טיפים שימושיים

אבטחה ב- Windows 7 ללא מאמץ

Pin
Send
Share
Send
Send


זה לא סוד שחלונות היא מערכת ההפעלה הפופולרית ביותר; מספר עצום של אנשים משתמשים בה, כולל במכשירים ניידים. לרוע המזל, הפופולריות לא תמיד טובה, מכיוון שבמקרה זה, יש לתוקפים זמן למצוא פגיעויות נוספות בקוד התוכנית. מצד שני, מיקרוסופט גם לא עומדת בצד ומחויבת לצמצם את הסיכוי להשפעה שלילית של תוכנות מזיקות על מחשבי המשתמשים שלהם. בנוסף, אתה עצמך יכול להגן על עצמך, במאמר שלנו היום אנו נספר לך על אילו שיטות הגנה הן היעילות ביותר ועל מה כדאי לשים לב.

אנטי-וירוס

יש להתקין תוכנת אנטי-וירוס בכל מחשב, אחרת תתעצבנה בצורה של קבצים נגועים שלא ניתן להשתמש בהם למטרות שלהם. בנוסף, עליכם לבזבז את זמנכם, העצבים, כדי למגר לחלוטין את הזיהום בצורה של וירוס המוטמע היטב במערכת ההפעלה.

עדכוני מערכת הפעלה תקופתיים

יש צורך בעדכונים עבור מערכת ההפעלה, מכיוון שכך מפתחים יכולים לבצע התאמות לקוד התוכנית, לשפר את ההגנה על מערכת ההפעלה וכמובן לסלק את הבעיות שהתוקף נתן בתחילה גישה למחשב. לכן, אם Windows מבקש ממך אישור לעדכון, עליך לבצע את ההוראות ולעשות כל מה שהמחלקה הטכנית דורשת בצורה של הודעות.

אל תבקר באתרים מזיקים

לעתים קרובות הבעיה עם נגיפים נוצרת על ידי המשתמש שהחליט לבקר באתרים המופיעים ברשימה השחורה על ידי אנטי-וירוס. כך, למשל, משתמשים רבים הרואים אזהרת אנטי-וירוס כי ביקור באתר זה אינו רצוי ביותר מעדיפים להשבית את ההגנה ועדיין לעקוב אחר הקישור.

הגנה על המחשב שלך מבני משפחה אחרים

אם אתה מציית לכל כללי הבטיחות, אך בכל זאת הצלחת לתפוס את הנגיף, אין זה הכרחי באשמתך. יתכן שאחד מבני משפחתך השתמש במחשב שלך וכמובן שהתעלם מכל אזהרות האנטי-וירוס, במקרה זה עליך להגדיר בקרת הורים או לחסום לחלוטין את הגישה למחשב.

היכן מוסתרות ההמלצות של מיקרוסופט

כשהוא נלחם עם מי שיודע להגן על עצמו, האויב לא יודע איפה לתקוף אותו.
סון צו, מסה על אמנות המלחמה

באחד הדיונים בפורום OSZone.net, הבנתי אמון כי בן שיחי היה הקורבן של הזיהום לא בגלל השימוש ב"אינטרנט דלף מהאימפריה של ביל גייטס ", אלא בגלל שהוא לא פעל לפי הכללים הבסיסיים לעבודה בטוחה ב- Windows. ואז עלו שאלות היכן קבורות ההמלצות הללו ומדוע אינן מוצגות במהלך התקנת מערכת ההפעלה (רעיון טוב, אגב). כמובן שאפשר למצוא אותם בעזרה של חלונות או באתר של מיקרוסופט, אבל הכל הרבה יותר פשוט.

טיפים מרכזיים לשימוש בחלונות בבטחה הם בתכונות האבטחה המובנות ובהגדרות מערכת ההפעלה הרגילות. חלק מהרכיבים כבר מוגדרים כראוי מבחינת מיקרוסופט, ואילו עבור אחרים אתה מגדיר פרמטרים במהלך השימוש הראשון, תוך כדי הנחיה כיצד להשתמש בהם בצורה הטובה ביותר. לדוגמה, במהלך התקנת Windows, אתה מתבקש להגדיר עדכוני מערכת אוטומטיים ומומלץ לעשות זאת באופן אוטומטי. וכשאתה מפעיל לראשונה את Internet Explorer 8, אחד השלבים בהתקנה הראשונית הוא הפעלת המסנן SmartScreen.

