Кіріспе
Proxmox VE (Virtual Environment) — виртуализацияға арналған қуатты және икемді платформа, виртуалды машиналар мен контейнерлерді басқаруға кеңінен қолданылады. Қауіпсіздіктің жоғары деңгейіне қарамастан, жүйедегі қателік немесе осалдықтарды пайдалану арқылы зиянкестер SSH арқылы серверге қол жеткізуі мүмкін. Егер шабуыл root құқықтарының бұзылуына алып келсе, одан әрі зиянды болдырмау үшін дереу шаралар қабылдау қажет.
Бұл мақалада біз Proxmox серверінде SSH арқылы root құқықтары бұзылғаннан кейін қорғауды қамтамасыз ету үшін қабылдауға болатын негізгі шараларды қарастырамыз.
1. SSH арқылы root-пен тікелей кіруді өшіру
Root-ке SSH арқылы тікелей кіру зиянкестер үшін осалдық туғызады. Олар құпиясөзді болжау немесе ұрланған куәліктерді пайдалану арқылы толық бақылауды ала алады. Сондықтан root-ке тікелей кіруді болдырмау өте маңызды.
Қадамдар:
-
SSH конфигурациялық файлын ашыңыз:
nano /etc/ssh/sshd_config -
Төмендегі жолды табыңыз:
PermitRootLogin yes -
Оны келесідей өзгертіңіз:
PermitRootLogin no -
SSH қызметін қайта жүктеңіз:
systemctl restart sshd
Осы конфигурация root-ке тікелей кіруге тыйым салады, бірақ sudo құқықтарына ие пайдаланушылар әкімшілік тапсырмаларды орындай алады.
2. Қарапайым пайдаланушыларға su командасын орындауға тыйым салу
Егер зиянкес пайдаланушыға sudo құқықтарын алса, ол su командасын пайдаланып root-ке ауысуға тырысуы мүмкін. Мұндай шабуылдың алдын алу үшін, тек белгілі бір пайдаланушыларға ғана su қолдануға рұқсат беру керек.
Қадамдар:
-
suконфигурация файлын ашыңыз:nano /etc/pam.d/su -
Төмендегі жолды табыңыз:
-
Осы жолды түсініктеме түрінде ашыңыз (яғни,
#белгісін алып тастаңыз):auth required pam_wheel.so use_uid -
Пайдаланушыны
wheelтобына қосыңыз:usermod -aG wheel username
Енді тек wheel тобында болатын пайдаланушылар ғана su командасын қолдана алады.
3. sudo құқықтарын шектеу
Егер зиянкес пайдаланушыға sudo құқықтары берілсе, онда ол sudo арқылы қауіпті командаларды орнатуға тырысуы мүмкін. Бұл тәуекелді азайту үшін, sudo-мен орындалатын қауіпті командаларды шектеу керек.
Қадамдар:
-
sudoers файлын қауіпсіз редактор арқылы ашыңыз:
visudo -
Қауіпті командаларды шектеу үшін келесі жолды қосыңыз:
username ALL=(ALL) ALL, !/bin/su, !/usr/bin/passwd root
Бұл ереже username пайдаланушысына su командасын орындауға және root-тің құпиясөзін өзгертуге тыйым салады.
4. Fail2Ban арқылы su және sudo әрекеттерін бұғаттау
Fail2Ban — парольдерді болжау шабуылдарынан қорғауға арналған пайдалы құрал. Ол журналдарды талдайды және көптеген сәтсіз әрекеттерден кейін IP мекенжайларын бұғаттайды.
Қадамдар:
-
Fail2Ban пакетін орнатыңыз:
apt install fail2ban -y -
/etc/fail2ban/jail.localконфигурациялық файлын өңдеңіз:suжәнеsudoәрекеттерін қорғау үшін келесі бөлімдерді қосыңыз:[sudo] enabled = true filter = sudo logpath = /var/log/auth.log maxretry = 3 bantime = 600 [su] enabled = true filter = su logpath = /var/log/auth.log maxretry = 3 bantime = 600 -
sudoжәнеsuәрекеттері үшін сүзгілерді жасаңыз:sudoүшін сүзгі:nano /etc/fail2ban/filter.d/sudo.confТөмендегі ережені қосыңыз:
[Definition] failregex = .*sudo:.*authentication failure;.* user=.*$suүшін сүзгі:nano /etc/fail2ban/filter.d/su.confБұл ережені қосыңыз:
[Definition] failregex = .*pam_unix(su:auth): authentication failure;.*$ -
Fail2Ban қызметін қайта іске қосыңыз:
systemctl restart fail2ban
Енді бірнеше сәтсіз әрекеттерден кейін жүйе root-тің құпиясөзін болжауға тырысқан IP мекенжайларын бұғаттайды.
5. Пайдаланушы командаларын бақылау
Жүйеге SSH арқылы кіру барысында пайдаланушылардың барлық әрекеттерін бақылау маңызды. Барлық орындалған командаларды тіркеу арқылы күдікті әрекеттерді анықтауға болады.
