Sicherung ihrer Debian-Rechner: Unterschied zwischen den Versionen

de:Sicherung ihrer Debian-Rechner he:אבטחת הרכב דביאן שלה ru:Обеспечение его машины под управлением Debian ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 ro:Asigurarea sa maşină de Debian pl:Zabezpieczanie swojej maszynie Debiana nl:Beveiligen zijn Debian machine it:Protezione relativa macchina Debian pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

Dieser Artikel wurde maschinell übersetzt. Sie können den Artikel Quelle hier ansehen.

Einführung

Stellen Sie sicher, dass die Sicherheit seiner Maschine ein wesentlicher Punkt ist, der nicht zu unterschätzende Eides immer das Ziel von verschiedenen Angriffen. Die aktuelle Leistung der Computer heute macht Eingriffe wie die Brute-Force-Angriff-Techniken oder <No. trad>Bruteforce sehr einfach zu implementieren, um Administrator Zugriff auf das Ziel in einer kurzen Zeit-Maschine.

Auf dieser Seite finden Sie eine nicht erschöpfende Liste der Tracks um Ihre Debian-Server auf verschiedenen Punkten wie der Root-Accoder nt zu sichern, SSH Zugang, firewall, etc....

Voraussetzungen

Die Voraussetzung, die wesentlich für die Sicherheit von seinem Server gehört, seine Pakete in ihrer Version der aktuellsten wie möglich beizubehalten. Eine beträchtliche Anzahl von entdeckten Mängel werden schnell korrigiert, von den Entwicklern der Pakete und Anwendungen beteiligt, wo immer möglich stets sein System behalten sollte aktualisieren und damit zur Vermeidung von Sicherheitslücken. Stellen Sie Ihr Debian-System aktuell zu halten, sicher, dass Sie eine Liste der offiziellen Repositories aktualisieren. Finden Sie eine Liste der verfügbaren am Ikoula Repositories und Installationsanweisungen unter dieser Adresse.

Root-Zugang

Verbindungen von Konto zulassen Wurzel Nach dem ersten nützt in der Regel keine gute Idee. In der Tat das Konto Wurzel ou Super-User hat vollen Zugriff auf Ihr System.
Wenn ein Angreifer Zugriff auf Konto kommt Super-User Sie haben volle Kontrolle über Ihre Maschine.

Der Befehl Sudo

Reduzieren Sie das Risiko, Sie z. B. können, einen Benutzer hinzufügen, die, falls erforderlich, die Rechte bekommen, unsere Super-User mit dem Befehl Sudo .

Zunächst müssen wir einen neuen Benutzer erstellen

 adduser votre_utilisateur

Als nächstes füllen Sie die Felder als auch das Kennwort, das vorzugsweise aus Kleinbuchstaben, Großbuchstaben und Zahlen bestehen wird.

Wir werden jetzt Sudo installieren

 apt-get install sudo

Nun, da unsere Benutzer erstellt und diesem Sudo installiert ist muss der Befehl Sudo der Gruppe sein

 usermod -a -G sudo votre_utilisateur

Ab jetzt unsere Benutzer ggf. den Befehl vorausgehen kann, Sudo mit Berechtigungen ausführen möchten Super-User .
Passwort wird gefragt werden, bevor Sie einen Befehl ausführen.

 sudo cat /etc/password

Verbieten Sie das Root-Login

Jetzt haben wir einen anderen Benutzer können wir zum Beispiel verhindern, Anschluss an unsere Anlage vom Konto Wurzel .

Zunächst müssen Sie die Konfiguration bearbeiten die ssh-service-Datei

  vi /etc/ssh/sshd_config

Suchen und bearbeiten Sie die folgende Zeile in der Sshd_config-Datei durch Ändern der Ja durch no. Erforderlich, um die Zeile auskommentieren, indem Sie das Symbol löschen #.

  PermitRootLogin no

Denken Sie daran, dann speichern und schließen Sie die Konfigurationsdatei.

Wenn der SSH-Dienst neu gestartet wird, werden Ihre Änderungen wirksam werden.

 /etc/init.d/ssh restart

SSH Zugang

Dank der Lösungen zuvor unser System ist bereits gut gesichert, aber wir können diese Sicherheit durch die Implementierung einer Schlüsseldatei Authentifizierung noch erweitern.
In der Regel die Verbindung und die Authentifizierung auf Ihrem System erfolgt über ein paar Anmeldung /Passwort. Wir können diese Methode ersetzen, die nicht durch Schlüsselauthentifizierung unfehlbar ist.
Sobald die Umsetzung der Veränderung während jedes neue Anschlusstechnik verfolgen werden, wenn der Benutzer versucht, eine Verbindung herstellen einen gültigen Schlüssel hat und dies hat eine Anmeldung für diesen Benutzer berechtigt.
Obwohl keine Methode narrensicher ist erfordert Authentifizierung Schlüsseldatei die Person wollen, um in das System, dass es diese Datei hat. Also, wir können stärken die Sicherheit und ein Kennwort, das von erraten werden kann Brute-Force
Mehrere Nachteile sind jedoch, wenn diese Methode ausgewählt ist, ist es zwingend notwendig, um die Schlüsseldatei unabhängig von der Position der Verbindung, z. B. zwischen Computern am Arbeitsplatz und zu Hause.
Außerdem müssen Sie manuell hinzugefügt jede neue Schlüsseldatei, die Zugriff auf Ihr System im Fall z. B. von Ihrem System einen neuen Benutzer oder Zugriff durch eine beauftragte Person hinzufügen dürfen.

