எல்.எஃப்.சி.ஏ - தரவு மற்றும் லினக்ஸைப் பாதுகாப்பதற்கான பயனுள்ள உதவிக்குறிப்புகள் - பகுதி 18
தொண்ணூறுகளின் முற்பகுதியில் வெளியானதிலிருந்து, லினக்ஸ் தொழில்நுட்ப சமூகத்தின் புகழைப் பெற்றுள்ளது, அதன் நிலைத்தன்மை, பல்துறைத்திறன், தனிப்பயனாக்கம் மற்றும் திறந்த மூல டெவலப்பர்களின் ஒரு பெரிய சமூகம் ஆகியவை பிழைத் திருத்தங்கள் மற்றும் மேம்பாடுகளை வழங்குவதற்காக கடிகாரத்தில் வேலை செய்கின்றன இயக்க முறைமை. பெரிய அளவில், லினக்ஸ் என்பது பொது மேகம், சேவையகங்கள் மற்றும் சூப்பர் கம்ப்யூட்டர்களுக்கான தேர்வுக்கான இயக்க முறைமையாகும், மேலும் இணைய எதிர்கொள்ளும் உற்பத்தி சேவையகங்களில் 75% லினக்ஸில் இயங்குகிறது.
இணையத்தை இயக்குவதைத் தவிர, லினக்ஸ் டிஜிட்டல் உலகிற்கு அதன் வழியைக் கண்டறிந்துள்ளது, அதன் பின்னர் அது குறையவில்லை. இது ஆண்ட்ராய்டு ஸ்மார்ட்போன்கள், டேப்லெட்டுகள், ஸ்மார்ட்வாட்ச்கள், ஸ்மார்ட் டிஸ்ப்ளேக்கள் மற்றும் பலவற்றை உள்ளடக்கிய ஏராளமான ஸ்மார்ட் கேஜெட்களை இயக்குகிறது.
லினக்ஸ் பாதுகாப்பானதா?
லினக்ஸ் அதன் உயர்மட்ட பாதுகாப்பிற்காக புகழ்பெற்றது, மேலும் இது நிறுவன சூழல்களில் பிடித்த தேர்வுக்கு ஒரு காரணம். ஆனால் இங்கே ஒரு உண்மை, எந்த இயக்க முறைமையும் 100% பாதுகாப்பாக இல்லை. பல பயனர்கள் லினக்ஸ் ஒரு முட்டாள்தனமான இயக்க முறைமை என்று நம்புகிறார்கள், இது தவறான அனுமானமாகும். உண்மையில், இணைய இணைப்பு கொண்ட எந்தவொரு இயக்க முறைமையும் சாத்தியமான மீறல்கள் மற்றும் தீம்பொருள் தாக்குதல்களுக்கு ஆளாகக்கூடும்.
அதன் ஆரம்ப ஆண்டுகளில், லினக்ஸ் மிகவும் சிறிய தொழில்நுட்ப-மைய புள்ளிவிவரங்களைக் கொண்டிருந்தது மற்றும் தீம்பொருள் தாக்குதல்களால் பாதிக்கப்படுவதற்கான ஆபத்து தொலைதூரமானது. இப்போதெல்லாம் லினக்ஸ் இணையத்தின் பெரும் பகுதியைக் கொண்டுள்ளது, இது அச்சுறுத்தல் நிலப்பரப்பின் வளர்ச்சியைத் தூண்டியுள்ளது. தீம்பொருள் தாக்குதல்களின் அச்சுறுத்தல் முன்னெப்போதையும் விட உண்மையானது.
லினக்ஸ் கணினிகளில் தீம்பொருள் தாக்குதலுக்கு ஒரு சிறந்த எடுத்துக்காட்டு, தென்கொரிய வலை ஹோஸ்டிங் நிறுவனமான நயானாவின் 153 லினக்ஸ் சேவையகங்களை நெருங்கிய கோப்பு-குறியாக்க தீம்பொருளான எரெபஸ் ransomware ஆகும்.
இந்த காரணத்திற்காக, உங்கள் தரவைப் பாதுகாக்க மிகவும் விரும்பிய பாதுகாப்பை வழங்க இயக்க முறைமையை மேலும் கடினப்படுத்துவது விவேகமானதாகும்.
