ოთხმოცდაათიანი წლების დასაწყისში გამოქვეყნებიდან, Linux– მა მოიპოვა ტექნოლოგიური საზოგადოების აღფრთოვანება მისი სტაბილურობის, მრავალფეროვნების წყალობით, პერსონალურად მორგება და ღია კოდის შემქმნელთა დიდი საზოგადოება, რომლებიც მუშაობენ 24 საათის განმავლობაში, რათა უზრუნველყონ შეცდომების აღმოფხვრა და გაუმჯობესება ოპერაციულ სისტემაში სისტემა. დიდწილად, Linux არის საჯარო ღრუბლის, სერვერებისა და სუპერკომპიუტერების არჩეული ოპერაციული სისტემა და ინტერნეტის წინაშე მყოფი წარმოების სერვერების 75% –ზე მუშაობს Linux– ზე.
ინტერნეტის გააქტიურების გარდა, Linux– მა იპოვა გზა ციფრულ სამყაროში და მას შემდეგ არ განელებულა. ის აძლიერებს ჭკვიანი გაჯეტების ფართო სპექტრს, მათ შორის Android სმარტფონებს, ტაბლეტებს, სმარტ საათებს, სმარტ ეკრანებს და სხვა ბევრს.
Linux ცნობილია თავისი უმაღლესი დონის უსაფრთხოებით და ეს არის ერთ-ერთი მიზეზი იმისა, თუ რატომ აკეთებს მას საყვარელ არჩევანს საწარმოთა გარემოში. მაგრამ აქ არის ფაქტი, არცერთი ოპერაციული სისტემა არ არის 100% უსაფრთხო. ბევრი მომხმარებელი თვლის, რომ Linux არის უტყუარი ოპერაციული სისტემა, რაც მცდარი ვარაუდია. ფაქტობრივად, ნებისმიერი ოპერაციული სისტემა ინტერნეტით არის მგრძნობიარე პოტენციური დარღვევებისა და მავნე პროგრამების შეტევების მიმართ.
ადრეულ წლებში Linux– ს ჰქონდა ბევრად უფრო მცირე ტექნოლოგიური დემოგრაფია და მავნე პროგრამების შეტევების რისკი შორს იყო. დღესდღეობით ლინუქსს აქვს ინტერნეტის უზარმაზარი ნაწილი და ამან ხელი შეუწყო საფრთხის ლანდშაფტის ზრდას. მავნე პროგრამების შეტევების საფრთხე უფრო რეალურია, ვიდრე ოდესმე.
Linux სისტემებზე მავნე პროგრამების შეტევის შესანიშნავი მაგალითია ერებუსის გამოსასყიდი პროგრამა, ფაილების დასაშიფრებელი მავნე პროგრამა, რომელიც დაზარალდა სამხრეთ კორეის ვებ ჰოსტინგის კომპანიის NAYANA– ს Linux– ის 153 – ზე მეტ სერვერზე.
ამ მიზეზით, მიზანშეწონილია ოპერაციული სისტემის კიდევ უფრო გამკაცრება, რათა მას მიანიჭოს სასურველ უსაფრთხოებას თქვენი მონაცემების დასაცავად.
თქვენი Linux სერვერის დაცვა არ არის ისეთი რთული, როგორც თქვენ გგონიათ. ჩვენ შევადგინეთ უსაფრთხოების საუკეთესო პოლიტიკის სია, რომელიც თქვენ უნდა განახორციელოთ თქვენი სისტემის უსაფრთხოების გასაძლიერებლად და მონაცემთა მთლიანობის შესანარჩუნებლად.
საწყის ეტაპზე Equifax დარღვევაჰაკერებმა გამოიყენეს ფართოდ ცნობილი დაუცველობა - აპაჩი სტრუტები - Equifax– ის მომხმარებელთა საჩივრების ვებ პორტალზე.
აპაჩი სტრუტები არის ღია კოდის შექმნა თანამედროვე და ელეგანტური Java ვებ პროგრამების შესაქმნელად Apache Foundation– ის მიერ. ფონდმა 2017 წლის 7 მარტს გამოაქვეყნა პატჩი დაუცველობის დასაფიქსირებლად და გამოაქვეყნა განცხადება ამის შესახებ.
