Linux server Security | Πώς να ελέγξετε την ασφάλειά του

Η ασφάλεια του linux server αποτελεί ένα σημαντικό μέρος της σωστής λειτουργίας του server και των φιλοξενιών που βρίσκονται σε αυτόν.

Το κομμάτι αυτό δεν πρέπει να το προσπερνάμε αλλά αντίθετα είναι απαραίτητο για την αποφυγή καταστάσεων που δεν έχουν προβλεφθεί.

Διαχωρίζοντας τις επιθέσεις των Linux servers σε δύο σκέλη, μπορούμε να πούμε ότι στο πρώτο σκέλος ο επιτιθέμενος θα προσπαθήσει να προσπεράσει το firewall ενώ στο δεύτερο σκέλος θα ανεβάσει κάποιο κακόβουλο αρχείο για να εκτελέσει τις ενέργειές του με στόχο να βλάψει την ασφάλεια του linux server.

Μπορεί το ConfigServer Security Firewall (CSF) και το cPHulk σε cPanel server να είναι δύο εργαλεία τα οποία παρέχουν προστασία από port scan στον server μέχρι brute force attack στις φιλοξενίες, ωστόσο για την αντιμετώπιση εξειδικευμένων επιθέσεων συνιστάται η χρήση Web Application Firewall (WAF) όπως το ModSecurity, το οποίο καταφέρνει να διαχειριστεί με μεγάλη επιτυχία τέτοιες καταστάσεις.

Περιεχόμενα

Τι είναι το ModSecurity;

Το ModSecurity είναι ένα module στον apache που προστατεύει τους servers αποτρέποντας επιθέσεις όπως SQL Injection,XSS, Local File Include, Remote File Include κλπ διατηρώντας την ασφάλεια του linux server.

Αυτό επιτυγχάνεται μέσα από συγκεκριμένα regular expression patterns που ανιχνεύονται κατά τη διάρκεια της επίθεσης και έχουν οριστεί σύμφωνα με ένα σύνολο κανόνων. Παράλληλα ενημερώνεται συνεχώς για νέες επιθέσεις.

Τι γίνεται στην περίπτωση που ο επιτιθέμενος καταφέρει να περάσει το Firewall επειδή το ModSecurity είναι ελαστικό ή επειδή η επίθεση δεν ταιριάζει στα patterns που ήδη γνωρίζει;

Σε αυτήν την περίπτωση έρχεται αντιμέτωπος με τα malware και antivirus scanners (εφόσον έχουν εγκατασταθεί από τον hosting provider).

Ας δούμε δύο από αυτά:

ConfigServer eXploit Scanner

Το ConfigServer eXploit Scanner (cxs) αποτελεί ένα εργαλείο ανίχνευσης κακόβουλων αρχείων τα οποία ανεβαίνουν είτε μέσω ftp είτε μέσω επίθεσης και προστατεύει την ασφάλεια του linux server.

Είναι ιδανικό για servers με cPanel, ενώ σε συνεργασία με το ModSecurity μπορεί να αποτρέψει καταστάσεις όπως exploitation των φιλοξενιών στα οποία έχουν ανέβει ύποπτα αρχεία.

Πριν ακόμη ο κακόβουλος χρήστης προσπαθήσει να τα ενεργοποιήσει, αυτά εντοπίζονται και μπαίνουν στην καραντίνα ή διαγράφονται.

Η ανίχνευση των αρχείων επιτυγχάνεται με τη βοήθεια του ClamAV λαμβάνοντας υπόψιν πολλούς παράγοντες όπως: γνωστά exploit script ελέγχοντας το fingerprint, Regular expression pattern, Binary executables κλπ. Επίσης μπορεί να ρυθμιστεί ώστε να εκτελεί χειροκίνητα ή αυτόματα εκτενή scan θέτοντας παράλληλα εξαιρέσεις.

ISPProtect

Το ISPProtect αποτελεί ένα malware και antivirus scanner το οποίο είναι ιδανικό για Linux web Servers με όλα τα διαθέσιμα panels.

Η scan engine που χρησιμοποιεί έχει τη δυνατότητα να ανιχνεύει κακόβουλα αρχεία σε ιστοσελίδες ή γνωστά CMS όπως WordPress, Joomla, Drupal, Magento.

