एनएएस के लिए अतिरिक्त सुरक्षा सॉफ्टवेयर

लेखों की श्रृंखला का शीर्षक बिल्डिंग ए सिक्योर एनएएस है । इसलिए, यह लेख सुरक्षा के स्तर को बढ़ाने पर विचार करेगा। इसके अलावा, उन उपकरणों को जो मैंने उपयोग नहीं किया है, लेकिन यह लागू करना संभव है, वर्णित किया जाएगा।

कौन और कैसे?

जो सिस्टम पर हमला करने जा रहा है और वह इसे कैसे करेगा?

यह आमतौर पर पहला सवाल है जिसका जवाब सुरक्षा के बारे में बात करने से पहले दिया जाना चाहिए।
कम से कम एनएएस के मामले में, ऐसा जवाब पहले से ही निहित है। लेकिन इस सवाल का पूरी तरह से जवाब देने के लिए, एक धमकी मॉडल और एक घुसपैठिया मॉडल बनाया जा रहा है।

कंपनियां अपने विकास चक्रों में एक खतरे वाले मॉडलिंग चरण की शुरुआत कर रही हैं।
Microsoft के पास इसके लिए एक SDL है, लोगों के पास अन्य मॉडल हैं ।

वे कुछ तकनीकों का उपयोग करते हैं, जैसे कि STRIDE या DREAD (STRIDE अभी भी सामान्य है और अच्छी तरह से समर्थित है)।

STRIDE में, उदाहरण के लिए, एक मॉडल डेटा स्ट्रीम पर बनाया गया है और आमतौर पर बड़े, भारी और खराब तरीके से समझा जाता है। फिर भी, उपकरण संभावित खतरों की एक सूची प्रदान करता है, जो उनके विचार को सुविधाजनक बनाता है।

खतरे के मॉडल को वर्गीकृत जानकारी है क्योंकि यह एक हमलावर के लिए सिस्टम का विश्लेषण करना और कमजोरियों को ढूंढना आसान बनाता है। यदि वह एक मॉडल प्राप्त करता है, तो उसे अपने दम पर इसका निर्माण नहीं करना होगा, क्योंकि विश्लेषकों ने पहले से ही सब कुछ ध्यान रखा है।

यह विज्ञापन का एक मिनट था।

इस तरह से गंभीर कंपनियां मॉडल का निर्माण करती हैं। और अगर यह दिलचस्प है, तो मैं किसी तरह एक अलग लेख में वर्णन कर सकता हूं।

यहां मैं वर्णन करूंगा कि अंग्रेजी में "हार्डनिंग" क्या है और सिस्टम के निर्माण के दौरान किए गए सुरक्षा दोषों से निपटेंगे।

मूल रूप से, इस स्तर पर सुरक्षा बनाए रखना ज्ञात सिस्टम भेद्यताओं को बंद करके, इसकी निगरानी और समय-समय पर इसकी जाँच के द्वारा किया जाता है।

संबंधित साहित्य

क्या पढ़ें:

• यह हार्डनेक्स लिनक्स प्रोजेक्ट से शुरू होने लायक है, जहां सभी को बहुत सारी उपयोगी चीजें मिलेंगी ।
• हार्डन-डॉक पैकेज में 2012 में सिक्योरिंग डेबियन मैनुअल शामिल है, लेकिन इस मुद्दे को समझने के लिए चारों ओर दौड़ना हस्तक्षेप नहीं करता है।
• फिर, डेबियन 8 हार्डनिंग शॉर्ट वॉकथ्रू पढ़ें।
• और अंत में, हार्डिंग डेब पैकेज और C / C ++ कोड का एक छोटा सा गाइड , जिसकी आपको सबसे अधिक आवश्यकता होगी।

स्नैपशॉट और डॉकर

पहले, zfs-autosnapshot इंस्टॉल किया गया था। उसने बार-बार मेरी मदद की, क्योंकि मैं स्नैपशॉट से भ्रष्ट कॉन्फ़िगरेशन (नेक्स्टक्लाउड के लिए, उदाहरण के लिए) को पुनर्स्थापित कर सकता था।
हालांकि, समय के साथ, सिस्टम धीमा होने लगा और कई हजार स्नैपशॉट गुणा हो गए।

यह com.sun:auto-snapshot=false चला कि कंटेनरों के लिए मूल फ़ाइल सिस्टम बनाते समय, मैं ध्वज को सेट करना भूल गया। com.sun:auto-snapshot=false ।

मूल लेख में, यह समस्या पहले से ही तय हो गई है, यहां मैं दिखाऊंगा कि अतिरिक्त स्नैपशॉट से कैसे छुटकारा पाया जाए।

 zfs set com.sun:auto-snapshot=false tank0/docker/lib 

 docker container prune docker image prune 

 zfs list -t snapshot -o name -S creation | grep -e ".*docker/lib.*@zfs-auto-snap" | tail -n +1500 | xargs -n 1 zfs destroy -vr 

 zfs list -t filesystem -o name -S creation | grep -e "tank0/docker/lib" | xargs -n 1 zfs set com.sun:auto-snapshot=false 