Ändern den Standard-Port

Eine der Möglichkeiten, die effektivste, automatische Tests gegen Server zu stoppen ist, ändern Sie den Standard-SSH-Port auf Ihrem Computer. Tun dies bearbeiten Sie Ihre Datei sshd_config

 vi /etc/ssh/sshd_config

Suchen und bearbeiten Sie die nächste Zeile der Datei durch Ändern des Werts von einem gewählten

# What ports, IPs and protocols we listen for
Port 22

Starten Sie den SSH-Dienst

 /etc/init.d/ssh restart

Generieren eines Schlüsselpaares

Windows

PuTTYgen sous Windows

Sie können Ihren Schlüssel aus PuTTYgen Software erhältlich für Windows generieren.

Linux

Unter Linux können Sie den folgenden Befehl eingeben :

 ssh-keygen

Kopieren Sie ein Schlüsselpaar

Wenn das Paar generiert wird müssen wir nun den Server angeben, was sind Personen, die zum Herstellen einer Verbindung mit unseren neuen Benutzers. Dazu jeden Benutzer unseres Systems hat eine Datei ssh/Authorized_keys in das lokale Verzeichnis vorhanden.

Wenn Sie sind derzeit das Schlüsselpaar generieren, auf Ihrem Debian-System können Sie den folgenden Befehl, den Schlüssel in die Datei automatisch zu kopieren.

 ssh-copy-id votre_utilisateur@IP_VotreServeur

Alternativ können Sie manuell hinzufügen, Ihren öffentlichen Schlüssel an die berechtigten Personen-Datei

Wenn der .ssh Ordner nicht im lokalen Ordner des Benutzers vorhanden ist, erstellen wir es

mkdir .ssh
chmod 700 .ssh

Jetzt wir eine Datei erstellen müssen Authorized_keys in unserem .ssh Ordner

 vi .ssh/authorized_keys

Der öffentliche Schlüssel wird dann der Datei hinzugefügt, das Ergebnis sollte ähnlich wie in diesem Beispiel

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Es speichert und schließt die Datei.

Sicherheitsgründen werden wir beschränken den Zugriff auf unsere Datei

 chmod 600 .ssh/authorized_keys

Ab jetzt darf unsere Benutzer mit dem Computer herstellen.

Firewall

Die Verwendung einer Firewall wird dringend empfohlen, um Ihr System zu sichern.
Die Firewall ist oft die erste Linie der Verteidigung Ihrer Maschine gegen Außen, es ist in der Tat, der den Datenverkehr analysieren wird, der zwischen Ihrem Rechner und außen übergibt.
Dank der Firewall können Sie blockieren oder zulassen des Zugriffs Ihre Maschine von außen auf bestimmte Protokolle oder Ports, damit die Sicherheit Ihres Systems.

Sicherheitsrichtlinien

Im Falle einer Firewall ist es notwendig, eine Sicherheitsrichtlinie umgesetzt werden zu definieren. Ohne eine effektive Definition wäre die Wahl zu blockieren oder die Berechtigung der Ports und Protokolle ziemlich zufällig.
Es ist daher notwendig, vorher eine klare Politik für die Sicherheit ihrer Computer-Netzwerk oder seine Maschine zu definieren.

Die verschiedenen Richtlinien häufig verwendet enthalten Richtlinien der Whitelist und de die Blacklist .

Whitelist

Das Prinzip der Politik der Whitelist ist, blockieren alle Eingabe ausnahmslos und ausdrücklich erlauben, nur die Ports und Protokolle sind wir absolut sicher, dass ihre Sicherheit. Diese Sicherheitsrichtlinie hat viele Vorteile gegenüber der schwarze Liste . In der Tat alle nicht explizit zugelassen Verkehr gesperrt, dadurch wird verhindert, dass die meisten Verbindungsversuche, die wir unbedingt den Reflex um sichern würde nicht.
Einer der Nachteile dieser Politik ist die Verpflichtung der einzelnen Ports oder Protokolle verwendet, um die Ausführung unserer Dienstleistungen nicht blockieren definieren mit ( zum Beispiel das Protokoll http auf Port 80 )Wir müssen daher jeden Anschluss vom Computer verwendeten kennen und pflegen die Regeln beim Hinzufügen oder Löschen eines Dienstes. Über ausgehende in den meisten Fällen ist, die es nicht so riskant für alle autorisierten betrachtet wird, in der Tat sollen Sie wissen, den Verkehr verlassen, Ihrem Computer oder im Netzwerk. Allerdings empfiehlt es sich, eine Spur von ausgehende Sicherheit zu halten.

Schwarze Liste

Das Prinzip der Politik der schwarze Liste besteht darin, alle eingehenden Datenverkehr ausnahmslos und ausdrücklich nur die Ports blockieren und Protokolle, die wir sicher sind, dass sie eine Gefahr für die Sicherheit ausgeht.
Diese Sicherheitsrichtlinie hat viele Nachteile gegenüber der Whitelist . In der Tat können Sie Gesamtverkehr ohne jede Einschränkung betreten wird nicht empfohlen, blockieren nur bei einem Hafen oder explizit erstelltes Protokoll beteiligt. Über ausgehende in den meisten Fällen ist, die es nicht so riskant für alle autorisierten betrachtet wird, in der Tat sollen Sie wissen, den Verkehr verlassen, Ihrem Computer oder im Netzwerk. Allerdings empfiehlt es sich, eine Spur von ausgehende Sicherheit zu halten.

IPTables

IPTables ist sicherlich der bekannteste verfügbaren Softwarefirewall für Debian.

Hier sind ein paar praktische Befehle betreffend :

Installation von Iptables

 sudo apt-get install iptables

Liste die derzeit geltenden Regeln

 sudo iptables -L

Säuberung die etablierten Regeln

sudo iptables -F
sudo iptables -X

Hinzufügen einer Regel

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

Löschen einer Regel

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2