openSUSE România

Așa cum bine știți lumea cibernetică este plină de capcane altele mai periculoase decât altele. Dacă pentru Windows există destule tipuri de viruși sau troieni, noi utilizatorii de linux trebuie să facem față numeroaselor exploit-uri sau rootkit-uri ce ne pot afecta serverul în mai multe feluri decât ne putem inchipui.

Ce putem face pentru a ne proteja serverul?

Răspunsul la această întrebare este destul de complicat și în cele bune cazuri oferă 99,99% protecție (da, o urmă de necunoscut tot va rămâne) serverului vostru. Pentru început este bine să rețineți că un exploit sau rootkit poate fi introdus sub o distribuție linux în urma a numeroase atacuri, numite atacuri de tip brute-force. Porturile vizate de aceste atacuri sunt în general 22 (SSH) sau 443 (https) și caută numeroase puncte slabe precum useri sau parole prost sau deloc configurare. Menționez pe această cale că mai există și alte porturi vulnerabile doar că în cazul meu doar acestea erau atacate.

Primii pași pentru asigurarea protecției serverului nostru:
1. nu instalați implicit activați serviciul de telnet deoarece acesta este depășit și folosește sistemul de trimitere a parolelor în modul plain-text;
2. folosind Yast instalați pachetul yast2-sshd. După instalare accesați Network Service respectiv SSHD Configuration și faceți următoarele setări: în tabul General în loc de port 22 puneți orice alt port, in tabul Login Settings debifați căsuța permit root login și în tabul protocol and ciphers setați 2only după care se dă finish;
3. se deschide noul port în firewall accesând Security and users, respectiv Firewall după care se dă click pe Allowed Services apoi pe Advanced și la TCP Ports se adaugă noul port. Salvarea se face dând OK apoi Next și desigur Finish. Acest pas este opțional dacă nu doriți să folosiți acest serviciu pe server.
Acestea ar fi câteva setări minime pe care un utilizator ar trebui să le facă. Pentru a adăuga protecție la setările noastre putem instala, folosind YaST desigur, programul fail2ban. Scopul acestuia este de a bana orice ip care comite prea multe greșeli în ceea ce privește parola sau userul (și să preîntâmpine astfel atacurile brute-force).

O protecție mai avansată, pentru cei care doresc asta, este oferită de programe precum setul portsentry, logcheck si chkrookit sau de către programul rkhunter ce mărește rata de detecție a programului chkrootkit.
Ghidul de instalare pentru setul portsentry, logcheck si chkrookit îl puteți găsi la pagina http://www.falkotimme.com/howtos/chkrootkit_portsentry/ (este destul de detaliat recomand citirea cu atenție a acestuia). Doresc să adaug aici un element ce a scăpat creatorului acelui tutorial și anume în portsentry-beta există fișierul portsentry.c ce conține o greșeală de construcție la linia 1583, soluția poate fi găsită în cadrul acestei topici http://www.howtoforge.com/forums/showthread.php?t=25114

Ghidul de instalare și download pentru rkhunter este: http://www.rootkit.nl/ sau http://www.dedicated-resources.com/guide/65/How-To-Install-RKHunter.html

La prima vedere pot părea o grămadă de programe de instalat, dar odată active vă puteți face o idee despre ceea ce se întâmplă atunci când o distribuție Linux ce are funcția server activă(apache,php și mysql) plus portul ssh deschis și este expus unei conexiuni de internet. De asemenea menționez că programele portsentry, logcheck, chkrookit și rkhunter pot fi instalate ca un pachet de protecție a serverului vostru deoarece ele nu vor avea conflicte în timpul funcționării.

Acest articol a fost publicat sub categria Programe Utile. Puteţi urmări răspunsurile la acest articol prin feed-ul RSS 2.0. Puteţi lăsa un răspuns, sau puteţi trimite un mesaj de pe propriul sit.