LFCA - ഡാറ്റയും ലിനക്സും സുരക്ഷിതമാക്കുന്നതിനുള്ള ഉപയോഗപ്രദമായ നുറുങ്ങുകൾ - ഭാഗം 18
തൊണ്ണൂറുകളുടെ തുടക്കത്തിൽ പുറത്തിറങ്ങിയതു മുതൽ, ലിനക്സ് അതിന്റെ സ്ഥിരത, വൈദഗ്ധ്യം, ഇഷ്uടാനുസൃതമാക്കൽ, ബഗ് പരിഹരിക്കലുകളും മെച്ചപ്പെടുത്തലുകളും നൽകാൻ രാപ്പകൽ പ്രവർത്തിക്കുന്ന ഓപ്പൺ സോഴ്uസ് ഡെവലപ്പർമാരുടെ ഒരു വലിയ സമൂഹത്തിന് നന്ദി, സാങ്കേതിക സമൂഹത്തിന്റെ പ്രശംസ നേടി. ഓപ്പറേറ്റിംഗ് സിസ്റ്റം. പൊതുവേ, പൊതു ക്ലൗഡ്, സെർവറുകൾ, സൂപ്പർ കമ്പ്യൂട്ടറുകൾ എന്നിവയ്uക്കായുള്ള തിരഞ്ഞെടുക്കാനുള്ള ഓപ്പറേറ്റിംഗ് സിസ്റ്റമാണ് ലിനക്uസ്, കൂടാതെ ഇന്റർനെറ്റ് അഭിമുഖീകരിക്കുന്ന പ്രൊഡക്ഷൻ സെർവറുകളുടെ 75% ലിനക്സിൽ പ്രവർത്തിക്കുന്നു.
ഇൻറർനെറ്റ് പവർ ചെയ്യുന്നതിനു പുറമേ, ലിനക്സ് ഡിജിറ്റൽ ലോകത്തേക്കുള്ള വഴി കണ്ടെത്തി, അതിനുശേഷം അത് കുറഞ്ഞിട്ടില്ല. ആൻഡ്രോയിഡ് സ്uമാർട്ട്uഫോണുകൾ, ടാബ്uലെറ്റുകൾ, സ്uമാർട്ട് വാച്ചുകൾ, സ്uമാർട്ട് ഡിസ്uപ്ലേകൾ തുടങ്ങി നിരവധി സ്uമാർട്ട് ഗാഡ്uജെറ്റുകൾക്ക് ഇത് കരുത്ത് പകരുന്നു.
ലിനക്സ് അത്ര സുരക്ഷിതമാണോ?
ലിനക്സ് അതിന്റെ ഉയർന്ന തലത്തിലുള്ള സുരക്ഷയ്ക്ക് പേരുകേട്ടതാണ്, എന്റർപ്രൈസ് പരിതസ്ഥിതികളിൽ ഇത് പ്രിയപ്പെട്ട ചോയ്uസ് ഉണ്ടാക്കുന്നതിനുള്ള ഒരു കാരണമാണിത്. എന്നാൽ ഇവിടെ ഒരു വസ്തുതയുണ്ട്, ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റവും 100% സുരക്ഷിതമല്ല. ലിനക്സ് ഒരു ഫൂൾ പ്രൂഫ് ഓപ്പറേറ്റിംഗ് സിസ്റ്റമാണെന്ന് പല ഉപയോക്താക്കളും വിശ്വസിക്കുന്നു, ഇത് തെറ്റായ അനുമാനമാണ്. വാസ്തവത്തിൽ, ഇന്റർനെറ്റ് കണക്ഷനുള്ള ഏതൊരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റവും സാധ്യമായ ലംഘനങ്ങൾക്കും ക്ഷുദ്രവെയർ ആക്രമണങ്ങൾക്കും വിധേയമാണ്.
അതിന്റെ ആദ്യ വർഷങ്ങളിൽ, ലിനക്uസിന് വളരെ ചെറിയ സാങ്കേതിക-കേന്ദ്രീകൃത ജനസംഖ്യാശാസ്uത്രമുണ്ടായിരുന്നു, ക്ഷുദ്രവെയർ ആക്രമണങ്ങളിൽ നിന്ന് കഷ്ടപ്പെടാനുള്ള സാധ്യത വിദൂരമായിരുന്നു. ഇക്കാലത്ത് ലിനക്സ് ഇന്റർനെറ്റിന്റെ ഒരു വലിയ ഭാഗത്തെ ശക്തിപ്പെടുത്തുന്നു, ഇത് ഭീഷണിയുടെ ലാൻഡ്uസ്uകേപ്പിന്റെ വളർച്ചയെ പ്രേരിപ്പിച്ചു. ക്ഷുദ്രവെയർ ആക്രമണങ്ങളുടെ ഭീഷണി എന്നത്തേക്കാളും യഥാർത്ഥമാണ്.