एलडीएपी

पिछली बार, व्यवस्थापक भूमिका वाला केवल एक LDAP उपयोगकर्ता बनाया गया था।

लेकिन अधिकांश सेवाओं को उपयोगकर्ता डेटाबेस में कुछ भी बदलने की आवश्यकता नहीं है। इसलिए, केवल पढ़ने वाले उपयोगकर्ता को जोड़ना अच्छा होगा। मैन्युअल रूप से भूमिका नहीं बनाने के लिए, कंटेनर इनिशियलाइज़ेशन स्क्रिप्ट का उपयोग करना संभव है।

सबसे पहले, केवल पढ़ने वाले उपयोगकर्ता को सक्षम करने के लिए docker-compose.yml में सेटिंग्स जोड़ें:

 - "LDAP_READONLY_USER=true" - "LDAP_READONLY_USER_USERNAME=readonly" - "LDAP_READONLY_USER_PASSWORD=READONLY_PASSWORD" 

स्पॉइलर के नीचे पूर्ण फ़ाइल।

 version: "2" networks: ldap: docker0: external: name: docker0 services: open-ldap: image: "osixia/openldap" hostname: "open-ldap" restart: always environment: - "LDAP_ORGANISATION=NAS" - "LDAP_DOMAIN=nas.nas" - "LDAP_ADMIN_PASSWORD=ADMIN_PASSWORD" - "LDAP_CONFIG_PASSWORD=CONFIG_PASSWORD" - "LDAP_READONLY_USER=true" - "LDAP_READONLY_USER_USERNAME=readonly" - "LDAP_READONLY_USER_PASSWORD=READONLY_PASSWORD" - "LDAP_TLS=true" - "LDAP_TLS_ENFORCE=false" - "LDAP_TLS_CRT_FILENAME=ldap_server.crt" - "LDAP_TLS_KEY_FILENAME=ldap_server.key" - "LDAP_TLS_CA_CRT_FILENAME=ldap_server.crt" volumes: - ./certs:/container/service/slapd/assets/certs - ./ldap_data/var/lib:/var/lib/ldap - ./ldap_data/etc/ldap/slapd.d:/etc/ldap/slapd.d networks: - ldap ports: - 172.21.0.1:389:389 - 172.21.0.1:636:636 phpldapadmin: image: "osixia/phpldapadmin:0.7.1" hostname: "nas.nas" restart: always networks: - ldap - docker0 expose: - 443 links: - open-ldap:open-ldap-server volumes: - ./certs:/container/service/phpldapadmin/assets/apache2/certs environment: - VIRTUAL_HOST=ldap.* - VIRTUAL_PORT=443 - VIRTUAL_PROTO=https - CERT_NAME=NAS.cloudns.cc - "PHPLDAPADMIN_LDAP_HOSTS=open-ldap-server" #- "PHPLDAPADMIN_HTTPS=false" - "PHPLDAPADMIN_HTTPS_CRT_FILENAME=certs/ldap_server.crt" - "PHPLDAPADMIN_HTTPS_KEY_FILENAME=private/ldap_server.key" - "PHPLDAPADMIN_HTTPS_CA_CRT_FILENAME=certs/ldap_server.crt" - "PHPLDAPADMIN_LDAP_CLIENT_TLS_REQCERT=allow" ldap-ssp: image: openfrontier/ldap-ssp:https volumes: - /etc/ssl/certs/ssl-cert-snakeoil.pem:/etc/ssl/certs/ssl-cert-snakeoil.pem - /etc/ssl/private/ssl-cert-snakeoil.key:/etc/ssl/private/ssl-cert-snakeoil.key restart: always networks: - ldap - docker0 expose: - 80 links: - open-ldap:open-ldap-server environment: - VIRTUAL_HOST=ssp.* - VIRTUAL_PORT=80 - VIRTUAL_PROTO=http - CERT_NAME=NAS.cloudns.cc - "LDAP_URL=ldap://open-ldap-server:389" - "LDAP_BINDDN=cn=admin,dc=nas,dc=nas" - "LDAP_BINDPW=ADMIN_PASSWORD" - "LDAP_BASE=ou=users,dc=nas,dc=nas" - "MAIL_FROM=admin@nas.nas" - "PWD_MIN_LENGTH=8" - "PWD_MIN_LOWER=3" - "PWD_MIN_DIGIT=2" - "SMTP_HOST=" - "SMTP_USER=" - "SMTP_PASS=" 

फिर, आपको डंप करने और हटाने की आवश्यकता है:

 $ cd /tank0/docker/services/ldap $ tar czf ~/ldap_backup.tgz . $ ldapsearch -Wx -D "cn=admin,dc=nas,dc=nas" -b "dc=nas,dc=nas" -H ldap://172.21.0.1 -LLL > ldap_dump.ldif $ docker-compose down $ rm -rf ldap_data $ docker-compose up -d 

डुप्लिकेट तत्वों पर सर्वर को डंप से पुनर्प्राप्त करने से रोकने के लिए, फ़ाइल में लाइनें हटाएं:

 dn: dc=nas,dc=nas objectClass: top objectClass: dcObject objectClass: organization o: NAS dc: nas dn: cn=admin,dc=nas,dc=nas objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: PASSWORD_BASE64 

और उपयोगकर्ताओं और समूहों को पुनर्स्थापित करें:

 $ ldapadd -Wx -D "cn=admin,dc=nas,dc=nas" -H ldap://172.21.0.1 -f ldap_dump.ldif 

ऐसा जानवर डेटाबेस में दिखाई देगा:

 dn: cn=readonly,dc=nas,dc=nas cn: readonly objectClass: simpleSecurityObject objectClass: organizationalRole userPassword:: PASSWORD_BASE64 description: LDAP read only user 

इसके लिए LDAP सर्वर कॉन्फ़िगरेशन में रोल्स कंटेनर द्वारा बनाए जाएंगे।
पुनर्प्राप्ति के बाद चेक करें और बैकअप हटाएं:

 $ rm ~/ldap_backup.tgz 

LDAP में समूह जोड़ना

लिनक्स पर POSIX समूहों के समान समूहों में LDAP उपयोगकर्ताओं का अलगाव सुविधाजनक है।
उदाहरण के लिए, ऐसे समूह बनाना संभव है जिनके उपयोगकर्ताओं के पास रिपॉजिटरी तक पहुंच, क्लाउड तक पहुंच या लाइब्रेरी तक पहुंच होगी।

समूहों को आसानी से phpLDAPAdmin में जोड़ा जाता है, और मैं इस पर ध्यान केंद्रित नहीं करूंगा।

मैं केवल निम्नलिखित नोट करता हूं:

• समूह "डिफ़ॉल्ट" टेम्पलेट से बनाया गया है। यह एक POSIX समूह नहीं है , बल्कि नामों का एक समूह है।
• तदनुसार, समूह में objectClass विशेषता है जिसमें groupOfUniqueNames का मान शामिल है।

डाक में काम करनेवाला मज़दूर

डॉकर में, लगभग सब कुछ आपके लिए किया गया है।
डिफ़ॉल्ट रूप से, यह सिस्टम कॉल प्रतिबंध का उपयोग करता है , जो OMV कर्नेल में शामिल है:

 # grep SECCOMP /boot/config-4.16.0-0.bpo.2-amd64 CONFIG_HAVE_ARCH_SECCOMP_FILTER=y CONFIG_SECCOMP_FILTER=y CONFIG_SECCOMP=y 

यहां आप बुनियादी डॉकटर सुरक्षा नियमों के बारे में अधिक विस्तार से पढ़ सकते हैं।
इसके अलावा, यदि AppArmor सक्षम है, तो डॉकर इसके साथ एकीकृत हो सकता है और कंटेनर में अपने प्रोफाइल को अग्रेषित कर सकता है।

नेटवर्क

ओएस डिस्कवरी को हटा दें

नेटवर्क राउटर के पीछे स्थित है, लेकिन नेटवर्क स्टैक के कुछ मापदंडों को बदलकर एक जिज्ञासु व्यायाम करना संभव है ताकि ओएस को उत्तरों द्वारा पहचाना न जा सके।
इससे थोड़ा वास्तविक लाभ होता है, क्योंकि हमलावर सेवा बैनर का अध्ययन करेगा और अभी भी समझ जाएगा कि आप किस ओएस का उपयोग कर रहे हैं।

 # nmap -O localhost Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-26 14:39 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.000015s latency). Other addresses for localhost (not scanned): ::1 Not shown: 992 closed ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http 443/tcp open https 5432/tcp open postgresql Device type: general purpose Running: Linux 3.X|4.X OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 OS details: Linux 3.8 - 4.6 Network Distance: 0 hops OS detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 4.07 seconds 

Sysctl.conf से सेटिंग डाउनलोड करें:

 # sysctl -p /etc/sysctl.conf net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.tcp_rfc1337 = 1 net.ipv4.ip_default_ttl = 128 net.ipv4.icmp_ratelimit = 900 net.ipv4.tcp_synack_retries = 7 net.ipv4.tcp_syn_retries = 7 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_timestamps = 1 

और इसलिए ...

 # nmap -O localhost Starting Nmap 7.40 ( https://nmap.org ) at 2018-08-26 14:40 MSK Nmap scan report for localhost (127.0.0.1) Host is up (0.000026s latency). Other addresses for localhost (not scanned): ::1 Not shown: 992 closed ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http 443/tcp open https 5432/tcp open postgresql No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ). TCP/IP fingerprint: OS:SCAN(V=7.40%E=4%D=8/26%OT=53%CT=1%CU=43022%PV=N%DS=0%DC=L%G=Y%TM=5B8291C OS:3%P=x86_64-pc-linux-gnu)SEQ(SP=FA%GCD=1%ISR=105%TI=Z%CI=I%TS=8)OPS(O1=MF OS:FD7ST11NW7%O2=MFFD7ST11NW7%O3=MFFD7NNT11NW7%O4=MFFD7ST11NW7%O5=MFFD7ST11 OS:NW7%O6=MFFD7ST11)WIN(W1=AAAA%W2=AAAA%W3=AAAA%W4=AAAA%W5=AAAA%W6=AAAA)ECN OS:(R=Y%DF=Y%T=80%W=AAAA%O=MFFD7NNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=80%S=O%A=S+%F= OS:AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=80%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5( OS:R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=80%W=0%S=A%A=Z% OS:F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N OS:%T=80%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=80%C OS:D=S) Network Distance: 0 hops OS detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 19.52 seconds 