லினக்ஸ் சர்வர் கடினப்படுத்துதல் குறிப்புகள்
உங்கள் லினக்ஸ் சேவையகத்தைப் பாதுகாப்பது நீங்கள் நினைப்பது போல் சிக்கலானது அல்ல. உங்கள் கணினியின் பாதுகாப்பை வலுப்படுத்தவும் தரவு ஒருமைப்பாட்டை பராமரிக்கவும் நீங்கள் செயல்படுத்த வேண்டிய சிறந்த பாதுகாப்புக் கொள்கைகளின் பட்டியலை நாங்கள் தொகுத்துள்ளோம்.
ஈக்விஃபாக்ஸ் மீறலின் ஆரம்ப கட்டங்களில், ஈக்விஃபாக்ஸின் வாடிக்கையாளர் புகார் வலை இணையதளத்தில் ஹேக்கர்கள் பரவலாக அறியப்பட்ட பாதிப்பு - அப்பாச்சி ஸ்ட்ரட்ஸ் - ஐப் பயன்படுத்தினர்.
அப்பாச்சி ஸ்ட்ரட்ஸ் என்பது அப்பாச்சி அறக்கட்டளையால் உருவாக்கப்பட்ட நவீன மற்றும் நேர்த்தியான ஜாவா வலை பயன்பாடுகளை உருவாக்குவதற்கான திறந்த மூல கட்டமைப்பாகும். அறக்கட்டளை மார்ச் 7, 2017 அன்று பாதிப்பை சரிசெய்ய ஒரு பேட்சை வெளியிட்டது, அதற்காக ஒரு அறிக்கையை வெளியிட்டது.
ஈக்விஃபாக்ஸ் பாதிப்பு குறித்து அறிவிக்கப்பட்டு, அவற்றின் விண்ணப்பத்தை ஒட்டுமாறு அறிவுறுத்தப்பட்டது, ஆனால் துரதிர்ஷ்டவசமாக, பாதிப்பு அதே ஆண்டின் ஜூலை வரை கண்டுபிடிக்கப்படாமல் இருந்தது, அந்த நேரத்தில் அது மிகவும் தாமதமானது. தாக்குதல் நடத்தியவர்கள் நிறுவனத்தின் நெட்வொர்க்கிற்கான அணுகலைப் பெறவும், தரவுத்தளங்களிலிருந்து மில்லியன் கணக்கான ரகசிய வாடிக்கையாளர் பதிவுகளை வெளியேற்றவும் முடிந்தது. ஈக்விஃபாக்ஸுக்கு என்ன நடக்கிறது என்று காற்று வரும் நேரத்தில், இரண்டு மாதங்கள் கடந்துவிட்டன.
எனவே, இதிலிருந்து நாம் என்ன கற்றுக்கொள்ளலாம்?
தீங்கிழைக்கும் பயனர்கள் அல்லது ஹேக்கர்கள் உங்கள் சேவையகத்தை சாத்தியமான மென்பொருள் பாதிப்புகளுக்காக எப்போதும் ஆய்வு செய்வார்கள், பின்னர் அவை உங்கள் கணினியை மீறுவதற்கு வழிவகுக்கும். பாதுகாப்பான பக்கத்தில் இருக்க, ஏற்கனவே இருக்கும் ஏதேனும் பாதிப்புகளுக்கு திட்டுகளைப் பயன்படுத்த உங்கள் மென்பொருளை அதன் தற்போதைய பதிப்புகளுக்கு எப்போதும் புதுப்பிக்கவும்.
நீங்கள் உபுண்டு அல்லது டெபியன் அடிப்படையிலான கணினிகளை இயக்குகிறீர்கள் என்றால், முதல் படி பொதுவாக உங்கள் தொகுப்பு பட்டியல்கள் அல்லது களஞ்சியங்களை காண்பித்தபடி புதுப்பிப்பது.
$ sudo apt update
கிடைக்கக்கூடிய புதுப்பிப்புகளுடன் அனைத்து தொகுப்புகளையும் சரிபார்க்க, கட்டளையை இயக்கவும்:
$ sudo apt list --upgradable
காட்டப்பட்டுள்ளபடி உங்கள் மென்பொருள் பயன்பாடுகளை அவற்றின் தற்போதைய பதிப்புகளுக்கு மேம்படுத்தவும்:
$ sudo apt upgrade
காட்டப்பட்டுள்ளபடி இந்த இரண்டையும் ஒரே கட்டளையில் இணைக்கலாம்.
