LFCA - డేటా మరియు లైనక్స్uను భద్రపరచడానికి ఉపయోగకరమైన చిట్కాలు - పార్ట్ 18

తొంభైల ఆరంభంలో విడుదలైనప్పటి నుండి, లైనక్స్ టెక్నాలజీ కమ్యూనిటీ యొక్క ప్రశంసలను గెలుచుకుంది, దాని స్థిరత్వం, పాండిత్యము, అనుకూలీకరణ మరియు ఓపెన్ సోర్స్ డెవలపర్uల యొక్క పెద్ద సమాజానికి బగ్ పరిష్కారాలను మరియు మెరుగుదలలను అందించడానికి రౌండ్-ది-క్లాక్uలో పనిచేసే వారికి ధన్యవాదాలు. ఆపరేటింగ్ సిస్టమ్. పెద్దగా, లైనక్స్ అనేది పబ్లిక్ క్లౌడ్, సర్వర్లు మరియు సూపర్ కంప్యూటర్ల కోసం ఎంపిక చేసే ఆపరేటింగ్ సిస్టమ్, మరియు 75% ఇంటర్నెట్-ఫేసింగ్ ప్రొడక్షన్ సర్వర్లు లైనక్స్uలో నడుస్తాయి.

ఇంటర్నెట్uను శక్తివంతం చేయడమే కాకుండా, లైనక్స్ డిజిటల్ ప్రపంచానికి తన మార్గాన్ని కనుగొంది మరియు అప్పటి నుండి తగ్గలేదు. ఇది ఆండ్రాయిడ్ స్మార్ట్uఫోన్uలు, టాబ్లెట్uలు, స్మార్ట్uవాచ్uలు, స్మార్ట్ డిస్ప్లేలు మరియు మరెన్నో సహా స్మార్ట్ గాడ్జెట్uలకు విస్తారమైన శక్తిని ఇస్తుంది.

లైనక్స్ సురక్షితంగా ఉందా?

లైనక్స్ దాని ఉన్నత-స్థాయి భద్రతకు ప్రసిద్ధి చెందింది మరియు సంస్థ పరిసరాలలో ఇష్టమైన ఎంపిక కోసం ఇది ఒక కారణం. ఇక్కడ వాస్తవం ఏమిటంటే, ఆపరేటింగ్ సిస్టమ్ 100% సురక్షితం కాదు. చాలా మంది వినియోగదారులు లైనక్స్ ఒక ఫూల్ప్రూఫ్ ఆపరేటింగ్ సిస్టమ్ అని నమ్ముతారు, ఇది తప్పుడు .హ. వాస్తవానికి, ఇంటర్నెట్ కనెక్షన్ ఉన్న ఏదైనా ఆపరేటింగ్ సిస్టమ్ సంభావ్య ఉల్లంఘనలకు మరియు మాల్వేర్ దాడులకు గురి అవుతుంది.

ప్రారంభ సంవత్సరాల్లో, లైనక్స్ చాలా చిన్న టెక్-సెంట్రిక్ జనాభాను కలిగి ఉంది మరియు మాల్వేర్ దాడులతో బాధపడే ప్రమాదం రిమోట్. ఈ రోజుల్లో లైనక్స్ ఇంటర్నెట్ యొక్క భారీ భాగాన్ని శక్తివంతం చేస్తుంది మరియు ఇది ముప్పు ప్రకృతి దృశ్యం యొక్క పెరుగుదలకు దారితీసింది. మాల్వేర్ దాడుల ముప్పు గతంలో కంటే వాస్తవమైనది.

లైనక్స్ సిస్టమ్uలపై మాల్వేర్ దాడికి సరైన ఉదాహరణ, దక్షిణ కొరియా వెబ్ హోస్టింగ్ సంస్థ అయిన నయానా యొక్క 153 లైనక్స్ సర్వర్uలను ప్రభావితం చేసిన ఫైల్-ఎన్uక్రిప్టింగ్ మాల్వేర్ ఎరేబస్ ransomware.

ఈ కారణంగా, మీ డేటాను కాపాడటానికి చాలా కావలసిన భద్రతను ఇవ్వడానికి ఆపరేటింగ్ సిస్టమ్uను మరింత కఠినతరం చేయడం వివేకం.

