הבדלים בין גרסאות בדף "אבטחת הרכב דביאן שלה"

מתוך He Ikoula wiki
Jump to navigation Jump to search
 
(7 גרסאות ביניים של אותו משתמש אינן מוצגות)
שורה 1: שורה 1:
 +
<span data-link_translate_ru_title="Обеспечение его машины под управлением Debian"  data-link_translate_ru_url="%D0%9E%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5+%D0%B5%D0%B3%D0%BE+%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B+%D0%BF%D0%BE%D0%B4+%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+Debian"></span>[[:ru:Обеспечение его машины под управлением Debian]][[ru:Обеспечение его машины под управлением Debian]]
 +
<span data-link_translate_pl_title="Zabezpieczanie swojej maszynie Debiana"  data-link_translate_pl_url="Zabezpieczanie+swojej+maszynie+Debiana"></span>[[:pl:Zabezpieczanie swojej maszynie Debiana]][[pl:Zabezpieczanie swojej maszynie Debiana]]
 +
<span data-link_translate_ja_title="その Debian マシンを確保"  data-link_translate_ja_url="%E3%81%9D%E3%81%AE+Debian+%E3%83%9E%E3%82%B7%E3%83%B3%E3%82%92%E7%A2%BA%E4%BF%9D"></span>[[:ja:その Debian マシンを確保]][[ja:その Debian マシンを確保]]
 +
<span data-link_translate_ar_title="تأمين جهاز به دبيان"  data-link_translate_ar_url="%D8%AA%D8%A3%D9%85%D9%8A%D9%86+%D8%AC%D9%87%D8%A7%D8%B2+%D8%A8%D9%87+%D8%AF%D8%A8%D9%8A%D8%A7%D9%86"></span>[[:ar:تأمين جهاز به دبيان]][[ar:تأمين جهاز به دبيان]]
 +
<span data-link_translate_zh_title="确保其 Debian 的机器"  data-link_translate_zh_url="%E7%A1%AE%E4%BF%9D%E5%85%B6+Debian+%E7%9A%84%E6%9C%BA%E5%99%A8"></span>[[:zh:确保其 Debian 的机器]][[zh:确保其 Debian 的机器]]
 +
<span data-link_translate_de_title="Sicherung ihrer Debian-Rechner"  data-link_translate_de_url="Sicherung+ihrer+Debian-Rechner"></span>[[:de:Sicherung ihrer Debian-Rechner]][[de:Sicherung ihrer Debian-Rechner]]
 +
<span data-link_translate_nl_title="Beveiligen zijn Debian machine"  data-link_translate_nl_url="Beveiligen+zijn+Debian+machine"></span>[[:nl:Beveiligen zijn Debian machine]][[nl:Beveiligen zijn Debian machine]]
 +
<span data-link_translate_it_title="Protezione relativa macchina Debian"  data-link_translate_it_url="Protezione+relativa+macchina+Debian"></span>[[:it:Protezione relativa macchina Debian]][[it:Protezione relativa macchina Debian]]
 
<span data-link_translate_pt_title="Protegendo sua máquina Debian"  data-link_translate_pt_url="Protegendo+sua+m%C3%A1quina+Debian"></span>[[:pt:Protegendo sua máquina Debian]][[pt:Protegendo sua máquina Debian]]
 
<span data-link_translate_pt_title="Protegendo sua máquina Debian"  data-link_translate_pt_url="Protegendo+sua+m%C3%A1quina+Debian"></span>[[:pt:Protegendo sua máquina Debian]][[pt:Protegendo sua máquina Debian]]
 
<span data-link_translate_es_title="Su máquina Debian"  data-link_translate_es_url="Su+m%C3%A1quina+Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]]
 
<span data-link_translate_es_title="Su máquina Debian"  data-link_translate_es_url="Su+m%C3%A1quina+Debian"></span>[[:es:Su máquina Debian]][[es:Su máquina Debian]]

גרסה אחרונה מ־23:19, 7 בדצמבר 2015

ru:Обеспечение его машины под управлением Debian pl:Zabezpieczanie swojej maszynie Debiana ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר כאן.

<לא trad>






מבוא

להבטיח המכונה שלו היא נקודה חיוני זה להמעיט תחת עונש להפוך את היעד של התקפות שונות. הכוח הנוכחית של מחשבים היום עושים פריצות כמו טכניקות התקפה בכוח או אבטחהbruteforce פשוט מאוד ליישם כדי לקבל גישה מנהל המטרה במכונת זמן קצר.
בעמוד זה תמצאו רשימה לא ממצה של מסלולים על מנת לאבטח את
דביאן על נקודות שונות כגון החשבון שורש, גישה SSH , חומת אש, וכו '...