ലിനക്സ് സിസ്റ്റങ്ങളിലെ ക്ഷുദ്രവെയർ ആക്രമണത്തിന്റെ ഉത്തമ ഉദാഹരണമാണ് എറെബസ് ransomware, ഒരു ഫയൽ-എൻക്രിപ്റ്റിംഗ് ക്ഷുദ്രവെയർ, ഇത് ദക്ഷിണ കൊറിയൻ വെബ് ഹോസ്റ്റിംഗ് കമ്പനിയായ നയനയുടെ 153 ലിനക്സ് സെർവറുകളെ ബാധിച്ചു.
ഇക്കാരണത്താൽ, നിങ്ങളുടെ ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് വളരെയധികം ആവശ്യമുള്ള സുരക്ഷ നൽകുന്നതിന് ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ കൂടുതൽ കഠിനമാക്കുന്നത് വിവേകപൂർണ്ണമാണ്.
ലിനക്സ് സെർവർ ഹാർഡനിംഗ് നുറുങ്ങുകൾ
നിങ്ങളുടെ ലിനക്സ് സെർവർ സുരക്ഷിതമാക്കുന്നത് നിങ്ങൾ കരുതുന്നത്ര സങ്കീർണ്ണമല്ല. നിങ്ങളുടെ സിസ്റ്റത്തിന്റെ സുരക്ഷ ശക്തിപ്പെടുത്തുന്നതിനും ഡാറ്റാ സമഗ്രത നിലനിർത്തുന്നതിനും നിങ്ങൾ നടപ്പിലാക്കേണ്ട മികച്ച സുരക്ഷാ നയങ്ങളുടെ ഒരു ലിസ്റ്റ് ഞങ്ങൾ സമാഹരിച്ചിരിക്കുന്നു.
ഇക്വിഫാക്uസ് ലംഘനത്തിന്റെ പ്രാരംഭ ഘട്ടത്തിൽ, ഇക്വിഫാക്uസിന്റെ ഉപഭോക്തൃ പരാതി വെബ് പോർട്ടലിൽ ഹാക്കർമാർ വ്യാപകമായി അറിയപ്പെടുന്ന ഒരു അപകടസാധ്യത - അപ്പാച്ചെ സ്uട്രട്ട്uസ് - പ്രയോജനപ്പെടുത്തി.
അപ്പാച്ചെ ഫൗണ്ടേഷൻ വികസിപ്പിച്ചെടുത്ത ആധുനികവും മനോഹരവുമായ ജാവ വെബ് ആപ്ലിക്കേഷനുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു ഓപ്പൺ സോഴ്uസ് ചട്ടക്കൂടാണ് അപ്പാച്ചെ സ്uട്രട്ട്uസ്. 2017 മാർച്ച് 7-ന് ഈ അപകടസാധ്യത പരിഹരിക്കുന്നതിനായി ഫൗണ്ടേഷൻ ഒരു പാച്ച് പുറത്തിറക്കുകയും അതിനായി ഒരു പ്രസ്താവന പുറപ്പെടുവിക്കുകയും ചെയ്തു.
Equifax-നെ അപകടസാധ്യതയെക്കുറിച്ച് അറിയിക്കുകയും അവരുടെ അപേക്ഷ പാച്ച് ചെയ്യാൻ ഉപദേശിക്കുകയും ചെയ്തു, എന്നാൽ സങ്കടകരമെന്നു പറയട്ടെ, അതേ വർഷം ജൂലൈ വരെ ഈ അപകടസാധ്യത വളരെ വൈകിയിരുന്നു. ആക്രമണകാരികൾക്ക് കമ്പനിയുടെ നെറ്റ്uവർക്കിലേക്ക് പ്രവേശനം നേടാനും ഡാറ്റാബേസുകളിൽ നിന്ന് ദശലക്ഷക്കണക്കിന് രഹസ്യ ഉപഭോക്തൃ രേഖകൾ ചോർത്താനും കഴിഞ്ഞു. എന്താണ് സംഭവിക്കുന്നതെന്ന് ഇക്വിഫാക്uസിന് ലഭിച്ചപ്പോഴേക്കും രണ്ട് മാസം കഴിഞ്ഞു.
