Índice
A segurança do servidor é muito importante para proteger os dados de invasores em potencial. O administrador do sistema é responsável pela segurança do servidor. Em primeiro lugar, pode-se dizer que a segurança física dos sistemas é importante.Segurança física de sistemas de acesso e servidores
O Endurecimento é o fortalecimento ou endurecimento de um sistema, é o processo de proteger um sistema reduzindo vulnerabilidades. Um sistema fica mais vulnerável quando fornece mais funções ou serviços.Algumas coisas a se ter em mente para evitar ataques geralmente incluem a remoção de software desnecessário, nomes de usuário ou logins desnecessários e desabilitação ou remoção de serviços desnecessários.
Existem vários Métodos de endurecimento em sistemas Unix e Linux. Isso pode envolver, entre outras medidas, o fechamento de portas de rede abertas. Em outros tutoriais, vimos como interromper serviços Aplicando medidas de segurança para servidores VPS e como configurar um firewall para proteger seu servidor Linux.
O estabelecimento de sistemas de detecção de intrusão, firewall e sistemas de prevenção de intrusão como Bastille Linux, Aumente a segurança do Linux com Bastille, por exemplo para desabilitar recursos que não são necessários nos arquivos de configuração ou implementar outras tarefas de proteção.
As instruções neste tutorial são para Linux CentOS / RHEL ou distribuição Linux baseada em Ubuntu / Debian, que são os mais usados em servidores.
Protocolo de comunicação SSH
AlvoImpedir o acesso ao usuário root e criar um novo usuário administrador
Para fazer isso, vamos a uma janela de terminal e escrevemos o seguinte comando
sudo gedit / etc / ssh / sshd_configEm seguida, procuramos a linha:
Porta 22e mudarmos para outro número, isso mudará a porta SSH:
Porta 4655Em seguida, procuramos a linha e alteramos o login raiz para não:
PermitRootLogin noSalvamos e reiniciamos o ssh com o seguinte comando:
sudo service ssh restartCom isso, será feito.
Defesas que todo servidor deve ter para prevenir ataques
Sistema de detecção de intrusão
IDS ou sistema de detecção de intrusão é um software que é usado para detectar acesso não autorizado para um computador dentro de uma rede. Esses acessos podem ser ataques ou usuários sem permissão.
Algum IDS conhecido para Linux está:
Tripwireé uma ferramenta de integridade e segurança de dados usada para monitorar e alertar sobre a alteração de arquivos específicos no nível do sistema. Se algum arquivo for modificado ou alterado, um alerta será enviado ao administrador. Se as alterações forem válidas, as alterações podem ser adicionadas ou aceitas por meio do banco de dados Tripwire. Dessa forma, ele não será detectado em outra varredura.
Para instalá-lo, abrimos uma janela de terminal e digitamos os seguintes comandos:
sudo apt-get install tripwirePara usá-lo, escrevemos o seguinte código:
sudo tripwire -init
sudo tripwire --check --interactiveUma vez finalizada a análise, será gerado um relatório com todas as informações do sistema, se existem setores vulneráveis e quais são os arquivos:
Outras IDS que podemos testar são:
- Snort
- Tampas
- Esnobe
Sistema de detecção de intrusão em um host
HIDS este tipo de software é o que chamamos de Sistema de detecção de intrusão de host o Sistema de detecção de intrusão em um host. Funciona monitorando e analisando o sistema tentando detectar anomalias que possam colocar a rede ou o sistema em risco, o que este software faz é verificar as atividades que são realizadas no computador host.
Algum HDIS conhecido está:
TigreÉ uma ferramenta HIDS, pois executa uma auditoria de segurança, bem como vários controles de segurança, verifica senhas fracas, verifica o sistema para ouvir chamadas de backdoor que são cavalos de Tróia que abrem uma porta no sistema e permitem a entrada de outros invasores. A saída pode ser formatada em um documento HTML, que você pode abrir em qualquer navegador.
Para instalá-lo, vamos a uma janela de terminal e executamos o seguinte comando
sudo apt-get install tigrePara fazer uma verificação completa do sistema, escrevemos o seguinte comando:
sudo tigre -HIsso irá gerar um relatório com as alterações, o relatório irá salvá-lo na pasta:
/var/log/tiger/security.report.myuser.150905-17:45.html
Sistema de detecção de intrusão de rede
NIDS é um sistema de detecção de intrusão de software em uma rede. Ele monitora uma rede tentando detectar anomalias, como ataques DDOS ou negação de serviço, verificação de portas internas e externas ou tentativas de acesso a um computador sem autorização, esta detecção é realizada analisando o tráfego de entrada e saída da rede em tempo real .
A metodologia utilizada pelo software NIDS é a análise de todos os pacotes, em busca de possíveis atividades ou códigos conhecidos e suspeitos. Os NIDS analisam o tráfego de entrada, e também o de saída em uma rede e também o tráfego dentro da rede, uma vez que alguns ataques podem ser iniciados de dentro da rede com certificações autorizadas pelo próprio sistema protegido. A análise de um NIDS não consome muitos recursos da rede, embora seja executado em tempo real
Um NIDS amplamente utilizado é o Snort Snort
SnortSnort é um farejador e farejador de pacotes que analisa os pacotes de uma rede que entram e saem. Eles possuem bancos de dados com atividades conhecidas e implementam um mecanismo de detecção de ataques e varredura de portas que permite registrar, alertar qualquer anomalia que esteja definida no banco de dados ou registrar uma nova. Assim, não só evita invasões, mas também verifica os pacotes que são enviados e recebidos pela rede, para que possamos evitar tentativas de ataques, varredura de protocolo, etc. Tudo isso em tempo real.
Vamos instalar instalar Snort no Linux, para usar este NIDS:
sudo apt-get update
sudo apt-get install snortNo início da instalação, solicitará que indiquemos qual a faixa de IP da rede.
Lembre-se que a máscara de sub-rede indicará a quantidade de PCs ou IPs disponíveis nessa rede, para termos uma referência temos a seguinte tabela que mostra a quantidade de PCs ou IPs de acordo com a máscara de sub-rede que utilizamos:
Para verificar se ele foi instalado corretamente, na janela do terminal, escrevemos o seguinte comando:
snort - versãoEm seguida, teremos que configurar o Snort, para realizar esta tarefa a partir de uma janela de terminal, escreveremos o seguinte comando:
sudo dpkg reconfigurar snortNeste caso vemos que tenho uma rede ethernet 192.168.0.1 e uma rede wlan 192.168.0.0, para essa configuração minha rede interna é a ethernet do roteador e o ip wlan é o modem a cabo.
Portanto, como configuração, usaremos o etho0. Configuramos alguns dados como número de alertas, e-mail para onde enviar alertas, verificamos todos os pacotes da rede ou apenas aqueles da interface selecionada, etc.
Ao final da configuração indicamos que o snort inicia como um serviço toda vez que o computador ou servidor for inicializado, isso pode ser feito por meio do seguinte comando:
sudo /etc/init.d/snort restartPara verificar se está funcionando corretamente desde o início, usamos os seguintes comandos
sudo /etc/init.d/snort statusGostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo