אבטחת הרכב דביאן שלה

pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

מאמר זה הוא התוצאה של תרגום אוטומטי המבוצע על ידי תוכנה. אתה יכול להציג את מקור המאמר כאן.

<לא trad>

מבוא

להבטיח המכונה שלו היא נקודה חיוני זה להמעיט תחת עונש להפוך את היעד של התקפות שונות. הכוח הנוכחית של מחשבים היום עושים פריצות כמו טכניקות התקפה בכוח או אבטחהbruteforce פשוט מאוד ליישם כדי לקבל גישה מנהל המטרה במכונת זמן קצר.
בעמוד זה תמצאו רשימה לא ממצה של מסלולים על מנת לאבטח את
דביאן על נקודות שונות כגון החשבון שורש, גישה SSH , חומת אש, וכו '...

שרת

צליל אבטחה היא לשמור את החבילות בגירסה שלהם הכי מעודכנים ככל האפשר. מספר משמעותי של הפגמים שהתגלו מתוקנות במהירות על-ידי מפתחים של חבילות, יישומים מודאג, במידת האפשר צריך תמיד לשמור את המערכת שלה כדי לעדכן ובכך למנוע את הפגמים של שרת.

אבטחה

שמירה על מערכת דביאן שלך עדכניות, ודא כי יש לך רשימה של מאגרים הרשמי לעדכון. אתה יכול למצוא רשימה של הזמינות ב Ikoula ואת הוראות התקנה

 apt-get update
 apt-get upgrade 

.

ספריות משתמשים

כברירת מחדל על דביאן, ספריות משתמשים נגישים לכל חשבונות מקומיים אחרים נוכחים במחשב. בכתובת הזו כדי לפצות על ליקוי זה ב
זה הכרחי להגדיר מחדש את התנהגות ברירת המחדל.

ודא הספריות לקריאה רק על-ידי בעליהם

אבטחה

 dpkg-reconfigure adduser

שורש גישה

לאפשר חיבורים מחשבון dpkg-reconfigure adduserשורש לאחר הראשונה השימוש הוא בדרך כלל לא רעיון טוב. אכן החשבון שורש ou משתמש על יש גישה מלאה למערכת שלך. אם תוקף מגיע כדי לקבל גישה לחשבון
משתמש על זה יהיה שליטה מוחלטת של המחשב.

הפקודה sudo

כדי להפחית את הסיכון שאתה יכול, למשל, להוסיף משתמש אשר, במידת הצורך, תקבל את הזכויות של שלנו משתמש על באמצעות הפקודה sudo.

אנו קודם צריכים ליצור משתמש חדש

בשלב הבא, למלא את השדות, כמו גם את הסיסמה אשר רצוי יורכב של אותיות רישיות, אותיות קטנות ומספרים.

אנחנו עכשיו יותקן sudo

 adduser votre_utilisateur

זה המשתמש שלנו נוצר וכל זה sudo מותקן זה יהיה חייב להיות בקבוצה sudo להשתמש בפקודה

 apt-get install sudo

עכשיו המשתמש שלנו עשוי, במידת הצורך, להקדים את הפקודה ברצונך sudo לרוץ עם ההרשאות של

 usermod -a -G sudo votre_utilisateur

משתמש על .

הסיסמה יתבקש לפני הפעלת כל פקודה.

לאסור את ההתחברות שורש

עכשיו שיש לנו משתמש אחר נוכל למשל למנוע התחברות למערכת שלנו מהחשבון

 sudo cat /etc/password

שורש .

קודם אתה צריך לערוך את התצורה של קובץ שירות ssh

למצוא, ערוך את השורה הבאה בקובץ sshd_config, על-ידי שינוי

  vi /etc/ssh/sshd_config

כן מאת no. צריך ההערה הקו על-ידי מחיקת הסמל #.

אל תשכח ואז

  PermitRootLogin no

r, סגור קובץ התצורה. גיבוי

כאשר ה-ssh יופעל מחדש את השינויים ייכנסו לתוקף.