അതിനാൽ, ഇതിൽ നിന്ന് നമുക്ക് എന്ത് പഠിക്കാനാകും?
ക്ഷുദ്രകരമായ ഉപയോക്താക്കളോ ഹാക്കർമാരോ എല്ലായ്uപ്പോഴും നിങ്ങളുടെ സെർവറിനെ സാധ്യമായ സോഫ്uറ്റ്uവെയർ കേടുപാടുകൾക്കായി അന്വേഷിക്കും, അത് അവർക്ക് നിങ്ങളുടെ സിസ്റ്റം ലംഘിക്കാൻ സഹായിക്കും. സുരക്ഷിതമായിരിക്കാൻ, നിലവിലുള്ള ഏതെങ്കിലും കേടുപാടുകൾക്ക് പാച്ചുകൾ പ്രയോഗിക്കുന്നതിന് നിങ്ങളുടെ സോഫ്uറ്റ്uവെയർ അതിന്റെ നിലവിലെ പതിപ്പുകളിലേക്ക് എപ്പോഴും അപ്uഡേറ്റ് ചെയ്യുക.
നിങ്ങൾ ഉബുണ്ടു അല്ലെങ്കിൽ ഡെബിയൻ അടിസ്ഥാനമാക്കിയുള്ള സിസ്റ്റങ്ങളാണ് പ്രവർത്തിപ്പിക്കുന്നതെങ്കിൽ, സാധാരണയായി നിങ്ങളുടെ പാക്കേജ് ലിസ്റ്റുകളോ ശേഖരണങ്ങളോ കാണിച്ചിരിക്കുന്നതുപോലെ അപ്ഡേറ്റ് ചെയ്യുക എന്നതാണ് ആദ്യപടി.
$ sudo apt update
ലഭ്യമായ അപ്uഡേറ്റുകളുള്ള എല്ലാ പാക്കേജുകളും പരിശോധിക്കുന്നതിന്, കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
$ sudo apt list --upgradable
കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ സോഫ്റ്റ്uവെയർ ആപ്ലിക്കേഷനുകളെ അവയുടെ നിലവിലെ പതിപ്പുകളിലേക്ക് അപ്uഗ്രേഡ് ചെയ്യുക:
$ sudo apt upgrade
കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങൾക്ക് ഇവ രണ്ടും ഒരു കമാൻഡിൽ സംയോജിപ്പിക്കാം.
$ sudo apt update && sudo apt upgrade
RHEL & CentOS എന്നിവയ്ക്കായി കമാൻഡ് പ്രവർത്തിപ്പിച്ച് നിങ്ങളുടെ ആപ്ലിക്കേഷനുകൾ അപ്uഗ്രേഡ് ചെയ്യുക:
$ sudo dnf update ( CentOS 8 / RHEL 8 ) $ sudo yum update ( Earlier versions of RHEL & CentOS )
CentOS/RHEL-നുള്ള യാന്ത്രിക അപ്uഡേറ്റുകൾ സജ്ജീകരിക്കുക എന്നതാണ് മറ്റൊരു പ്രായോഗിക ഓപ്ഷൻ.
അസംഖ്യം റിമോട്ട് പ്രോട്ടോക്കോളുകൾക്കുള്ള പിന്തുണ ഉണ്ടായിരുന്നിട്ടും, rlogin, telnet, TFTP, FTP എന്നിവ പോലുള്ള ലെഗസി സേവനങ്ങൾക്ക് നിങ്ങളുടെ സിസ്റ്റത്തിന് വലിയ സുരക്ഷാ പ്രശ്നങ്ങൾ സൃഷ്ടിക്കാൻ കഴിയും. ഇവ പഴയതും കാലഹരണപ്പെട്ടതും സുരക്ഷിതമല്ലാത്തതുമായ പ്രോട്ടോക്കോളുകളാണ്, പ്ലെയിൻ ടെക്സ്റ്റിൽ ഡാറ്റ അയയ്ക്കുന്നു. ഇവ നിലവിലുണ്ടെങ്കിൽ, കാണിച്ചിരിക്കുന്നതുപോലെ അവ നീക്കംചെയ്യുന്നത് പരിഗണിക്കുക.
