ÉLiminer les services inutiles et non sécurisés pour éviter de se faire pirater - les mannequins

Les services inutiles et non sécurisés peuvent ouvrir la porte aux pirates informatiques. Lorsque vous savez quels sont les démons et les applications en cours d'exécution, tels que FTP, telnet et un serveur Web, il est bon de savoir exactement quelles versions sont en cours d'exécution afin de pouvoir vérifier leurs vulnérabilités et décider de les désactiver. Le site National Vulnerability Database est une bonne ressource pour déterminer les vulnérabilités.

Recherches

Plusieurs outils de sécurité peuvent aider à déterminer les vulnérabilités. Ces types d'utilitaires peuvent ne pas identifier toutes les applications jusqu'au numéro de version exact, mais constituent un moyen très puissant de collecter des informations système.

Vulnérabilités

Soyez particulièrement attentif aux failles de sécurité connues dans un système:

• FTP anonyme - surtout s'il n'est pas correctement configuré - peut permettre à un attaquant de télécharger et d'accéder aux fichiers de votre système.

• Telnet et FTP sont vulnérables aux captures par l'analyseur de réseau de l'identifiant utilisateur et du mot de passe Cleartext utilisés par les applications. Leurs connexions peuvent également être attaquées par force brute.

• Les anciennes versions de sendmail présentent de nombreux problèmes de sécurité.

• Les services R, tels que rlogin, rdist, rexecd, rsh et rcp, sont particulièrement vulnérables aux attaques.

De nombreux serveurs Web fonctionnent sous Linux. Vous ne pouvez donc pas ignorer l'importance de vérifier les faiblesses d'Apache, de Tomcat et de vos applications spécifiques. Par exemple, une vulnérabilité courante de Linux est que les noms d'utilisateur peuvent être déterminés via Apache quand la directive UserDir n'est pas désactivée dans son httpd. fichier conf.

Vous pouvez exploiter cette faiblesse manuellement en accédant à des dossiers utilisateur connus, tels que // www. votre ~ site. com / user_name ou, mieux encore, en utilisant un scanner de vulnérabilité, tel que webInspect ou QualysGuard, pour énumérer automatiquement le système. Quoi qu'il en soit, vous pourrez peut-être savoir quels utilisateurs Linux existent et lancer une attaque par mot de passe Web. Il existe également de nombreuses façons d'accéder aux fichiers système (y compris / etc / passwd) via un code CGI vulnérable.

De même, FTP fonctionne souvent sans sécurité sur les systèmes Linux. Il y a des systèmes Linux avec FTP anonyme qui partageaient des informations médicales et financières sensibles à tout le monde sur le réseau local. Alors, n'oubliez pas de chercher les choses simples.

Outils

Les outils suivants peuvent effectuer une collecte d'informations plus approfondie au-delà de l'analyse des ports pour énumérer vos systèmes Linux et voir ce que les pirates voient:

• Nmap peut vérifier les versions spécifiques des services chargés.Exécutez simplement Nmap avec le commutateur de ligne de commande -sV.

  

• Amap est similaire à Nmap, mais il présente quelques avantages:

  • Amap est beaucoup plus rapide pour ces types d'analyse.

  • Amap peut détecter les applications configurées pour fonctionner sur des ports non standard, tels qu'Apache fonctionnant sur le port 6789 au lieu de 80 par défaut.

  Amap a été exécuté avec les options suivantes pour énumérer certains ports piratés:

  • - 1 rend l'analyse plus rapide.

  • -b imprime les réponses en caractères ASCII.

  • -q ignore les rapports sur les ports fermés.

  • 21 sonde le port de contrôle FTP.

  • 22 sonde le port SSH.

  • 23 sonde le port telnet.

  • 80 sonde le port

    

• netstat montre les services qui s'exécutent sur une machine locale. Entrez cette commande lorsque vous êtes connecté:

  netstat -anp
  

• List Open Files (lsof) affiche les processus écoutés et les fichiers ouverts sur le système.

Contre-mesures contre les attaques de piratage sur les services inutiles

Vous pouvez et devez désactiver les services inutiles sur vos systèmes Linux. C'est l'une des meilleures façons de sécuriser votre système Linux. Comme la réduction du nombre de points d'entrée dans votre maison, plus vous éliminez de points, moins les intrusions peuvent pénétrer.

Désactiver les services inutiles

La meilleure méthode de désactivation des services inutiles dépend du chargement du démon la première place. Vous avez plusieurs endroits pour désactiver les services, selon la version de Linux que vous utilisez.

inetd. conf (ou xinetd.conf)

Si cela vous convient, désactivez les services inutiles en commentant le chargement des démons que vous n'utilisez pas. Procédez comme suit:

1. Entrez la commande suivante à l'invite Linux:

   ps -aux
   

   L'ID de processus (PID) pour chaque démon, y compris inetd, est répertorié à l'écran.

2. Prenez note du PID pour inetd.

3. Ouvrez / etc / inetd. conf dans l'éditeur de texte Linux vi en entrant la commande suivante:

   vi / etc / inetd. conf
   

   ou

   / etc / xinetd. conf
   

4. Lorsque vous avez chargé le fichier dans vi, activez le mode d'insertion en appuyant sur I.

5. Déplacez le curseur au début de la ligne du démon que vous voulez désactiver, comme httpd, et tapez # à le début de la ligne.

   Cette étape commente la ligne et l'empêche de se charger lorsque vous redémarrez le serveur ou redémarrez inetd.

6. Pour quitter vi et enregistrer vos modifications, appuyez sur Echap pour quitter le mode insertion, tapez: wq, puis appuyez sur Entrée.

   Cela indique à vi que vous voulez écrire vos changements et quitter.

7. Redémarrez inetd en entrant cette commande avec le PID inetd:

   

kill -HUP PID

chkconfig

Si vous n'avez pas d'inetd. Fichier conf, votre version de Linux exécute probablement le programme xinetd - un remplacement plus sûr pour inetd - pour écouter les demandes d'applications réseau entrantes. Vous pouvez éditer le fichier / etc / xinetd. fichier conf si c'est le cas. Pour plus d'informations sur l'utilisation de xinetd et xinetd. conf, entrez man xinetd ou man xinetd. conf à une invite de commande Linux.

Si vous utilisez Red Hat 7. 0 ou une version ultérieure, vous pouvez exécuter le programme / sbin / chkconfig pour désactiver les démons que vous ne voulez pas charger.

Vous pouvez également entrer chkconfig -list à l'invite de commande pour voir quels services sont activés dans xinetd. fichier conf.

Si vous souhaitez désactiver un service spécifique, par exemple snmp, entrez ce qui suit:

chkconfig --del snmpd

Contrôle d'accès

Les wrappers TCP peuvent contrôler l'accès aux services critiques que vous exécutez, tels que FTP ou HTTP. Ce programme contrôle l'accès pour les services TCP et enregistre leur utilisation, vous permettant de contrôler l'accès via le nom d'hôte ou l'adresse IP et de suivre les activités malveillantes.