Linux-administrator: Her er mine daglige sikkerhedsudfordringer

Når Martin Rosenkjær har installeret en Linux-server, kan han ikke bare læne sig tilbage og nyde udsigten. Hver eneste dag skal han holde sig på stikkerne for ikke at miste kontrollen. Her er hans sikkerhedsudfordringer.

"It-sikkerheden i Linux-systemer er god, men altså ikke bedre end den bruger, der installerer og vedligeholder systemet. Systemet har svagheder."

Det fortæller Martin Rosenkjær, der konfigurerer og administrerer Linux-servere primært baseret på distributionen OpenSUSE.

Han støder hver eneste dag på det, han kalder "udfordringer".

"Malware til Linux eksisterer. Jeg er bekendt med ondsindet kildekode, og det er bestemt ikke pænt, så det findes, men det er ikke et stort problem, fordi Linux er så svær at komme i kontakt med udefra, hvis der er opsat et sikkerhedslag på serveren."

Men det er nemt at afvikle kode og scripts på maskinen, fortæller han.

"Jeg har et godt eksempel på et lille script, der er skrevet i sproget Perl. Der er kun en linje i scriptet, og når det afvikles, så lægges en stribe kode ind i den virtuelle hukommelse på maskinen. Den kode har jeg ikke været i stand til at fjerne igen på mine testmaskiner."

Det er altså ikke synligt, hvad Perl-scriptet, der er et helt normalt script, afvikler, hvis man ikke kender det.

"Det er en ondsindet kode, der tager kontakt til en udefrakommende server og tillader folk, som bruger den server, at afvikle kode under rod-kontoen. Så i teorien giver den fuld adgang til maskinen."

Koden skal dog sniges ind på systemet eksempelvis via en usb-nøgle for at blive afviklet, og den kommer således ikke direkte fra internettet.

PHP kan drille
Martin Rosenkjær bruger da også mere af sin til på at være forebyggende for at holde de automatiserede angreb fra internet-siden væk.

"Den primære kilde til hovedpine som Linux-administrator er de automatiserede indbrudsforsøg. Lige nu sidder jeg eksempelvis med en mailserver, hvor folk forsøger at sende uautoriserede mails," fortæller han.

Mange af disse angreb er rettet mod webservere, fordi de afvikler kode på maskinen, eksempelvis i PHP.

"For et års tid siden var der en alvorlig sårbarhed i PHP, hvor kode blev sendt til den lokale maskine, der via CGI kunne få adgang til serveren - i værste fald med rod-adgang."

Sårbarheden i PHP blev opdaget i marts 2012, og var en 0-dagssårbarhed i mere end et år, før den blev lukket i september 2013. I den periode var der ingen rettelse til sårbarheden. I slutningen af 2013 kom et automatiseret angreb (exploit), som udnyttede sårbarheden.

"Da angrebet blev lagt ud som et automatiseret script, betød det en eksplosion af angreb i løbet af bare en måned. Har man ikke opdateret, så står man med håret i postkassen, for den sårbarhed tager førergreb på maskinen," fortæller Martin Rosenkjær.

Selv om sårbarheden nu har været lukket i et år, oplever han imellem ti og 100 daglige indbrudsforsøg dagligt fra it-kriminelle, der stadig leder efter maskiner, som ikke er opdateret.

"Oven i det antal kommer de forsøg, der fanges i en sikkerhedsforanstaltning, som via Iptables, en software baseret firewall, blokerer IP-adresser, der sender en forespørgsel som denne," fortæller han.

Du kan læse mere om PHP-sårbarhenden her.

Det handler om administratoren
Han forklarer, at sikkerheden på en Linux-server i stort omfang handler om, at administratoren bygger sikkerhedslag i systemet.

"Et eksempel er netop sikkerhedslag omkring PHP," fortæller han.

"Jeg kører ikke bare PHP, men også yderligere to sikkerhedslag. Jeg benytter FPM (FastCGI Process Manager), der filtrerer på header'en. Her lukker jeg eksempelvis for PHP 4, fordi der er en sårbarhed i versionen," eksemplificerer han, og fortsætter:

"Herefter sendes koden gennem suPHP, der sørger for, at det kun er kode med tilladelser fra filsystemet, som eksekveres. Jo flere sikkerhedslag man har, jo mere besværligt er det naturligvis også at komme igennem."

Det er også en af forskellene mellem en Windows-server og en Linux-server.