इन सेटिंग्स को /etc/sysctl.conf में लिखे जाने की आवश्यकता है, फिर प्रत्येक रिबूट पर उन्हें स्वचालित रूप से पढ़ा जाएगा।

 ################################################################### # Additional settings - these settings can improve the network # security of the host and prevent against some network attacks # including spoofing attacks and man in the middle attacks through # redirection. Some network environments, however, require that these # settings are disabled so review and enable them as needed. # # Do not accept ICMP redirects (prevent MITM attacks) net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 # _or_ # Accept ICMP redirects only for gateways listed in our default # gateway list (enabled by default) # net.ipv4.conf.all.secure_redirects = 1 # # Do not send ICMP redirects (we are not a router) net.ipv4.conf.all.send_redirects = 0 # # Do not accept IP source route packets (we are not a router) net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 ## protect against tcp time-wait assassination hazards ## drop RST packets for sockets in the time-wait state ## (not widely supported outside of linux, but conforms to RFC) net.ipv4.tcp_rfc1337 = 1 # # Log Martian Packets #net.ipv4.conf.all.log_martians = 1 # ################################################################### # Magic system request Key # 0=disable, 1=enable all # Debian kernels have this set to 0 (disable the key) # See https://www.kernel.org/doc/Documentation/sysrq.txt # for what other values do #kernel.sysrq=1 ################################################################### # Protected links # # Protects against creating or following links under certain conditions # Debian kernels have both set to 1 (restricted) # See https://www.kernel.org/doc/Documentation/sysctl/fs.txt #fs.protected_hardlinks=0 #fs.protected_symlinks=0 vm.overcommit_memory = 1 vm.swappiness = 10 ################################################################### # Anti-fingerprinting. # # Def: 64. net.ipv4.ip_default_ttl = 128 #   ICMP  (  1000) net.ipv4.icmp_ratelimit = 900 #    ,     . # Def: 5. net.ipv4.tcp_synack_retries = 7 # Def: 5. net.ipv4.tcp_syn_retries = 7 #   TCP window  timespamp    1323. net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_timestamps = 1 # Redis requirement. net.core.somaxconn = 511 

सेवा संस्करणों को परिभाषित करने के विरुद्ध सुरक्षा अधिक उपयोगी है, जिसके लिए एक हमलावर Nmap का उपयोग भी कर सकता है:

 # nmap -sV -sR --allports --version-trace 127.0.0.1 

 Not shown: 991 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u3 (protocol 2.0) 25/tcp open smtp Postfix smtpd 80/tcp open http nginx 1.13.12 111/tcp open rpcbind 2-4 (RPC #100000) 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 443/tcp open ssl/http nginx 1.13.12 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 3493/tcp open nut Network UPS Tools upsd 8000/tcp open http Icecast streaming media server 2.4.2 Service Info: Hosts: nas.localdomain, NAS; OS: Linux; CPE: cpe:/o:linux:linux_kernel Final times for host: srtt: 22 rttvar: 1 to: 100000 

लेकिन सेवाओं के भेस के साथ, सब कुछ सुचारू नहीं है:

• प्रत्येक सेवा के लिए, यहां एक व्यक्तिगत दृष्टिकोण की आवश्यकता होती है।
• संस्करण को निकालने की क्षमता हमेशा उपलब्ध नहीं होती है।

उदाहरण के लिए, SSH के लिए DebianBanner no को /etc/ssh/sshd_confg DebianBanner no विकल्प जोड़ना संभव है।

परिणामस्वरूप:

 22/tcp open ssh OpenSSH 7.4p1 (protocol 2.0) 

बेहतर, अफसोस, यह काम नहीं करेगा: संस्करण का उपयोग एसएसएच द्वारा किया जाता है कि कौन सी सुविधाओं का समर्थन किया जाता है, और यह केवल सर्वर को पैच करके इसे बदलना संभव है।

बंदरगाह की दस्तक

सबसे प्रसिद्ध सुरक्षा तकनीक नहीं है, एक दूरस्थ उपयोगकर्ता को अनुमति देता है जो बंद बंदरगाह से जुड़ने का रहस्य जानता है।
कार्य एक कोड लॉक जैसा दिखता है : हर कोई जानता है कि सेवा डेमॉन सर्वर पर काम कर रहे हैं, लेकिन "वे वहां नहीं हैं" जब तक कोड डायल नहीं किया जाता है।
उदाहरण के लिए, SSH सर्वर से कनेक्ट करने के लिए, उपयोगकर्ता को UDP पोर्ट 7000, TCP 7007 और UDP 7777 पर दस्तक देना होगा।
उसके बाद, अपने आईपी के साथ, फ़ायरवॉल एक बंद टीसीपी पोर्ट 22 पर शुरू होगा।

आप यहां पढ़ सकते हैं कि यह कैसे काम करता है । और डेबियन के लिए मैनुअल में ।

मैं के रूप में उपयोग करने की सलाह नहीं देता फेल 2बन आमतौर पर पर्याप्त है।

फ़ायरवॉल

मैं वेब GUI OpenMediaVault के माध्यम से फ़ायरवॉल को कॉन्फ़िगर करता हूं, जिसे मैं आपको सुझाता हूं।

आवश्यक पोर्ट खोलें, जैसे कि 443 और 22, बाकी स्वाद के लिए। यह भी गिरा पैकेट के लॉगिंग को सक्षम करने के लिए सलाह दी जाती है।