 /etc/init.d/ssh restart

על-ידי הטמעת קובץ מפתח האימות. אבטחה

בדרך כלל הקשר ואת האימות במערכת שלך מתבצע באמצעות זוג כניסה /הסיסמה. אפשר להחליף שיטה זו אשר אינה שאינו טועה על-ידי אימות באמצעות מפתח.
לאחר ביצוע שינוי במהלך כל מערכת חיבור חדש ישמור אם המשתמש מנסה להתחבר יש מפתח חוקי ואם יש הרשאה לבצע כניסה עבור משתמש זה.
אמנם אין שיטה חסינת תקלות אימות קובץ המפתח מחייב את האדם לרצות להיכנס למערכת שיש קובץ זה. ? אז, נוכל לחזק
לעומת סיסמה ניתן לנחש על-ידי אבטחההכוח הברוטאלי ' מספר חסרונות, עם זאת, קיימים בשיטה זו מסומנת, זה הכרחי כדי לקבל את קובץ המפתח בלי כל קשר למיקום של החיבור, לדוגמה בין מחשבים בעבודה וגם בבית.
בנוסף, עליך להוסיף באופן ידני כל קובץ מפתח חדש מותר יהיה גישה למערכת שלך, לדוגמה הפעולה הוספת משתמש חדש או גישה על-ידי אדם מורשה במערכת שלך.

לשנות את יציאת ברירת המחדל

אחת הדרכים היעילים ביותר כדי לעצור את הבדיקה האוטומטית שיגרו
s היא לשנות את יציאת SSH כברירת מחדל במחשב שלך. לעשות זה לערוך את הקובץ שרת'sshd_config

למצוא, ערוך את השורה הבאה של הקובץ על-ידי שינוי הערך על ידי אחד נבחר

 vi /etc/ssh/sshd_config

הפעל מחדש את שירות SSH

# What ports, IPs and protocols we listen for
Port 22

 /etc/init.d/ssh restart

ליצור זוג מפתחות

Windows

אתה יכול ליצור את המפתח שלך בתוכנת PuTTYgen, זמין עבור Windows.

לינוקס

תחת לינוקס באפשרותך להקליד את הפקודה הבאה :

קיבלתי זוג מפתחות

כאשר הזוג נוצר לנו עכשיו יש לציין

 ssh-keygen

מה הם אנשים מורשה להתחבר למשתמש חדש שלנו.

כדי לעשות זאת לכל משתמש של המערכת שלנו יש קובץ שרת'ssh/authorized_keys נוכח בספרייה המקומית.

אם הם כעת ליצור את זוג במערכת דביאן באפשרותך להשתמש בפקודה הבאה כדי להעתיק אוטומטית את המפתח לתוך קובץ ה.

לחלופין באפשרותך להוסיף באופן ידני את המפתח הציבור שלך לקובץ ה"גורמים

אם התיקיה .ssh לא קיים בתיקיה מקומית של המשתמש שלנו אנו יוצרים זה

 ssh-copy-id votre_utilisateur@IP_VotreServeur

עכשיו אנחנו צריכים ליצור קובץ

mkdir .ssh
chmod 700 .ssh

'authorized_keys בתיקיה .ssh שלנו

המפתח הציבורי מצורף לקובץ, התוצאה צריכה להיות דומה לדוגמה זה

 vi .ssh/authorized_keys

זה שומר וסוגר את הקובץ.

על ידי מדידה של

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

אנחנו להגביל את הגישה לקובץ שלנו

אבטחה מעכשיו שלנו המשתמש רשאי להתחבר למחשב.

Chroot למערכת

הגדר כלא,

 chmod 600 .ssh/authorized_keys

'chroot' עבור המשתמשים שלה יכול להיות פתרון טוב כדי לאבטח את . כלוא על המערכת המשתמשים יהיו בחירה של מניות מופחתת להזמנות הסמיך אותך אפילו. שרת

תוכלו למצוא מידע נוסף על
'chroot' ויישומה זמין בכתובת המאמר

חומת אש

שימוש בחומת אש מומלץ מאוד באבטחת המערכת. suivante חומת האש היא לעתים קרובות השורה הראשונה של הגנה על המחשב שלך מפני מבחוץ, זה הוא אכן מי תנתח את התעבורה שעובר בין המחשב שלך לבין מבחוץ.
דרך חומת האש שאתה מסוגל לחסום או לאפשר גישה למחשב שלך מבחוץ פרוטוקולים או יציאות מסוימות, ובכך להבטיח
של המערכת.

