LFCA - Vidokezo Muhimu vya Kulinda Data na Linux - Sehemu ya 18

Tangu kutolewa kwake mwanzoni mwa miaka ya tisini, Linux imejishindia kupongezwa na jumuiya ya teknolojia kutokana na uthabiti wake, utengamano, ubinafsishaji, na jumuiya kubwa ya watengenezaji wa programu huria wanaofanya kazi usiku-saa ili kutoa marekebisho na uboreshaji wa hitilafu kwa mfumo wa uendeshaji. Kwa ujumla, Linux ndio mfumo wa uendeshaji chaguo kwa wingu la umma, seva, na kompyuta kuu, na karibu 75% ya seva za uzalishaji zinazoangalia mtandao zinazoendeshwa kwenye Linux.

Kando na kuwezesha mtandao, Linux imepata njia ya ulimwengu wa kidijitali na haijapungua tangu wakati huo. Hutumia safu kubwa ya vifaa mahiri ikijumuisha simu mahiri za Android, kompyuta kibao, saa mahiri, skrini mahiri na zingine nyingi.

Je, Linux ni salama?

Linux inajulikana kwa usalama wake wa hali ya juu na ni moja ya sababu kwa nini inafanya chaguo pendwa katika mazingira ya biashara. Lakini hapa ni ukweli, hakuna mfumo wa uendeshaji ulio salama 100%. Watumiaji wengi wanaamini kwamba Linux ni mfumo wa uendeshaji usio na ujinga, ambayo ni dhana ya uwongo. Kwa kweli, mfumo wowote wa uendeshaji ulio na muunganisho wa intaneti huathiriwa na ukiukaji unaowezekana na mashambulizi ya programu hasidi.

Katika miaka yake ya awali, Linux ilikuwa na idadi ndogo ya watu wa kiteknolojia na hatari ya kuteseka kutokana na mashambulizi ya programu hasidi ilikuwa mbali. Siku hizi Linux ina nguvu sehemu kubwa ya mtandao, na hii imechochea ukuaji wa mazingira tishio. Tishio la mashambulizi ya programu hasidi ni halisi zaidi kuliko hapo awali.

Mfano kamili wa shambulio la programu hasidi kwenye mifumo ya Linux ni Erebus ransomware, programu hasidi ya usimbaji faili ambayo iliathiri karibu seva 153 za Linux za NASANA, kampuni ya upangishaji wavuti ya Korea Kusini.

Kwa sababu hii, ni busara kuimarisha zaidi mfumo wa uendeshaji ili kuupa usalama unaohitajika ili kulinda data yako.

Vidokezo vya Ugumu wa Seva ya Linux

Kupata seva yako ya Linux sio ngumu kama unavyoweza kufikiria. Tumekusanya orodha ya sera bora zaidi za usalama ambazo unahitaji kutekeleza ili kuimarisha usalama wa mfumo wako na kudumisha uadilifu wa data.

Katika hatua za awali za ukiukaji wa Equifax, wadukuzi wadukuzi walitumia hatari inayojulikana kote - Apache Struts - kwenye tovuti ya tovuti ya malalamiko ya wateja ya Equifax.

Apache Struts ni mfumo wa chanzo huria wa kuunda programu za wavuti za kisasa na za kifahari za Java zilizotengenezwa na Wakfu wa Apache. The Foundation ilitoa kiraka cha kurekebisha athari mnamo Machi 7, 2017, na ikatoa taarifa kuhusu hilo.

Equifax iliarifiwa kuhusu kuathiriwa na kushauriwa kurekebisha ombi lao, lakini cha kusikitisha ni kwamba athari hiyo ilisalia bila kutambulika hadi Julai mwaka huo huo ambapo ilikuwa imechelewa. Washambuliaji waliweza kupata ufikiaji wa mtandao wa kampuni na kuchuja mamilioni ya rekodi za siri za wateja kutoka kwa hifadhidata. Wakati Equifax ilipopata taarifa ya kile kilichokuwa kikitokea, miezi miwili ilikuwa tayari imepita.

Kwa hiyo, tunaweza kujifunza nini kutokana na hili?

Watumiaji au wavamizi hasidi watachunguza seva yako kila wakati ili kubaini udhaifu wa programu unaowezekana ambao wanaweza kujiinua kukiuka mfumo wako. Ili kuwa katika upande salama, sasisha programu yako kila wakati hadi matoleo yake ya sasa ili kutumia viraka kwa udhaifu wowote uliopo.

Ikiwa unatumia mifumo ya Ubuntu au Debian, hatua ya kwanza kawaida ni kusasisha orodha za vifurushi au hazina zako kama inavyoonyeshwa.

$ sudo apt update

Ili kuangalia vifurushi vyote vilivyo na sasisho zinazopatikana, endesha amri:

$ sudo apt list --upgradable

Uboreshaji wa programu zako za programu hadi matoleo yao ya sasa kama inavyoonyeshwa:

$ sudo apt upgrade

Unaweza kubatilisha hizi mbili kwa amri moja kama inavyoonyeshwa.

