Я новичок в области управления серверами и уверен, что мой сервер очень небезопасен. Я прошел проверку безопасности WHM CPanel, но для настоящих гуру уверен, что эта проверка глупая и далека от того, что нужно. На что мне следует обратить внимание?
На днях я ответил на аналогичный вопрос здесь:
Безопасный сервер LAMP для производственного использования
Проверить на компромисс ..
Подозрительные файлы в / tmp. Неожиданные файлы в веб-дереве.
Загруженные модули ядра выглядят подозрительно. (lsmod)
Запущены процессы, которых быть не должно. (ps aufx)
Активные сетевые подключения. (netstat)
В настоящее время открытые файловые дескрипторы. (lsof)
В конечном итоге, если сервер скомпрометирован, правильнее всего сделать это изолировать, создать образ и перестроить.
Редактировать 1
Барт привел очень хорошие моменты; особенно то, что вы вообще не можете доверять локальной системе, если считается, что она взломана.
После создания образа вы можете манипулировать им (и файловыми системами) с помощью известных надежных утилит для дальнейшей криминалистической экспертизы.
Сброс трафика на коммутаторе или запуск tcpdump в локальной системе тоже может быть полезно.
Редактировать 2
Я фактически скопировал утилиты из заведомо хорошей системы и раньше использовал их на удаленном сервере. Не идеально, но лучше, чем ничего.
Я уже высказал некоторые замечания в комментариях, но чтобы закрепить некоторые мысли ...
Вы спрашиваете о возможных векторах атаки?
По умолчанию в сегодняшних установках Linux не так много, о чем вам обычно нужно сразу беспокоиться. Большинство людей создают дыры в своих системах Linux, устанавливая новые программы и изменяя конфигурации.
Чтобы дать вам лучший совет, вам нужно прояснить, что вы делаете. Домашний сервер? Сервер базы данных? Веб сервер? Рабочая станция?
Система со всеми исправлениями и обновлениями по-прежнему будет предоставлять информацию, если вы используете сервер базы данных, который не очищает ввод и успевает атаковать SQL-инъекцию против внутренней базы данных.
Как правило, вы делаете то, что должны делать в любой другой системе. Регулярно обновляйтесь. Используйте минимум привилегий, необходимых для выполнения каких-либо действий (не запускайте все время с правами root). Не входите в систему с паролями в открытом виде (используйте SSH для удаленного администрирования системы). Не запускайте ненужные службы (отключите удаленный рабочий стол / VNC, если вы его не используете, не запускайте веб-сервер, если вы его не используете, и т. Д.). Используйте надежные пароли. Регулярно проверяйте журналы на предмет необычного поведения. Узнайте, как действует ваша система, чтобы знать, что «странно». Следите за журналами на предмет необычных попыток доступа. Установите denyhosts и настройте его, чтобы заблокировать IP-адреса, которые пытаются постучать по SSH для входа в систему, или переместите его на несколько портов, чтобы он не был открыт для атак ботов. Используйте NMAP, чтобы проверить, какие порты у вас открыты (с другой машины). Проведите аудит вашей машины с помощью чего-то вроде SAINT (Google для инструментов аудита уязвимостей). Не оставляйте рабочую станцию подключенной, когда уходите.
Такие вещи, как chkrootkit и rkhunter, помогают дать некоторое руководство и душевное спокойствие, как и утилиты хеширования, такие как tripwire, но они добавляют к вашему обслуживанию. Вам нужно сесть и сбалансировать удобство использования с потребностями безопасности и применять их по мере необходимости (стоит ли дополнительное создание и хранение хэшей каждый раз, когда вы изменяете набор файлов или запускаете обновления системы, по сравнению с тем, что вы потенциально можете потерять со временем а деньги если сервер потеряется?)
Убедитесь, что у вас есть хорошая процедура резервного копирования. Копия живых данных бесполезна, если кто-то скомпрометирует сервер, и ваши самые старые резервные копии содержат компромисс.
Никогда не доверяйте системе, если считаете, что она взломана. Мне нравится использовать devil linux в качестве устройства, потому что его невозможно взломать за пределами рабочих областей данных (например, прокси-серверов); он загружается и запускается с компакт-диска, поэтому никто не может заменить двоичные файлы. Я предполагаю, что они могут их в памяти прошить, но перезагрузка очищает их.
Если вы имеете дело с более высокими требованиями к безопасности, отправьте свои журналы на другой сервер. Не используйте один и тот же пароль для всего. Если ваш сервер находится под угрозой, они получают доступ ко всем паролям (я прочитал когда-то о ком-то настройки порно сайт, а затем смотреть логины и адреса электронной почты и такие, поступающие в журналы ... они поняли, что они могли бы развернуться и использовать те же пароли для взлома других сайтов, поскольку большинство людей используют ту же схему паролей на рабочем месте и дома, что и для коммерческих сайтов).
Это самые большие. Опять же, все дело в балансе удобства использования с безопасностью и в том, сколько вы потеряете, если потеряете сервер, а также вещи в вашей сети. Если кто-то берет на себя скромный небольшой файловый сервер или почти не используется внутренний веб-сервер, Linux можно легко использовать для перенаправления запросов ARP и действовать как маршрутизатор для прослушивания трафика, чтобы он мог видеть другие вещи в вашей сети, так что даже незначительный сервер может стать серьезной угрозой. Поскольку вы не сказали, что это за сервер и роль или каково местоположение, трудно сказать вам детали (например, «Ого! Вы не хотите касаться хранилища информации кредитной карты, если вам нужно спросить об этом! все это строго регулируется! »или« Никогда не храните пароли без хеширования. Никогда не храните в виде обычного текста ».)
Хотя это дико сложно (не говорите, что я вас не предупреждал). У NeXpose есть Community Edition[rapid7.com], который можно использовать для поиска уязвимостей. Вы также можете интегрировать его с Metasploit[www.metaploit.com]. Будьте готовы к тяжелому чтению. Но если вы пройдете через это, вы станете мудрее. Это даже инструменты, используемые некоторыми профессионалами в области безопасности.
Вовлекайте сообщество и учитесь! Быть скомпрометированным (и идти на компромисс) может быть очень сложно.
Лучше всего, если вы есть или подозреваете, что вас взломали, переустановите из резервных копий или выполните чистую установку. Используйте источники, которые предоставляют контрольные суммы[en.wikipedia.com] для загрузки
Если они знают, что делают, они могут даже модифицировать компиляторы в вашей системе для компиляции «вредоносного ПО» на новых компиляциях.
РЕДАКТИРОВАТЬ: это инструменты, позволяющие проверить, можете ли вы подвергнуться эксплуатации. Они не будут проверять, скомпрометированы ли вы.