איור 1 - כשאתה מפעיל את Internet Explorer 8 לראשונה, מומלץ להפעיל את מסנן האבטחה SmartScreen

מרכז העזרה שמודיע לך אם הגנת המערכת אינה מוגדרת בצורה הטובה ביותר עוזר לעמוד ברמת האבטחה המומלצת ב- Windows 7. בפרט, מרכז התמיכה עוקב אחר:

  • הנוכחות של תוכנות אנטי-וירוס ואנטי-ריגול, כמו גם הרלוונטיות של מסדי הנתונים שלהם,
  • חומת האש של Windows ומצב חומת האש של צד שלישי
  • רמת בקרת חשבון,
  • אפשרויות עדכון מערכת הפעלה.

איור 2 - מרכז התמיכה מזכיר לך להתקין אנטי-וירוס

התראות מוקפצות מאוד מעצבנות, ומיד עולה הרעיון לכבות אותן. זה לא קשה לעשות זאת מכיוון שניתן להגדיר את גיבוי מרכז התמיכה בצורה גמישה, אך יהיה הרבה יותר נכון לתקן את הבעיה, אז המערכת לא תטריד. לדוגמה, מוצרי מרבית חברות האנטי-וירוס המובילות תואמות ל- Windows 7 ומוכרות על ידי המערכת (הרשימה זמינה בעמוד זה), ולכן מייד לאחר התקנת האנטי-וירוס ההתראה נעלמת. השבתת הודעות במרכז התמיכה הגיונית רק אם Windows 7 לא יכול לקבוע את תוכנית האבטחה שלך.

תוכל גם לפתוח את פרק האבטחה במרכז התמיכה ולהעריך באופן מיידי כיצד ההגנה של המערכת שלך עומדת בהמלצותיה של מיקרוסופט.

איור 3 - במרכז התמיכה של Windows 7, אתה יכול לראות את סיכום האבטחה של המערכת שלך

תוכלו לגלות כאן מידע נוסף על מרכז התמיכה והתצורה שלו, ואני מציע לדבר על כפתור "כן" לפני שאעבור להמלצה הראשונה של מיקרוסופט.

איזה תפקיד ממלא כפתור ה- Yes באבטחת המערכת

כל עוד יש למשתמש כפתור "כן" וזכויות מנהל, אי אפשר להבטיח את אבטחת המערכת.
מומחה ה- IT של חבר שלי

לאחרונה דנתי בתכונות האבטחה של Windows 7 עם חבר שלי שעובד כמנהל מערכת בארגון גדול למדי. דעתו הונחה באגרוף, ואני מסכים איתו. אכן, פעולותיהם של משתמשים שמתקינים תוכנה זדונית בעצמם מביאים לעיתים קרובות לזיהומים במערכת. כבר עברו 10 שנים מאז הופעת נגיף ה- ILOVEYOU המפורסם, שהתפשט באמצעות התקשרות זדונית במכתב, אך מיליוני אנשים ממשיכים ליפול על אותה פיתיון.

לאחרונה חלה צמיחה חזקה בהפצה של תוכניות אבטחה מזויפות אשר מתנהגות בצורה סטנדרטית למדי במהלך ההתקנה, ואז, לאחר שקיבלה את הזכויות הדרושות, הניחה את המערכת על ברכיה וסחיטה כסף מהמשתמש. לאמריקאים מוצע לשלם עבור נעילת המערכת באמצעות כרטיס אשראי, וברוסיה ובמדינות הסביבות בחו"ל הספציפיות שלה משלחת SMS למספר קצר. בכל מקרה כסף מושך, אך הבעיה נותרת.