ഉബുണ്ടു/ഡെബിയൻ അധിഷ്ഠിത സിസ്റ്റങ്ങൾക്കായി, എക്സിക്യൂട്ട് ചെയ്യുക:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server
RHEL/CentOS-അധിഷ്ഠിത സിസ്റ്റങ്ങൾക്ക്, എക്സിക്യൂട്ട് ചെയ്യുക:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv
സുരക്ഷിതമല്ലാത്ത എല്ലാ സേവനങ്ങളും നിങ്ങൾ നീക്കം ചെയ്uതുകഴിഞ്ഞാൽ, ഓപ്പൺ പോർട്ടുകൾക്കായി നിങ്ങളുടെ സെർവർ സ്uകാൻ ചെയ്യുകയും ഹാക്കർമാർക്ക് എൻട്രി പോയിന്റായി ഉപയോഗിക്കാൻ സാധ്യതയുള്ള ഉപയോഗിക്കാത്ത പോർട്ടുകൾ അടയ്ക്കുകയും ചെയ്യേണ്ടത് പ്രധാനമാണ്.
UFW ഫയർവാളിൽ പോർട്ട് 7070 തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെന്ന് കരുതുക. ഇതിനുള്ള കമാൻഡ് ഇതായിരിക്കും:
$ sudo ufw deny 7070/tcp
മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരുന്നതിനായി ഫയർവാൾ വീണ്ടും ലോഡുചെയ്യുക.
$ sudo ufw reload
ഫയർവാൾഡിനായി, കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
$ sudo firewall-cmd --remove-port=7070/tcp --permanent
ഫയർവാൾ വീണ്ടും ലോഡുചെയ്യാൻ ഓർമ്മിക്കുക.
$ sudo firewall-cmd --reload
തുടർന്ന് കാണിച്ചിരിക്കുന്നതുപോലെ ഫയർവാൾ നിയമങ്ങൾ ക്രോസ്-ചെക്ക് ചെയ്യുക:
$ sudo firewall-cmd --list-all
ഒരു നെറ്റ്uവർക്കിലെ ഉപകരണങ്ങളിലേക്ക് സുരക്ഷിതമായി കണക്റ്റുചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു റിമോട്ട് പ്രോട്ടോക്കോൾ ആണ് SSH പ്രോട്ടോക്കോൾ. ഇത് സുരക്ഷിതമാണെന്ന് കണക്കാക്കുമ്പോൾ, സ്ഥിരസ്ഥിതി ക്രമീകരണങ്ങൾ പര്യാപ്തമല്ല, നിങ്ങളുടെ സിസ്റ്റം ലംഘിക്കുന്നതിൽ നിന്ന് ക്ഷുദ്ര ഉപയോക്താക്കളെ തടയുന്നതിന് ചില അധിക ട്വീക്കുകൾ ആവശ്യമാണ്.
SSH പ്രോട്ടോക്കോൾ എങ്ങനെ കഠിനമാക്കാം എന്നതിനെക്കുറിച്ചുള്ള സമഗ്രമായ ഒരു ഗൈഡ് ഞങ്ങളുടെ പക്കലുണ്ട്. പ്രധാന ഹൈലൈറ്റുകൾ ഇതാ.
- പാസ്uവേർഡ് ഇല്ലാത്ത SSH ലോഗിൻ കോൺഫിഗർ ചെയ്യുക & സ്വകാര്യ/പൊതു കീ പ്രാമാണീകരണം പ്രവർത്തനക്ഷമമാക്കുക.
- SSH റിമോട്ട് റൂട്ട് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കുക.
- ശൂന്യമായ പാസ്uവേഡുകളുള്ള ഉപയോക്താക്കളിൽ നിന്നുള്ള SSH ലോഗിനുകൾ പ്രവർത്തനരഹിതമാക്കുക.
- പാസ്uവേഡ് ആധികാരികത പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുകയും SSH സ്വകാര്യ/പൊതു കീ പ്രാമാണീകരണത്തിൽ ഉറച്ചുനിൽക്കുകയും ചെയ്യുക.
- നിർദ്ദിഷ്uട SSH ഉപയോക്താക്കൾക്കുള്ള ആക്uസസ് പരിമിതപ്പെടുത്തുക.
- പാസ്uവേഡ് ശ്രമങ്ങൾക്കായി ഒരു പരിധി കോൺഫിഗർ ചെയ്യുക.
