bezpieczeństwo
Zabezpieczenia serwerów
68
sierpień 2007
bezpieczeństwo
Zabezpieczenia serwerów
69
www.lpmagazine.org
lin
ux
@
so
ftw
ar
e.
co
m
.p
l
M
am nadzieję tym artykułem przybliżyć
nieco aspekty często pomijane przez po-
czątkujących użytkowników Linuksa, mło-
dych administratorów i wielu innych,
którzy chcą postawić daną usługę na swojej maszynie, ale
obawiają się ataków na nią. Zaproponuję tutaj kilkanaście
rozwiązań, które w łatwy sposób można będzie wdrożyć
na własnym podwórku.
Linux, jak żaden inny system operacyjny, daje nam
ogromne możliwości konfiguracyjne pozwalające zwięk-
szyć bezpieczeństwo. Artykuł ten skupi się na podstawo-
wych jego aspektach, ponieważ kwestia bezpieczeństwa
jest tak rozległa, że można by było napisać o niej kilka-
naście książek, które i tak nie wyczerpałyby tematu. Pa-
miętajmy jednak o bumie technologicznym oraz softwa-
rowym, które ciągle ewoluują, a z nimi również sposo-
by ataków i chęci łamania coraz wymyślniejszych zabez-
pieczeń.
Zakładam, że każdy z czytających ma już zainstalowa-
nego Linuksa z kernelem co najmniej 2.6.x. Na starszych
wersjach jądra również sprawdzają się porady i sztuczki
opisywane tutaj, ale nowsza wersja ma sama w sobie dużo
poprawionych luk i niedociągnięć, dlatego osobiście dora-
dzam korzystanie z takowej wersji.
Krok pierwszy prawdopodobnie najważniejszy. Silne
hasło. Mocne hasło musi należeć nie tylko do administra-
tora, ale również każdy użytkownik systemu powinien
zadbać o to, by jego hasło było odpowiednio skompliko-
wane.
Silne hasło zapewni nam początkową ochronę przed
nieautoryzowanym dostępem do serwera przez niepowo-
łane osoby. Poza tym nie zostanie ono tak szybko rozpra-
cowane przez działające w sieci systemy łamiące hasła,
które to korzystają z potężnych słowników bardzo często
udostępnianych za darmo w sieci.
Mocne hasło to takie, które jest długie. Posiada co naj-
mniej 8 znaków liter małych i dużych, cyfr oraz znaków
specjalnych typu: & * ( @ itp. Najlepiej jednak jeśli będzie
miało co najmniej piętnaście znaków. Takie hasło 15–zna-
kowe ułożone z losowo wybranych elementów z całej kla-
wiatury jest w porządku. 33 tysiące razy trudniejsze do
złamania niż hasło 8znakowe. Warto również pamiętać,
żeby nie wybierać haseł oczywistych, związanych bez-
pośrednio z posiadaczem, nie stosować imion, nazw wła-
Podstawy
zabezpieczenia
serwerów
Każdy z nas chciał kiedyś o własnych siłach postawić sobie swój własny serwer linuksowy. Udostępniać
pliki, móc sprawdzać pocztę, zdalnie zarządzać usługami. Ale czy każdy z nas wie jak bardzo serwer na
defaultowych ustawieniach, które dostarcza nam producent danej dystrybucji, jest narażony na ataki?
Grzegorz Walocha
bezpieczeństwo
Zabezpieczenia serwerów
68
sierpień 2007
bezpieczeństwo
Zabezpieczenia serwerów
69
www.lpmagazine.org
snych itp. Takie hasła znajdują się często
w słownikach i narzędzia do łamania pora-
dzą sobie z nimi bezproblemowo.
Dla przykładu: złamanie 3znakowego ha-
sła zawierającego jedynie litery alfabetu ułożo-
ne bez jakiegokolwiek sensu trwa ok. 1 sekun-
dy. Czas ten diametralnie się zwiększa, jeśli za-
stosujemy dłuższe hasło.