Linux సర్వర్ గట్టిపడే చిట్కాలు

మీ Linux సర్వర్uను భద్రపరచడం మీరు అనుకున్నంత క్లిష్టంగా లేదు. మీ సిస్టమ్ యొక్క భద్రతను బలోపేతం చేయడానికి మరియు డేటా సమగ్రతను నిర్వహించడానికి మీరు అమలు చేయవలసిన ఉత్తమ భద్రతా విధానాల జాబితాను మేము సంకలనం చేసాము.

ఈక్విఫాక్స్ ఉల్లంఘన యొక్క ప్రారంభ దశలలో, ఈక్విఫాక్స్ యొక్క కస్టమర్ ఫిర్యాదు వెబ్ పోర్టల్uలో హ్యాకర్లు విస్తృతంగా తెలిసిన దుర్బలత్వం - అపాచీ స్ట్రట్స్ - పై ప్రభావం చూపారు.

అపాచీ స్ట్రట్స్ అనేది అపాచీ ఫౌండేషన్ అభివృద్ధి చేసిన ఆధునిక మరియు సొగసైన జావా వెబ్ అనువర్తనాలను రూపొందించడానికి ఓపెన్ సోర్స్ ఫ్రేమ్uవర్క్. ఫౌండేషన్ మార్చి 7, 2017 న దుర్బలత్వాన్ని పరిష్కరించడానికి ఒక పాచ్uను విడుదల చేసింది మరియు ఆ మేరకు ఒక ప్రకటన విడుదల చేసింది.

ఈక్విఫాక్స్ దుర్బలత్వం గురించి తెలియజేయబడింది మరియు వారి దరఖాస్తును పాచ్ చేయమని సలహా ఇచ్చింది, కాని పాపం, దుర్బలత్వం అదే సంవత్సరం జూలై వరకు గుర్తించబడలేదు, ఆ సమయంలో చాలా ఆలస్యం అయింది. దాడి చేసినవారు కంపెనీ నెట్uవర్క్uకు ప్రాప్యత పొందగలిగారు మరియు డేటాబేస్uల నుండి మిలియన్ల మంది రహస్య కస్టమర్ రికార్డులను నిర్మూలించారు. ఈక్విఫాక్స్ ఏమి జరుగుతుందో తెలుసుకునే సమయానికి, అప్పటికే రెండు నెలలు గడిచిపోయాయి.

కాబట్టి, దీని నుండి మనం ఏమి నేర్చుకోవచ్చు?

హానికరమైన వినియోగదారులు లేదా హ్యాకర్లు మీ సర్వర్uను సాధ్యం సాఫ్ట్uవేర్ దుర్బలత్వాల కోసం ఎల్లప్పుడూ పరిశీలిస్తారు, అప్పుడు వారు మీ సిస్టమ్uను ఉల్లంఘించడానికి పరపతి పొందవచ్చు. సురక్షితంగా ఉండటానికి, ఇప్పటికే ఉన్న ఏదైనా దుర్బలత్వాలకు పాచెస్ వర్తింపజేయడానికి మీ సాఫ్ట్uవేర్uను ప్రస్తుత వెర్షన్uలకు నవీకరించండి.

మీరు ఉబుంటు లేదా డెబియన్ ఆధారిత వ్యవస్థలను నడుపుతుంటే, మొదటి దశ సాధారణంగా మీ ప్యాకేజీ జాబితాలు లేదా రిపోజిటరీలను చూపిన విధంగా నవీకరించడం.

$ sudo apt update

అందుబాటులో ఉన్న నవీకరణలతో అన్ని ప్యాకేజీల కోసం తనిఖీ చేయడానికి, ఆదేశాన్ని అమలు చేయండి:

$ sudo apt list --upgradable

చూపిన విధంగా మీ సాఫ్ట్uవేర్ అనువర్తనాలను వాటి ప్రస్తుత సంస్కరణలకు అప్uగ్రేడ్ చేయండి:

$ sudo apt upgrade

చూపిన విధంగా మీరు ఈ రెండింటినీ ఒకే ఆదేశంలో కలపవచ్చు.

