[Linux] Rrit sigurin e serverit tuaj

[Linux] Rrit sigurin e serverit tuaj

Pershendetje, ne ket tem do mundohem ti perfshij disa hapa bazik qe duhet tmerrni per trritur sado pak sigurin e serverit tuaj (qe perdorni per web applications apo qfardo qoft)

un po perdori Ubuntu Server 20.04 LTS, por komandat qe i jap duhet tfunksjonojn nshumicen e sistemeve operative debian-based

1. Update&upgrade gjithqka
Para se me vazhdu me hapat tjer, spari tbojm 1 update&upgrade duhet perdorur "apt"

Code:

sudo apt -y update && sudo apt -y upgrade

kjo komand mundet me zgjat prej disa sekonda deri ndisa or

2. Ndrysho root password dhe ndalo login permes ssh direkt n'root account
Pasi qe "root" osht account kryesor edhe nese ndokush munet me mar access n'root account at'her osht gameover per juve. Prandaj duhet tperdoret 1 account tjter dhe jo root

pra hapi i par nese nuk keni user tjeter esht ta krijojm 1:

Code:

sudo useradd -s /bin/bash testUser # shto 1 user me emrin testUser dhe si default shell tperdor "bash"
sudo passwd testUser # vendos 1 password per "testUser", +14 karaktere nese esht e mundshme
sudo usermod -aG sudo testUser # jepi akses userit "testUser" per me perdor "sudo" qe me pas akses njejt si root por pak ma sigurt
sudo mkhomedir_helper testUser # krijo directory per user testUser pra: /home/testUser

note. nqs jeni root at'her skeni nevoj tshtoni komanden "sudo" perpara
qfar esht sudo?: sudo perdoret per tegzekutu 1 komand si root nga nje user tjter


tani te ndalojm login si root nga ssh
kte e bejm duke ndryshu config-at e ssh tek file: /etc/ssh/sshd_config
ne ket file duhet tket access vetem root, prandaj do perdorim sudo perseri

futemi ne editor (vim dhe nano jan 2 text editor ndryshem qe jan t'instalum nshumicen e sistemeve operative linux)

Code:

sudo vim /etc/ssh/sshd_config
# ose
sudo nano /etc/ssh/sshd_config # me i leht per tu perdor

tek rreshti 34 gjindet "PermitRootLogin"


dhe nese keni # perpara fjales at'her fshijeni dhe ndryshone yes apo diqka tjter tek "no":



tani duhet 1 restart i "sshd" qe mund tbehet permes "systemctl"

Code:

sudo systemctl restart sshd

tani edhe pse passwordi i root esht korrekt, un smund tlogohem permes ssh


dhe gjeja e fundit esht tndrrohet password i root tek diqka +14 karaktere (nese dikush ka akses fizik tek serveri at'her nese nuk ka password tvendosur tek "root" personi mund tmarr full-access tek serveri pa perdorur asni password)

Code:

sudo passwd root

3. Perdor privatekey n'vend tpassword per login permes ssh
Per trritur sigurin e login permes ssh duhet tperdoret login permes private-public keys
Si funksjonon:
ne krijojm 1 public key edhe 1 private key, private key e mbajm ne n1 vend tsigurt dhe public key e vendosim ne server tek 1 file /home/testUser/.ssh/authorized_keys
at'her mund te logohemi me private key dhe keshtu ndalojm brute-force attacks tek ssh

Hapi i par: krijimi i public/private keys permes ssh-keygen:

tek "enter passphrase:" mund tvendosni password per siguri mat madhe pasi nese vendosni password at'her smundet tjter kush me perdor private key pa e dit passwordin

tani koha ta transferojm public key tek serveri, ket mund ta bejm me "ssh-copy-ip"

Code:

ssh-copy-id -i <public key file> <username>@<server ip>
chmod 400 id_rsa # qe vetem ne tmund tlexojm private key e cila esht ruajtur tek file "id_rsa"

tani mund te logohemi ne server permes private key


edhe tani duhet tndalojm login permes password, edhe perseri duke ndryshuar /etc/ssh/sshd_config

Code:

sudo vim /etc/ssh/sshd_config
# ose
sudo nano /etc/ssh/sshd_config

tani tek rreshti 124 ndryshoni "PasswordAuthentication yes" tek "PasswordAuthentication no"

dhe prap duhet tbejm restart sshd

Code:

sudo systemctl restart sshd

tani mund tlogohemi vetem me private key


4. Ndalo service tpanevojshme dhe lejo vetem ato qe nevoiten
Ne rast se jeni duke perdorur serverin per ndoni web application, servicet qe duhet tken akses nga jasht jan ssh, http/s
pra tjerat si p.sh ftp, smtp, etj. jan te panevojshme nshumicen e rasteve.
Transferimi i filev dhe tjera per menagjim mund tkryhet permes ssh pa perdorur ftp apo ndonje gje tjeter

per hapin e par instaloni net-tools duke perdorur "apt"