Jeśli nie mamy pomysłu, jakie hasło jest
bezpieczne, możemy skorzystać z gotowego
oprogramowania, które pomoże nam w wyge-
nerowaniu takiego hasła.
Do wygenerowania bezpiecznego hasła
użyjemy programu
openssl
(zawartego w każ-
dej dystrybucji). Komenda:
# openssl rand 10 | hexdump e '10/1
"%02x"' > plikzhaslem.
W ten sposób mamy w pliku
plikzhaslem
za-
szyte hasło. Fakt, iż to trochę niepraktyczne, ale
mamy pewność, że jest na pewno skompliko-
wane. Parametr
10/1
określa nam długość
w znakach hasła.
Zaczynajmy. Po uruchomieniu systemu
logujemy się na SUPERUŻYTKOWNIKA,
czyli
roota
. Pamiętajmy, by użyć po polece-
niu su znaku specjalnego w celu przejęcia ca-
łej powłoki, w której pracujemy. Jeśli zaś lo-
gujemy się bezpośrednio na maszynie, wy-
starczy, że użyjemy loginu
root
.
Zmieniamy stare hasło poleceniem
passwd
(po spacji nazwa usera, któremu chcemy zmie-
nić hasło w tym przypadku zmieniamy ha-
sło administratorowi, możemy więc wykonać
jedynie polecenie passwd i wcisnąć ENTER,
by zmienić hasło obecnie zalogowanemu use-
rowi). Jeśli już jesteśmy przy zmienianiu haseł
i ustawianiu odpowiedniej trudności hasła,
nie wolno nam pominąć problemu, z którym
możemy się spotkać, przejmując po kimś ma-
szynę.
W celu wyszukania takiej luki warto użyć
programu, który jest w każdej dystrybucji, czy-
li AWK. Komendą wyszukamy konta z pusty-
mi hasłami:
# awk F: '$2 == "" {print $1, "puste
hasło!"}' /etc/shadow.
Jeśli już mamy sprawdzony system pod
względem silnych haseł i braku kont z pusty-
mi hasłami, możemy zabrać się do weryfikacji
kont, które powinny mieć dostęp do powłoki
systemu. W tym celu należy zweryfikować plik
z kontami
/etc/passwd
.
Dostęp regulujemy w prosty sposób, do-
dając lub usuwając parametr określający po-
włokę, w której będziemy pracować.
Aby zabrać użytkownikowi prawa do lo-
gowania się do powłoki, edytujemy plik
pas-
swd
, zastępując
/bin/bash
, na przykład
/bin/
nologin
lub
/bin/false
.
Tak edytowany plik zapisujemy. Od tej
pory tylko te konta, którym określiliśmy po-
włokę mogą zalogować się do systemu.
Kolejnym krokiem, jaki powinniśmy
przedsięwziąć jest zabezpieczenie najczę-
ściej atakowanej usługi, jaką jest ssh. Wiele
razy w logach można zauważyć wzmiankę
typu.
Świadczy to o tym, że ktoś (osoba lub pro-
gram) próbuje się dostać na konto
recruit
. Je-
śli nie wie czy istnieje konto o takiej nazwie, bę-
dzie próbować logować się na inne z uprzed-
nio przygotowanej listy. Na takiej liście pierw-
szą pozycją jest konto o nazwie
root
. Następ-
nymi są zwykle
squid
,
apache
,
postfix
i wie-
le innych, które mogą być związane z branżą,
z zainteresowaniami, preferencjami itp. W za-
leżności od tego, jakie pojęcie w swoim fachu
ma włamywacz, taką listę loginów i słowni-
ków zastosuje.
Podstawowe zabezpieczenie usługi ssh
polega na edytowaniu pliku:
/etc/ssh/sshd_config.