"Der er gennemsigtighed i Linux-verdenen. Det er langt nemmere at lægge sikkerhedslag ind i systemet. Nu er det lang tid siden, jeg har arbejdet med Windows, men som jeg husker det, virker Microsofts system ikke på den transparente måde."

Lidt for nørder
Som alle andre it-systemer skal Linux opdateres, men det er ikke bare lige noget, man gør, fortæller Linux-manden.

"Man skal være på forkant, men et problem i forbindelse med opdateringer er eksempelvis, at funktioner kan forsvinde. PHP blev opdateret for et par måneder siden, hvor en række standardfunktioner blev fjernet, fordi de ikke længere var sikre. Efter opdateringen virkede standard-kald til CMS'et ikke længere, hvilket krævede en masse justeringer. En enkelt opdatering kan således lægge et helt system ned, hvis man ikke lige er opmærksom."

Ændringerne skete for at højne sikkerheden, men satte samtidig administratoren på prøve, hvilke kan afholde folk fra at opdatere Linux-serverne.

"Jeg er faldet i vandet mange gange, hvor jeg har tænkt, at jeg bare kan opdatere, men hvor der har fået konsekvenser. Det kan give grå hår i hovedet."

Dokumentationen i forbindelse med sådan en rettelse er ofte ikke den bedste. Der er naturligvis masser af hjælp at hente i forskellige fora men for at få hjælp, så skal man også selv være fremme i skoene.

"Der er tusindvis af folk, som er på 24/7 - klar til at hjælpe og dele erfaringer. Man skal huske, at det er nørder, man sidder med, og de kræver, at man selv gør sit bedste for at løse problemet, før man spørger om hjælp. Man kan ikke spørge om, hvad to plus to er. Man skal engagere sig i miljøet."

Farvel til Kina
Et andet meget konkret sikkerhedslag består i at fjerne Kina. Landet er komplet blokeret fra enhver server, som Martin Rosenkjær har installeret.

"Det gør jeg altid. Det er selvfølgelig ikke pænt gjort, men det er ret praktisk, da jeg vil anslå, at denne manøvre reducerer angrebsforsøg med cirka 30 procent."

En anden udfordring er daglige MySQL-angreb, der gennem et hav af forespørgsler til MySQL-serveren prøver at "injecte" data for at få adgang til databaserne.

"Dette kan desværre ikke filtreres effektivt, men kan holdes fra døren ved at begrænse antallet af anmodninger MySQL-serveren tillader," fortæller han.

Oven i hatten skal Martin Rosenkjær naturligvis slås med massevis af forsøg på at spamme hjemmesider, hvilket han ikke overvåger, men filtrer med et honeypot-filter.

Husk port 22
Port 22 er en adgang, som uvedkommende i stor stil forsøger at udnytte og med god grund.

"Næsten alle Linux-systemerne har SSH-tilgang gennem port 22 som standard og bruteforce-angreb, der tester kodeord på porten, er der masser af. Et dårligt kodeord er nok det problem, som de fleste Linux-maskiner falder på."

"Jeg har mellem 10 til 20 gange dagligt forsøg på angreb, der forsøger at gætte kodeord, men dem filtrerer jeg ud med Iptables efter tre mislykkede forsøg."

Så han anbefaler kraftigt, at du ændrer den adgang til et andet port-nummer.

"Og så skal du altså huske dit rod-kodeord. Hvis du ikke kender det, så er maskinen helt ubrugelig, fordi du ikke kan få adgang til den."

Læs også:
Tag med i serverrummet, der gemmer Danmarks grønneste supercomputer

Linux misbruges for første gang i stort DDoS-botnet




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Cloud-teknologi sikrede dronningens corona-tale - men DRs CIO Mikkel Müller er slet ikke færdig med cloud endnu
Uden cloud og den rette cloud-strategi havde DR ikke haft samme muligheder eller nye digitale produkter. Det fortæller CIO Mikkel Müller til Computerworld - hvor han også uddyber hvordan han ser resten af it-landskabet bevæge sig mod cloud og hvordan udviklere efterspørger de moderne værktøjer.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Her er 4 overraskende facts om digitaliseringen i detail og produktionsbranchen!
I 2018 blev 300 europæiske virksomheder spurgt til deres samhandelsprocesser. Det kom der fire overraskende facts ud af, som vi bringer i dette whitepaper. Eksempelvis anvendes fax stadig af 22% af de adspurgte 300 europæiske virksomheder. Whitepaperet fortæller også om vigtigheden af at finde en EDI-leverandør, som kender dit marked og dine muligheder. Nysgerrig? Så download dette gratis whitepaper nu.