எல்.எஃப்.சி.ஏ: லினக்ஸ் கணினியைப் பாதுகாக்க அடிப்படை பாதுகாப்பு உதவிக்குறிப்புகள் - பகுதி 17
முன்னெப்போதையும் விட இப்போது, உலகில் நாம் வாழ்கிறோம், பாதுகாப்பு மீறல்களால் நிறுவனங்கள் தொடர்ந்து குண்டுவீசிக்குள்ளாக்கப்படுகின்றன, இது மிகவும் உணர்திறன் மற்றும் ரகசிய தரவுகளைப் பெறுவதன் மூலம் உந்துதல் பெறுகிறது, இது மிகவும் மதிப்புமிக்கது மற்றும் மிகப்பெரிய நிதி வெகுமதியை அளிக்கிறது.
பேரழிவு தரக்கூடிய சைபர் தாக்குதலால் பாதிக்கப்படுவதற்கான அதிக ஆபத்து இருந்தபோதிலும், பெரும்பாலான நிறுவனங்கள் நன்கு தயாரிக்கப்படவில்லை அல்லது சிவப்புக் கொடிகளை வெறுமனே கவனிக்கவில்லை, பெரும்பாலும் பேரழிவு விளைவுகளுடன்.
2016 ஆம் ஆண்டில், ஈக்விஃபாக்ஸ் ஒரு பேரழிவு தரும் தரவு மீறலை சந்தித்தது, அங்கு தொடர்ச்சியான பாதுகாப்பு தோல்விகளைத் தொடர்ந்து மில்லியன் கணக்கான அதிக ரகசிய வாடிக்கையாளர் பதிவுகள் திருடப்பட்டன. ஈக்விஃபாக்ஸில் பாதுகாப்பு குழுவினரால் சரியான பாதுகாப்பு நடவடிக்கைகள் செயல்படுத்தப்பட்டிருந்தால், மீறல் தடுக்கக்கூடியது என்று ஒரு விரிவான அறிக்கை சுட்டிக்காட்டியது.
உண்மையில், மீறலுக்கு சில மாதங்களுக்கு முன்னர், ஈக்விஃபாக்ஸ் அவர்களின் வலை இணையதளத்தில் அவர்களின் பாதுகாப்பை சீர்குலைக்கும் சாத்தியமான பாதிப்பு குறித்து எச்சரிக்கப்பட்டது, ஆனால் துரதிர்ஷ்டவசமாக, எச்சரிக்கை கடுமையான விளைவுகளுக்கு செவிசாய்க்கவில்லை. பல பெரிய நிறுவனங்கள் தாக்குதல்களுக்கு பலியாகிவிட்டன, அவை ஒவ்வொரு கடந்து செல்லும் தருணத்திலும் தொடர்ந்து சிக்கலாக வளர்ந்து வருகின்றன.
உங்கள் லினக்ஸ் கணினியின் பாதுகாப்பு எவ்வளவு முக்கியமானது என்பதை நாங்கள் வலியுறுத்த முடியாது. மீறல்களுக்கான சாத்தியமான இலக்காக நீங்கள் ஒரு உயர்மட்ட நிதி நிறுவனமாக இருக்கக்கூடாது, ஆனால் உங்கள் பாதுகாப்பைக் குறைக்க வேண்டும் என்று அர்த்தமல்ல.
உங்கள் லினக்ஸ் சேவையகத்தை அமைக்கும் போது பாதுகாப்பு உங்கள் மனதில் இருக்க வேண்டும், குறிப்பாக இது இணையத்துடன் இணைக்கப்பட்டு தொலைதூரத்தில் அணுகப்படும். உங்கள் லினக்ஸ் சேவையகத்தைப் பாதுகாப்பதில் அடிப்படை பாதுகாப்பு திறன்களைக் கொண்டிருப்பது அவசியம்.
இந்த வழிகாட்டியில், உங்கள் கணினியை ஊடுருவும் நபர்களிடமிருந்து பாதுகாக்க நீங்கள் எடுக்கக்கூடிய சில அடிப்படை பாதுகாப்பு நடவடிக்கைகளில் நாங்கள் கவனம் செலுத்துகிறோம்.
சைபர் தாக்குதல் திசையன்கள்
உங்கள் லினக்ஸ் சேவையகத்தை அணுக ஊடுருவும் நபர்கள் பலவிதமான தாக்குதல் நுட்பங்களைப் பயன்படுத்துவார்கள். உங்கள் கணினியைப் பாதுகாக்க நீங்கள் எடுக்கக்கூடிய சில நடவடிக்கைகளில் நாங்கள் முழுக்குவதற்கு முன், அமைப்புகளுக்குள் ஊடுருவ ஹேக்கர் பயன்படுத்தக்கூடிய பொதுவான தாக்குதல் திசையன்களில் சிலவற்றை சுரண்டுவோம்.