Edytujemy linię: Pierwsza linia odpowiada za
nasłuchiwanie usługi na danym porcie. Do-
myślnie opcja jest wyłączona, odhaszowujemy
linię i dodajemy port, na który chcemy prze-
nieść nasłuch. W podanym przykładzie jest to
port
12345.
Druga linia odpowiada za rodzaj
protokołu używanego podczas pracy. Domyśl-
nie opcje zahaszowane odhaszowywujemy
i zostawiamy jedynie wersję 2. protokołu ssh.
Linia ListenAdress odpowiada adresowi,
który będzie miał dostęp do serwisu ssh. Mo-
żemy dodać kilka adresów lub cały zakres
z danej puli adresowej. Domyślnie
deamon
ssh
nasłuchuje na wszystkich adresach, czy-
li na
0.0.0.0.
PermitRotLogin no
opcja ta zabrania lo-
gowania się roota bezpośrednio przez ssh.
Czyli początkowo loguje się zwykły użyt-
kownik, a dopiero potem root.
Te podstawowe funkcje dla deamona ssh
pozwolą na wzmocnienie obrony przed nie-
chcianymi intruzami próbującymi wykorzy-
stać słabości naszego systemu. Istnieją odpo-
wiednie aplikacje, które pozwalają nam na we-
ryfikowanie kilkukrotnych prób nieudanego
logowania, ale to opiszę w dalszej części arty-
kułu. Następną rzeczą, o której powinniśmy
pamiętać jest wyłączenie tak wspaniałego na-
rzędzia, jakim jest telnet. Fakt jeśli korzysta-
my z niego często, możemy go zostawić, ale
lepiej dmuchać na zimne, jeśli maszyna stoi z
publicznym adresem VLAN.
Odszukujemy plik z telnetem i poddaje-
my go edycji w vi, nano czy pico.
# pico w /etc/xinetd.d/telnet.
Po wylistowaniu pliku musimy odszukać li-
nie o budowie:
disable = no.
Analogicznie chcąc wyłączyć, wpisujemy za-
miast NO YES.
Na samym końcu trzeba pamiętać, że-
by zrestartować usługę. Wykonujemy to po-
leceniem:
# /etc/init.d/xinetd restart
lub
service xinetd restart.
To tyle na temat telnetu.
Fajną rzeczą, która jest prosta w użyciu,
a przydaje się w codziennej administracji jest
po prostu wysłanie ostrzeżenia, że ktoś zalo-
gował się na roota.
Rysunek 1.
Logowanie na superużytkownika
Listing 1.
Określa konta, które mają dostęp do
powłoki basha
grey:x:500:500::/home/grey:/bin/
bash
rayos:x:501:501::/home/rayos:
/bin/bash
jols:x:502:502::/home/jols:/bin/
bash
kon.szt:x:503:503::/home/konsz:
/bin/bash
Listing 2.
Widok na Log Systemowy, określający
błędne logowanie usera recruit.
May 30 23:26:59 testowy
sshd[27984]: §
Failed password
for
invalid user
recruit from §
TU_ADRES_IP port 53101 ssh2.
70
bezpieczeństwo
Zabezpieczenia serwerów
sierpień 2007
71
bezpieczeństwo
Zabezpieczenia serwerów
www.lpmagazine.org
Wykonujemy prostą czynność edytuje-
my plik
./bash_profile
jako root (pamiętaj-
my, że logujemy się zawsze su ).
#nano ./bash_profile.
Przechodzimy na sam dół i dopisujemy:
# echo 'ALERT
Ktoś zalogował się na roota'
`date` `who` | mail s "Alert:
Zalogowany `who | awk '{print $6}'` "
wlasciciel_maszyny@email.pl.
Oczywiście zapisujemy i wychodzimy.
Po takim zabiegu każde logowanie się ro-
ota spowoduje wysłanie maila z informacją
do właściciela maszyny.
