Prevent Hacking By Hardening

Chamnan Longlum

18 May 2015

Hardening คือการทำให้แข็งขึ้น ในระบบคอมพิวเตอร์จะหมายถึงการทำให้ระบบยากต่อการถูกแฮคมากขึ้น โดยจะบทความนี้จะเน้นไปที่ Linux เป็นหลักซึ่งวิธีการดังนี้

– ตั้งพาสเวิร์ด GRUB

grub จะเป็นโปรแกรมสำหรับจัดการขั้นตอนการบู๊ทระบบในlinux (เช่นเดียวกับที่ windows มี MBR) grub ในLinux สามารถทำให้ผู้ไม่หวังดีสามารถเข้าถึง Single user mode เพื่อแก้configแต่ละอย่างกับตัวเครื่อง (เช่น reset root password)ได้ เพราะฉะนั้นการตั้งรหัสไม่ให้เข้าถึงgrubก็จะเป็นการปลอดภัยกับผู้ไม่หวังดีมากขึ้น

– ใช้แพกเก็จให้เพียงพอกับที่ใช้

ไม่เปิดลงpackageที่ไม่ได้ใช้ และpackage ที่ไม่จำเป็นี่สุ่มเสี่ยงต่แการถูกแฮ็คเช่น smb (samba server) , cups , FTP (ควรใช้ scp  หรือ FTPS แทน) เพื่อลดช่องโหว่ที่จะถูกแฮ็คได้ฃ

– Disable Ctrl+ Alt+ Delete in initab

สำหรับคีย์นี้จะทำให้ สามารถrestartเครื่องได้ถ้ามีผู้ใดเข้าถึงเครื่องทางกายภาพได้

– ปิด icmp และ broadcast request

เพื่อลดการเช้คความมีอยู่ หรือการโดน ping flood  โดยสามารถเข้าไปปิดได้ที่ “/etc/sysctl.conf”

หา Ignore ICMP Request  แล้วแก้ไขค่าเป็น 1 (default 0) หลังจากเซฟแล้ว ให้ทำการ run คำสั่ง sysctl -p  ผลของคำสั่งนี้จะทำให้ไม่สามารถ ping ได้

– เปิดการใช้งาน firewall

ค่าของubuntu จะทำการปิด firewall service ไว้เป็นค่า default ให้ทำการเปิดใช้งาน แล้วกำหนดเปิดเฉพาะportที่จะใช้งานเท่านั้น โดยสามารถเปิด service ได้โดย

[code lang="bash"] sudo ufw enable[/code]

ทำการเปิด port เช่น จะเปิดให้สามารถ access port 22 ได้โดย

[code lang="bash"] sudo ufw allow 22[/code]

สามารถดูคำสั่งเพิ่มเติมได้ที่นี่helpของubuntu ที่นี่

จริงๆยังมีทริปการ hardening อีกมากมายและแต่ละserviceยังต้องทำการconfigเฉพาะด้วย แต่คนขี้เกียจแบบผมจะใช้tool automate hardening tools ที่ชื่อ
bastille โดยจะsupportทั้ง Redhat mandrake และ debian โดยจะเป็นการเลือกตอบว่าจะต้องการทำอะไรบ้าง สามารถดูข้อมูลได้ที่ http://bastille-linux.sourceforge.net/

hardening