Code:

sudo apt install net-tools

tani shiko port-et e hapura duke perdorur "netstat"

Code:

sudo netstat -antp

pra shikoni posht "Local Address" mund ta shikoni se a esht port-i i hapur per te gjith apo vetem per juve (vetem per serverin) dhe ne anen e djatht posht "'PID/Program name" mund ta shikoni se qfar applikacioni poe mban ket port hapur

Code:

0.0.0.0:<port num> # porti esht i hapur per te gjith
127.0.0.1:<port num> # porti esht i hapur vetem per serverin

tani ta ndalim vsftpd pasi nuk nevoitet
jep 2 komandat e meposhtme

Code:

sudo systemctl disable vsftpd # mos te startoj nese behet serveri reboot
sudo systemctl stop vsftpd # ndaloje qe nga tani

tani ftp esht ndalur


E njejta rrug mund tmerret edhe per tndaluar tjera programe

5. Perdor firewall per tlejuar vetem traffikun e deshiruar
Per tvendosur disa rregulla per firewall un do perdor "ufw" i cili esht me pak i komplikuar se "iptables"
mund ta instaloni duket perdorur "apt"

Code:

sudo apt install ufw
sudo ufw status # verteto qe ufw esht instaluar

nese ju shfaqet diqka si kjo at'her esht nrregull

tani tvendosim rregullat dhe tlejojm ufw tket kontroll ne traffik

Code:

sudo ufw default deny incoming # refuzo qfardo vjen nserver
sudo ufw default allow outgoing # lejo qfardo del nga server, pra qe ne tmund tkemi akses ne internet
sudo ufw allow ssh # lejo lidhjen me ssh
sudo ufw allow http # lejo http
sudo ufw allow https # lejo https
sudo ufw enable # fut ne perdorim kto rregulla

pas ktyre komandav askush smund tlidhet me ndonje port qe osht hap padashje nga ndonje program tjeter dhe vetem port-et 22,80,443 jan te lejuara te rrin hapur

Code:

sudo ufw status # per tshikuar se a esht firewall aktiv, dhe qfar rregulla jan te lejuara

Gjithsesi kto jan vetem disa rregulla bazike te cilat jan mir tvendosen, por nuk mbrojn nga gjdo sulm i mundshem.
P.sh nqs ndokush mund tgjej 1 RCE (Remote Code Execution) nWeb App, mundet qe me kriju 1 reverse shell i cili lidhet nga serveri yn tek serveri qe personi cakton, pra pasi ne lejuam gjdo trafik qe del nga serveri me komanden "sudo ufw default allow outgoing" at'her sdo kemi asnje mbrojtje kunder kti sulmi.
Prandaj web apps duhet me u ndertu me kujdes vertet tmadh qe me e zvoglu rrezikun ndaj ktyne sulmev sa ma shum.


Me kaq poe mbyll ket tem edhe pse nuk esht komplet , po esht vetem 1 baz e vogel e cila mendoj se esht mir ta vendosesh qe tkesh sado pak ma shum siguri nserver.
Perndryshe per tperfshi tgjitha temat per mbrojtje tserverit at'her muna me than shlir se mbushet 1 liber e prap sdo ishte komplet.

Nese kam ba ndoni gabim apo diqka nuk funksjonon si duhet, mundni mem dergu msg ose me shenu ktu n'tem edhe do mundona ta rregulloj.

 

Faleminderit shum man shum tutorial i mir , big up

 

prsh Shum tutorial i bukur nuk mbesohet qe ke shkrujt kaq shum per krijimin e ssh keys dhe mbylljen e portave.

Tek fillimi kam kte problem kur bej login me testUser

Code:

Cannot execute /bin/bash: No such file or directory

m`ndimon pak ta zgjidh?

