Differenze tra le versioni di "Protezione relativa macchina Debian"

it:Protezione relativa macchina Debian he:אבטחת הרכב דביאן שלה ru:Обеспечение его машины под управлением Debian ja:その Debian マシンを確保 ar:تأمين جهاز به دبيان zh:确保其 Debian 的机器 ro:Asigurarea sa maşină de Debian pl:Zabezpieczanie swojej maszynie Debiana de:Sicherung ihrer Debian-Rechner nl:Beveiligen zijn Debian machine pt:Protegendo sua máquina Debian es:Su máquina Debian en:Securing its Debian machine fr:Sécuriser sa machine Debian

Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo qui.

Introduzione

Garantire che la sicurezza della sua macchina è un punto essenziale che No. n deve essere sottovalutato pena diventando il bersaglio di vari attacchi. L'attuale potere di computer oggi facendo intrusioni come le tecniche di attacco a forza bruta o bruteforce molto semplice da implementare per ottenere l'accesso come amministratore al bersaglio in un breve periodo di tempo macchina.

In questa pagina troverete un elenco non esaustivo dei brani al fine di proteggere il server Debian su diversi punti come l'acco nt di radice , accesso SSH , firewall, ecc...

Prerequisiti

Uno del prerequisito essenziale per la sicurezza del suo server è di mantenere i suoi pacchetti nella loro versione il più aggiornate possibile. Un numero significativo di difetti scoperti è rapidamente corretti dagli sviluppatori dei pacchetti e le applicazioni coinvolte, ovunque possibile dovrebbe sempre mantenere il suo sistema per aggiornare e quindi per evitare problemi di sicurezza. Mantenere il sistema Debian aggiornato, assicurarsi che avete una lista di repository ufficiali per l'aggiornamento. È possibile trovare un elenco delle disponibili presso Ikoula repository e le istruzioni di installazione a questo indirizzo.

Accesso radice

Consenti connessioni da account radice Dopo il primo utilizzo non è generalmente una buona idea. Infatti l'account root ou superutente ha pieno accesso al sistema.
Se un utente malintenzionato viene fornito per accedere al conto superutente Esso avrà il controllo totale della vostra macchina.

Il comando sudo

Per ridurre il rischio è possibile, ad esempio, aggiungere un utente che, se necessario, otterrà i diritti dei nostri superutente utilizzando il comando sudo.

Abbiamo prima bisogno di creare un nuovo utente

 adduser votre_utilisateur

In seguito, riempire i campi, nonché la password che preferibilmente sarà costituita di lettere minuscole, lettere maiuscole e numeri.

Ci verrà ora installato sudo

 apt-get install sudo

Ora che il nostro utente è creato e che sudo è installato dovrà essere nel gruppo di utilizzare il comando sudo

 usermod -a -G sudo votre_utilisateur

Da ora il nostro utente, se necessario, far precedere il comando desiderato sudo per eseguire con autorizzazioni di superutente .
Password verrà chiesto prima di eseguire qualsiasi comando.

 sudo cat /etc/password

Vietare il login di root

Ora che abbiamo un altro utente ad esempio possiamo prevenire collegamento al nostro sistema dall'account root.

In primo luogo è necessario modificare la configurazione del servizio ssh file

  vi /etc/ssh/sshd_config

Trovare e modificare la seguente riga nel file sshd_config, modificando la Sì da no. Bisogno di decommentare la riga eliminando il simbolo #.

  PermitRootLogin no

Ricordate quindi salvare e chiudere il file di configurazione.

Quando verrà riavviato il servizio SSH è necessario che le modifiche avranno effetto.

 /etc/init.d/ssh restart

SSH accesso

Grazie alle soluzioni precedentemente il nostro sistema è già ben protetto, ma possiamo ancora migliorare questa sicurezza implementando un file di chiave di autenticazione.
Solitamente la connessione e l'autenticazione sul sistema viene eseguita tramite una coppia di login /password. Possiamo sostituire questo metodo che non è infallibile di autenticazione a chiave.
Una volta che l'implementazione del cambiamento durante ogni nuovo sistema di connessione controllerà se l'utente tenta di connettersi è una chiave valida e se questo ha permesso di eseguire un login per l'utente.
Anche se nessun metodo è infallibile file di chiave di autenticazione richiede la persona che vogliono entrare nel sistema che ha questo file. Così, possiamo rafforzare la protezione contro una password che può essere indovinata da forza bruta
Diversi inconvenienti, tuttavia, sono presenti quando è selezionato questo metodo, è indispensabile avere il file di chiave indipendentemente dalla posizione della connessione, ad esempio tra computer al lavoro e a casa.
È inoltre necessario aggiunto manualmente ogni nuovo file di chiave che sarà consentito l'accesso al sistema, nel caso ad esempio di aggiungere un nuovo utente o l'accesso da una persona autorizzata al sistema.

