Zabezpieczenie serwera przed atakami i wirusami
Podrozdział ten jest opisem różnych sposobów zachowania bezpieczeństwa serwera, szczególnie, że jest on podłączony do internetu, przez który najczęściej dochodzi do ataków na komputery.
Pierwszym zabezpieczeniem jest stosowanie antywirusa, który z aktualną bazą danych jest w stanie ochronić przed infekcją serwera lub komputerów klienckich (dzięki integracji z pocztą elektroniczną), co znacznie podnosi bezpieczeństwo sieci firmowej (np. ClamAV).
RKHunter (Rootkit Hunter) i Chkrootkit (Check Rootkit) to oprogramowanie służące do lokalizowania w systemie tzw. rootkitów, czyli oprogramowania służącego do przejmowania kontroli nad komputerem. Oba programy mają listę wielu najpopularniejszych Rootkitów, więc wskazana jest częsta aktualizacja.
Fail2ban to oprogramowanie, które ma uniemożliwić złamanie hasła za pomocą metody BruteForce (Próba użycia wszystkich możliwych haseł) lub Słownikowej (Wykorzystanie słownika posiadającego listę wyrazów). Przy trzeciej nieudanej próbie logowania czasowo blokuje możliwość wykonania kolejnych prób, a jeśli kolejne próby w przyszłości nie zdadzą egzaminu – zablokuje możliwość połączenia się danego adresu IP z serwerem.
Każdy pakiet Debiana zawiera sumy kontrolne MD5 wszystkich plików. Program Debsums umożliwia weryfikowanie spójności programów w systemach opartych na Debianie, przez co podmiana plików w systemie zostanie szybko wykryta.
IPTables to oprogramowanie do filtrowania pakietów, jego zastosowanie pozwala administratorowi na całkowite zablokowanie portów wychodzących i udostępnienie konkretnych znanych portów, co znacznie utrudnia lub uniemożliwia dywersję serwera.
SNORT to program służący do wykrywania ataków poprzez analizowanie ruchu sieciowego odbywającego się z komputerem na którym został uruchomiony – można łatwo śledzić skąd przybył do nas pakiet, na jakim porcie oraz dla jakiej usługi został przeznaczony, a także wykrywa wiele ataków sieciowych takich jak ataki WWW, skanowanie portów, próby przepełnienia bufora i wiele innych. W rękach dobrego administratora pozwoli namierzyć i zablokować wszelkie próby naruszenia bezpieczeństwa serwera.
Bardzo przydatnym programem może okazać się Lynis. Jest to aplikacja, która używając swojej bazy danych skanuje wszystkie możliwe podatności, które ma zaimplementowane. Jest to bardzo dobre narzędzie by zminimalizować (postępując z jej radami) szanse na włamanie się do serwera. Postaram się szerzej omówić te narzędzie. W razie znalezienia możliwej podatności program zgłosi nam to i da odpowiedni link do strony z informacją jak ten problem rozwiązać.
Przydatne linki:
Instalacja i konfiguracja ClamAV. https://help.ubuntu.com/community/ClamAV
Omówienie zabezpieczeń OpenSSH. http://smurf.mimuw.edu.pl/node/151
Informacje nt. działania programu Debsums. http://www.linuxexpert.pl/posts/1788/adamantix-i-weryfikacja-pakietow/
Omówienie programu IPTables. https://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
Opis możliwości i konfiguracja programu SNORT. http://pl.docs.pld-linux.org/uslugi_snort.html
Informacje ogólne nt. Lynis. https://sekurak.pl/lynis-darmowe-narzedzie-do-audytu-bezpieczenstwa-konfiguracji-linuksauniksow/
Dzięki dużo interesujących narzędzi podałeś. Ja od siebie dodam, że warto też użyć narzędzi on-line do przetestowania podatności.
Tutaj linkuje do listy 12 popularnych: https://geekflare.com/online-scan-website-security-vulnerabilities
Jest tego mnóstwo w sieci każdy znajdzie jakiś ulubiony np. :
https://www.scanmyserver.com/
https://pentest-tools.com/website-vulnerability-scanning/web-server-scanner-nikto