$ sudo apt update && sudo apt upgrade

Kwa RHEL & CentOS sasisha programu zako kwa kutekeleza amri:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Chaguo jingine linalowezekana ni kusanidi sasisho za kiotomatiki za CentOS/RHEL.

Licha ya usaidizi wake kwa maelfu ya itifaki za mbali, huduma za urithi kama vile rlogin, telnet, TFTP na FTP zinaweza kuleta matatizo makubwa ya usalama kwa mfumo wako. Hizi ni itifaki za zamani, zilizopitwa na wakati na zisizo salama ambapo data hutumwa kwa maandishi wazi. Ikiwa hizi zipo, zingatia kuziondoa kama inavyoonyeshwa.

Kwa mifumo ya msingi ya Ubuntu/Debian, tekeleza:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

Kwa mifumo ya msingi wa RHEL/CentOS, tekeleza:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Mara tu unapoondoa huduma zote zisizo salama ni muhimu kuchanganua seva yako ili kupata milango iliyo wazi na kufunga milango yoyote ambayo haijatumika ambayo inaweza kutumika mahali pa kuingilia na wavamizi.

Tuseme unataka kuzuia bandari 7070 kwenye ngome ya UFW. Amri ya hii itakuwa:

$ sudo ufw deny 7070/tcp

Kisha pakia upya ngome ili mabadiliko yaanze kutumika.

$ sudo ufw reload

Kwa Firewall, endesha amri:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Na kumbuka kupakia upya ngome.

$ sudo firewall-cmd --reload

Kisha angalia sheria za ngome kama inavyoonyeshwa:

$ sudo firewall-cmd --list-all

Itifaki ya SSH ni itifaki ya mbali ambayo inakuwezesha kuunganisha kwa usalama kwenye vifaa kwenye mtandao. Ingawa inachukuliwa kuwa salama, mipangilio chaguo-msingi haitoshi na marekebisho mengine ya ziada yanahitajika ili kuzuia zaidi watumiaji hasidi dhidi ya kukiuka mfumo wako.

Tuna mwongozo wa kina wa jinsi ya kufanya ugumu wa itifaki ya SSH. Hapa kuna mambo makuu.

  • Sanidi kuingia kwa SSH bila nenosiri na uwashe uthibitishaji wa ufunguo wa faragha/umma.
  • Zima kuingia kwa mzizi wa mbali wa SSH.
  • Zima kuingia kwa SSH kutoka kwa watumiaji walio na nenosiri tupu.
  • Zima uthibitishaji wa nenosiri kabisa na ushikamane na uthibitishaji wa ufunguo wa faragha/wa umma wa SSH.
  • Punguza ufikiaji kwa watumiaji maalum wa SSH.
  • Sanidi kikomo cha majaribio ya nenosiri.

Fail2ban ni mfumo wa kuzuia uvamizi wa chanzo huria ambao hulinda seva yako dhidi ya mashambulizi ya bruteforce. Hulinda mfumo wako wa Linux kwa kupiga marufuku IP zinazoonyesha shughuli hasidi kama vile majaribio mengi ya kuingia. Nje ya boksi, husafirishwa na vichungi vya huduma maarufu kama vile Apache webserver, vsftpd na SSH.

Tuna mwongozo wa jinsi ya kusanidi Fail2ban ili kuimarisha zaidi itifaki ya SSH.

Kutumia tena manenosiri au kutumia manenosiri dhaifu na rahisi kunadhoofisha sana usalama wa mfumo wako. Unatekeleza sera ya nenosiri, tumia pam_cracklib kuweka au kusanidi mahitaji ya nguvu ya nenosiri.

Kwa kutumia moduli ya PAM, unaweza kufafanua nguvu ya nenosiri kwa kuhariri faili ya /etc/pam.d/system-auth. Kwa mfano, unaweza kuweka utata wa nenosiri na kuzuia utumiaji tena wa manenosiri.

Ikiwa unaendesha tovuti, hakikisha kila wakati unalinda kikoa chako kwa kutumia cheti cha SSL/ TLS ili kusimba data inayobadilishwa kati ya kivinjari cha watumiaji na seva ya tovuti kwa njia fiche.

Mara tu unaposimba tovuti yako, zingatia pia kuzima itifaki dhaifu za usimbaji fiche. Wakati wa kuandika mwongozo huu, itifaki ya hivi karibuni ni TLS 1.3, ambayo ndiyo itifaki ya kawaida na inayotumiwa sana. Matoleo ya awali kama vile TLS 1.0, TLS 1.2, na SSLv1 hadi SSLv3 yamehusishwa na udhaifu unaojulikana.

[ Unaweza pia kupenda: Jinsi ya kuwezesha TLS 1.3 katika Apache na Nginx ]

Huo ulikuwa muhtasari wa baadhi ya hatua unazoweza kuchukua ili kuhakikisha usalama wa data na faragha kwa mfumo wako wa Linux.