שרת

'אזהרה ': לפני ביצוע שינויים כלשהם במערכת שלך עדיין מתכננים הקבצים שלך במקרה של טיפול לקוי. גיבוי

-
הפקה, חושב לבצע פעולות אלה בשעות שאינן שעות כדי לצמצם את ההשפעה של הפעולות שלך. שרת

תנאים מוקדמים

אחד חיוני תנאי מוקדם

צליל אבטחה היא לשמור את החבילות בגירסה שלהם הכי מעודכנים ככל האפשר. מספר משמעותי של הפגמים שהתגלו מתוקנות במהירות על-ידי מפתחים של חבילות, יישומים מודאג, במידת האפשר צריך תמיד לשמור את המערכת שלה כדי לעדכן ובכך למנוע את הפגמים של שרת.

אבטחה

שמירה על מערכת דביאן שלך עדכניות, ודא כי יש לך רשימה של מאגרים הרשמי לעדכון. אתה יכול למצוא רשימה של הזמינות ב Ikoula ואת הוראות התקנה 

 apt-get update
 apt-get upgrade

.

ספריות משתמשים

כברירת מחדל על דביאן, ספריות משתמשים נגישים לכל חשבונות מקומיים אחרים נוכחים במחשב. בכתובת הזו כדי לפצות על ליקוי זה ב
זה הכרחי להגדיר מחדש את התנהגות ברירת המחדל.

ודא הספריות לקריאה רק על-ידי בעליהם

אבטחה 

 dpkg-reconfigure adduser

שורש גישה

לאפשר חיבורים מחשבון dpkg-reconfigure adduserשורש לאחר הראשונה השימוש הוא בדרך כלל לא רעיון טוב. אכן החשבון שורש ou משתמש על יש גישה מלאה למערכת שלך. אם תוקף מגיע כדי לקבל גישה לחשבון
משתמש על זה יהיה שליטה מוחלטת של המחשב.

הפקודה sudo

כדי להפחית את הסיכון שאתה יכול, למשל, להוסיף משתמש אשר, במידת הצורך, תקבל את הזכויות של שלנו משתמש על באמצעות הפקודה sudo.

אנו קודם צריכים ליצור משתמש חדש

בשלב הבא, למלא את השדות, כמו גם את הסיסמה אשר רצוי יורכב של אותיות רישיות, אותיות קטנות ומספרים.

אנחנו עכשיו יותקן sudo
 adduser votre_utilisateur
זה המשתמש שלנו נוצר וכל זה sudo מותקן זה יהיה חייב להיות בקבוצה sudo להשתמש בפקודה
 apt-get install sudo

עכשיו המשתמש שלנו עשוי, במידת הצורך, להקדים את הפקודה ברצונך sudo לרוץ עם ההרשאות של 

 usermod -a -G sudo votre_utilisateur

משתמש על .

הסיסמה יתבקש לפני הפעלת כל פקודה.

לאסור את ההתחברות שורש

עכשיו שיש לנו משתמש אחר נוכל למשל למנוע התחברות למערכת שלנו מהחשבון 

 sudo cat /etc/password

שורש .

קודם אתה צריך לערוך את התצורה של קובץ שירות ssh


למצוא, ערוך את השורה הבאה בקובץ sshd_config, על-ידי שינוי 
  vi /etc/ssh/sshd_config
כן מאת no. צריך ההערה הקו על-ידי מחיקת הסמל #.

אל תשכח ואז 

  PermitRootLogin no

r, סגור קובץ התצורה. גיבוי

כאשר ה-ssh יופעל מחדש את השינויים ייכנסו לתוקף.


 /etc/init.d/ssh restart


'המועצה ': מומלץ תמיד לשמור SSH מסוף כבסיס עבור משך הזמן של הבדיקות. הנזק אכן יעשה את החיבור למערכת שלך בלתי אפשרי.

פתיחת מסוף השנייה כדי לבדוק את החיבור ושימוש של השינויים על המשתמש החדש ולכן מומלץ.