Αυτό επιτυγχάνεται συγκρίνοντας την υπογραφή που φέρει το μολυσμένο αρχείο σε σχέση με αυτήν που γνωρίζει ότι έχει το καθαρό αρχείο.

Για τη συγκεκριμένη διαδικασία συμβουλεύεται μία βάση δεδομένων που έχει δημιουργηθεί γι αυτό το σκοπό.

Επίσης ανιχνεύει αρχεία τα οποία στο περιεχόμενό τους είναι κωδικοποιημένα (πχ με base64) και είναι ύποπτα για πιθανόν κακόβουλες ενέργειες.

CXS VS ISPProtect:

Και τα δύο εργαλεία χρησιμοποιούν το ClamAV για να εκτελέσουν το scan.
Συγκρίνουν τις τελευταίες εκδόσεις των CMS σε σχέση με αυτές που ανιχνεύονται τη στιγμή του scan.
Το κάθε εργαλείο συμβουλεύεται διαφορετική database για τον εντοπισμό των κακόβουλων αρχείων.
Το eXploit Scanner μπορεί να εγκατασταθεί σε server με cPanel αποτελώντας μία μόνιμη λύση στην ανίχνευση κακόβουλων αρχείων και συνεργάζεται άψογα με το ModSecurity . Από την άλλη το ISPProtect μπορεί να εγκατασταθεί σε οποιοδήποτε panel (cPanel, Plesk, VirtualMin), ωστόσο είναι ιδανικό για περιπτώσεις περιστασιακού scan και συγκεκριμένα τις στιγμές που υποπτευόμαστε ότι υπάρχει μόλυνση σε αρχεία.

Γενικό συμπέρασμα:

Όπως διαπιστώσατε στο άρθρο αυτό, υπάρχουν εργαλεία τα οποία μπορούν να αποτρέψουν τους επιτιθέμενους να πετύχουν το σκοπό τους σε σημαντικό βαθμό.

Ωστόσο στο τεχνικό τμήμα της IpHost έχουμε παρατηρήσει ότι οι περισσότερες επιθέσεις δεν στοχεύουν αποκλειστικά τους servers (με χρήση rootkits για shell access) καθώς είναι δύσκολο να επιτευχθούν σε ενημερωμένα Linux συστήματα, αλλά στοχεύουν σε γνωστά κυρίως CMS (WordPress, Joomla κλπ) συμπεριλαμβανομένων των πρόσθετων (plugins), τα οποία δεν είναι ενημερωμένα στις τελευταίες τους εκδόσεις και έτσι καθίσταται πιο εύκολη η επίτευξη του exploitation.

Ασφάλεια του linux server & IpHost

Έχοντας ως βασική προϋπόθεση την παροχή ποιοτικής και ασφαλούς φιλοξενίας, όλα τα προαναφερόμενα εργαλεία ασφαλείας βρίσκονται ήδη εγκατεστημένα ή έχουν τη δυνατότητα να εγκατασταθούν (ανάλογα το είδος της φιλοξενίας).

Πιο συγκεκριμένα, οι servers στις λύσεις Virtual Machine ή Dedicated με πίνακα ελέγχου cPanel έχουν τη δυνατότητα να ενεργοποιήσουν το εργαλείο ConfigServer Exploit Scanner έπειτα από επικοινωνία μαζί μας ενώ στις διαμοιραζόμενες φιλοξενίες με cPanel (Shared Web Hosting) είναι ήδη εγκατεστημένο και πλήρως ενημερωμένο.

Επιπλέον, οι servers που παρέχονται με cPanel ή Plesk (είτε διαμοιραζόμενης φιλοξενίας είτε κάθε άλλης λύσης virtual machine, dedicated server) τα οποία είναι ενημερωμένα σε πρόσφατες εκδόσεις, έχουν ήδη εγκατεστημένο το ModSecurity με δυνατότητα παραμετροποίησης.

Το εργαλείο ISPProtect παρέχεται ως έξτρα υπηρεσία στους servers που έχουν ενεργοποιημένη την υπηρεσία Management ενώ χρησιμοποιείται για τακτικό δικό μας έλεγχο στους servers διαμοιραζόμενης φιλοξενίας.

Και, φυσικά, είμαστε διαθέσιμοι για οποιαδήποτε βελτίωση ή προσθήκη έχετε να μας προτείνετε. Μπορείτε να κάνετε submit για feature request από την φόρμα επικοινωνίας.