοφορία από προεπιλογή και στη συνέχεια επιτρέψτε μόνο ό,τι χρειάζεστε.

Για Ubuntu/Debian (UFW):

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

Για RHEL/Rocky/AlmaLinux (Firewalld):

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Σκληρύνετε τη στοίβα δικτύου του πυρήνα προσθέτοντας αυτά στο αρχείο /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Εγκαταστήστε το Fail2Ban

Το Fail2Ban παρακολουθεί τις προσπάθειες σύνδεσης και απαγορεύει τις IPs μετά από επανειλημμένες αποτυχίες. Δημιουργήστε το αρχείο /etc/fail2ban/jail.local (μην επεξεργαστείτε απευθείας το jail.conf, οι ενημερώσεις θα το αντικαταστήσουν) και ρυθμίστε το να απαγορεύει τις IPs για μία ώρα μετά από τρεις αποτυχημένες προσπάθειες μέσα σε 10 λεπτά. Ορίστε το σωστό backend για το τείχος προστασίας σας(banaction = ufw ή banaction = nftables).

Έλεγχος υπηρεσιών και κατάργηση παλαιών πρωτοκόλλων

Ελέγξτε τι ακούει με την εντολή ss -tlnp και τι εκτελείται με την εντολή systemctl list-units --type=service --state=running. Απενεργοποιήστε οτιδήποτε δεν χρειάζεστε: Bluetooth, CUPS, avahi-daemon, rpcbind.

Αφαιρέστε τα παλαιά πρωτόκολλα που μεταδίδουν δεδομένα σε καθαρό κείμενο:

Σε Debian/Ubuntu: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. Σε συστήματα που βασίζονται σε RHEL: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Επαληθεύστε την αφαίρεση με ss -tulpn.

Επιδιορθώσεις και αυτοματοποίηση ενημερώσεων

Η ενημέρωση του συστήματός σας είναι ο ταχύτερος τρόπος για να κλείσετε τα γνωστά κενά ασφαλείας. Εκτελέστε ενημερώσεις αμέσως μετά την παροχή:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Στη συνέχεια, αυτοματοποιήστε τις διορθώσεις ασφαλείας. Στο Debian/Ubuntu, εγκαταστήστε unattended-upgrades και ρυθμίστε το ώστε να εφαρμόζει μόνο διορθώσεις ασφαλείας. Στο RHEL/Rocky, εγκαταστήστε το dnf-automatic και ορίστε upgrade_type = security στο αρχείο /etc/dnf/automatic.conf.

Ρυθμίστε ειδοποιήσεις ηλεκτρονικού ταχυδρομείου για τα αποτελέσματα των ενημερώσεων. Απενεργοποιήστε τις αυτόματες επανεκκινήσεις στους διακομιστές παραγωγής(Automatic-Reboot = false), ώστε οι επανεκκινήσεις να γίνονται κατά τη διάρκεια των προγραμματισμένων παραθύρων συντήρησης. Για περιβάλλοντα με υψηλή διάρκεια ζωής, εξετάστε το ενδεχόμενο ζωντανής επιδιόρθωσης με το Canonical Livepatch (Ubuntu) ή το kpatch (RHEL).

Σκλήρυνση των συστημάτων αρχείων και των δικαιωμάτων

Ελέγξτε πρώτα τα δυαδικά αρχεία SUID και SGID. Αυτά τα αρχεία εκτελούνται με αυξημένα προνόμια και αποτελούν πρωταρχικούς στόχους για εκμετάλλευση:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Αυστηροποιήστε τα δικαιώματα σε κρίσιμα αρχεία: /etc/shadow πρέπει να είναι 600, /etc/passwd πρέπει να είναι 644, /etc/ssh/sshd_config πρέπει να είναι 600. Ορίστε ένα global umask 027 στο /etc/profile για να αποτρέψετε τα νέα αρχεία να είναι αναγνώσιμα από τον κόσμο.

Βρείτε και διορθώστε τα αρχεία που μπορούν να εγγραφούν από τον κόσμο με find / -xdev -type f -perm -0002 -ls. Για καταλόγους που πρέπει να παραμείνουν εγγράψιμοι από τον κόσμο (όπως ο /tmp), εφαρμόστε το sticky bit: chmod 1777 /tmp.

Επιλογές ασφαλούς προσάρτησης

Επεξεργαστείτε το /etc/fstab για να περιορίσετε τι μπορεί να συμβεί σε κρίσιμες κατατμήσεις:

Δοκιμάστε τις αλλαγές με mount -o remount πριν από την επανεκκίνηση για να αποφύγετε προβλήματα εκκίνησης.

Ενεργοποίηση υποχρεωτικών ελέγχων πρόσβασης

Το SELinux και το AppArmor προσθέτουν περιορισμούς σε επίπεδο πυρήνα σχετικά με το τι μπορούν να κάνουν οι διεργασίες. Χρησιμοποιήστε όποιο από αυτά διαθέτει η διανομή σας: SELinux για RHEL/CentOS/Fedora, AppArmor για Ubuntu/Debian/SUSE. Η εναλλαγή μεταξύ τους προκαλεί προβλήματα συμβατότητας.

