бързи

Linux системите са сложни неща. Извън кутията всяка дистрибуция включва редица услуги, предназначени да ви помогнат да стартирате нещата. Някои дистрибуции позволяват по-малко услуги по подразбиране, а други позволяват повече. Разликата е в удобството. Някои дистрибуции се опитват да ви накарат да работите бързо, така че те имат активиран голям набор от услуги по подразбиране, за да ви улеснят в настройването, влизането и конфигурирането. Други възприемат обратния подход и не инсталират почти нищо по подразбиране.

Тази статия е началото на кратка поредица, където ще говорим малко за втвърдяване, малко за сегментиране и накрая как да сканираме нашите мрежи, за да видим дали сме го направили правилно. Така че, изчакайте и нека ви покажа няколко защитни слоя.

Инсталирайте по-малко софтуер

Повече ресурси за Linux

Когато инсталирам нова система, се опитвам да инсталирам възможно най-малко. Започвам с базовия пакет и наистина не инсталирам нищо друго. Лесно е да добавите услуги след инсталирането, така че защо да усложняваме процеса? Освен това, ако правите това много, вероятно ще искате да инсталирате от система Kickstart (или шаблон). Така че, бихте искали това да бъде настроено възможно най-просто и общо.

За тази статия инсталирах основна система Red Hat Enterprise Linux (RHEL) 7.6, за да направя реално тестване. Направих минималния минимум по време на инсталацията, като избрах базовия пакет и настроих своите пароли, потребителски имена и мрежа. Също така активирах протокола за мрежово време (NTP).

Идентифицирайте отворените портове

След инсталацията можем да видим списъка с отворени портове. Портовете са начина, по който услугите, изпълнявани на вашия сървър, позволяват на други системи да се свързват с тях. Уеб сървър, например, ще свърже портове 80 и 443 с услугата на уеб сървъра. В тази статия ще идентифицираме кои услуги имат отворени портове в основната инсталация и след това ще разгледаме как да изброим услугите и да деактивираме тези, които не искаме.

В системата Red Hat Enterprise Linux 7.6 използваме ss командата, за да видим тази информация. В системи, които все още се доставят с netstat, ще използвате командата netstat.

Изпълнението на ss в нашата тестова система показва няколко отворени порта:

Изглежда, че RHEL 7.6 базата не е лоша. Забележете във втората колона, че някои от отворените портове показват IP и след това порт, а други имат * и след това порт. Записите, които изглеждат като 127.0.0.1:25, означават, че те просто слушат на localhost. Този резултат означава, че те не са достъпни от разстояние. Услугите, които изглеждат като *: 22, означават, че слушат на всеки интерфейс. По същия начин за IPv6 адресите имаме: 1: 323 и. 22. Записите: 1 са localhost,. Са широко отворени.

Всичко това означава, че тази система има само два IPv4 порта и един IPv6 порт, отворен за света. Услугата dhclient вероятно е добър пример за нещо, което бихме могли да деактивираме (което би затворило своя порт), но само ако сървърът ви не използва DHCP, за да получи своя IP адрес. В случая с моя тестов сървър е така.

Деактивирайте услугите

Изброяването на услуги и спирането/деактивирането им е сравнително лесно за Red Hat Enterprise Linux 7. Ще използваме systemd, за да изброим всички активни единици и след това да му кажем да спре и деактивира тези, които не искаме.

За да изброите всички работещи услуги, можете да използвате systemctl list-units --type = service --state = running. В моята тестова система резултатът показва много скромни 19 услуги и повечето от тях изглеждат като необходими. Все пак ще изберем един, с който да демонстрираме:

Да кажем, че не искахме Postfix да се зарежда при зареждане. Ние просто бихме използвали systemctl stop postfix и след това systemctl деактивирахме postfix, така:

Вероятно не искате да деактивирате Postfix, но разбирате точката.

Обобщавайки

И така, ето го. Днес научих нещо: Red Hat Enterprise Linux 7.6 е доста чист и подреден. Надявам се, че сте научили как да търсите и деактивирате услуги, за да намалите повърхността на атаката си.

Настройте се за следващата част от тази поредица, където ще говоря за мрежовото сегментиране и защитната стена