Equifax– ს შეატყობინეს დაუცველობის შესახებ და ურჩიეს დაემალა მათი განაცხადი, მაგრამ სამწუხაროდ, დაუცველობა დარჩა შეუსაბამო იმავე წლის ივლისამდე, როდესაც ძალიან გვიან იყო. თავდამსხმელებმა შეძლეს მიიღონ წვდომა კომპანიის ქსელში და ამოიღონ მილიონობით კონფიდენციალური მომხმარებლის ჩანაწერი მონაცემთა ბაზებიდან. როდესაც ეკვიფაქსმა გაიგო რა ხდებოდა, უკვე ორი თვე იყო გასული.
მაშ, რა შეგვიძლია ვისწავლოთ აქედან?
მავნე მომხმარებლები ან ჰაკერები ყოველთვის იკვლევენ თქვენს სერვერს პროგრამული უზრუნველყოფის შესაძლო დაუცველობის შესახებ, რის შემდეგაც მათ შეუძლიათ გამოიყენონ თქვენი სისტემის დარღვევის საშუალება. იმისათვის, რომ უსაფრთხოდ იყოთ, ყოველთვის განაახლოთ თქვენი პროგრამული უზრუნველყოფა მის ახლანდელ ვერსიებზე, რათა გამოიყენოთ პატჩები ნებისმიერ არსებულ დაუცველობაზე.
თუ გარბიხარ უბუნტუ ან დებიანზე დაფუძნებული სისტემები, პირველი ნაბიჯი ჩვეულებრივ არის თქვენი პაკეტების სიების ან საცავების განახლება, როგორც ნაჩვენებია.
$ sudo apt განახლება.
ყველა პაკეტის შესაძლო განახლებების შესამოწმებლად, გაუშვით ბრძანება:
$ sudo apt სია -განახლებადი.
განაახლეთ თქვენი პროგრამული უზრუნველყოფის პროგრამები მათ მიმდინარე ვერსიებზე, როგორც ნაჩვენებია:
$ sudo apt განახლება.
თქვენ შეგიძლიათ დააკავშიროთ ეს ორი ერთ ბრძანებაში, როგორც ნაჩვენებია.
$ sudo apt განახლება && sudo apt განახლება.
ამისთვის RHEL & CentOS განაახლეთ თქვენი პროგრამები ბრძანების შესრულებით:
$ sudo dnf განახლება (CentOS 8 / RHEL 8) $ sudo yum განახლება (RHEL & CentOS– ის ადრეული ვერსიები)
კიდევ ერთი სიცოცხლისუნარიანი ვარიანტია ჩართეთ უსაფრთხოების ავტომატური განახლებები Ubuntu– სთვის და ასევე დააყენეთ ავტომატური განახლებები CentOS / RHEL– ისთვის.
მრავალი დისტანციური პროტოკოლის მხარდაჭერის მიუხედავად, ძველმომხმარებელმა სერვისებმა, როგორიცაა rlogin, telnet, TFTP და FTP, შეიძლება უზარმაზარი პრობლემები შეუქმნას თქვენს სისტემას. ეს არის ძველი, მოძველებული და დაუცველი პროტოკოლები, სადაც მონაცემები იგზავნება უბრალო ტექსტით. თუ ეს უკვე არსებობს, განიხილეთ მათი წაშლა, როგორც ნაჩვენებია.
უბუნტუ / დებიანზე დაფუძნებული სისტემებისთვის შეასრულეთ:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
ამისთვის RHEL / CentOS-დაფუძნებული სისტემები, შეასრულეთ:
$ sudo yum წაშალეთ xinetd tftp-server telnet-server rsh-server ypserv.
მას შემდეგ რაც ამოიღებთ ყველა დაუცველ მომსახურებას, მნიშვნელოვანია სერვერის სკანირება ღია პორტებისათვის და დახურეთ გამოუყენებელი პორტები, რომლებიც პოტენციურად შეიძლება გამოყენებულ იქნას ჰაკერების მიერ შესასვლელი წერტილით.
დავუშვათ, რომ გსურთ პორტის დაბლოკვა 7070 ზე UFW ბუხარი. ამის ბრძანება იქნება:
$ sudo ufw უარყოფს 7070/ტკპ.