מדיניות של אבטחה

במקרה של חומת אש יש צורך להגדיר מדיניות של אבטחה לשים במקום. ללא הגדרה יעיל הבחירה של חסימת או הרשאה של יציאות, הפרוטוקולים יהיה די אקראי. אבטחה לכן יש צורך להגדיר את מדיניות ברורה, לגבי
רשת המחשב שלה או המכונה שלו. אבטחה
מדיניות שונים נפוצים כוללים מדיניות של
'הבילוש דה ברשימה השחורה .

הבילוש

העיקרון של המדיניות הבילוש זה כדי לחסום את כל התעבורה הזנת ללא יוצא מן הכלל ולאפשר באופן מפורש רק את היציאות והפרוטוקולים שאנחנו לגמרי בטוחה שלהם . מדיניות זו של אבטחה מציג יתרונות רבים לעומת אבטחה'הרשימה השחורה '. אכן כל התעבורה לא יזומה ייחסמו, פעולה זו תמנע נסיונות חיבור רוב זה לא בהכרח היה לנו את רפלקס כדי לאבטח. אחד החסרונות של מדיניות זו היא החובה של צורך להגדיר כל יציאות או פרוטוקולים המשמשים כדי לא לחסום את ביצוע השירותים שלנו ( כך למשל הפרוטוקול
http ביציאה 80 )עלינו ולכן יודע כל יציאה בשימוש על ידי המכונה, לשמור על כללי בעת הוספה או מחיקה של שירות. בנוגע יוצאת ברוב המכריע של המקרים שזה לא נחשב מסוכן כמו כל מורשה, אכן אתה אמור לדעת התנועה עוזב את המחשב או הרשת שלך. עם זאת מומלץ לבצע מעקב אחר את יוצאת כמו של .

הרשימה השחורה

העיקרון של המדיניות אבטחה'הרשימה השחורה ' כדי לאפשר לתעבורה כל כניסה ללא יוצא מן הכלל, כדי לחסום במפורש רק את היציאות והפרוטוקולים אנו בטוחים כי הם מהווים סיכון עבור .אבטחה מדיניות זו של
מציג המון חסרונות בהשוואה אבטחה'הבילוש . אכן אפשר כל התעבורה הזנת ללא כל הגבלה או לא מומלץ, חסימת מעורב רק יציאה או פרוטוקול הוקמה באופן מפורש. בנוגע יוצאת ברוב המכריע של המקרים שזה לא נחשב מסוכן כמו כל מורשה, אכן אתה אמור לדעת התנועה עוזב את המחשב או הרשת שלך. עם זאת מומלץ לבצע מעקב אחר את יוצאת כמו של .

IPTables

IPTables הוא ללא ספק הידועים תוכנת חומת אש זמינה עבור דביאן.

להלן כמה פקודות מעשיים הנוגעים :

התקנה של iptables

אבטחה

רשימת החוקים כיום הוקמה

 sudo apt-get install iptables

נקה את החוקים הוקמה

 sudo iptables -L

הוספת כלל

sudo iptables -F
sudo iptables -X

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

להיכשל 2באן

זה עשוי להיות שימושי ליישם שירות

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2

'להיכשל 2באן ' במערכת שלך כדי למנוע כל סכנה של התקפה על-ידי הכוח הברוטאלי . למעשה השירות להיכשל 2באן מאפשר לאסור אדם נכשל לבצע אימות מספר פעמים על מכונת זמן נתון.

תוכלו למצוא מידע נוסף על
'להיכשל 2באן ' ויישומה המאמר זמין בכתובת . suivante