איור 4 - תוכנית אבטחה מזויפת דורשת כסף כדי לבטל את נעילת המערכת

בדוח אבטחה למחצית השנייה של 2009, אנליסטים של מיקרוסופט מסיקים כי תוכנית זו עובדת בהצלחה, ומביאה רווחים ניכרים לרמאים. בהשוואה למחצית הראשונה של השנה, מספר המחשבים עליהם אותרו אנטי-וירוסים כוזבים על ידי תוכנות האבטחה של מיקרוסופט עלה ב- 46.5% והסתכם ב -7.8 מיליון. כדי לא להיות בין המזליים הללו, הורידו תוכנות הגנה רק ממקורות אמינים - האתרים של חברות אנטי-וירוס, הקישור לרשימה שמסרתי למעלה.

אולם אנטי-וירוסים מזויפים הם רק חלק מהתוכנות הזדוניות המופצות באמצעות הונאה באמצעות הגורם האנושי. אתה יכול להידבק, למשל, על ידי קבלת קישור לתוכנית "מגה שימושית" ב- ICQ מחבר, או על ידי התקנת נגן או קודק, "הכרחי" לצפייה בוידאו. וירוסים, סוסים טרויאניים ומרגלים מתחפשים, למשל, כאל חופשיים:

  • המשחקים
  • כלי מיטוב מערכות
  • רכיבי codec
  • קטעי וידיאו

גם אם התוכנית הזדונית פועלת עם זכויות מנהל מלאות, סביר להניח שהאנטי-וירוס יציל אותך. אבל כשזה לא שם או שהבסיסים לא מעודכנים, תהיה לך רק הזדמנות אחת. באמצעות בקרת משתמשים תדע בוודאות שהתוכנית דורשת גישה בלתי מוגבלת, מכיוון ש- Windows 7 תמיד מבקש אישור להפעלת יישומים המנסים לבצע שינויים במערכת.

איור 5 - בקרת חשבון משתמש מזהירה כי התוכנית דורשת זכויות מנהל

אתה תמיד מקבל את ההחלטה, אז היזהר ולפני שאתה לוחץ על כפתור "כן", שאל את עצמך:

  • האם סוגיית מערכת היא תוצאה של פעולותיי?
  • האם אני זקוק לזה?

נחזור לכפתור זה לא פעם, ועכשיו נדבר על ההמלצה הראשונה של מיקרוסופט, שמשפיעה ישירות לא רק על רווחתה הפיננסית של החברה, אלא גם על יציבות המערכת שלך.

מהם היתרונות של תוכנה מורשית?

זמן זה כסף.
פתגם

רוב האנשים המשתמשים בתוכנות פיראטיות לא עושים זאת כלל משום שהם לא רוצים להשתמש בתוכנה מורשית, אלא מכיוון שהם לא רוצים לשלם על כך. עכשיו, אם זה ניתן בחינם ... עם זאת, בפעם הבאה שתרכוש מחשב, ייתכן מאוד שתיהיה הבעלים של מערכת ההפעלה המורשית של מיקרוסופט. זה בהחלט מגיע עם מחשב נייד או נטבוק, שהופכים פופולריים יותר מדי יום. אז ברבעון האחרון של 2009, מערכות הסלולר היוו 58% מהמשלוחים לשוק הרוסי, ואילו 42% הנותרים היו תפוסים על ידי מחשבים שולחניים, שחלקם ממתקני OEM מתקינים גם חלונות מורשים.

כמובן שגם במקרה זה הרישיון לא ניתן לשווא, מכיוון שמחיר מערכת ההפעלה עדיין כלול בעלות המכשיר הכוללת. עם זאת, הבעלים של חלונות מורשים מקבל את היתרונות הבאים:

  • שלמות רכיבי המערכת והגדרות אבטחה נכונות. האבטחה של חלונות, כמו גם היציבות והחיזוי של המערכת והתוכנות המותקנות בה, תלויה ישירות בכך. מפעילים ומכלולים פיראטיים אינם יכולים להבטיח זאת, אך הם יכולים לגרום למגוון רחב של בעיות, בהן אנו מתבוננים באופן קבוע בכנס OSZone.net.
  • היכולת לשמור על המערכת ללא מאמץ. בעלי מערכות ללא רישיון, ככלל, אינם משתמשים ב- Windows Update מחשש שההפעלה תתרחש. לפיכך, הם נשללים מהיכולת המובנית להוריד עדכונים המשפרים את תאימות היישומים, מגבירים את יציבות המערכת והכי חשוב מבטיחים את האבטחה שלה. באופן כללי, מיקרוסופט מאפשרת לך להוריד תיקוני אבטחה מהאתר שלך ללא אימות, אך אתה עדיין צריך ללכת לשם ולמצוא אותם. לא כולם מגיעים ...
  • תמיכה טכנית. אם יש לך מערכת שהותקנה מראש, לדוגמה, ב- netbook, התמיכה ניתנת על ידי היצרן. אם אתה הבעלים של גרסת האגרוף, סיוע טכני ניתן על ידי מיקרוסופט. בזמן כתיבת שורות אלה, מיקרוסופט מספקת תמיכה למשתמשים ביתיים של Windows 7 בחינם, אם כי מסיבה כלשהי, במרכז הפתרונות של Windows 7, עליך להתחיל מהסעיף "שיחות בתשלום לשירות התמיכה הטכנית". מומחי תמיכה עונים על שאלות באמצעות דואר אלקטרוני תוך 24 שעות, ובימי עסקים תוכלו לשאול שאלה בצ'אט או להתקשר למספר 8 800 200-80-01.
  • הורדה חינם של תוכניות נוספות. אנטי-וירוס האבטחה של Microsoft Security Essentials, אשר שוחרר בשנה שעברה, הוא בחינם, אך הוא דורש אימות כדי להתקין אותו, והוא משתמש ב- Windows Update כדי לעבוד. לפיכך, מיקרוסופט מספקת הגנה נוספת למי שמשתמש במערכת משפטית.

אולי היתרונות הללו אינם מייצגים ערך עבורך, ושמעתי מצבים נגדים לא פעם. רישיון הוא יקר, ניתן להוריד עדכונים באופן ידני או לא להוריד כלל, יש המון אנטי-וירוסים בחינם, ותוכלו למצוא "מספרים סידוריים" עבור אלה בתשלום. לבסוף, ניתן להשיג עזרה בחינם בפורומים רבים, אך כאן, אגב, יש ניואנס מעניין. ביישובים שבהם אחראים מומחי מערכות לקוח מוסמכים, הם מעדיפים לא לבזבז זמן אם האבחנה נשענת על מכלול פיראטי או עקומת "מפעיל". והם עושים זאת כלל ולא מתוך טהור אופקים, אלא מכיוון שהמערכת שהייתה בידי האספן האומלל מתנהגת באופן בלתי צפוי לחלוטין, ותיקון זה משימה אסירת תודה.

בכל אופן, שלוש הנקודות הראשונות ברשימה שלי חוסכות בבירור את הזמן שלך, וזה כסף, כידוע למי שמרוויח אותן. אני רחוק מלחשוב שאחרי שקראתי שורות אלה, משתמשים במערכות פיראטיות ירוצו לקנות רישיון. עם זאת, אם אתה קונה במקרה מחשב עם Windows 7 המקורי, שינויו במכלול פיראטי לא יהיה רחוק מדי.

מסקנה

ב- Windows 7 אתה יכול ללמוד את יסודות האבטחה באמצעות מרכז התמיכה, אשר מודיע לך את ההגדרות הטובות ביותר להגנה על המערכת שלך. הדרך הטובה ביותר להיפטר מתזכורות הגנה לא מספיקות היא לעקוב אחר ההמלצות הכלולות בהודעות מרכז התמיכה.

גם אם הגדרות האבטחה של Windows 7 מוגדרות בצורה אופטימלית, התקנת תוכניות, כלי שירות וקודקים עדיין טומנת בחובה סיכון, מכיוון שקוד זדוני חודר לעתים קרובות למערכת בהונאה. הרבה תלוי בערנות שלך, אז אל תסתמך לחלוטין על חוזק קירות מערכת ההפעלה או תוכניות ההגנה וזכור את כפתור "כן".

התקנת מערכת הפעלה פיראטית חוסכת כסף כיום, אך מובילה לאובדן זמן לאורך השימוש בה. כישלון התקנת עדכונים אוטומטית קשור להפחתת האבטחה של מערכת ההפעלה ו- Microsoft Office. מדוע חשוב לעדכן את חלונות ותוכנות יידונו במאמר הבא.