SSH

 # grep "invalid user" /var/log/auth.log|head Aug 26 00:07:57 nas sshd[29786]: input_userauth_request: invalid user test [preauth] Aug 26 00:07:59 nas sshd[29786]: Failed password for invalid user test from 185.143.160.137 port 51268 ssh2 Aug 26 00:11:01 nas sshd[5641]: input_userauth_request: invalid user 0 [preauth] Aug 26 00:11:01 nas sshd[5641]: Failed none for invalid user 0 from 5.188.10.180 port 49025 ssh2 Aug 26 00:11:04 nas sshd[5644]: input_userauth_request: invalid user 0101 [preauth] Aug 26 00:11:06 nas sshd[5644]: Failed password for invalid user 0101 from 5.188.10.180 port 59867 ssh2 Aug 26 00:32:55 nas sshd[20367]: input_userauth_request: invalid user ftp [preauth] Aug 26 00:32:56 nas sshd[20367]: Failed password for invalid user ftp from 5.188.10.144 port 47981 ssh2 Aug 26 00:32:57 nas sshd[20495]: input_userauth_request: invalid user guest [preauth] Aug 26 00:32:59 nas sshd[20495]: Failed password for invalid user guest from 5.188.10.144 port 34202 ssh2 

तुच्छ प्रतीत होने के जोखिम पर, मुझे अभी भी याद है कि यह आवश्यक है:

• कड़ाई से रूट लॉगिन को प्रतिबंधित करें।
• केवल निर्दिष्ट उपयोगकर्ताओं के लिए लॉगिन को सीमित करें।
• पोर्ट को गैर-मानक में बदलें।
• पासवर्ड प्रमाणीकरण को अक्षम करना उचित है, केवल कुंजी को छोड़कर।

उदाहरण के लिए, अधिक संभव है ।

यह सब आसानी से OpenMediaVault इंटरफ़ेस से मेनू "सेवा -> एसएसएच" के माध्यम से किया जाता है।
सिवाय इसके कि मैंने पोर्ट को गैर-मानक में नहीं बदला, 22 को स्थानीय नेटवर्क पर छोड़ दिया और केवल पोर्ट को NAT राउटर में बदल दिया।

 # grep "invalid user" /var/log/auth.log|sed 's/.*invalid user \([^ ]*\) .*/\1/'|sort|uniq 0 0101 1234 22 admin ADMIN administrateur administrator admins alfred amanda amber Anonymous apache avahi backup@network bcnas benjamin bin cacti callcenter camera cang castis charlotte clamav client cristina cron CSG cvsuser cyrus david db2inst1 debian debug default denis elvira erik fabio fax ftp ftpuser gary gast GEN2 guest I2b2workdata2 incoming jboss john juan matilda max mia miner muhammad mysql nagios nginx noc office oliver operator oracle osmc pavel pi pmd postgres PROCAL prueba RSCS sales sales1 scaner selena student07 sunos support sybase sysadmin teamspeak telecomadmin test test1 test2 test3 test7 tirocu token tomcat tplink ubnt ubuntu user1 vagrant victor volition www-data xghwzp xxx zabbix zimbra 

एक बार यह पूरा हो जाने के बाद, अनधिकृत लॉगिन प्रयास बहुत कम बार किए जाएंगे।

स्थिति को और बेहतर बनाने के लिए, कई लॉगिन प्रयासों के बाद कुछ आईपी से हमलावरों को ब्लॉक करना संभव है।

इसके लिए क्या इस्तेमाल किया जा सकता है:

• फेल 2बन । एक लोकप्रिय उपयोगिता जो न केवल एसएसएच के लिए, बल्कि कई अन्य अनुप्रयोगों के लिए भी काम करती है।
• Denyhosts । लगता है जैसे फेल 2बन।
• शशगार्ड , यदि आप चाहें, तो आप इसका उपयोग करने की कोशिश कर सकते हैं, लेकिन मुझे इसमें विस्तार से दिलचस्पी नहीं थी।

मैं फेल 2बान का उपयोग कर रहा हूं। यह कुछ IP के भाग पर विभिन्न अवांछनीय कार्यों के लिए लॉग की निगरानी करेगा, और यदि प्रतिक्रियाओं की संख्या पार हो गई है तो उन्हें प्रतिबंधित कर सकता है:

 2018-08-29 21:17:25,351 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.144 2018-08-29 21:17:25,473 fail2ban.actions [8650]: NOTICE [sshd] Ban 5.188.10.144 2018-08-29 21:17:27,359 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.144 2018-08-29 21:28:13,128 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.176 2018-08-29 21:28:13,132 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.176 2018-08-29 21:28:15,137 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.176 2018-08-29 21:28:20,145 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.176 2018-08-29 21:28:25,153 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.176 2018-08-29 21:28:25,421 fail2ban.actions [8650]: NOTICE [sshd] Ban 5.188.10.176 2018-08-29 21:30:05,272 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.180 2018-08-29 21:30:05,274 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.180 2018-08-29 21:30:13,285 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.180 2018-08-29 21:30:13,286 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.180 2018-08-29 21:30:15,289 fail2ban.filter [8650]: INFO [sshd] Found 5.188.10.180 2018-08-29 21:30:15,803 fail2ban.actions [8650]: NOTICE [sshd] Ban 5.188.10.180 