ஒரு முரட்டு-படை தாக்குதல் என்பது பயனரின் உள்நுழைவு சான்றுகளை யூகிக்க ஹேக்கர் சோதனை மற்றும் பிழையைப் பயன்படுத்தும் ஒரு தாக்குதல் ஆகும். வழக்கமாக, பயனர்பெயர் மற்றும் கடவுச்சொல்லின் சரியான கலவையைப் பெறும் வரை ஊடுருவும் தானியங்கி ஸ்கிரிப்ட்களை தொடர்ந்து உள்ளிடுவதற்குப் பயன்படுத்தும். பலவீனமான மற்றும் எளிதில் யூகிக்கக்கூடிய கடவுச்சொற்கள் பயன்படுத்தப்படும் இடத்தில் இந்த வகையான தாக்குதல் மிகவும் பயனுள்ளதாக இருக்கும்.
முந்தையதைப் போலவே, கடவுச்சொல் 1234 போன்ற குறுகிய மற்றும் எளிதில் யூகிக்கக்கூடிய கடவுச்சொற்கள் போன்ற பலவீனமான நற்சான்றிதழ்கள் உங்கள் கணினிக்கு ஆபத்தை ஏற்படுத்தும். கடவுச்சொல் குறுகிய மற்றும் குறைவான சிக்கலானது, உங்கள் கணினி சமரசம் செய்யப்படுவதற்கான வாய்ப்புகள் அதிகம்.
ஃபிஷிங் என்பது ஒரு சமூக பொறியியல் நுட்பமாகும், அங்கு தாக்குபவர் பாதிக்கப்பட்டவருக்கு ஒரு முறையான நிறுவனத்திலிருந்து அல்லது உங்களுக்குத் தெரிந்த அல்லது வியாபாரம் செய்யும் ஒருவரிடமிருந்து வரும் மின்னஞ்சலை அனுப்புகிறார்.
வழக்கமாக, முக்கியமான தகவலை வெளிப்படுத்த பாதிக்கப்பட்டவரைத் தூண்டும் அறிவுறுத்தல்கள் அல்லது நிறுவனத்தின் தளமாகக் காட்டப்படும் ஒரு போலி தளத்திற்கு அவர்களை வழிநடத்தும் இணைப்பைக் கொண்டிருக்கலாம். பாதிக்கப்பட்டவர் உள்நுழைய முயற்சித்தவுடன், அவர்களின் சான்றுகளை தாக்குபவர் கைப்பற்றுவார்.
தீங்கிழைக்கும் மென்பொருளுக்கு தீம்பொருள் குறுகியது. வைரஸ்கள், ட்ரோஜான்கள், புழுக்கள் மற்றும் ransomware போன்ற பரந்த அளவிலான தீங்கு விளைவிக்கும் பயன்பாடுகளை இது உள்ளடக்கியது, அவை விரைவாக பரவுவதற்கும், பாதிக்கப்பட்டவரின் கணினி பணயக்கைதிகளை மீட்கும் பொருட்டு வைத்திருப்பதற்கும் வடிவமைக்கப்பட்டுள்ளன.
இத்தகைய தாக்குதல்கள் பலவீனப்படுத்தும் மற்றும் ஒரு நிறுவனத்தின் வணிகத்தை முடக்கிவிடும். சில தீம்பொருளை படங்கள், வீடியோக்கள், சொல் அல்லது பவர்பாயிண்ட் ஆவணங்கள் போன்ற ஆவணங்களில் செலுத்தலாம் மற்றும் ஃபிஷிங் மின்னஞ்சலில் தொகுக்கலாம்.
ஒரு DoS தாக்குதல் என்பது ஒரு சேவையகம் அல்லது கணினி அமைப்பின் கிடைக்கும் தன்மையைக் கட்டுப்படுத்தும் அல்லது பாதிக்கும் ஒரு தாக்குதல் ஆகும். ஹேக்கர் சேவையகத்தை போக்குவரத்து அல்லது பிங் பாக்கெட்டுகளுடன் வெள்ளத்தில் மூழ்கடிக்கும், இது சேவையகத்தை நீண்ட காலத்திற்கு பயனர்களுக்கு அணுகமுடியாது.
ஒரு DDoS (விநியோகிக்கப்பட்ட சேவை மறுப்பு) தாக்குதல் என்பது ஒரு வகையான DoS ஆகும், இது பல அமைப்புகளைப் பயன்படுத்துகிறது, இது ஒரு இலக்கைக் கொண்டு போக்குவரத்தை கிடைக்காது.