כיצד להתקין עדכוני פורמט .cab .msu ב"מצב ידני "

רוצים לשמור על הכל בשליטה? הורד את העדכון ואז התקן את DISM באמצעות תוכנית שורת הפקודה. איך עושים זאת?

1. קובץ שהורד windows10.0-kb3214628-x86.cab לשים בשורש הדיסק (מחיצה) ג
2. הפעל את שורת הפקודה (מנהל מערכת) והזן את הפקודה הבאה למטה ולחץ על "Enter".

באופן טבעי, בעת התקנת עדכון אחר, עליך לשנות את שם הקובץ בפקודה.

1. הגדר סביבת הפעלה לפני התקנת לינוקס

אתה צריך לדאוג לאבטחת המערכת לפני התקנת Linux. להלן קבוצת המלצות להגדרת המחשב שעליך לקחת בחשבון ולעקוב אחריה לפני התקנת מערכת ההפעלה:

  • אתחול UEFI (לא BIOS מדור קודם - ראה סעיף קטן למטה)
  • הגדר סיסמה להגדרת UEFI
  • הפעל את מצב SecureBoot
  • הגדר סיסמת UEFI כדי לאתחל את המערכת

2. בחר את ההפצה המתאימה לינוקס

סביר להניח שתבחרו בהפצות פופולריות - פדורה, אובונטו, קשת, דביאן או סניפים קשורים אחרים. בכל מקרה, עליך לשקול את נוכחות החובה של פונקציות אלה:

  • תמיכה בכפייה (MAC) ובקרת גישה מבוססת תפקיד (RBAC): SELinux / AppArmor / GrSecurity
  • פרסם עלוני אבטחה
  • פרסום קבוע של עדכוני אבטחה
  • אימות מנות קריפטוגרפיות
  • תמיכה ב- UEFI ו- SecureBoot
  • תמיכה בהצפנת דיסק מקורית מלאה

המלצות הפצה

כל ההפצות שונות, אך ישנן נקודות שבהחלט כדאי לשים לב אליהן ולבצע:

  • השתמש בהצפנת דיסק מלאה (LUKS) עם ביטוי סיסמה חזק
  • יש להצפין את תהליך ההחלפה
  • הגדר סיסמא לעריכת טוען האתחול
  • סיסמת שורש חזקה
  • השתמש בחשבון ללא הרשאות השייכות לקבוצת המנהל
  • הגדר סיסמא חזקה למשתמש, שונה מסיסמת השורש

3. הגדר עדכוני אבטחה אוטומטיים

אחת הדרכים העיקריות להבטיח את אבטחת מערכת ההפעלה היא לעדכן את התוכנה. עדכונים בדרך כלל מתקנים באגים שנמצאו ופגיעויות קריטיות.

במקרה של מערכות שרת, קיים סיכון לכשלים במהלך העדכון, אך לדעתנו ניתן למזער בעיות אם רק עדכון האבטחה יותקן באופן אוטומטי.

עדכון אוטומטי פועל אך ורק עבור חבילות המותקנות ממאגרי מאגר, ולא עבור חבילות שהולכו בעצמן:

  • דביאן / אובונטו משתמשת בחבילת השדרוגים ללא השגחה לצורך עדכונים
  • CentOS משתמש ב- yum-cron לצורך עדכון אוטומטי
  • לפדורה יש אוטומטית dnf למטרה זו.

כדי לשדרג, השתמש בכל אחד ממנהלי החבילות RPM הזמינים עם הפקודות הבאות:


ניתן להגדיר את לינוקס לשלוח התראות על עדכונים חדשים באמצעות דואר אלקטרוני.

יש גם תוספי אבטחה בגרעין לינוקס לשמירה על האבטחה, למשל SELinux. הרחבה כזו תעזור בהגנה על המערכת מפני תוכניות שלא הוגדרו כהלכה או מסוכנות.

