Eliminar serviços não necessários e não garantidos para evitar ser interrompidos - os manequins

Os serviços não necessários e não garantidos podem levar a uma porta aberta para hackers. Quando você sabe quais deemons e aplicativos estão sendo executados - como FTP, telnet e um servidor web - é bom saber exatamente quais versões estão sendo executadas para que você possa procurar as vulnerabilidades associadas e decidir se deseja desativá-las. O site National Base de Vulnerabilidade é um bom recurso para determinar vulnerabilidades.

Pesquisas

Várias ferramentas de segurança podem ajudar a determinar vulnerabilidades. Esses tipos de utilitários podem não identificar todos os aplicativos até o número da versão exata, mas eles são uma maneira muito poderosa de coletar informações do sistema.

Vulnerabilidades

Seja especialmente atento a essas deficiências de segurança conhecidas em um sistema:

• FTP anônimo - especialmente se não estiver configurado corretamente - pode fornecer uma maneira para um invasor baixar e acessar arquivos em seu sistema.

• Telnet e FTP são vulneráveis ​​às capturas do analisador de rede do ID de usuário e senha do usuário de texto claro que as aplicações usam. Seus inícios de acesso também podem ser atacados por força bruta.

• As versões antigas do sendmail têm muitos problemas de segurança.

• R-services, como rlogin, rdist, rexecd, rsh e rcp, são especialmente vulneráveis ​​a ataques.

Muitos servidores web são executados no Linux, portanto, você não pode ignorar a importância de verificar falhas no Apache, Tomcat e suas aplicações específicas. Por exemplo, uma vulnerabilidade comum do Linux é que os nomes de usuários podem ser determinados através do Apache quando ele não possui a diretiva UserDir desabilitada em seu httpd. arquivo conf.

Você pode explorar essa fraqueza manualmente navegando para pastas de usuários bem conhecidas, como // www. seu ~ site. com / user_name ou, melhor ainda, usando um scanner de vulnerabilidades, como WebInspect ou QualysGuard, para enumerar automaticamente o sistema. De qualquer forma, você pode descobrir quais usuários do Linux existem e, em seguida, iniciar um ataque de cracking de senha da Web. Existem também inúmeras maneiras de acessar os arquivos do sistema (incluindo / etc / passwd) através do código CGI vulnerável.

Da mesma forma, o FTP geralmente está executando sem garantia em sistemas Linux. Existem sistemas Linux com FTP anônimo habilitado que compartilham informações confidenciais sobre saúde e informações para todos na rede local. Então, não se esqueça de procurar as coisas simples.

Ferramentas

As seguintes ferramentas podem realizar uma coleta de informações mais aprofundada além da varredura de portas para enumerar seus sistemas Linux e ver o que os hackers vêem:

• O Nmap pode verificar versões específicas dos serviços carregados.Basta executar o Nmap com a opção de linha de comando -sV.

  

• O Amap é semelhante ao Nmap, mas tem algumas vantagens:

  • O Amap é muito mais rápido para esses tipos de digitalizações.

  • O Amap pode detectar aplicativos que são configurados para serem executados em portas não padronizadas, como o Apache executado na porta 6789 em vez do padrão 80.

  O Amap foi executado com as seguintes opções para enumerar algumas portas comumente cortadas:

  • 1 faz a varredura correr mais rápido.

  • -b imprime as respostas em caracteres ASCII.

  • -q ignora o relatório de portas fechadas.

  • 21 detecta a porta de controle FTP.

  • 22 detecta a porta SSH.

  • 23 detecta a porta telnet.

  • 80 detecta a porta

    

• netstat mostra os serviços executados em uma máquina local. Digite este comando enquanto estiver conectado:

  netstat -anp
  

• Listar arquivos abertos (lsof) exibe processos que estão sendo ouvidos e arquivos abertos no sistema.

Contramedidas contra ataques de hacks em serviços desnecessários

Você pode e deve desativar os serviços desnecessários em seus sistemas Linux. Esta é uma das melhores maneiras de manter seu sistema Linux seguro. Como reduzir o número de pontos de entrada em sua casa, mais pontos de entrada você elimina os lugares menores em que um intruso pode entrar.

Desativando serviços desnecessários

O melhor método de desativação de serviços desnecessários depende da forma como o daemon é carregado em o primeiro lugar. Você tem vários lugares para desativar serviços, dependendo da versão do Linux que você está executando.

inetd. conf (ou xinetd. conf)

Se isso faz sentido comercial, desative os serviços desnecessários comendo o carregamento de daemons que você não usa. Siga estas etapas:

1. Digite o seguinte comando no prompt do Linux:

   ps -aux
   

   O ID do processo (PID) para cada daemon, incluindo inetd, está listado na tela.

2. Anote o PID para inetd.

3. Abrir / etc / inetd. conf no editor de texto Linux vi, digitando o seguinte comando:

   vi / etc / inetd. conf
   

   Ou

   / etc / xinetd. Conf
   

4. Quando você possui o arquivo carregado em vi, habilite o modo de inserção pressionando I.

5. Mova o cursor para o início da linha do daemon que deseja desativar, como httpd e digite # no o início da linha.

   Esta etapa comenta a linha e impede que ele seja carregado quando você reiniciar o servidor ou reiniciar inetd.

6. Para sair do vi e salvar as alterações, pressione Esc para sair do modo de inserção, digite: wq e, em seguida, pressione Enter.

   Isso diz a vi que você deseja escrever suas alterações e sair.

7. Reinicie inetd digitando este comando com o PID inetd:

   

kill -HUP PID

chkconfig

Se você não possui um inetd. arquivo conf, sua versão do Linux provavelmente está executando o programa xinetd - uma substituição mais segura para inetd - para escutar pedidos de aplicativos de rede recebidos. Você pode editar o / etc / xinetd. Conf do arquivo se este for o caso. Para obter mais informações sobre o uso do xinetd e xinetd. conf, entre homem xinetd ou homem xinetd. conf em um prompt de comando do Linux.

Se você estiver executando o Red Hat 7. 0 ou posterior, você pode executar o programa / sbin / chkconfig para desligar os daemons que você não deseja carregar.

Você também pode inserir chkconfig -list em um prompt de comando para ver quais serviços estão habilitados no xinetd. arquivo conf.

Se desejar desativar um serviço específico, diga snmp, digite o seguinte:

chkconfig --del snmpd

Controle de acesso

Os empilhadores TCP podem controlar o acesso a serviços críticos que você executa, como o FTP ou HTTP. Este programa controla o acesso aos serviços TCP e registra seu uso, ajudando você a controlar o acesso via hostname ou endereço IP e rastrear atividades maliciosas.