SELinux: Ελέγξτε την κατάσταση με το getenforce. Ξεκινήστε σε επιτρεπτική λειτουργία(setenforce 0) για τουλάχιστον δύο εβδομάδες για να καταγράψετε τη συμπεριφορά του φόρτου εργασίας χωρίς να σπάσετε τίποτα. Παρακολουθήστε τις παραβιάσεις με το ausearch -m avc -ts recent. Χρησιμοποιήστε το audit2why για να διαγνώσετε μπλοκαρίσματα και το audit2allow -M [όνομα_μονάδας] για να δημιουργήσετε ενότητες πολιτικής. Μόλις τα αρχεία καταγραφής είναι καθαρά, μεταβείτε σε επιβολή με setenforce 1, και στη συνέχεια κάντε το μόνιμο στο /etc/selinux/config.

AppArmor: Ελέγξτε τα ενεργά προφίλ με το aa-status. Εγκαταστήστε το apparmor-utils για εντολές διαχείρισης. Ξεκινήστε τα προφίλ σε κατάσταση παραπόνων με aa-complain, και στη συνέχεια μεταβείτε σε κατάσταση επιβολής με aa-enforce μόλις είστε σίγουροι. Χρησιμοποιήστε το aa-genprof για να δημιουργήσετε προφίλ για προσαρμοσμένες εφαρμογές.

Ρύθμιση καταγραφής και παρακολούθησης ελέγχου

Χωρίς καταγραφή, τα περιστατικά δεν αφήνουν κανένα ίχνος. Εγκαταστήστε το auditd:

sudo apt-get install auditd audispd-plugins

Προσθέστε παρακολούθηση του συστήματος αρχείων για κρίσιμα αρχεία:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Παρακολουθήστε όλες τις εκτελέσεις εντολών σε επίπεδο root:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Φορτώστε κανόνες με augenrules --load και προσθέστε -e 2 στο τέλος του αρχείου κανόνων σας για να κάνετε τη ρύθμιση παραμέτρων ανθεκτική στην παραβίαση (οι αλλαγές απαιτούν επανεκκίνηση).

Παρακολούθηση της ακεραιότητας αρχείων με το AIDE

Το AIDE ανιχνεύει μη εξουσιοδοτημένες αλλαγές αρχείων συγκρίνοντας την τρέχουσα κατάσταση με μια γνωστή-καλή βασική γραμμή. Εγκαταστήστε το, αρχικοποιήστε τη βάση δεδομένων με το aideinit και μετακινήστε το αρχείο που προκύπτει στο /var/lib/aide/aide.db.gz. Ρυθμίστε μια καθημερινή εργασία cron για να εκτελεί το aide --check και να στέλνει τα αποτελέσματα με email στους διαχειριστές.

Κεντρικοποίηση των αρχείων καταγραφής

Τα τοπικά αρχεία καταγραφής είναι άχρηστα αν ένας εισβολέας με πρόσβαση root τα διαγράψει. Προωθήστε τα αρχεία καταγραφής σε έναν απομακρυσμένο διακομιστή σε πραγματικό χρόνο χρησιμοποιώντας rsyslog με κρυπτογράφηση TLS. Προσθέστε στο αρχείο /etc/rsyslog.conf:

*.* @@remote-host:514

Ορίστε το LogLevel VERBOSE στη ρύθμιση παραμέτρων SSH, ώστε τα αρχεία καταγραφής να περιλαμβάνουν δακτυλικά αποτυπώματα κλειδιών για κάθε επιτυχή είσοδο. Για περιβάλλοντα παραγωγής που διαχειρίζονται πολλούς διακομιστές, εργαλεία όπως το Wazuh ή το OSSEC παρέχουν ανίχνευση εισβολής με βάση τον κεντρικό υπολογιστή με κεντρική ανάλυση αρχείων καταγραφής.

Συνεχής συντήρηση

Η σκλήρυνση δεν είναι μια εφάπαξ εργασία. Οι διαμορφώσεις παρασύρονται, εμφανίζονται νέα τρωτά σημεία και οι αλλαγές στο προσωπικό αφήνουν πίσω τους ορφανούς λογαριασμούς.

Εβδομαδιαία: Επανεξέταση των αρχείων καταγραφής Fail2Ban, έλεγχος για αποτυχημένες ενημερώσεις, επαλήθευση αντιγράφων ασφαλείας.

Μηνιαία: Έλεγχος λογαριασμών χρηστών και δικαιωμάτων, επανεξέταση των υπηρεσιών που εκτελούνται, πλήρης σάρωση με το Lynis ή το OpenSCAP.

Τριμηνιαία: Εναλλαγή διαπιστευτηρίων, ενημέρωση κανόνων τείχους προστασίας, δοκιμή ανάκτησης μετά από καταστροφή.

Χρησιμοποιήστε εργαλεία infrastructure-as-code όπως το Ansible με ρόλους σκλήρυνσης dev-sec.io για να επιβάλλετε συνεπείς διαμορφώσεις σε όλο το στόλο σας και να αποτρέψετε την παρέκκλιση μεταξύ των ελέγχων.

Οι αποκλειστικοί διακομιστές της FDC σας παρέχουν πλήρη πρόσβαση root και πλήρη έλεγχο της στοίβας ασφαλείας σας. Εξερευνήστε τις επιλογές αποκλειστικών διακομιστών για να χτίσετε σε μια πλατφόρμα όπου ελέγχετε κάθε επίπεδο.