Netzwerk-Security Review für Linux
Die Arbeit in Linux, sollten Sie einige Sicherheitsmechanismen vertraut sein. EIN Netzwerk-Sicherheitsüberprüfung
konzentriert sich auf die in jedem der folgenden Bereiche, die Sicherheitsmechanismen der Beurteilung:Verhütung: Stellen Sie eine Firewall ein, Paketfilterung aktivieren, deaktivieren unnötige inetd oder xinetd Dienste, deaktivieren Sie nicht benötigte Internet-Dienste, TCP-Wrapper für die Zugriffskontrolle verwenden, und verwenden Sie SSH für den sicheren Remote-Logins.
Nachweis: Verwenden Sie Network Intrusion Detection und Capture-System anmeldet.
Antwort: Entwickeln Sie Incident-Response-Verfahren.
Einige der wichtigsten Schritte bei der Beurteilung der Netzwerksicherheit werden hier beschrieben.
Dienstleistungen von inetd gestartet oder xinetd
Je nach Distribution, die inetd oder xinetd Server kann so konfiguriert werden, einige Internet-Dienste wie TELNET und FTP zu starten. Die Entscheidung über einige dieser Dienste hängt wiederum von Faktoren wie, wie das System mit dem Internet verbindet und wie das System verwendet wird.
Sie können in der Regel deaktivieren die meisten inetd und xinetd Dienstleistungen, die von der Linie zu kommentieren aus - nur ein Nummernzeichen (#) zu Beginn der Zeile.
Wenn Sie mit xinetd, es ist möglich, indem Sie die Konfigurationsdateien in die, welche Dienste ausgeschaltet sind, um zu sehen /etc/xinetd.d Verzeichnis für alle Konfigurationsdateien, die eine haben deaktivieren = yes Linie. (Die Linie zählt nicht, wenn es auf Kommentar, der von einem # -Zeichen am Anfang der Zeile angezeigt wird.)
Sie können eine hinzufügen deaktivieren = yes Zeile in die Konfigurationsdatei von jedem Dienst, den Sie deaktivieren möchten.
Überprüfen Sie auch die folgenden Dateien für Zugangskontrollen mit der verwendeten inetd oder xinetd Dienstleistungen:
/etc/hosts.allow erlaubt listet Hosts bestimmte Dienste zuzugreifen.
/etc/hosts.deny Listen Hosts verweigert den Zugang zu Diensten.
Standalone-Dienste
Viele Dienste, wie beispielsweise Apache oder httpd (Web-Server) und send~~POS=TRUNC (Mail-Server), starten automatisch beim Booten, vorausgesetzt, sie sind so konfiguriert, dass die Art und Weise zu starten.
In einigen Distributionen, können Sie mit dem chkconfig Befehl zu überprüfen, welche dieser Standalone-Server festgelegt werden auf verschiedenen Betriebsebenen zu starten. Typischerweise beginnen die meisten Systeme auf Ausführungsebene 3 (für Text-Login) oder 5 (für die grafische Login) nach oben.
Daher, was zählt, ist die Einstellung für die Server in den Ebenen 3 und 5. die Liste der Server anzuzeigen, Typ chkconfig --list | Mehr. Wenn Sie eine Selbsteinschätzung der Sicherheit Ihres Netzwerks tun und feststellen, dass einige Server nicht ausgeführt werden, können Sie sie für Runlevel 3 und 5 durch Eingabe deaktivieren chkconfig --level 35 Dienstname aus, woher Dienstname ist der Name des Dienstes, den Sie deaktivieren möchten.
In einigen Distributionen können Sie ein GUI-Tool, um zu sehen verwenden, welche Dienste aktiviert sind und zu jeder Ausführungsebene läuft. Mit YaST zum Beispiel auf System auf der linken Seite des Fensters, und dann Runlevel-Editor auf der rechten Seite des Fensters klicken.
Wenn Sie die Netzwerksicherheit überprüfen, notieren Sie alle Server, die eingeschaltet sind - und versuchen Sie dann, um zu bestimmen, ob sie sollten wirklich Sein auf, nach dem, was Sie über das System wissen.
Die Entscheidung über einen bestimmten Dienst zu aktivieren hängt davon ab, wie Sie Ihr System verwendet wird (zum Beispiel als Web-Server oder als Desktop-System) und wie es mit dem Internet (zum Beispiel durch eine Firewall oder direkt) verbunden ist.
Penetrationstest
Ein Penetrationstest ist der beste Weg, zu sagen, welche Dienste auf einem Linux-System wirklich läuft. Penetrationstests beinhaltet den Zugriff auf Ihr System von einem Angreifer Perspektive zu bekommen. Typischerweise in oder zu brechen, können Sie diesen Test aus einem System über das Internet durchführen und versuchen, mindestens, Zugang zu Dienstleistungen auf Ihrem Linux-System laufen zu bekommen.
Ein Aspekt der Penetrationstests ist zu sehen, welche Ports offen sind auf Ihrem Linux-System. Das Port-Nummer ist einfach eine Zahl, die TCP / IP-Netzwerkverbindungen für das System identifiziert. Der Versuch, einen Port zu verbinden, gelingt nur, wenn ein Server ausgeführt wird, oder # 147 Hören, # 148- an diesem Port. Ein Port wird als offen zu sein, wenn ein Server reagiert, wenn eine Verbindungsanforderung für diesen Port ankommt.
Der erste Schritt bei Penetrationstests ist es, einen Port-Scan durchzuführen. Der Begriff Port-Scan beschreibt den automatisierten Prozess zu jedem Port-Nummer, um zu sehen, ob eine gültige Antwort kommt zurück zu verbinden versuchen. Viele verfügbare automatisierte Tools können Port-Scan durchführen - Sie installieren und ein beliebtes Port-Scan-Tool verwenden können, genannt nmap.
Nach Port-Scan durchführen, wissen Sie, welche Ports offen sind und genutzt werden könnten. Nicht alle Server haben Sicherheitsprobleme, aber viele Server haben bekannte Schwachstellen. Ein offener Port bietet eine Möglichkeit, ein Cracker Ihr System durch einen der Server zu attackieren.
In der Tat können Sie automatisierte Tools verwenden genannt Schwachstellen-Scanner Schwachstellen zu ermitteln, die in Ihrem System vorhanden sind.
Ob Ihr Linux-System mit dem Internet verbunden ist, direkt (über DSL oder Kabelmodem) oder über eine Firewall verwenden, um die Port-Scanning und Verwundbarkeit-Scan-Tools, um herauszufinden, ob Sie in Ihrer Verteidigung keine Löcher haben.