$ sudo apt update && sudo apt upgrade

RHEL & CentOS కమాండ్uను అమలు చేయడం ద్వారా మీ అనువర్తనాలను అప్uగ్రేడ్ చేయండి:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

CentOS/RHEL కోసం ఆటోమేటిక్ అప్uడేట్uలను సెటప్ చేయడం మరో ఆచరణీయ ఎంపిక.

అనేక రిమోట్ ప్రోటోకాల్uలకు మద్దతు ఉన్నప్పటికీ, రోలోగిన్, టెల్నెట్, టిఎఫ్uటిపి మరియు ఎఫ్uటిపి వంటి లెగసీ సేవలు మీ సిస్టమ్uకు భారీ భద్రతా సమస్యలను కలిగిస్తాయి. ఇవి పాతవి, పాతవి మరియు అసురక్షిత ప్రోటోకాల్uలు, ఇక్కడ డేటా సాదా వచనంలో పంపబడుతుంది. ఇవి ఉన్నట్లయితే, చూపిన విధంగా వాటిని తీసివేయండి.

ఉబుంటు/డెబియన్ ఆధారిత వ్యవస్థల కోసం, అమలు చేయండి:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

RHEL/CentOS- ఆధారిత వ్యవస్థల కోసం, అమలు చేయండి:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

మీరు అన్ని అసురక్షిత సేవలను తీసివేసిన తర్వాత, ఓపెన్ పోర్ట్uల కోసం మీ సర్వర్uను స్కాన్ చేయడం మరియు ఉపయోగించని పోర్ట్uలను మూసివేయడం చాలా ముఖ్యం, వీటిని హ్యాకర్లు ఎంట్రీ పాయింట్uగా ఉపయోగించుకోవచ్చు.

మీరు UFW ఫైర్uవాల్uలో పోర్ట్ 7070 ని బ్లాక్ చేయాలనుకుంటున్నారని అనుకుందాం. దీనికి ఆదేశం ఉంటుంది:

$ sudo ufw deny 7070/tcp

మార్పులు అమలులోకి రావడానికి ఫైర్uవాల్uను మళ్లీ లోడ్ చేయండి.

$ sudo ufw reload

ఫైర్uవాల్డ్ కోసం, ఆదేశాన్ని అమలు చేయండి:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

మరియు ఫైర్uవాల్uను మళ్లీ లోడ్ చేయడం గుర్తుంచుకోండి.

$ sudo firewall-cmd --reload

అప్పుడు చూపిన విధంగా ఫైర్uవాల్ నియమాలను క్రాస్ చెక్ చేయండి:

$ sudo firewall-cmd --list-all

SSH ప్రోటోకాల్ రిమోట్ ప్రోటోకాల్, ఇది నెట్uవర్క్uలోని పరికరాలకు సురక్షితంగా కనెక్ట్ అవ్వడానికి మిమ్మల్ని అనుమతిస్తుంది. ఇది సురక్షితంగా పరిగణించబడుతున్నప్పటికీ, డిఫాల్ట్ సెట్టింగ్uలు సరిపోవు మరియు హానికరమైన వినియోగదారులను మీ సిస్టమ్uను ఉల్లంఘించకుండా నిరోధించడానికి కొన్ని అదనపు ట్వీక్uలు అవసరం.

SSH ప్రోటోకాల్uను ఎలా కఠినతరం చేయాలనే దానిపై మాకు సమగ్ర గైడ్ ఉంది. ఇక్కడ ప్రధాన ముఖ్యాంశాలు ఉన్నాయి.

  • పాస్uవర్డ్ లేని SSH లాగిన్uను కాన్ఫిగర్ చేయండి మరియు ప్రైవేట్/పబ్లిక్ కీ ప్రామాణీకరణను ప్రారంభించండి.
  • SSH రిమోట్ రూట్ లాగిన్uను ఆపివేయి.
  • ఖాళీ పాస్uవర్డ్uలతో వినియోగదారుల నుండి SSH లాగిన్uలను నిలిపివేయండి.
  • పాస్uవర్డ్ ప్రామాణీకరణను పూర్తిగా నిలిపివేసి, SSH ప్రైవేట్/పబ్లిక్ కీ ప్రామాణీకరణకు కట్టుబడి ఉండండి.
  • నిర్దిష్ట SSH వినియోగదారులకు ప్రాప్యతను పరిమితం చేయండి.
  • పాస్uవర్డ్ ప్రయత్నాల కోసం పరిమితిని కాన్ఫిగర్ చేయండి.

