1. Utrdite SSH dostop
Utrjevanje (ang. hardening), je proces, s katerim zmanjšujemo površino ranljivosti (ang. surface of vulnerability) sistema. Slednja je običajno večja, če na sistemu (strežniku) teče več servisov hkrati.
Zelo pomembno je, da kar se da dobro utrdimo procese na strežniku. Eden izmed procesov, ki teče praktično na vsakem strežniku, je SSH. Ker se ta uporablja za dostop neposredno na strežnik, pogosto kar z root uporabnikom, je zelo pomembno, da je servis dobro zavarovan.
1.1 Onemogočite dostop z geslom
Ker smo ljudje pri izbiri gesel običajno precej leni (izbiramo enostavna gesla, ki jih nato uporabljamo na večih straneh) je najbolje, da za dostop do strežnika ne uporabljamo avtentikacije z geslom. Precej boljše je, da za prijavo uporabljamo SSH ključe.
Preden onemogočimo prijavo z geslom, moramo nujno omogočiti prijavo z SSH ključem. To storimo tako, da svoj javni SSH ključ kopiramo na stržnik v mapo ~/.ssh/. Če tega ne storimo, bomo izgubili dostop do strežnika.
Nato preverimo, da imamo v datoteki /etc/ssh/sshd_config naslednje:
PubkeyAuthentication yes
PasswordAuthentication no
Zgornje omogoči prijavo s SSH kjučem ter onemogoči prijavo z geslom.
1.2 Onemogočite prijavo z “root” uporabnikom
Če za oddaljeni dostop do svojega strežnika uporabljate root uporabnika, to ni najbolj varna izbira.
Svetuje se, da za prijavo uporabljate navadnega uporabnika, ki ima sudo privilegije.
Najprej preverimo, da imamo nameščen paket sudo:
CentOS
# yum install -y sudo
Debian, Ubuntu
# apt install -y sudo
Nato ustvarimo novega uporabnika:
CentOS
# useradd -m -G sudo <uporabnisko_ime>
# passwd <uporabnisko_ime>
Debian, Ubuntu
# useradd -m -G wheel <uporabnisko_ime>
# passwd <uporabnisko_ime>
Preden onemogočimo prijavo z root uporabnikom, je dobro preveriti, da prijava z novim uporabnikom deluje in da ima novi uporabnik vse ustrezne pravice.
Nato v datoteko /etc/ssh/sshd_config dodamo naslednje:
PermitRootLogin no
1.3 Spremenite vrata
SSH servis privzeto uporablja vrata 22. S tem seveda ni popolnoma nič narobe. Vseeno pa se svetuje, da se vrata nastavijo na neko drugo vrednost. Če nič drugega, s tem krepko zmanjšamo število poskusov vdora.
Preden zamenjamo SSH vrata, moramo poskrbeti, da bodo le ta dovoljena (odprta) skozi požarni zid.
Nato v /etc/ssh/sshd_config uredimo naslednjo vrednost:
Port 5467
1.4 Preverite vaše nastavitve
Poleg nastavitev, ki smo jih omenili zgoraj, je še dosti drugih, s katerimi lahko izboljšamo varnost SSH servisa.
Eden izmed najlažjih načinov, kako preveriti kaj je v redu in kaj ne, je orodje ssh-audit.
Orodje, ki ga poženemo na lokalnem računalniku, bo preverilo SSH konfiguracijo našega strežnika in nam svetovalo, kaj bi bilo dobro spremeniti.
2. Namestite požarni zid
Poleg utrjevanja servisov je požarni zid ena izmed najbolj efektivnih metod zaščite strežnika.
Dober požarni zid nas bo med drugim zaščitil pred:
- vdori na strežnik,
- zlorabo spletnih strani,
- zlorabo servisov,
- škodljivo programsko opremo,
- DDoS napadi.
S požarnim zidom pa ne boste zaščitili le sebe, temveč tudi druge, saj požarni zid znatno zmanjša možnost, da bi se strežnik uporabljal kot posrednik pri napadih na druge naprave v omrežju.
Vsi naši strežniki imajo prednameščen in prednastavljen požarni zid CSF.
3. Uporabljajte močna gesla
Ne glede na vse varnostne nasvete in opozorila večina ljudi še vedno uporablja zelo slaba gesla.
Svetujemo, da kadar je mogoče, uporabljate storitev za generiranje in shranjevanje gesel. S tem se izognete uporabi istih gesel, hkrati pa si morate za dostop do vseh vaših gesel zapomniti le enega (le to mora biti seveda dovolj močno).
Pri naključno generiranih geslih se svetuje, da so dolga vsaj 16 znakov in vsebujejo male in velike črke, številke ter posebne znake.
Za gesla, ki si jih morate zapomniti in morajo biti enostavna za uporabo, pa se svetuje naslednje. Gesla sestavite iz vsaj petih besed. Za dodano varnost dodaje kakšno izmišljeno besedo ali pa kakšen znak na naključno mesto.
Primer takšnega gesla:
starboard-gra.in-avenge-tweezers-pregame-steep
4. Skrbite, da bo vaš sistem posodobljen
Kljub temu, da se progrmaska oprema redno preglejuje in testira, še vedno obstaja možnost, da se v njej skrivajo ranljivosti, ki jih zlonamerneži lahko uporabijo v svojo korist.
Tako uporabniki kot tudi razvijalci programske opreme se vedno trudijo najti pomankljivosti v sistemih in jih popraviti kar se da hitro. Zato je zelo pomembno, da svoje sisteme redno posodabljamo. V nasprotnem primeru se nareč lahko zgodi, da uporabljamo zastarelo programsko opremo, ki predstavlja resno grožnjo našemu sistemu.
5. Utrdite ostale servise, ki tečejo na strežniku
Poleg osnovnih servisov, kot so SSH in spletni strežnik, je zelo pomembno, da utrdimo tudi ostale servise, ki tečejo na strežniku.
Za večino programov, vsaj tistih bolj poznanih, običajno obstaja obšrina dokumentacija, včasih pa kar vodiči, kako zagotoviti maksimalno varnost aplikacije oziroma servisa.
Nekaj dobrih primerov, ki se jih splača prebrati:
- Mozilla – Guidelines => varnostni nasveti in vodiči podjetja Mozilla,
- Arch Linux Wiki – Security => obsežen članek priporočil za varnost Linux sistemov,
- Docker security => pregled in nasveti za varnost Docker kontejnerjev.