Jeśli udostępniamy serwer komuś innemu,
chcielibyśmy zawrzeć jakieś informacje, które
byłyby przekazywane po udanej próbie zalo-
gowania na ekran. Można zawrzeć ostrzeżenia,
można zawrzeć adresy kontaktowe itp.
Służy do tego plik:
# /etc/motd.
Po prostu go edytujemy i wpisujemy wszystko
to, co chcemy przekazać na konsolę osobie lo-
gującej się. Pozostając przy temacie logowania i
logów systemowych, możemy się bliżej zatrzy-
mać przy programie, który jest bardzo pomoc-
ny w codziennej pracy z systemem. Mowa tu-
taj o LogWatch.
Plik
logwatch.conf
, który odpowiada za
sposób, dokładność logowania tego, co w sys-
temie się dzieje, znajduje się w katalogu
/etc/
log.d/conf/logwatch.conf
lub po prostu
/etc/logwatch/conf/logwatch.conf.
Edytujemy ten plik ulubionym przez nas
edytorem ja preferuję nano :). Szukamy linii
MailTo = root i zmieniamy ją na MailTo = twoje-
mail@email.com. Oczywiście nie musisz tego ro-
bić, jeśli używasz aliasów w swoim MTA (wte-
dy wszystko, co przychodzi dla roota może
być przekazywane na wybrany przez nas ad-
res). Ale to nie artykuł o aliasach, więc nie bę-
dziemy się tutaj rozwodzić nad tym (powsta-
nie na pewno artykuł o zabezpieczaniu MTA,
ale to podstawy, więc nie będę się rozpisywał
na temat MTA).
Następnie możemy zmieniać dokładność
naszego LogWatcha. Odnajdujemy linię
Deta-
il = Low
i zmieniamy na
Detail = 5
lub
De-
tail = 10
, gdzie liczba określa nam stopień
logowania. Im większa, tym więcej informa-
cji zbieramy o systemie, ale tym samym nasz
plik logu może urosnąć do niebotycznych roz-
miarów. Jeśli plik logwatch.conf jest pusty, po
prostu dopisujemy na końcu powyższe funkcje
wraz z argumentami, każdy w oddzielnej linii.
Nie można zapomnieć o pustej linii na końcu
każdego pliku konfiguracyjnego, także i tego.
Dajemy ENTER i zapisujemy.
Myślę, że te podstawy w dużym stopniu
utrudnią, a nawet uniemożliwią łatwe przeję-
cie naszej maszyny. Pomogą również zwięk-
szyć wiedzę o tym, co się na niej dzieje.
W dalszej części przedstawię bardzo przy-
jemne i proste w konfiguracji darmowe opro-
gramowania wspomagające kontrolę i zbie-
ranie informacji o systemie oraz skuteczną jego
obronę. Pierwszym z proponowanych przeze
mnie programów jest fail2ban. Strona projek-
tu znajduje się pod adresem: http://www.fail
2ban.org/wiki/index.php/Main_Page.
Program służy do weryfikacji nieudanych
prób ataku i odpowiedniej reakcji na nie. Jed-
nym słowem blokuje IP, których weryfikacja
nie powiodła się określoną przez nas ilość razy.
Któż z nas nie zauważył w logach. Kilka-
set lub kilkanaście tysięcy nieudanych prób
logowania się przez ssh, ftp i apacha.
Fail2ban jednoznacznie weryfikuje takie
próby i odpowiednio blokuje (na określony
przez nas czas) dany adres.
Program pobieramy ze strony : http://www.
fail2ban.org/wiki/index.php/Downloads.
Wybieramy dystrybucję, pod którą obec-
nie pracujemy i zabieramy się za instalację.
Jeśli wybraliśmy rpma, to po prostu in-
stalujemy go jako roota. Poleceniem:
# rpm ivh fail2banX.X.X.rpm,
gdzie XXX określają wersję, którą wybraliśmy.