एक फ़ायरवॉल नियम जोड़कर प्रतिबंध लगाया गया है। एक निर्दिष्ट समय के बाद, नियम हटा दिया जाता है, और उपयोगकर्ता फिर से लॉग इन करने का प्रयास कर सकता है।

प्रारंभ में, केवल एसएसएच चालू होता है, लेकिन वेब सर्वर और अन्य सेवाओं के लॉग को नियंत्रित करना संभव है, कम से कम एक ही ओएमवी ।
और यह भी, कंटेनरों से लॉग को बाहर निकालें और उन पर भी विफलता 2ban सेट करें।

मैं स्वाद के लिए सेवाओं को जोड़ने की सलाह देता हूं।
आप कॉन्फ़िगरेशन के बारे में अधिक पढ़ सकते हैं, उदाहरण के लिए, यहां या देशी विकी पर ।

लॉग

Lwatch

एक छोटी सी उपयोगिता जिसे सुविधा के लिए स्थापित किया जाना चाहिए। यह लॉग को उजागर करेगा और उन्हें एक सुंदर रूप में दिखाएगा।
ऐसी किसी भी उपयोगिता का उपयोग करना संभव है, मुख्य बात यह है कि लॉग की त्रुटियों और समस्या क्षेत्रों पर प्रकाश डाला गया है ताकि उनके दृश्य विश्लेषण की सुविधा हो।

Logcheck

यह लॉगचेक को बस स्थापित करने और कॉन्फ़िगर करने के लायक है ताकि जब आप कॉन्फ़िगरेशन समस्याओं की पहचान करें जो लॉग में बताए गए हों, तो आप इसे तुरंत मेल में देखते हैं।
यह देखने में बहुत मदद करता है कि क्या गलत हो रहा है, हालांकि इसके लिए ट्यूनिंग की आवश्यकता होती है।

स्थापना:

 # apt-get install logcheck 

स्थापना के तुरंत बाद, यह रिपोर्ट भेजेगा।

 System Events =-=-=-=-=-=-= Oct 2 02:02:15 nas kernel: [793847.981226] [DROPPED] IN=br-ce OUT= PHYSIN=veth6c2a68e MAC=ff:ff:ff:ff:ff:ff: SRC=172.22.0.11 DST=255.255.255.255 LEN=29 TOS=0x00 PREC=0x00 TTL=64 ID=40170 DF PROTO=UDP SPT=35623 DPT=35622 LEN=9 Oct 2 02:02:20 nas hddtemp[13791]: /dev/sdh: Micron_1100 N #020Ђ: 32 C Oct 2 02:02:37 nas kernel: [793869.247128] [DROPPED] IN=br-7ba OUT= MAC= SRC=172.31.0.1 DST=172.31.255.255 LEN=239 TOS=0x00 PREC=0x00 TTL=128 ID=23017 DF PROTO=UDP SPT=138 DPT=138 LEN=219 Oct 2 02:02:37 nas kernel: [793869.247174] [DROPPED] IN=br-7ba OUT= MAC= SRC=172.31.0.1 DST=172.31.255.255 LEN=232 TOS=0x00 PREC=0x00 TTL=128 ID=23018 DF PROTO=UDP SPT=138 DPT=138 LEN=212 Oct 2 02:02:37 nas kernel: [793869.247195] [DROPPED] IN=br-673 OUT= MAC= SRC=192.168.224.1 DST=192.168.239.255 LEN=239 TOS=0x00 PREC=0x00 TTL=128 ID=8959 DF PROTO=UDP SPT=138 DPT=138 LEN=219 Oct 2 02:02:37 nas kernel: [793869.247203] [DROPPED] IN=br-673 OUT= MAC= SRC=192.168.224.1 DST=192.168.239.255 LEN=232 TOS=0x00 PREC=0x00 TTL=128 ID=8960 DF PROTO=UDP SPT=138 DPT=138 LEN=212 Oct 2 02:02:50 nas hddtemp[13791]: /dev/sdh: Micron_1100 N #020Ђ: 32 C 

यह देखा जा सकता है कि बहुत अधिक मात्रा में है, और आगे की ट्यूनिंग इसे छानने के लिए नीचे आ जाएगी।

सबसे पहले, HDDtemp को बंद करें, जो SSD नाम में ASCII वर्णों के न होने के कारण सही ढंग से काम नहीं करता है।
Hddtemp फ़ाइल को ठीक करने के बाद, संदेश आना बंद हो गए:

 ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ hddtemp\[[0-9]+\]: /dev/([hs]d[az]|sg[0-9]):.*[0-9]+.*[CF] ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ hddtemp\[[0-9]+\]: /dev/([hs]d[az]|sg[0-9]):.*drive is sleeping 

फिर, यह देखना संभव है कि लॉगचेक का कहना है कि फ़ायरवॉल द्वारा प्रसारण ट्रैफ़िक को अवरुद्ध किया जा रहा है:

 [793869.247128] [DROPPED] IN=br-7ba OUT= MAC= SRC=172.31.0.1 DST=172.31.255.255 LEN=239 TOS=0x00 PREC=0x00 TTL=128 ID=23017 DF PROTO=UDP SPT=138 DPT=138 LEN=219 