Қадамдар:
/etc/profileфайлына келесі жолды қосыңыз:echo 'export PROMPT_COMMAND="history -a; logger -t bash -p user.info \"$(history 1)\""' >> /etc/profile
Енді әрбір орындалған команда жүйелік журналға жазылады, бұл пайдаланушылардың әрекеттерін бақылап, шабуылдарды анықтауға көмектеседі.
6. sudo үшін қосымша аутентификация (2FA)
Қосымша қауіпсіздік үшін sudo командаларын қолдану кезінде екі факторлы аутентификацияны (2FA) қосуға болады. Бұл үшін Google Authenticator қолданамыз.
Қадамдар:
-
2FA қолдау үшін қажетті пакетті орнатыңыз:
apt install libpam-google-authenticator -y -
Пайдаланушы үшін орнатуды іске қосыңыз:
google-authenticator -
/etc/pam.d/sudoфайлына келесі жолды қосыңыз:auth required pam_google_authenticator.so
Енді sudo командаларын орындау үшін Google Authenticator мобильді қосымшасынан алынған бір реттік кодты енгізу қажет болады.
7. AppArmor арқылы қосымша қорғау
AppArmor (Application Armor) — бұл процесс іске қосылған кезде ресурстарға шектеу қойып, жүйенің қауіпсіздігін қамтамасыз ететін қауіпсіздік жүйесі. Бұл жүйе процестерді "песочница" (құмсалғыш) режимінде шектеп, жүйенің сезімтал деректеріне рұқсат бермейді.
AppArmor — бұл қолданбаларды қорғау үшін алдын ала анықталған саясаттар негізінде олардың әрекеттерін бақылауға мүмкіндік беретін жүйе.
AppArmor қалай жұмыс істейді?
AppArmor әрбір бағдарлама үшін "профильдер" пайдаланады, олар бағдарламаның қандай әрекеттерді орындауға және қандай ресурстарға қол жеткізуге болатынын сипаттайды. Бұл профилдер жүйенің түрлі компоненттеріне қол жетімділікті реттейді.
Шабуылшы процесс жүйеге қол жеткізуге тырысқан жағдайда, AppArmor осы процестің әрекеттерін шектеп, тек оған рұқсат етілген ресурстарға ғана қол жеткізуге мүмкіндік береді.
AppArmor орнату және конфигурациялау
1-қадам: AppArmor орнату
AppArmor жүйесінде орнатылуы керек. Proxmox жүйесінде оны келесі команданы пайдаланып орнатуға болады:
apt install apparmor apparmor-utils -y
2-қадам: AppArmor-ды іске қосу
AppArmor қызметін іске қосыңыз және оның жұмыс істеп тұрғанын тексеріңіз:
systemctl enable apparmor --now
systemctl status apparmor
3-қадам: Профильдермен жұмыс
AppArmor әрбір бағдарлама үшін профильдер жасайды, бұл бағдарламаларға шектеулі ресурстарға ғана қол жеткізуге мүмкіндік береді. Профильдерді өзгерту үшін, мысалы, aa-genprof командасын қолдануға болады:
aa-genprof /path/to/application
4-қадам: Профильдерді қолдану
Профильдер орнатылғаннан кейін, оларды іске қосу үшін:
aa-enforce /path/to/application
AppArmor қолданудың артықшылықтары
- Шабуылдардың салдарын азайту: Егер процесс бұзылса, оның әрекеттері шектеледі, бұл шабуылдардың таралуын болдырмайды.
- Жеңіл конфигурация: AppArmor параметрлері SELinux-пен салыстырғанда жеңіл әрі қарапайым.
- Қосымша қорғау қабаты: AppArmor қосымша қауіпсіздік қабатын қамтамасыз етеді, жүйені қосымша шабуылдардан қорғайды.
Қорытынды
Proxmox серверінде root құқықтарын қорғау — бұл бірнеше шаралардың жиынтығы, оның ішінде қол жеткізуді шектеу, пайдаланушы әрекеттерін бақылау және қосымша аутентификация. Осы ұсыныстарды орындау арқылы сіз серверіңіздің қауіпсіздігін айтарлықтай арттыра аласыз және зиянкестердің жүйеге толық қол жеткізуін болдырмайсыз.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- oVirt гипервизорын қорғау — терең талдау
- oVirt жүйесінен Proxmox жүйесіне виртуалды машинаны көшіру
- Proxmox-тан oVirt-ке виртуалды машинаны көшіру
- Kubernetes контейнерлерін қорғау — терең талдау
- Proxmox гипервизорын бұзудан қалай қорғауға болады - Терең талдау
- Fail2Ban-ды oVirt жүйесін қорғауда қолдану - Терең талдау
- oVirt гипервизорын сақтандыруды ұйымдастыру — Терең талдау
- Виртуалды машинаны гипервизорлар арасында Proxmox арқылы көшіру
- Proxmox гипервизорын виртуалды машиналардың оңтайлы жұмысын қамтамасыз ету үшін конфигурациялау
- Proxmox-те SSH арқылы root құқықтарының бұзылуынан қорғау: терең талдау