SELinux היא מערכת בקרת גישה מאולצת גמישה שיכולה לעבוד במקביל עם מערכת בקרת גישה סלקטיבית. הפעלת תוכניות מקבלת גישה לקבצים, שקעים ותהליכים אחרים ו- SELinux קובעת מגבלות כך שיישומים מזיקים לא יוכלו לשבור את המערכת.

4. הגבלת הגישה למערכות חיצוניות

שיטת ההגנה הבאה לאחר העדכון היא הגבלת הגישה לשירותים חיצוניים. לשם כך, ערוך את קבצי /etc/hosts.allow ו- /etc/hosts.deny.

להלן דוגמה כיצד להגביל את הגישה לטלנט ו- ftp:

בקובץ /etc/hosts.allow:


הדוגמה שלמעלה מאפשרת לבצע חיבורי telnet ו- ftp לכל מארח בשכבות ה- IP 123.12.41. * ו- 126.27.18. *, כמו גם למארח עם הדומיינים mydomain.name ושם אחר.

בהמשך הקובץ /etc/hosts.deny ':


הוספת משתמש מוגבל

Мы не рекомендуем подключаться к серверу от имени пользователя root — он имеет права на выполнение любых команд, даже критических для системы. Поэтому лучше создать пользователя с ограниченными правами и работать через него. Администрирование можно выполнять через sudo (substitute user and do) — это временное повышение прав до уровня администратора.

Как создать нового пользователя:

В Debian и Ubuntu:

Создайте пользователя, заменив administrator на желаемое имя и укажите пароль в ответ на соответствующий запрос. Вводимые символы пароля не отображаются в командной строке:


Добавьте пользователя в группу sudo:


Теперь вы можете использовать префикс sudo при выполнении команд, требующих прав администратора, например:


В CentOS и Fedora:

Создайте пользователя, заменив administrator на желаемое имя, и создайте пароль для его аккаунта:


הוסף את המשתמש לקבוצת הגלגלים כדי לתת לו הרשאות סודה:


השתמש רק בסיסמאות חזקות - לפחות 8 אותיות באותיות גדולות, מספרים ותווים מיוחדים אחרים. כדי לחפש סיסמאות חלשות בקרב משתמשי השרת שלך, השתמש בכלי שירות כמו "ג'ון המרטש", שנה את ההגדרות בקובץ pam_cracklib.so כך שהסיסמאות מוגדרות בכוח.

הגדר את תקופת התפוגה של הסיסמה באמצעות פקודת chage:


אתה יכול להשבית את תפוגת הסיסמה באמצעות הפקודה:


גלה מתי פג תוקפה של סיסמת המשתמש:


ניתן גם לערוך את השדות בקובץ / etc / צל:

  • מינימום_ימים: המספר המינימלי של הימים לפני שפג תוקף הסיסמה.
  • ימים מקסימאליים: המספר המרבי של הימים לפני שפג תוקף הסיסמה.
  • התראה: מספר הימים לפני פקיעת התוקף כאשר המשתמש מוזהר מפני יום משמרת צפוי.
  • תפוגה: תאריך תפוגה של כניסה מדויק.

כדאי גם להגביל את השימוש החוזר של סיסמאות ישנות במודול pam_unix.so ולהגדיר מגבלה על מספר ניסיונות הכניסה למשתמשים שנכשלו.

כדי לגלות את מספר ניסיונות הכניסה שנכשלו:


בטל את חסימת החשבון לאחר כישלון ההתחברות:


כדי לחסום ולבטל חסימת חשבונות, אתה יכול להשתמש בפקודה passwd:

כדי לוודא שכל המשתמשים מוגדרים סיסמאות, אתה יכול להשתמש בפקודה:


חסום משתמשים ללא סיסמאות:


וודא כי פרמטר UID מוגדר כ- 0 רק עבור חשבון הבסיס. הזן פקודה זו כדי לראות את כל המשתמשים עם 0 UID.


אתה צריך לראות רק:


אם מופיעות שורות אחרות, בדוק אם הגדרת את ה- UID עבורן כ- 0, מחק שורות מיותרות.

5. הגדר הרשאות משתמש

לאחר קביעת הסיסמאות, עליך לוודא שלכל המשתמשים יש גישה התואמת את דרגתם ואחריותם. ב- Linux אתה יכול להגדיר הרשאות על קבצים וספריות. כך ניתן ליצור ולשלוט ברמות גישה שונות למשתמשים שונים.