கட்டமைக்கப்பட்ட வினவல் மொழியின் சுருக்கமாகும், SQL என்பது தரவுத்தளங்களுடன் தொடர்புகொள்வதற்குப் பயன்படுத்தப்படும் ஒரு மொழி. தரவுத்தளத்தில் பதிவுகளை உருவாக்க, நீக்க மற்றும் புதுப்பிக்க பயனர்களை இது அனுமதிக்கிறது. தரவுத்தளத்துடன் தொடர்புகொள்வதற்கு SQL ஐப் பயன்படுத்தும் தொடர்புடைய தரவுத்தளங்களில் நிறைய சேவையகங்கள் தரவைச் சேமிக்கின்றன.
ஒரு SQL ஊசி தாக்குதல் அறியப்பட்ட SQL பாதிப்பைக் கட்டுப்படுத்துகிறது, இது தீங்கிழைக்கும் SQL குறியீட்டை செலுத்துவதன் மூலம் சேவையகம் முக்கியமான தரவுத்தள தகவல்களை வெளியிடுகிறது. கிரெடிட் கார்டு எண்கள், சமூக பாதுகாப்பு எண்கள் மற்றும் கடவுச்சொற்கள் போன்ற தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல்களை தரவுத்தளம் சேமித்து வைத்தால் இது மிகப்பெரிய ஆபத்தை ஏற்படுத்துகிறது.
பொதுவாக எம்ஐடிஎம் என சுருக்கமாக, மனிதனின் நடுப்பகுதியில் தாக்குதல் என்பது இரு தரப்பினருக்கும் இடையிலான போக்குவரத்தை செவிமடுப்பது அல்லது மாற்றியமைக்கும் நோக்கத்துடன் இரண்டு புள்ளிகளுக்கு இடையில் தகவல்களைத் தடுத்து நிறுத்துபவர். பாதிக்கப்பட்டவரை உளவு பார்ப்பது, தரவை சிதைப்பது அல்லது முக்கியமான தகவல்களைத் திருடுவது இதன் குறிக்கோள்.
உங்கள் லினக்ஸ் சேவையகத்தைப் பாதுகாப்பதற்கான அடிப்படை உதவிக்குறிப்புகள்
உங்கள் கணினியை மீறுவதற்கு தாக்குபவர் பயன்படுத்தக்கூடிய சாத்தியமான நுழைவாயில்களைப் பார்த்த பிறகு, உங்கள் கணினியைப் பாதுகாக்க நீங்கள் எடுக்கக்கூடிய சில அடிப்படை நடவடிக்கைகளைப் பார்ப்போம்.
உங்கள் சேவையகத்தின் இயல்பான இருப்பிடம் மற்றும் பாதுகாப்பைப் பற்றி அதிகம் சிந்திக்கப்படவில்லை, இருப்பினும், உங்கள் சேவையகத்தை ஒரு முன்கூட்டியே சூழலில் வைத்திருக்கப் போகிறீர்கள் என்றால், இது வழக்கமாக நீங்கள் தொடங்கும் இடமாகும்.
காப்புப்பிரதி சக்தி, தேவையற்ற இணைய இணைப்பு மற்றும் போதுமான குளிரூட்டல் கொண்ட தரவு மையத்தில் உங்கள் சேவையகம் பாதுகாப்பாக பாதுகாக்கப்படுவதை உறுதி செய்வது முக்கியம். தரவு மையத்திற்கான அணுகல் அங்கீகரிக்கப்பட்ட பணியாளர்களுக்கு மட்டுமே.
சேவையகம் அமைக்கப்பட்டதும், எடுக்க வேண்டிய முதல் படி களஞ்சியங்கள் மற்றும் பயன்பாட்டு மென்பொருள் தொகுப்புகளை பின்வருமாறு புதுப்பிப்பது. தொகுப்பைப் புதுப்பிப்பது, தற்போதுள்ள பயன்பாடுகளின் பதிப்புகளில் இருக்கும் எந்த ஓட்டைகளையும் இணைக்கிறது.
உபுண்டு/டெபியன் விநியோகங்களுக்கு:
$ sudo apt update -y $ sudo apt upgrade -y
RHEL/CentOS விநியோகங்களுக்கு:
$ sudo yum upgrade -y
ஃபயர்வால் என்பது உள்வரும் மற்றும் வெளிச்செல்லும் போக்குவரத்தை வடிகட்டும் ஒரு பயன்பாடாகும். யு.எஃப்.டபிள்யூ ஃபயர்வால் போன்ற வலுவான ஃபயர்வாலை நீங்கள் நிறுவ வேண்டும் மற்றும் தேவையான சேவைகளையும் அவற்றுடன் தொடர்புடைய துறைமுகங்களையும் மட்டுமே அனுமதிக்க அதை இயக்க வேண்டும்.