SSH גישה

בזכות הפתרונות בעבר המערכת שלנו כבר די מאובטח, אבל נוכל עדיין לחזק את זה

על-ידי הטמעת קובץ מפתח האימות. אבטחה

בדרך כלל הקשר ואת האימות במערכת שלך מתבצע באמצעות זוג כניסה /הסיסמה. אפשר להחליף שיטה זו אשר אינה שאינו טועה על-ידי אימות באמצעות מפתח.
לאחר ביצוע שינוי במהלך כל מערכת חיבור חדש ישמור אם המשתמש מנסה להתחבר יש מפתח חוקי ואם יש הרשאה לבצע כניסה עבור משתמש זה.
אמנם אין שיטה חסינת תקלות אימות קובץ המפתח מחייב את האדם לרצות להיכנס למערכת שיש קובץ זה. ? אז, נוכל לחזק
לעומת סיסמה ניתן לנחש על-ידי אבטחההכוח הברוטאלי ' מספר חסרונות, עם זאת, קיימים בשיטה זו מסומנת, זה הכרחי כדי לקבל את קובץ המפתח בלי כל קשר למיקום של החיבור, לדוגמה בין מחשבים בעבודה וגם בבית.
בנוסף, עליך להוסיף באופן ידני כל קובץ מפתח חדש מותר יהיה גישה למערכת שלך, לדוגמה הפעולה הוספת משתמש חדש או גישה על-ידי אדם מורשה במערכת שלך.

לשנות את יציאת ברירת המחדל

אחת הדרכים היעילים ביותר כדי לעצור את הבדיקה האוטומטית שיגרו
s היא לשנות את יציאת SSH כברירת מחדל במחשב שלך. לעשות זה לערוך את הקובץ שרת'sshd_config

למצוא, ערוך את השורה הבאה של הקובץ על-ידי שינוי הערך על ידי אחד נבחר
 vi /etc/ssh/sshd_config
הפעל מחדש את שירות SSH
# What ports, IPs and protocols we listen for
Port 22

 /etc/init.d/ssh restart
'הערה ': כעת לחבר את המחשב שלך ניתן לציין את היציאה חדש SSH: SSH המשתמש @IPAddress -p Votre_port

ליצור זוג מפתחות

Windows


אתה יכול ליצור את המפתח שלך בתוכנת PuTTYgen, זמין עבור Windows.

קובץ:Puttygen.png
PuTTYgen sous Windows

לינוקס

תחת לינוקס באפשרותך להקליד את הפקודה הבאה :

קיבלתי זוג מפתחות

כאשר הזוג נוצר לנו עכשיו יש לציין 

 ssh-keygen

מה הם אנשים מורשה להתחבר למשתמש חדש שלנו.

כדי לעשות זאת לכל משתמש של המערכת שלנו יש קובץ שרת'ssh/authorized_keys נוכח בספרייה המקומית.

אם הם כעת ליצור את זוג במערכת דביאן באפשרותך להשתמש בפקודה הבאה כדי להעתיק אוטומטית את המפתח לתוך קובץ ה.

לחלופין באפשרותך להוסיף באופן ידני את המפתח הציבור שלך לקובץ ה"גורמים

אם התיקיה .ssh לא קיים בתיקיה מקומית של המשתמש שלנו אנו יוצרים זה 

 ssh-copy-id votre_utilisateur@IP_VotreServeur
עכשיו אנחנו צריכים ליצור קובץ 
mkdir .ssh
chmod 700 .ssh
'authorized_keys בתיקיה .ssh שלנו

המפתח הציבורי מצורף לקובץ, התוצאה צריכה להיות דומה לדוגמה זה
 vi .ssh/authorized_keys

זה שומר וסוגר את הקובץ.

על ידי מדידה של 
 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale
אנחנו להגביל את הגישה לקובץ שלנו

אבטחה מעכשיו שלנו המשתמש רשאי להתחבר למחשב.

Chroot למערכת

הגדר כלא, 

 chmod 600 .ssh/authorized_keys

'chroot' עבור המשתמשים שלה יכול להיות פתרון טוב כדי לאבטח את . כלוא על המערכת המשתמשים יהיו בחירה של מניות מופחתת להזמנות הסמיך אותך אפילו. שרת

תוכלו למצוא מידע נוסף על
'chroot' ויישומה זמין בכתובת המאמר

חומת אש

שימוש בחומת אש מומלץ מאוד באבטחת המערכת. suivante חומת האש היא לעתים קרובות השורה הראשונה של הגנה על המחשב שלך מפני מבחוץ, זה הוא אכן מי תנתח את התעבורה שעובר בין המחשב שלך לבין מבחוץ.
דרך חומת האש שאתה מסוגל לחסום או לאפשר גישה למחשב שלך מבחוץ פרוטוקולים או יציאות מסוימות, ובכך להבטיח
של המערכת.