 

Tkam dergu msg, shiko nqs mund tma dergosh OS version, pastaj tmundona ta krijoj problemin tek un qe ta gjej 1 zgjidhje

 

Code:

[email protected]:~# find / -name bash 2>/dev/null
[email protected]:~#
[email protected]:~# file /bin/bash
/bin/bash: cannot open `/bin/bash' (No such file or directory)
[email protected]:~# hostnamectl
   Static hostname: dopeweb
         Icon name: computer-vm
           Chassis: vm
        Machine ID: d1e05a336f44421cb29b12d1bec42290
           Boot ID: 4862362e67c84cc39296a2e08f19e6ba
    Virtualization: google
  Operating System: Debian GNU/Linux 9 (stretch)
            Kernel: Linux 4.19.0-0.bpo.9-cloud-amd64
      Architecture: x86-64

 

Code:

   
Static hostname: debian
Icon name: computer-vm
Chassis: vm
Machine ID: bb12091e517848eaa804c5b49af5698a
Boot ID: 746e73bcafbe4901ad34cab1a03520a9
Virtualization: vmware
Operating System: Debian GNU/Linux 9 (stretch)
Kernel: Linux 4.9.0-12-amd64
Architecture: x86-64

fresh install po prap nuk po mundna me shkaktu tnjejtin problem tek un, pasi bash egzistoja by default
gjithsesi mund ta provosh 1her me "sh" nvend t"bash"

Code:

chsh -s /bin/sh testUser

gjithashtu edhe kto dyjta tek root nqs mun memi dergu

Code:

echo $SHELL # qfar shell po perdor root
echo /etc/shells # qfar shells egzistojn nsistem

 

Nuk eshte shelli valid

Per ta rregullu provo kshtu

Code:

sudo chsh -s /bin/bash root

ose duke edituar rekordet e root logins ne /etc/passwd , por jo direkt.

Code:

sudo vipw

Ne shumicen e sistemeve Linux, hyrja ne skedarin qe hapet ne redaktues kur perdorim vipw duhet te duket kshtu diqka

Code:

root:x:0:0:root:/root:/bin/bash

 

Mendoj qe ka problem me "testUser" dhe jo me root.
Gjithashtu mund ta provoj edhe ket nga root

Code:

chsh -s $SHELL testUser

Pom qudit fakti se si bash nuk esht valid, pasi ende smka ndodh me has 1 sistem ku bash nuk esht valid.
Prandaj edhe provova ta instaloj tnjejtin version t'debian, por perseri tek un shkoi gjithqka nrregull.

 

shume basic!!!

 

Vlla nqs tdoken shum basic osht mundsia me hap tem tjeter edhe me postu tutorialin tond, perndryshe mos komento fare ktu nqs e bon me at mendjen me ofendim e me tregu se je ma i dijshem.

 

Prandaj eksistojn temat qe kur dikush e lexhon te mundet te kritikoj !!!
Edhe e kritikova!! Ne qjoft se nuk te pelqejen kritikat vlaj mos hap threads!
PS : kur hapja e temes filon me kete :
Pershendetje, ne ket tem do mundohem ti perfshij disa hapa bazik qe duhet tmerrni per trritur sado pak sigurin e serverit tuaj (qe perdorni per web applications apo qfardo qoft)
Me vjen keq po nuk e shkruajta une!

Pse shkruajta " Shume Basic" :

1) merja e titulit : [LINUX] Rrit sigurin e serverit tuaj
a). Nga Kush : Nga personat qe manxhojn serverin apo na persona qe jan jasht serverit ?

2) Ke Treguar (shpjeguar) 3 Pika :
a) Perditesimi <==== jam 100% me ty
b) Ndryshimi i passwd : <== shumica e rasteve kur ndyshojm password ne server ateher ke me shume % qe te thyhet serveri nga persona te ndryshem ! Passwordi qe eshet gjeneruar nga hosti eshet me i fuqishem se sa ajo qe do perdoresh ty!
c) Modifikimi i SSH: modifikimi qe ke Shpjeguar eshet modifikim per te lehtesuar jeten edhe jo sigurie!!!!
Ne se vertet do te blokosh bruteforce attacks ose na nje exploit 0-day qe mundet te dali edhe te te japi mundesin e kohes per ta ber update ssh eshet vetem me keto qe do tete them me posht!
a) Ndryshojm port e serverit ne nje port te ndryshme ! nuk e mbajm kur ne portat default!

b) Ndryshoj banner te ssh : mundesh ta besh edit ose mundesh te shkarkosh teter ssh edhe para se ta besh compiled edhe ta installosh te modifikosh headers qe kur ti jipet skanim nga nmap ose nc mos te indetifikohet si SSH service!

c) Lejo personat qe duhet te ken access ne server! sh~: AllowUsers DEVILAL [email protected].....

d) Limito aksesin nga iptables rules Ps:

Code:

iptables -A INPUT -p tcp -d 0/0 -s IP_JOTE_KETU--dport 22 -j ACCEPT
iptables -A INPUT -p tcp -d 0/0 --dport 22 -j DROP

PO gjeja me e mira qe do te sugjeroja te krijosh nje program shume te thjesht si Dydns os no-ip shume e thjesht ta realizosh
edhe ne vend te ips mundesh te vesh germat (varet si do ta konfigurosh ps : [email protected])
edhe programi qe do behet cdo 20 minuta update do mari ip-n jote edhe ateher mundesh te besh login tek serveri !!!

e) Mundesh konfigurosh iptables edhe me –hashlimit-mode ne kete menyre cdo lidhje ne ssh per ip brenda nje minuti!

f) Si per fund mundesh te perdoresh Port knocking qe e ben akoma me te veshtire per nje sulmus! !!!