எடுத்துக்காட்டாக, கட்டளையைப் பயன்படுத்தி உபுண்டுவில் இதை நிறுவலாம்:
$ sudo apt install ufw
நிறுவப்பட்டதும், அதை பின்வருமாறு இயக்கவும்:
$ sudo ufw enable
HTTPS போன்ற சேவையை அனுமதிக்க, கட்டளையை இயக்கவும்;
$ sudo ufw allow https
மாற்றாக, நீங்கள் அதனுடன் தொடர்புடைய துறைமுகத்தை 443 ஆக அனுமதிக்கலாம்.
$ sudo ufw allow 443/tcp
மாற்றங்கள் நடைமுறைக்கு வர மீண்டும் ஏற்றவும்.
$ sudo ufw reload
அனுமதிக்கப்பட்ட சேவைகள் மற்றும் திறந்த துறைமுகங்கள் உட்பட உங்கள் ஃபயர்வாலின் நிலையை சரிபார்க்க, இயக்கவும்
$ sudo ufw status
கூடுதலாக, ஃபயர்வாலில் பயன்படுத்தப்படாத அல்லது தேவையற்ற சேவைகள் மற்றும் துறைமுகங்களை முடக்குவதைக் கருத்தில் கொள்ளுங்கள். பயன்படுத்தப்படாத பல துறைமுகங்கள் இருப்பது தாக்குதல் நிலப்பரப்பை அதிகரிக்கும்.
இயல்புநிலை SSH அமைப்புகள் பாதுகாப்பாக இல்லை, எனவே சில மாற்றங்கள் தேவைப்படுகின்றன. பின்வரும் அமைப்புகளைச் செயல்படுத்த உறுதிப்படுத்தவும்:
- தொலை உள்நுழைவிலிருந்து ரூட் பயனரை முடக்கு.
- SSH பொது/தனியார் விசைகளைப் பயன்படுத்தி கடவுச்சொல் இல்லாத SSH அங்கீகாரத்தை இயக்கவும்.
முதல் புள்ளிக்கு,/etc/ssh/sshd_config கோப்பைத் திருத்தி, காட்டப்பட்டுள்ளபடி தோன்றுவதற்கு பின்வரும் அளவுருக்களை மாற்றவும்.
PermitRootLogin no
தொலைதூரத்தில் உள்நுழைவதிலிருந்து ரூட் பயனரை முடக்கியதும், ஒரு வழக்கமான பயனரை உருவாக்கி சூடோ சலுகைகளை வழங்கவும். உதாரணத்திற்கு.
$ sudo adduser user $ sudo usermod -aG sudo user
கடவுச்சொல் இல்லாத அங்கீகாரத்தை இயக்க, முதலில் மற்றொரு லினக்ஸ் பிசிக்குச் செல்லுங்கள் - முன்னுரிமை உங்கள் பிசி மற்றும் ஒரு SSH விசை ஜோடியை உருவாக்கவும்.
$ ssh-keygen
உங்கள் சேவையகத்தில் பொது விசையை நகலெடுக்கவும்
$ ssh-copy-id [email
உள்நுழைந்ததும்,/etc/ssh/sshd_config கோப்பைத் திருத்தி, காட்டப்பட்டுள்ள அளவுருவை மாற்றியமைப்பதன் மூலம் கடவுச்சொல் அங்கீகாரத்தை முடக்க மறக்காதீர்கள்.
PasswordAuthentication no
உள்நுழைய நீங்கள் பயன்படுத்தக்கூடிய ஒரே வழி இது என்பதால் உங்கள் ssh தனிப்பட்ட விசையை இழக்காமல் பார்த்துக் கொள்ளுங்கள். அதைப் பாதுகாப்பாக வைத்திருங்கள், மேகக்கணியில் அதை காப்புப் பிரதி எடுக்கவும்.
இறுதியாக, மாற்றங்களைச் செய்ய SSH ஐ மறுதொடக்கம் செய்யுங்கள்
$ sudo systemctl restart sshd
வளர்ந்து வரும் இணைய அச்சுறுத்தல்கள் உள்ள உலகில், உங்கள் லினக்ஸ் சேவையகத்தை அமைப்பதில் நீங்கள் இறங்கும்போது பாதுகாப்புக்கு அதிக முன்னுரிமை இருக்க வேண்டும். இந்த வழிகாட்டியில், உங்கள் சேவையகத்தை பலப்படுத்த நீங்கள் எடுக்கக்கூடிய சில அடிப்படை பாதுகாப்பு நடவடிக்கைகளை நாங்கள் முன்னிலைப்படுத்தியுள்ளோம். அடுத்த தலைப்பில், நாங்கள் ஆழமாகச் சென்று உங்கள் சேவையகத்தை கடினப்படுத்த நீங்கள் எடுக்கக்கூடிய கூடுதல் படிகளைப் பார்ப்போம்.