$ sudo apt update && sudo apt upgrade
RHEL & CentOS க்கு கட்டளையை இயக்குவதன் மூலம் உங்கள் பயன்பாடுகளை மேம்படுத்தவும்:
$ sudo dnf update ( CentOS 8 / RHEL 8 ) $ sudo yum update ( Earlier versions of RHEL & CentOS )
CentOS/RHEL க்கான தானியங்கி புதுப்பிப்புகளை அமைப்பது மற்றொரு சாத்தியமான விருப்பமாகும்.
எண்ணற்ற தொலைநிலை நெறிமுறைகளுக்கு அதன் ஆதரவு இருந்தபோதிலும், ரோலோஜின், டெல்நெட், டி.எஃப்.டி.பி மற்றும் எஃப்.டி.பி போன்ற மரபு சேவைகள் உங்கள் கணினிக்கு மிகப்பெரிய பாதுகாப்பு சிக்கல்களை ஏற்படுத்தக்கூடும். இவை பழையவை, காலாவதியானவை மற்றும் பாதுகாப்பற்ற நெறிமுறைகள், அங்கு தரவு எளிய உரையில் அனுப்பப்படும். இவை ஏற்கனவே இருந்தால், காட்டப்பட்டுள்ளபடி அவற்றை அகற்றுவதைக் கவனியுங்கள்.
உபுண்டு/டெபியன் அடிப்படையிலான அமைப்புகளுக்கு, இயக்கவும்:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server
RHEL/CentOS- அடிப்படையிலான அமைப்புகளுக்கு, இயக்கவும்:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv
எல்லா பாதுகாப்பற்ற சேவைகளையும் நீங்கள் அகற்றியவுடன், திறந்த துறைமுகங்களுக்காக உங்கள் சேவையகத்தை ஸ்கேன் செய்வது மற்றும் பயன்படுத்தப்படாத துறைமுகங்களை மூடுவது முக்கியம், அவை ஹேக்கர்களால் நுழைவு புள்ளியாக பயன்படுத்தப்படலாம்.
யுஎஃப்டபிள்யூ ஃபயர்வாலில் போர்ட் 7070 ஐத் தடுக்க விரும்புகிறீர்கள் என்று வைத்துக்கொள்வோம். இதற்கான கட்டளை பின்வருமாறு:
$ sudo ufw deny 7070/tcp
மாற்றங்கள் நடைமுறைக்கு வர ஃபயர்வாலை மீண்டும் ஏற்றவும்.
$ sudo ufw reload
ஃபயர்வால்டுக்கு, கட்டளையை இயக்கவும்:
$ sudo firewall-cmd --remove-port=7070/tcp --permanent
ஃபயர்வாலை மீண்டும் ஏற்ற நினைவில் கொள்ளுங்கள்.
$ sudo firewall-cmd --reload
காட்டப்பட்டுள்ளபடி ஃபயர்வால் விதிகளை குறுக்கு சரிபார்க்கவும்:
$ sudo firewall-cmd --list-all
SSH நெறிமுறை ஒரு தொலை நெறிமுறை, இது ஒரு பிணையத்தில் உள்ள சாதனங்களுடன் பாதுகாப்பாக இணைக்க உங்களை அனுமதிக்கிறது. இது பாதுகாப்பானது என்று கருதப்பட்டாலும், இயல்புநிலை அமைப்புகள் போதுமானதாக இல்லை மற்றும் தீங்கிழைக்கும் பயனர்களை உங்கள் கணினியை மீறுவதைத் தடுக்க சில கூடுதல் மாற்றங்கள் தேவைப்படுகின்றன.
SSH நெறிமுறையை எவ்வாறு கடினப்படுத்துவது என்பது பற்றிய விரிவான வழிகாட்டி எங்களிடம் உள்ளது. முக்கிய சிறப்பம்சங்கள் இங்கே.
- கடவுச்சொல் இல்லாத SSH உள்நுழைவை உள்ளமைத்து தனியார்/பொது விசை அங்கீகாரத்தை இயக்கவும்.
- SSH தொலை ரூட் உள்நுழைவை முடக்கு.