ബ്രൂട്ട്ഫോഴ്സ് ആക്രമണങ്ങളിൽ നിന്ന് നിങ്ങളുടെ സെർവറിനെ സംരക്ഷിക്കുന്ന ഒരു ഓപ്പൺ സോഴ്സ് നുഴഞ്ഞുകയറ്റ പ്രതിരോധ സംവിധാനമാണ് Fail2ban. വളരെയധികം ലോഗിൻ ശ്രമങ്ങൾ പോലുള്ള ക്ഷുദ്ര പ്രവർത്തനങ്ങളെ സൂചിപ്പിക്കുന്ന ഐപികൾ നിരോധിക്കുന്നതിലൂടെ ഇത് നിങ്ങളുടെ Linux സിസ്റ്റത്തെ സംരക്ഷിക്കുന്നു. അപ്പാച്ചെ വെബ്uസെർവർ, vsftpd, SSH എന്നിവ പോലുള്ള ജനപ്രിയ സേവനങ്ങൾക്കായുള്ള ഫിൽട്ടറുകൾ ഉപയോഗിച്ച് ഇത് അയയ്ക്കുന്നു.
SSH പ്രോട്ടോക്കോൾ കൂടുതൽ ശക്തിപ്പെടുത്തുന്നതിന് Fail2ban എങ്ങനെ കോൺഫിഗർ ചെയ്യാം എന്നതിനെക്കുറിച്ചുള്ള ഒരു ഗൈഡ് ഞങ്ങളുടെ പക്കലുണ്ട്.
പാസ്uവേഡുകൾ വീണ്ടും ഉപയോഗിക്കുന്നതോ ദുർബലവും ലളിതവുമായ പാസ്uവേഡുകൾ ഉപയോഗിക്കുന്നതോ നിങ്ങളുടെ സിസ്റ്റത്തിന്റെ സുരക്ഷയെ വളരെയധികം ദുർബലപ്പെടുത്തുന്നു. നിങ്ങൾ ഒരു പാസ്uവേഡ് നയം നടപ്പിലാക്കുന്നു, പാസ്uവേഡ് ശക്തി ആവശ്യകതകൾ സജ്ജമാക്കുന്നതിനോ കോൺഫിഗർ ചെയ്യുന്നതിനോ pam_cracklib ഉപയോഗിക്കുക.
PAM മൊഡ്യൂൾ ഉപയോഗിച്ച്, /etc/pam.d/system-auth ഫയൽ എഡിറ്റ് ചെയ്തുകൊണ്ട് നിങ്ങൾക്ക് പാസ്uവേഡ് ശക്തി നിർവചിക്കാം. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് പാസ്uവേഡ് സങ്കീർണ്ണത സജ്ജമാക്കാനും പാസ്uവേഡുകളുടെ പുനരുപയോഗം തടയാനും കഴിയും.
നിങ്ങൾ ഒരു വെബ്uസൈറ്റ് പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, ഉപയോക്താക്കളുടെ ബ്രൗസറിനും വെബ്uസെർവറിനുമിടയിൽ കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന് ഒരു SSL/TLS സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് നിങ്ങളുടെ ഡൊമെയ്uൻ സുരക്ഷിതമാക്കുന്നത് എല്ലായ്പ്പോഴും ഉറപ്പാക്കുക.
നിങ്ങളുടെ സൈറ്റ് എൻക്രിപ്റ്റ് ചെയ്തുകഴിഞ്ഞാൽ, ദുർബലമായ എൻക്രിപ്ഷൻ പ്രോട്ടോക്കോളുകൾ പ്രവർത്തനരഹിതമാക്കുന്നതും പരിഗണിക്കുക. ഈ ഗൈഡ് എഴുതുമ്പോൾ, ഏറ്റവും പുതിയ പ്രോട്ടോക്കോൾ TLS 1.3 ആണ്, ഇത് ഏറ്റവും സാധാരണവും വ്യാപകമായി ഉപയോഗിക്കുന്നതുമായ പ്രോട്ടോക്കോൾ ആണ്. TLS 1.0, TLS 1.2, SSLv1 മുതൽ SSLv3 വരെയുള്ള മുൻ പതിപ്പുകൾ അറിയപ്പെടുന്ന കേടുപാടുകളുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു.
[ നിങ്ങൾക്ക് ഇതും ഇഷ്ടപ്പെടാം: അപ്പാച്ചെയിലും എൻജിൻക്സിലും TLS 1.3 എങ്ങനെ പ്രവർത്തനക്ഷമമാക്കാം ]
നിങ്ങളുടെ Linux സിസ്റ്റത്തിന്റെ ഡാറ്റ സുരക്ഷയും സ്വകാര്യതയും ഉറപ്പാക്കാൻ നിങ്ങൾക്ക് സ്വീകരിക്കാവുന്ന ചില നടപടികളുടെ സംഗ്രഹമായിരുന്നു അത്.