Modificare la porta predefinita

Uno dei modi più efficaci per interrompere i test automatico lanciato contro server è cambiare la porta SSH predefinito sulla vostra macchina. Per fare questo modifica il tuo file sshd_config

 vi /etc/ssh/sshd_config

Trovare e modificare la riga successiva del file modificando il valore di quello scelto

# What ports, IPs and protocols we listen for
Port 22

Riavviare il servizio SSH

 /etc/init.d/ssh restart

Generare una coppia di chiavi

Windows

PuTTYgen sous Windows

È possibile generare la chiave da PuTTYgen software disponibile per Windows.

Linux

Sotto linux è possibile digitare il seguente comando :

 ssh-keygen

Copiare una coppia di chiavi

Quando viene generata la coppia ora dobbiamo indicare il server quali sono persone autorizzate a connettersi al nostro nuovo utente. Per fare questo ogni utente del nostro sistema dispone di un file ssh/authorized_keys presenti nella directory locale.

Se si sono attualmente genera la coppia di chiavi sul vostro sistema Debian è possibile utilizzare il comando seguente per copiare automaticamente la chiave nel file.

 ssh-copy-id votre_utilisateur@IP_VotreServeur

In alternativa è possibile aggiungere manualmente la chiave pubblica nel file di persone autorizzate

Se la cartella di SSH non esiste nella cartella locale dei nostri utenti lo creiamo

mkdir .ssh
chmod 700 .ssh

Ora abbiamo bisogno di creare un file authorized_keys nella nostra cartella. ssh

 vi .ssh/authorized_keys

La chiave pubblica viene quindi aggiunto al file, il risultato dovrebbe essere simile a questo esempio

 ssh-rsa AAAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

Salva e chiude il file.

Per motivi di sicurezza abbiamo limiterà l'accesso al nostro file

 chmod 600 .ssh/authorized_keys

Da oggi il nostro utente è consentito connettersi alla macchina.

Firewall

Utilizzo di un firewall è consigliabile per proteggere il vostro sistema.
Il firewall è spesso la prima linea di difesa della vostra macchina contro l'esterno, infatti è colui che analizzerà il traffico che passa tra la macchina e l'esterno.
Grazie il firewall si è in grado di bloccare o consentire l'accesso al computer dall'esterno di determinati protocolli o porte, garantendo così la sicurezza del vostro sistema.

Criteri di protezione

Nel caso di un firewall è necessario definire un criterio di protezione da attuare. Senza una definizione efficace la scelta del blocco o autorizzazione di protocolli e le porte sarebbe abbastanza casuale.
È pertanto necessario definire in anticipo una chiara politica per la sicurezza della sua rete di computer o la sua macchina.

Le varie politiche comunemente usate includono condizioni whitelist e de la blacklist .

Whitelist

Il principio della politica della whitelist è per bloccare tutto il traffico in ingresso senza eccezione e consentire in modo esplicito solo le porte e i protocolli che siamo assolutamente certi della loro sicurezza. Questo criterio di protezione ha molti vantaggi rispetto alla Blacklist . Infatti tutto il traffico non esplicitamente consentito verrà bloccato, questo eviterà la maggior parte dei tentativi di connessione che abbiamo non avere necessariamente il riflesso per garantire.
Uno degli svantaggi di questa politica è l'obbligo di dover definire ogni porte o protocolli utilizzati per non bloccare l'esecuzione dei nostri servizi ( ad esempio il protocollo http sulla porta 80 )Dobbiamo pertanto conoscere ogni porta usata dalla macchina e mantenere le regole durante l'aggiunta o l'eliminazione di un servizio. Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.

Blacklist

Il principio della politica della Blacklist è di consentire tutto il traffico in ingresso senza eccezione e bloccare in modo esplicito solo le porte e protocolli, che siamo sicuri che essi rappresentano un rischio per la sicurezza.
Questo criterio di protezione ha molti svantaggi rispetto alla whitelist . Infatti consentire tutto il traffico in ingresso senza alcuna restrizione non è raccomandato, blocco coinvolti solo nel caso di una porta o protocollo esplicitamente stabilito. Relativa in uscita nella maggior parte dei casi che non è considerato rischioso per tutti autorizzati, anzi si suppone di conoscere il traffico lasciando la macchina o la rete. Tuttavia, si consiglia di mantenere una traccia di protezione recapito esterno.

IPTables

IPTables è sicuramente il più famoso firewall software disponibile per Debian.

Qui ci sono alcuni comandi pratici riguardanti :

Installazione di iptables

 sudo apt-get install iptables

Elencare le regole attualmente stabilite

 sudo iptables -L

Le regole stabilite di spurgo

sudo iptables -F
sudo iptables -X

Aggiungere una regola

# Autoriser les connexions entrantes sur le port ssh(22) tcp depuis l'adresse ip x.x.x.x par exemple
sudo iptables -A INPUT -p tcp --dport ssh -s x.x.x.x -j ACCEPT

Eliminare una regola

# Supprimer la règle n°2 de la catégorie OUTPUT
sudo iptables -D OUTPUT 2