შემდეგ გადატვირთეთ ბუხარი, რომ ცვლილებები ძალაში შევიდეს.
$ sudo ufw გადატვირთვა.
ამისთვის Firewalld, გაუშვით ბრძანება:
$ sudo firewall-cmd-მოხსნა-პორტი = 7070/tcp-მუდმივი.
და დაიმახსოვრე ჩამტვირთავი ბუხარი.
$ sudo firewall-cmd-გადატვირთვა.
შემდეგ გადაამოწმეთ ბუხრის წესები, როგორც ნაჩვენებია:
$ sudo firewall-cmd-სია-ყველა.
SSH პროტოკოლი არის დისტანციური პროტოკოლი, რომელიც საშუალებას გაძლევთ უსაფრთხოდ დაუკავშირდეთ ქსელის მოწყობილობებს. მიუხედავად იმისა, რომ იგი უსაფრთხოდ ითვლება, ნაგულისხმევი პარამეტრები არ არის საკმარისი და საჭიროა დამატებითი შესწორებები, რათა შემდგომში შეაჩეროს მავნე მომხმარებლები თქვენი სისტემის დარღვევისგან.
ჩვენ გვაქვს ყოვლისმომცველი სახელმძღვანელო როგორ გავაძლიეროთ SSH პროტოკოლი. აქ არის ძირითადი მაჩვენებლები.
Fail2ban არის ღია კოდის შეჭრის პრევენციის სისტემა, რომელიც იცავს თქვენს სერვერს უხეში ძალის შეტევებისგან. ის იცავს თქვენს Linux სისტემას IP– ების აკრძალვით, რომლებიც მიუთითებენ მავნე საქმიანობაზე, როგორიცაა შესვლის ძალიან ბევრი მცდელობა. ყუთში, ის იგზავნება ფილტრებით ისეთი პოპულარული სერვისებისთვის, როგორიცაა Apache ვებ სერვერი, vsftpd და SSH.
ჩვენ გვაქვს სახელმძღვანელო, თუ როგორ დააკონფიგურირეთ Fail2ban, რომ გააძლიეროს SSH ოქმი.
პაროლების ხელახალი გამოყენება ან სუსტი და მარტივი პაროლების გამოყენება მნიშვნელოვნად ძირს უთხრის თქვენი სისტემის უსაფრთხოებას. თქვენ ახორციელებთ პაროლის პოლიტიკას, გამოიყენეთ pam_cracklib პაროლის სიძლიერის მოთხოვნების დასადგენად ან კონფიგურაციისთვის.
Გამოყენებით PAM მოდული, შეგიძლიათ განსაზღვროთ პაროლის სიძლიერე რედაქტირებით /etc/pam.d/system-auth ფაილი მაგალითად, შეგიძლიათ დააყენოთ პაროლის სირთულე და თავიდან აიცილოთ პაროლების ხელახალი გამოყენება.
თუ თქვენ მართავთ ვებსაიტს, ყოველთვის დარწმუნდით, რომ დაიცავით თქვენი დომენი პროგრამის გამოყენებით SSL/ TLS სერთიფიკატი მომხმარებლების ბრაუზერსა და ვებ სერვერს შორის გაცვლილი მონაცემების დაშიფვრა.
თქვენი საიტის დაშიფვრის შემდეგ, განიხილეთ ასევე სუსტი დაშიფვრის პროტოკოლების გამორთვა. ამ სახელმძღვანელოს წერის დროს არის უახლესი ოქმი TLS 1.3, რომელიც არის ყველაზე გავრცელებული და ფართოდ გავრცელებული პროტოკოლი. ადრინდელი ვერსიები, როგორიცაა TLS 1.0, TLS 1.2 და SSLv1 to SSLv3 ასოცირდება ცნობილ დაუცველობებთან.
[ Თქვენ შეიძლება ასევე მოგეწონოთ: როგორ გავააქტიუროთ TLS 1.3 Apache და Nginx– ში ]
ეს იყო იმ ნაბიჯების შეჯამება, რომელთა გადადგმაც შეგიძლიათ თქვენი Linux სისტემის მონაცემების უსაფრთხოების და კონფიდენციალურობის უზრუნველსაყოფად.