מדיניות של אבטחה

במקרה של חומת אש יש צורך להגדיר מדיניות של אבטחה לשים במקום. ללא הגדרה יעיל הבחירה של חסימת או הרשאה של יציאות, הפרוטוקולים יהיה די אקראי. אבטחה לכן יש צורך להגדיר את מדיניות ברורה, לגבי
רשת המחשב שלה או המכונה שלו. אבטחה
מדיניות שונים נפוצים כוללים מדיניות של
'הבילוש דה ברשימה השחורה .

הבילוש

העיקרון של המדיניות הבילוש זה כדי לחסום את כל התעבורה הזנת ללא יוצא מן הכלל ולאפשר באופן מפורש רק את היציאות והפרוטוקולים שאנחנו לגמרי בטוחה שלהם . מדיניות זו של אבטחה מציג יתרונות רבים לעומת אבטחה'הרשימה השחורה '. אכן כל התעבורה לא יזומה ייחסמו, פעולה זו תמנע נסיונות חיבור רוב זה לא בהכרח היה לנו את רפלקס כדי לאבטח. אחד החסרונות של מדיניות זו היא החובה של צורך להגדיר כל יציאות או פרוטוקולים המשמשים כדי לא לחסום את ביצוע השירותים שלנו ( כך למשל הפרוטוקול
http ביציאה 80 )עלינו ולכן יודע כל יציאה בשימוש על ידי המכונה, לשמור על כללי בעת הוספה או מחיקה של שירות. בנוגע יוצאת ברוב המכריע של המקרים שזה לא נחשב מסוכן כמו כל מורשה, אכן אתה אמור לדעת התנועה עוזב את המחשב או הרשת שלך. עם זאת מומלץ לבצע מעקב אחר את יוצאת כמו של .

הרשימה השחורה

העיקרון של המדיניות אבטחה'הרשימה השחורה ' כדי לאפשר לתעבורה כל כניסה ללא יוצא מן הכלל, כדי לחסום במפורש רק את היציאות והפרוטוקולים אנו בטוחים כי הם מהווים סיכון עבור .אבטחה מדיניות זו של
מציג המון חסרונות בהשוואה אבטחה'הבילוש . אכן אפשר כל התעבורה הזנת ללא כל הגבלה או לא מומלץ, חסימת מעורב רק יציאה או פרוטוקול הוקמה באופן מפורש. בנוגע יוצאת ברוב המכריע של המקרים שזה לא נחשב מסוכן כמו כל מורשה, אכן אתה אמור לדעת התנועה עוזב את המחשב או הרשת שלך. עם זאת מומלץ לבצע מעקב אחר את יוצאת כמו של .

IPTables

IPTables הוא ללא ספק הידועים תוכנת חומת אש זמינה עבור דביאן.

להלן כמה פקודות מעשיים הנוגעים :

התקנה של iptables

אבטחה

רשימת החוקים כיום הוקמה
 sudo apt-get install iptables
נקה את החוקים הוקמה
 sudo iptables -L
הוספת כלל
sudo iptables -F
sudo iptables -X

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT
'הערה ': תשומת לב במקרה של כתובת IP דינמית, כמו ה-IP שלך ישתנה לא תוכל להתחבר באמצעות SSH על שלך !שרת

שימוש באזהרה בעת הקצאת כתובת IP אשר יכול להיות דינמי, למשל זה של האינטרנט שלך בתיבה בבית.

מחיקת כלל


להיכשל 2באן

זה עשוי להיות שימושי ליישם שירות 

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2

'להיכשל 2באן ' במערכת שלך כדי למנוע כל סכנה של התקפה על-ידי הכוח הברוטאלי . למעשה השירות להיכשל 2באן מאפשר לאסור אדם נכשל לבצע אימות מספר פעמים על מכונת זמן נתון.

תוכלו למצוא מידע נוסף על
'להיכשל 2באן ' ויישומה המאמר זמין בכתובת . suivante



אין באפשרותך לפרסם תגובות.

אוחזר מתוך "https://he-wiki.ikoula.com/index.php?title=אבטחת_הרכב_דביאן_שלה&oldid=3932"