ఫెయిల్ 2 బాన్ అనేది ఓపెన్ సోర్స్ చొరబాటు నివారణ వ్యవస్థ, ఇది మీ సర్వర్uను బ్రూట్uఫోర్స్ దాడుల నుండి కాపాడుతుంది. చాలా లాగిన్ ప్రయత్నాలు వంటి హానికరమైన కార్యాచరణను సూచించే IP లను నిషేధించడం ద్వారా ఇది మీ Linux వ్యవస్థను రక్షిస్తుంది. బాక్స్ వెలుపల, ఇది అపాచీ వెబ్ సర్వర్, vsftpd మరియు SSH వంటి ప్రసిద్ధ సేవలకు ఫిల్టర్లతో రవాణా చేయబడుతుంది.

SSH ప్రోటోకాల్uను మరింత బలోపేతం చేయడానికి ఫెయిల్ 2 బాన్uను ఎలా కాన్ఫిగర్ చేయాలనే దానిపై మాకు గైడ్ ఉంది.

పాస్uవర్డ్uలను తిరిగి ఉపయోగించడం లేదా బలహీనమైన మరియు సరళమైన పాస్uవర్డ్uలను ఉపయోగించడం మీ సిస్టమ్ యొక్క భద్రతను బాగా దెబ్బతీస్తుంది. మీరు పాస్uవర్డ్ విధానాన్ని అమలు చేస్తారు, పాస్uవర్డ్ బలం అవసరాలను సెట్ చేయడానికి లేదా కాన్ఫిగర్ చేయడానికి pam_cracklib ని ఉపయోగించండి.

PAM మాడ్యూల్ ఉపయోగించి, మీరు /etc/pam.d/system-auth ఫైల్uను సవరించడం ద్వారా పాస్uవర్డ్ బలాన్ని నిర్వచించవచ్చు. ఉదాహరణకు, మీరు పాస్uవర్డ్ సంక్లిష్టతను సెట్ చేయవచ్చు మరియు పాస్uవర్డ్uల పునర్వినియోగాన్ని నిరోధించవచ్చు.

మీరు వెబ్uసైట్uను నడుపుతుంటే, వినియోగదారుల బ్రౌజర్ మరియు వెబ్uసర్వర్ మధ్య మార్పిడి చేసిన డేటాను గుప్తీకరించడానికి SSL/TLS ప్రమాణపత్రాన్ని ఉపయోగించి మీ డొమైన్uను సురక్షితంగా ఉండేలా చూసుకోండి.

మీరు మీ సైట్uను గుప్తీకరించిన తర్వాత, బలహీనమైన గుప్తీకరణ ప్రోటోకాల్uలను నిలిపివేయడాన్ని కూడా పరిగణించండి. ఈ గైడ్ రాసే సమయంలో, తాజా ప్రోటోకాల్ TLS 1.3, ఇది చాలా సాధారణమైన మరియు విస్తృతంగా ఉపయోగించే ప్రోటోకాల్. మునుపటి సంస్కరణలు TLS 1.0, TLS 1.2, మరియు SSLv1 నుండి SSLv3 వరకు తెలిసిన దుర్బలత్వాలతో సంబంధం కలిగి ఉన్నాయి.

[మీరు కూడా ఇష్టపడవచ్చు: అపాచీ మరియు ఎన్గిన్క్స్లో టిఎల్ఎస్ 1.3 ను ఎలా ప్రారంభించాలి]

మీ లైనక్స్ సిస్టమ్ కోసం డేటా భద్రత మరియు గోప్యతను నిర్ధారించడానికి మీరు తీసుకోగల కొన్ని దశల సారాంశం ఇది.