לינוקס מבוססת על עבודה עם מספר משתמשים, כך שכל קובץ שייך למשתמש ספציפי אחד. גם אם השרת מנוהל על ידי אדם אחד, נוצרים מספר חשבונות עבור תוכניות שונות.

ניתן להציג משתמשים במערכת באמצעות הפקודה:


הקובץ / etc / passwd מכיל שורה עבור כל משתמש במערכת ההפעלה. עבור שירותים ויישומים, ניתן ליצור משתמשים בודדים, אשר יהיו גם הם בקובץ זה.

בנוסף לחשבונות בודדים, קיימת קטגוריית גישה לקבוצות. כל קובץ שייך לקבוצה אחת. משתמש אחד יכול להשתייך למספר קבוצות.

אתה יכול להציג את הקבוצות שאליהן שייך חשבונך, באמצעות הפקודה:


ציין את כל הקבוצות במערכת, שם השדה הראשון מציין את שם הקבוצה:


יש קטגוריית גישה "אחרת" אם למשתמש אין גישה לקובץ ואינו שייך לקבוצה.

לקטגוריות משתמשים ניתן להגדיר סוגי גישה. לרוב מדובר בזכויות להפעלת, קריאה ושינוי של קובץ. בלינוקס, סוגי הגישה מסומנים בשני סוגים של תווים: אלפביתית ואוקטלית.

בסימון אלפביתי, ההרשאות מסומנות באותיות:

בסימון אוקטאלי, רמת הגישה לקבצים נקבעת על ידי מספרים מ- 0 עד 7, כאשר 0 פירושו אין גישה, ו -7 פירושו גישה מלאה לשינוי, קריאה וביצוע:

6. השתמש במקשים לחיבור SSH

SSH משתמש בדרך כלל באימות סיסמאות כדי להתחבר למארח. אנו ממליצים על דרך בטוחה יותר - היכנס באמצעות זוג מפתחות קריפטוגרפיים. במקרה זה נעשה שימוש במפתח הפרטי במקום הסיסמה, מה שיסבך ברצינות את הבחירה בכוח הזרוע.

לדוגמה, צור זוג מקשים. יש לבצע פעולות במחשב המקומי ולא בשרת המרוחק. בתהליך יצירת מפתחות תוכלו לציין סיסמה לגישה אליהם. אם תשאיר שדה זה ריק, לא תוכל להשתמש במפתחות שנוצרו עד שתשמור אותם למנהל מחזיק המפתחות של המחשב.

אם כבר יצרת מפתחות RSA קודם לכן, דלג על פקודת הדור. כדי לבדוק מפתחות קיימים, הפעל:


כדי ליצור מפתחות חדשים:


העלאת המפתח הציבורי לשרת

החלף את מנהל המערכת בשם בעל המפתח ו- 1.1.1.1 בכתובת ה- IP של השרת שלך. מהמחשב המקומי הקלד:


כדי לבדוק את החיבור, נתק וחבר מחדש לשרת - על הערך להיות מבוסס על המקשים שנוצרו.

אתה יכול למנוע מאיתנו להתחבר דרך SSH כשורש, ולהשתמש ב- sudo בתחילת הפקודה כדי לקבל הרשאות מנהל. בשרת, בקובץ / etc / ssh / sshd_config, עליך למצוא את הפרמטר PermitRootLogin ולהגדיר את ערכו למספר.

אתה יכול גם לאסור הזנת סיסמת SSH כך שכל המשתמשים ישתמשו במקשים. בקובץ / etc / ssh / sshd_config, הגדר את אימות הסיסמה למספר. אם שורה זו אינה קיימת או שהיא מגיבה הערות, הוסף או בטל את הפרסום בהתאם.

ב- Debian או Ubuntu, אתה יכול להזין:


ניתן גם לאבטח את החיבור באמצעות אימות דו-גורמי.