- வெற்று கடவுச்சொற்களைக் கொண்ட பயனர்களிடமிருந்து SSH உள்நுழைவுகளை முடக்கு.
- கடவுச்சொல் அங்கீகாரத்தை முழுவதுமாக முடக்கி, SSH தனியார்/பொது விசை அங்கீகாரத்துடன் ஒட்டவும்.
- குறிப்பிட்ட SSH பயனர்களுக்கான அணுகலைக் கட்டுப்படுத்துங்கள்.
- கடவுச்சொல் முயற்சிகளுக்கு ஒரு வரம்பை உள்ளமைக்கவும்.
Fail2ban என்பது ஒரு திறந்த மூல ஊடுருவல் தடுப்பு அமைப்பாகும், இது உங்கள் சேவையகத்தை ப்ரூட்ஃபோர்ஸ் தாக்குதல்களிலிருந்து பாதுகாக்கிறது. பல உள்நுழைவு முயற்சிகள் போன்ற தீங்கிழைக்கும் செயலைக் குறிக்கும் ஐபிக்களைத் தடை செய்வதன் மூலம் இது உங்கள் லினக்ஸ் அமைப்பைப் பாதுகாக்கிறது. பெட்டியின் வெளியே, இது அப்பாச்சி வெப்சர்வர், vsftpd மற்றும் SSH போன்ற பிரபலமான சேவைகளுக்கான வடிப்பான்களுடன் அனுப்பப்படுகிறது.
SSH நெறிமுறையை மேலும் வலுப்படுத்த Fail2ban ஐ எவ்வாறு கட்டமைப்பது என்பதற்கான வழிகாட்டி எங்களிடம் உள்ளது.
கடவுச்சொற்களை மீண்டும் பயன்படுத்துவது அல்லது பலவீனமான மற்றும் எளிமையான கடவுச்சொற்களைப் பயன்படுத்துவது உங்கள் கணினியின் பாதுகாப்பை வெகுவாகக் குறைமதிப்பிற்கு உட்படுத்துகிறது. கடவுச்சொல் கொள்கையை நீங்கள் செயல்படுத்துகிறீர்கள், கடவுச்சொல் வலிமை தேவைகளை அமைக்க அல்லது உள்ளமைக்க pam_cracklib ஐப் பயன்படுத்தவும்.
PAM தொகுதியைப் பயன்படுத்தி, /etc/pam.d/system-auth கோப்பைத் திருத்துவதன் மூலம் கடவுச்சொல் வலிமையை வரையறுக்கலாம். எடுத்துக்காட்டாக, நீங்கள் கடவுச்சொல் சிக்கலை அமைத்து கடவுச்சொற்களை மீண்டும் பயன்படுத்துவதைத் தடுக்கலாம்.
நீங்கள் ஒரு வலைத்தளத்தை இயக்குகிறீர்கள் என்றால், பயனர்களின் உலாவி மற்றும் வெப்சர்வர் இடையே பரிமாறிக்கொள்ளப்பட்ட தரவை குறியாக்க SSL/TLS சான்றிதழைப் பயன்படுத்தி உங்கள் டொமைனைப் பாதுகாக்க எப்போதும் உறுதிசெய்க.
உங்கள் தளத்தை நீங்கள் மறைகுறியாக்கியதும், பலவீனமான குறியாக்க நெறிமுறைகளை முடக்குவதையும் கருத்தில் கொள்ளுங்கள். இந்த வழிகாட்டியை எழுதும் நேரத்தில், சமீபத்திய நெறிமுறை TLS 1.3 ஆகும், இது மிகவும் பொதுவான மற்றும் பரவலாக பயன்படுத்தப்படும் நெறிமுறை. முந்தைய பதிப்புகளான TLS 1.0, TLS 1.2, மற்றும் SSLv1 முதல் SSLv3 வரை அறியப்பட்ட பாதிப்புகளுடன் தொடர்புடையது.
[நீங்கள் விரும்பலாம்: அப்பாச்சி மற்றும் என்ஜின்க்ஸில் TLS 1.3 ஐ எவ்வாறு இயக்குவது]
உங்கள் லினக்ஸ் கணினிக்கான தரவு பாதுகாப்பு மற்றும் தனியுரிமையை உறுதிப்படுத்த நீங்கள் எடுக்கக்கூடிய சில படிகளின் சுருக்கம் இது.