इसलिए, आपको राउटर और कंटेनरों से प्रसारण ट्रैफ़िक सक्षम करने की आवश्यकता है:

• पोर्ट 35622 कंटेनर से यूरबैकअप के साथ।
• राउटर से पोर्ट 5678 राउटरओएस पड़ोसी खोज है। इसे राउटर पर डिसेबल किया जा सकता है।
• पोर्ट 5353 से 224.0.0.251 पते के लिए mDNS है ।

लॉग चेक करें:

 sudo -u logcheck logcheck -t -d 

अंत में, समस्याएं दिखाई देती हैं:

 Oct 21 21:58:18 nas systemd[1]: Removed slice User Slice of user. Oct 21 21:58:31 nas systemd[1]: smbd.service: Unit cannot be reloaded because it is inactive. Oct 21 21:58:31 nas root: /etc/dhcp/dhclient-enter-hooks.d/samba returned non-zero exit status 1 

यह पता चला है कि एसएएमबीए शुरू नहीं होता है। वास्तव में, विश्लेषण से पता चला है कि मैंने इसे systemctl के माध्यम से प्रच्छन्न किया था, और OMV इसे शुरू करने की कोशिश कर रहा था।

Logcheck अभी भी विभिन्न संदेशों के साथ स्पैम करेगा।
यहाँ, उदाहरण के लिए, zfs-auto-snapshot पारित:

 Oct 21 22:00:57 nas zfs-auto-snap: @zfs-auto-snap_frequent-2018-10-21-1900, 16 created, 16 destroyed, 0 warnings. 

अनदेखा करना:

 ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ zfs-auto-snap: \@zfs-auto-snap_[[:alnum:]-]+, [0-9]+ created, [0-9]+ destroyed, 0 warnings.$ 

rrdcached भी अनदेखी में है:

 ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ rrdcached\[[0-9]+\]: flushing old values$ ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ rrdcached\[[0-9]+\]: rotating journals$ ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ rrdcached\[[0-9]+\]: started new journal [./[:alnum:]]+$ ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ rrdcached\[[0-9]+\]: removing old journal [./[:alnum:]]+$ 

इसके अलावा, जेड को हटाने की सलाह दी जाती है यदि यह अभी भी हटाया नहीं गया है:

 ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ (/usr/bin/)?zed: .*$ ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ (/usr/bin/)?zed\[[0-9]+\]: .*$ 

अच्छी तरह से और इतने पर। बहुत से लोग सोचते हैं कि लॉगचेक एक बहुत बेकार उपयोगिता है।
यह सच है यदि आप इसे किसी ऐसी चीज़ के रूप में उपयोग करते हैं जिसे आप सेट करते हैं और भूल जाते हैं।

फिर भी, यदि आप समझते हैं कि लॉगचेक सिर्फ एक कस्टम लॉग फ़िल्टर है, तो सांख्यिकी, जादू और अनुकूली एल्गोरिदम के बिना, इसकी आवश्यकता का सवाल ही नहीं उठता है। नाटकीय रूप से, वह जो भी भेजता है उसका विश्लेषण करता है और या तो इसे अनदेखा करने या सुधारने के लिए जोड़कर, सूचनात्मक रिपोर्ट प्राप्त करना धीरे-धीरे संभव है।

विश्लेषण के लिए एक स्वचालित उपकरण का उपयोग करना अपने हाथों से समान नियमित अभिव्यक्तियों के माध्यम से लॉग को चलाने से बेहतर है, और स्प्लंक जैसे संपूर्ण डेटा विश्लेषण प्रणाली का उपयोग करने से अक्सर बेहतर होता है।

लॉगचेक और इसके विन्यास को विकी जेंटू और यहाँ पर पढ़ा जा सकता है ।

नोड स्तर की आईडीएस

यहां मैं अपने स्वयं के लेख "एसओसी के क्षेत्र में समाधान का संक्षिप्त विश्लेषण और डेटा ट्रांसमिशन नेटवर्क में एक तंत्रिका नेटवर्क विसंगति डिटेक्टर के विकास" का उल्लेख करूंगा, जिसमें कई उदाहरण हैं।

आप विकी पर एक समान आईडीएस की अधिक पूर्ण समीक्षा और तुलना पढ़ सकते हैं ।

स्टिग-4

रेडहैट से ज्ञात अंतराल के स्थैतिक विश्लेषण के लिए एक जटिल और बड़ी स्क्रिप्ट।
डेबियन में इसका पोर्ट है , जिसे मैं कम से कम एक बार डाउनलोड करने और चलाने की सलाह देता हूं।

 # cd root@nas:~# git clone https://github.com/hardenedlinux/STIG-4-Debian Cloning into 'STIG-4-Debian'... remote: Enumerating objects: 572, done. remote: Total 572 (delta 0), reused 0 (delta 0), pack-reused 572 Receiving objects: 100% (572/572), 634.37 KiB | 0 bytes/s, done. Resolving deltas: 100% (316/316), done. root@nas:~# cd STIG-4-Debian/ root@nas:~/STIG-4-Debian# bash stig-4-debian.sh -H Script Run: Mon Nov 12 23:58:34 MSK 2018 Start checking process... [ FAIL ] The cryptographic hash of system files and commands must match vendor values. ... Pass Count: 54 Failed Count: 137 