7. התקן חומות אש

לאחרונה התגלה פגיעות חדשה המאפשרת התקפות DDoS בשרתים מבוססי לינוקס. באג בגרעין המערכת הופיע עם גרסה 3.6 בסוף 2012. הפגיעות מאפשרת להאקרים להזרים וירוסים לקבצי הורדה, דפי אינטרנט ולחיבורי Tor ולשבירתם אינה צריכה להתאמץ רבות - שיטת זיוף ה- IP תעבוד.

הפגיעה המרבית בחיבורי HTTPS או SSH מוצפנים היא הפרעה בחיבור, אך תוקף יכול להכניס תוכן חדש לתנועה לא מוגנת, כולל תוכנות זדוניות. חומת אש מתאימה להגנה מפני התקפות כאלה.

חסום גישה באמצעות חומת אש

חומת האש היא אחד הכלים החשובים ביותר לחסימת תנועה נכנסת לא רצויה. אנו ממליצים לאפשר רק את התנועה שאתה באמת צריך ולאסור לחלוטין את השאר.

לרוב ההפצות לינוקס יש בקר iptables לסינון חבילות. בדרך כלל משתמשים בו משתמשים מנוסים, ולהגדרה מפושטת אתה יכול להשתמש בכלי השירות UFW ב- Debian / Ubuntu או FirewallD בפדורה.

8. השבת שירותים מיותרים

מומחים מאוניברסיטת וירג'יניה ממליצים להשבית את כל השירותים שאינך משתמש בהם. תהליכי רקע מסוימים מוגדרים אוטומטית לטעינה ופועלים עד שהמערכת נכבית. כדי לקבוע את התצורה של תוכניות אלה, עליך לבדוק את סקריפט האתחול. ניתן להשיק שירותים באמצעות inetd או xinetd.

אם המערכת שלך מוגדרת באמצעות inetd, בקובץ /etc/inetd.conf תוכל לערוך את רשימת תוכניות הרקע של "דמונים"; כדי להשבית את הורדת השירות, פשוט הכניס את הסימן "#" בתחילת השורה, והפך אותו מהפעלה לתגובה.

אם המערכת משתמשת ב- xinetd, התצורה שלה תהיה בספריית /etc/xinetd.d. כל קובץ ספרייה מגדיר שירות שניתן לבטל אותו על ידי ציון השבת = כן, כמו בדוגמה זו:


כמו כן, כדאי לבדוק תהליכים מתמשכים שאינם נשלטים על ידי inetd או xinetd. באפשרותך להגדיר סקריפטים להפעלה בספריות /etc/init.d או / etc / inittab. לאחר ביצוע השינויים, הפעל את הפקודה תחת חשבון השורש.

9. הגן פיזית על השרת

לא ניתן להתגונן במלואם מפני התקפות של תוקף עם גישה פיזית לשרת. לכן, יש צורך לאבטח את החדר בו המערכת נמצאת. מרכזי נתונים עוקבים ברצינות על האבטחה, מגבילים את הגישה לשרתים, מתקינים מצלמות אבטחה ומקצים אבטחה קבועה.

כדי להיכנס למרכז הנתונים, על כל המבקרים לעבור שלבי אימות מסוימים. מומלץ מאוד להשתמש בחיישני תנועה בכל חדרי המרכז.

10. הגן על השרת מגישה בלתי מורשית

מערכת גישה לא מורשית או IDS אוספת נתונים וקבצי תצורת מערכת ואז משווה נתונים אלה עם השינויים החדשים כדי לקבוע אם הם מזיקים למערכת.

לדוגמה, כלים של Tripwire ו- Aide אוספים מסד נתונים של קבצי מערכת ומגן עליהם באמצעות קבוצת מפתחות. Psad משמש למעקב אחר פעילות חשודה באמצעות דוחות חומת אש.

אחי נוצר כדי לפקח על הרשת, לעקוב אחר דפוסי פעילות חשודים, לאסוף סטטיסטיקות, לבצע פקודות מערכת ולייצר התראות. ניתן להשתמש ב- RKHunter להגנה מפני וירוסים, לרוב ערכות שורש. כלי זה בודק את המערכת שלך כנגד פגיעויות ידועות ויכול לגלות הגדרות לא בטוחות ביישומים.

Pin
Send
Share
Send
Send