Nuk Do i perqendrohem pjeses qe ndalojm services qe duam apo nuk duam!!!!
Gjithmon ndalon dicka qe ka bugs edhe e dy qe ne rast se hyri dikush do e lejoj te mari root!

Per fund : Uncomplicated Firewall ndryshe UFW

Firewall ne Linux ...... ??? Pse ? kur ben te njeten gje me Iptables .. qe eshet nje firewall !!! pse duhet te shtosh dicka tjeter edhe qe nuk ja ke edhe besim ne se do kry punen ne maximum!

Pse e them ate se iptables eshet e installuar ne linux po thuj se tetera systemet linux os e kan brenda!
edhe sa per dieni marveshja e mire e nje systemi nuk
te ben te intallosh sende te tjera!!!!

Nuk hapa tem te re edhe nuk jam duke te offenduar po duhet ca her te pranojm edhe kritiken !

klm!

 

E kisha fjalen per password default qe nshumicen e rasteve osht "toor" gjithashtu edhe passwordi i generuar nga hostet nese osht 8-16 karaktere edhe nese osht i generum ( numra/shkronja) at'her nuk konsiderohet ma i sigurt se 1 password qe un p.sh e vendosi me 128 karaktere t'gjenerum prej 1 password manager offline

Gjithashtu kjo nuk tlehtson komplet jeten se ofrohet mundsia tvendosesh password edhe tek private key dmth smund ta perdor askush pa pas passwordin, po nese perdorusit nuk vendosin password edhe dikush arrin me mar private key at'her aj osht komplet i pambrojtun

Pajtohem me pikat qe ke cek ti, po ssh nuk osht fort i njohur per critical vulns. por gjithsesi gjithqka duhet me u prit edhe pikat qe ceke ti japin mundsi tmir me u mbrojt prej 1 sulmi tpapritur

Vendos ufw nvend t'iptables pershkak se osht ma i thjesht per meu perdor per fillestar edhe ma i pa komplikum siq e shpjegon edhe emri. Prapseprap iptables osht zgjedhje ma e mir nese perdoret si duhet

kritika si kjo replika jote e fundit jan tmirpritura pasi mndihmoj edhe mu me msu gjana treja edhe ndrejtim mat mir gjithashtu edhe tjert qe vin tmarin ndonje dije ktu. Ndersa si ajo e para "shume basic!!!" nuk ndihmon asgje dhe askend prandaj mu duk si kritik pa vler.

 

Do qendroj vetem tek keto 2 pika!

1)Password: Pra kur shkruan tut Duhet edhe ty thuash atyt qe e lexhon qe nje password 128 karaktere eshet me i sigurt po
ketu hasim nje problem faktori NJERIHU! Gjithmon po kerkojm per gjera te thjeshta qe mos te na lodhin ... Mendon se jan shume veta ata qe perdorin pass 128 karaktera? nga 100% te jap nje 0.5% !!! (nuk flasim per ty flasim ne general)

2)Sa do te ndryshosh nga password te vesh ne private key qe i ben save ne server keto files PRAP se PRAPI nuk je i siguruar !!!
Qelimi nga ajo qe te shkruajta jan thjesht 2 gjera per vec menyrave jan edhe disa gjera me te thela!

1) Cfar do bej dikush brenda ne server kur te mari te drejtat per te hyr!
2) Cfar gjera private ke len aty !
3) Cfar do humbasesh ne se dikush hyn aty!

Ty mundesh te sigurosh nje server 99%(maximum) se pse 100% nuk eshet online serveri!
po e zejm se eshet 99% ajo 1% qe ngell mundet te mari dikush te drejta per te hyr
nga ato extra programet qe installohen ne server modules / add ons/ cms / services / .... (faktor humain)

dikur kam degjuar nje shpreje : Qe te mbrohesh nga nje hajdut Duhet te mendosh si nje hajdut qe do te thote behu hajdut!

Ne se do te kesh maximum security ne server duhet te mesosh edhe te mendosh si aji qe do mari te drejtat per te hyr!
Po te rij edhe te shkruaj nuk do mbarojm kur se si mundet spesifik nje linux server ta mblindosh gjeri ne palc!
Edhe cfar gjeje qe te shkruhet prap BASIC do jen Vetem ne se krijojm menyra te reja ! ateher nuk do jet basic!