내 서버의 파일 시스템에서 권한 취약점을 검사할 수 있는 도구가 있습니까?
내 서버는 로컬 이메일과 웹사이트를 실행하는 보안 수준이 낮은 웹 및 이메일 서버입니다. 내 조직의 누구나 서버를 사용할 수 있지만 현재는 나만 사용자입니다.
conf나는 사람들에게 사용자 수준 액세스 권한을 부여할 계획이며, 그들이 플레이할 때(완전히 괜찮습니다) 파일 등과 같은 중요한 것을 파괴하지 않도록 하고 싶습니다. 내 경우에는 conf파일이 삭제되면 그냥 다시 만들어서 돈을 잃거나 하는 일은 없지만 그런 일에 시간을 허비하고 싶지는 않다.
답변1
첫 번째 제안은 시스템이 자동으로 업데이트되도록 하는 것입니다.
Debian 시스템을 가정하면 그렇지 않은 경우 해당 명령을 찾을 수 있습니다.
apt-get update
apt-get upgrade
cron일상생활에 적용 하고 정기적으로 업데이트하세요. 그러나 이러한 업데이트에는 수동 입력이 필요한 경우가 있으므로 이 작업을 수동으로 수행해야 하는 경우도 있습니다. 최신 버전의 apt-get unattended도 업데이트 스위치를 지원하지만, 나는 여전히 가끔씩 직접 실행하는 것을 좋아합니다. 나에게 마음의 평화를 준다.
그런 다음 배포하는 Linux 배포판의 EOL(수명 종료)을 찾아보는 것이 좋습니다.
데비안 시스템을 사용한다고 가정하면 이 페이지에서 찾을 수 있습니다.https://wiki.debian.org/DebianReleases
예를 들어 이 기사를 게시할 때:
Version Code name Release date End of life date
8.0 Jessie April 25th 2015 ~June 6th 2018 (full) / ~June 6th 2020 (LTS)
June 6th 2018이는 를 설치한 경우 Jessie돌아가서 적절한 소스를 업그레이드하여 다음 버전으로 이동해야 하는 기한을 제공합니다 .
LTS( long term support)를 사용할 때 배포판은 수명이 끝난 후에도 일정 기간 동안 보안 업데이트를 받을 수 있지만 그것이 영구적이지는 않다는 점을 명심하세요 .
귀하의 서버가 다음 서버의 일부가 되도록 하지 마십시오https://shodan.io글로벌 취약점 보고서.
귀하의 요구사항과 관련된 몇 가지 추가 단계는 다음과 같습니다.
- 다른 사용자는 ID > 1000인 일반 사용자로 설정하세요.
- 이메일을 통해 누구나 쓸 수 있는 모든 파일을 보고하는 크론 작업을 설정하세요.
- 누군가 내부에서 무차별 대입 크래킹을 방지하려면 SSH 루트 비밀번호 로그인을 비활성화하세요.
답변2
일부 호스트 지향 IDS 도구를 사용하여 시스템 파일의 무결성을 확인할 수 있습니다. 오섹(Ossec)이 좋은 예이다. 특정 시스템 파일이 수정되었음을 감지하면 이메일 경고를 보냅니다.