Wybierając instalację ze źródeł, postępu-
jemy następująco (w przypadku
src.rpm
)
:
# rpm rebuild fail2banX.X.X.src.rpm.
Po wykonaniu znajdziemy instalacyjne pliki
w
/usr/src/RPM/RPMS/ix86 :
# rpm Uhv /usr/src/RPM/RPMS/ix86/
fail2banX.X.X.rpm.
Jeśli instalujemy na distro debianowym, to:
dpkg i fail2banX.X.X.deb.
A na Gentoo:
emerge fail2ban.
Po zainstalowaniu przechodzimy do pliku
konfiguracyjnego i ustawiamy poszczególne
Listing 3.
Plik sshd_config określający opcje kon-
figuracyjne SSH.
Port 12345
Protocol 2
ListenAddress 123.456.789.10
PermitRootLogin no.
Listing 4.
Widok na nieudaną próbę zalogowania
się do systemu przez usera andrea. Określający
kto, kiedy, z jakiego adresu i na jaki port.
May 10 16:39:08 testowy sshd[2953]:
§
Failed password
for
invalid §
user andrea from §
83.*.220.* port
55329 ssh2.
Rysunek 2.
przedstawia mniej więcej budowę podstawowego pliku
70
bezpieczeństwo
Zabezpieczenia serwerów
sierpień 2007
71
bezpieczeństwo
Zabezpieczenia serwerów
www.lpmagazine.org
parametry programu. Najważniejszym jest
atrybut określający język, w jakim pracuje
powłoka. Musimy wybrać język angielski.
Nie potrafiłem zmusić fail2bana do pracy
w innym języku. Nawet próby modyfikacji
kodu nie pomagały. Tak więc przechodzimy
do zmiennej określającej język.
Jako root wykonujemy:
# export LANG= C lub export LANG=EN.
Tym sposobem zmieniliśmy język powłoki.
Możemy przejść do pliku konfiguracyjnego,
który znajduje się w
/etc/fail2ban.conf.
Jest kilkanaście zmiennych, na które war-
to zwrócić uwagę:
• maxfailures = 5
– określa liczbę błęd-
nych prób w haśle lub loginie,
• Bantime = 600
określa czas, na jaki zo-
staje zablokowany dane IP,i
• gnoreip = 192.168.1.0/24
określa sieć
lub adresy, które nie będą weryfikowane
przez próg.
Program w dalszej części pliku konfiguracyj-
nego jest podzielony na sekcje, które określa-
ją usługi, jakie będziemy monitorować. Są to:
MAIL pozwala na wysyłanie emaila w posta-
ci monitu, o zablokowanym IP; Apache dostęp
do serwera www; Vsftpd dostęp do serwera
FTP; Ssh monitorowanie błędnych logowań
przez ssh. Opcje w tych sekcjach są tak trywial-
ne, że każdy w szybki sposób zorientuje się,
o co chodzi. Najważniejszą rzeczą jest zwróce-
nie uwagi na umiejscowienie plików logów da-
nych usług i dostosowanie ich pod własne śro-
dowisko. Żeby zadziałał nam program, teore-
tycznie musimy zmienić dwie rzeczy. Pierw-
szą z nich jest określenie, które usługi będzie-
my monitorować. Czyli jeśli chcemy monitoro-
wać ssh, szukamy sekcji [SSH] i argument
ena-
bled = false
zmieniamy na
true.
Postępuje-
my podobnie z innymi usługami, które ma ob-
jąć
fail2ban.
Kolejnym przydatnym progra-
mem jest rkhunter oraz bardzo podobny do
niego chkrootkit.
Strona projektu: http://www.rootkit.nl/ oraz
http://www.chkrootkit.org/.