इस स्क्रिप्ट के साथ काम करने की प्रक्रिया लगभग निम्नलिखित है:

• स्क्रिप्ट से छुटकारा।
• [ FAIL ] साथ हर पंक्ति में इंटरनेट पर खोजें।
• एक नियम के रूप में, एसटीआईजी ऑनलाइन डेटाबेस का एक लिंक मिलेगा।
• सही है, डेटाबेस में निर्देशों का पालन करते हुए, इस तथ्य पर छूट बनाते हुए कि यह डेबियन है।
• स्क्रिप्ट फिर से चलाएँ।

Rkhunter

RkHunter के बारे में बहुत कुछ लिखा गया है।
लंबे समय से उपयोग किया जाता है, व्यापक रूप से, अभी भी विकसित हो रहा है। एक डेबियन रिपॉजिटरी है।

बाघ

एक मॉड्यूलर शेल स्क्रिप्ट जो सिस्टम ऑडिट और घुसपैठ का पता लगाता है।
यह कुछ हद तक STIG-4 के समान है।
चेकसम उल्लंघन का पता लगाने के लिए, लॉग का विश्लेषण करने के लिए यह तीसरे पक्ष की उपयोगिताओं का उपयोग कर सकता है।

बड़ी संख्या में विभिन्न मॉड्यूल शामिल हैं।

उदाहरण के लिए, एक मॉड्यूल है जो डिलीट की गई फ़ाइलों का उपयोग करने वाली सेवाओं का पता लगाता है, जो तब होता है जब सेवा द्वारा उपयोग किए जाने वाले पुस्तकालयों को सिस्टम अपग्रेड प्रक्रिया के दौरान बदल दिया गया था, लेकिन किसी कारण से सेवा को पुनरारंभ नहीं किया गया था।

सेवा उपयोगकर्ताओं को खोजने के लिए मॉड्यूल हैं जो अब उपयोग नहीं किए जाते हैं, सुरक्षा पैच की कमी के लिए सिस्टम की जांच कर रहे हैं, umask की जांच कर रहे हैं, आदि।

आदमी में अधिक जानकारी।

यह 10 वर्षों से विकसित नहीं हो रहा है (हां, मैं सॉफ्टवेयर को छोड़ने वाला अकेला नहीं हूं)

Samhain

विशिष्ट एड्स जो कर सकते हैं:

• क्रिप्टोग्राफिक हैश द्वारा पूरे सिस्टम की अखंडता की जांच करें।
• स्थापित SUID के साथ विभिन्न निष्पादनों की खोज करें, जिन्हें स्थापित नहीं किया जाना चाहिए।
• छिपी हुई प्रक्रियाओं का पता लगाएं।
• लॉग और डेटाबेस पर हस्ताक्षर करें।

इसके अलावा, यह एक वेब इंटरफेस के साथ केंद्रीकृत निगरानी और सर्वर में लॉग भेजने के केंद्रीकृत है।
, .
.

, , . , , , , .

- HIDS: .
Samhain, .

Tripwire

, Samhain, Tripwire — .
, .

Lynis

RkHunter .

, .
.
Tiger , , .
, . , , Lynix Tripwire.

Chkrootkit

. .
:

• , .
• .
• , latslog, wtmp utmp.
• , , .

.

Ninja

Linux.

ninja-build.

, . UID/GID, Ninja , , (, , ).
(, su).
, .

Ubuntu , Debian.

. . , , , .
Nmap W3af Web-.

Linux ( ) .
. , .

, , , .

" Linux" IBM .

NAS , AppArmor.
, , .
, , , .

Access Control Lists

, .
, ZFS .

ACL , , , . .

EXT , ZFS ACL setfacl/getfacl , chmod ls .

AppArmor

.

, , exec , , open , exec .
, .
AppArmor , .
, .
capabilites.

, . , , , .

 #include <tunables/global> profile ping /{usr/,}bin/ping flags=(complain) { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice> capability net_raw, capability setuid, network inet raw, network inet6 raw, /{,usr/}bin/ping mixr, /etc/modules.conf r, # Site-specific additions and overrides. See local/README for details. #include <local/bin.ping> } 

, , .. . , , ( local/bin.ping ), , .

deb-based .
firejail , .

, , .

Debian, .

SELinux

.
NSA , Debian .

SELinux " " (type enforcement).

, , , SELinux . "".

, , firefox_t .
SELinux , .

एक उदाहरण:

 allow firefox_t user_home_t : file { read write }; 

, , firefox_t , , user_home_t .

एक उदाहरण:

 allow user_t user_home_t:file { create read write unlink }; 

user_t , , user_home_t . user_t , , .

, .

AppArmor -, , , .

 user:role:type:range 

, .
. , (, ), .

, AppArmor, permissive , , .
.
, , AppArmor .

SELinux .
.
IBM .

GrSecurity

Debian - . , , .
, ( ), — Gentoo . : hardening .

, .

Debian , GrSecurity PaX.

Tomoyo

Tomoyo Debian .

. AppArmor, . 2003 .
, , .
, AppArmor, .

/etc/securetty , root ( ), .

PAM, /etc/security .

, Samhain Tripwire, debsums , .

निष्कर्ष

. , .

, Github , .