Ketika saya harus mengelola server Linux yang ada, apa cara terbaik untuk memeriksa apakah itu aman?

Ada banyak tutorial tentang cara mengatur server aman baru .

Tetapi bagaimana jika saya harus mengatur server yang orang lain atur beberapa waktu lalu dan saya belum tahu banyak tentang konfigurasinya?

Apakah ada beberapa alat yang secara otomatis memeriksa "tersangka biasa" atau beberapa daftar periksa yang dapat saya lalui untuk memastikan tidak ada lubang keamanan yang jelas? Apakah ada layanan web yang memeriksa kerentanan dari jarak jauh?

Unduh Nessus dan lakukan pemeriksaan jaringan. Ini akan memberi tahu Anda tentang kerentanan yang dapat dieksploitasi dari jarak jauh.

Juga, instal Ossec ; walaupun ini bukan tujuan utamanya, ia akan menemukan beberapa kesalahan konfigurasi yang umum (akun yang dikonfigurasi dengan tidak benar misalnya). Dan fungsi utamanya - deteksi intrusi berbasis host - akan membantu menemukan jika seseorang mencoba untuk mengeksploitasi kerentanan.

Saya akan mulai dengan daftar periksa "benchmark" Pusat Keamanan Internet . Ini adalah daftar periksa berdasarkan konsensus yang disusun oleh para profesional keamanan untuk berbagai platform dan paket perangkat lunak. Beberapa alat yang disebutkan oleh daftar periksa, atau yang biasanya direkomendasikan yang akan membantu dalam pencarian Anda untuk masalah keamanan:

• Nessus / OpenVAS (pemindai kerentanan)
• Nmap (pemindai port)
• TCPdump / Wireshark (libpcap packet capture)
• SNORT (sistem deteksi intrusi)

(tcpdump diinstal pada banyak sistem linux secara default, atau dapat dengan mudah diinstal dari repositori paket, dan memiliki halaman manual yang komprehensif)

Jika ini untuk perusahaan tempat Anda bekerja, pastikan bahwa analisis keamanan disahkan oleh manajemen, dan bahwa pemindaian tidak akan menyebabkan pemadaman atau kekonyolan aplikasi. Ya, portscan sederhana dapat menyebabkan masalah - portscan printer HP Laserjet yang lebih lama dan mereka akan memuntahkan banyak kertas.

Sebagai pemeriksaan pertama yang sangat cepat:

Lari

netstat -ltnp

sebagai root. Itu akan menunjukkan kepada Anda semua layanan mendengarkan di jaringan:

Ini mungkin menunjukkan hal-hal yang ingin Anda tutup segera. Kemudian Anda dapat melanjutkan dengan solusi di jawaban lain.

Untuk layanan yang perlu dijalankan, tetapi tidak dapat diakses dari luar (seperti server DB lokal), pertimbangkan untuk mengubah konfigurasi sehingga hanya mendengarkan di localhost / 127.0.0.1. Dengan begitu hanya bisa diakses oleh pengguna lokal.

Saya akan memeriksa Bastille-Linux di http://www.bastille-unix.org/ , satu set skrip yang dapat Anda jalankan dan akan memeriksa pengaturan sistem, izin file, pengaturan pengguna dll. Saya telah menggunakannya satu atau dua kali pada kotak saya sendiri, dan jika menemukan masalah pada instalasi default (kebanyakan r_x pada rsh / rsync utils). Ini output sebagai html / java + kutukan / teks datar.

Distro apa?

Umum:

• Tinjau pengaturan iptables dan / atau firewall
• Tinjau konfigurasi SSHD
• Tinjau semua konfigurasi layanan yang dapat diakses secara eksternal
• Pastikan Anda menjalankan perangkat lunak terbaru yang tersedia
• Periksa kerentanan kernel (uname -a lalu google)
• Tinjau izin pengguna dan izin grup pada file yang dapat diedit

Pemeriksaan pertama yang baik lainnya adalah menjalankan nmap hostname dari host lain di jaringan. Ini memberikan pandangan orang luar tentang apa yang ditunjukkan netstat pada tuan rumah.

Jika Anda khawatir, saya akan merekomendasikan mengikuti tutorial yang Anda sebutkan dan membangun kembali server. Terutama jika Anda berpikir admin lain mungkin meninggalkan sesuatu yang buruk. Sebagai admin baru, Anda harus tahu cara menggunakan layanan apa pun yang sedang berjalan kembali.

Pastikan Anda mencadangkan semuanya terlebih dahulu, Anda bisa membayangkan semua partisi untuk memastikan Anda benar melakukannya.

Jika bos Anda tidak mengizinkan Anda, maka rekomendasi orang lain terdengar bagus untuk saya :-)

Selain beberapa tanggapan yang sangat baik di sini, lihat http://www.sans.org/ . Mereka memiliki beberapa dokumen yang sangat bagus jika Anda mau membaca sedikit untuk mendapatkan pemahaman yang lebih baik tentang "pertahanan mendalam".

Beberapa premis yang sangat mendasar:

• pertahankan server Anda ditambal
• jalankan hanya layanan yang perlu dijalankan
• batasi akses pengguna ke server

Coba juga chkrootkit , ia hadir dalam repositori standar dari sebagian besar distribusi dan toh sangat mudah dipasang. Ini akan memeriksa sistem Anda untuk mengetahui banyak kerentanan, rootkit, dan worm yang diketahui.

Satu hal yang dapat Anda lakukan untuk merasakan sistem adalah diff folder / etc terhadap instalasi baru (dengan pembaruan yang sama diterapkan.) Ini akan memberi tahu Anda apa yang telah berubah sehingga Anda dapat memfokuskan masalah keamanan Anda di sana.

Untuk memperluas apa yang dikatakan mas, berikut adalah perintah find sederhana untuk mendaftar semua file setuid dan setgid pada sistem untuk ditinjau.

find / -type f \( -perm -4000 -o -perm -2000 \) -print

Tentu saja, seperti yang orang lain katakan, ini semua dengan asumsi mesin sudah tidak memiliki rootkit di atasnya ...

Chrootkit / rkhunter adalah buah yang menggantung panjang. Jika Anda memasang rootkit, semua yang dilaporkan akan dikompromikan dan karenanya tidak banyak membantu, jadi silakan unduh dari sumber yang dikenal, jangan gunakan yang sudah ada di kotak. Trik bagus lainnya adalah menginstal kernel yang Anda tahu baik (baik dari paket atau roll milik Anda sendiri). Periksa backdoors (lsof -i dan 0 uid akun non-root). Memeriksa aturan firewall biasanya dapat memberi tahu Anda banyak tentang kebiasaan admin sebelumnya. Letakkan wireshark / mendengus padanya, cobalah untuk menemukan sesuatu yang tidak biasa. Lihatlah di mana log akan pergi. Periksa semua jenis file .profile / .bashrc untuk perintah yang tidak biasa. Lihat .ssh / known_hosts untuk host yang cerdik.