Chkrootkit oraz rkhunter to programy
skanujące najważniejsze pliki systemowe pod
kątem obecności rootkitów, czyli programów
pisanych, aby ukryć obecność włamywacza
i pozwolić mu na dostęp do komputera. Pro-
gramy te skanują również system w poszuki-
waniu śladów loggerów klawiszy i innych nie-
pożądanych programów, które mogą zostać
wykorzystane w celu zostawienia sobie tzw. tyl-
nej furtki. Obydwa narzędzia są bardzo uży-
teczne. Rkhunter wydaje mi się bardziej roz-
budowany, dając tym samym większy ogląd
sytuacji niż chkrootkit, dlatego też opiszę tyl-
ko ten pierwszy. Informacje o instalacji, moż-
liwościach chkrootkita znajdziecie na stronie:
http://www.chkrootkit.org/faq/.
Pozyskanie oraz instalacja rkhuntera jest
bardzo prosta:
Ściągamy program ze strony poleceniem:
# wget http://downloads.rootkit.nl/
rkhunter<version>.tar.gz.
Nie jest ważne, do jakiego katalogu go ściąga-
my. Następnie należy rozpakować paczkę:
# tar zxf rkhunter<versja>.tar.gz
.
W tym momencie możemy przejść do in-
stalowania.
Wykonujemy kolejno:
• # cd rkhunter
• # ./installer.sh
.
Od tej chwili mamy już drugą linię obrony.
Możemy uruchamiać rkhuntera w każdej
chwili z linii poleceń, ale prościej jest zaim-
plementować prosty skrypt w bashu, który
uruchamiać będziemy z crona.
Ja skorzystałem z gotowego zastosowa-
nia, które zaprezentowane jest na stronie pro-
jektu, odsyłam do niego, gdyż jest ono nie
tylko dobrze przemyślane, ale również bar-
dzo proste do wykonania dla początkujące-
go użytkownika.
Tworzymy plik w katalogu roota pole-
ceniem:
• # touch rkhunter
.
•
Nadajemy mu uprawnienia do wykony-
wania przez roota:
# chmod 700 rkhunter
.
•
Edytujemy go:
#nano rkhunter
Teraz wystarczy dodać zadanie do crona.
W tym celu edytujemy tablice poleceniem:
# crontab e
,
dopisując na końcu poniższy przykład (ja
skorzystałem z przykładu zawartego na stro-
nie projektu):
30 5 * * * root /root/rkhunter c
–cronjob.
Zapisujemy i wychodzimy z naszego ulubio-
nego edytora tekstów. Jeśli komuś otworzy-
ło się w
vi
i ma problem z zapisaniem, niech
spróbuje wcisnąć jeden raz Esc, a następnie
CTRL+ZZ.
Druga linia obrony skonfigurowana oraz
gotowa do użycia.
W taki oto prosty sposób dotarliśmy do
końca tego artykułu. Wszystkie przedstawione
przeze mnie metody sam testowałem i wdra-
żałem we własnym środowisku serwerowym.
Oczywiście są to podstawowe aspekty bezpie-
czeństwa, lecz często zdarza się, że pomijamy
je albo po prostu o nich zapominamy. Mam na-
dzieję, że nie tylko początkujący użytkownicy
zajrzą do tego artykułu, ale również doświad-
czeni fani Linuksa przejrzą moje propozycje
i znajdą coś dla siebie.
Rysunek 3.
Przykład z informacjami wyświetlającymi się na ekranie przy udanej próbie logowania
Listing 5.
Skrypt wymuszający uruchomienie
rkhunter-a przez crona z wybranymi przez nas
opcjami
#!/bin/sh
/usr/local/bin/rkhunter
versioncheck
/usr/local/bin/rkhunter update
/usr/local/bin/rkhunter cronjob
reportwarningsonly
) | /bin/mail s 'rkhunter Daily
Run' root
Admin RedHat5/Fedora/Debian. W branży
od 4 lat. Zawodowo nieugięty administrator,
właściciel kilku serwerów.
Kontakt z autorem: zatara@poczta.fm
O autorze