Chamnan Longlum
18 May 2015
Hardening คือการทำให้แข็งขึ้น ในระบบคอมพิวเตอร์จะหมายถึงการทำให้ระบบยากต่อการถูกแฮคมากขึ้น โดยจะบทความนี้จะเน้นไปที่ Linux เป็นหลักซึ่งวิธีการดังนี้
– ตั้งพาสเวิร์ด GRUB
grub จะเป็นโปรแกรมสำหรับจัดการขั้นตอนการบู๊ทระบบในlinux (เช่นเดียวกับที่ windows มี MBR) grub ในLinux สามารถทำให้ผู้ไม่หวังดีสามารถเข้าถึง Single user mode เพื่อแก้configแต่ละอย่างกับตัวเครื่อง (เช่น reset root password)ได้ เพราะฉะนั้นการตั้งรหัสไม่ให้เข้าถึงgrubก็จะเป็นการปลอดภัยกับผู้ไม่หวังดีมากขึ้น
– ใช้แพกเก็จให้เพียงพอกับที่ใช้
ไม่เปิดลงpackageที่ไม่ได้ใช้ และpackage ที่ไม่จำเป็นี่สุ่มเสี่ยงต่แการถูกแฮ็คเช่น smb (samba server) , cups , FTP (ควรใช้ scp หรือ FTPS แทน) เพื่อลดช่องโหว่ที่จะถูกแฮ็คได้ฃ
– Disable Ctrl+ Alt+ Delete in initab
สำหรับคีย์นี้จะทำให้ สามารถrestartเครื่องได้ถ้ามีผู้ใดเข้าถึงเครื่องทางกายภาพได้
– ปิด icmp และ broadcast request
เพื่อลดการเช้คความมีอยู่ หรือการโดน ping flood โดยสามารถเข้าไปปิดได้ที่ “/etc/sysctl.conf”
หา Ignore ICMP Request แล้วแก้ไขค่าเป็น 1 (default 0) หลังจากเซฟแล้ว ให้ทำการ run คำสั่ง sysctl -p ผลของคำสั่งนี้จะทำให้ไม่สามารถ ping ได้
– เปิดการใช้งาน firewall
ค่าของubuntu จะทำการปิด firewall service ไว้เป็นค่า default ให้ทำการเปิดใช้งาน แล้วกำหนดเปิดเฉพาะportที่จะใช้งานเท่านั้น โดยสามารถเปิด service ได้โดย
[code lang="bash"] sudo ufw enable[/code]
ทำการเปิด port เช่น จะเปิดให้สามารถ access port 22 ได้โดย
[code lang="bash"] sudo ufw allow 22[/code]
สามารถดูคำสั่งเพิ่มเติมได้ที่นี่helpของubuntu ที่นี่
จริงๆยังมีทริปการ hardening อีกมากมายและแต่ละserviceยังต้องทำการconfigเฉพาะด้วย แต่คนขี้เกียจแบบผมจะใช้tool automate hardening tools ที่ชื่อ
bastille โดยจะsupportทั้ง Redhat mandrake และ debian โดยจะเป็นการเลือกตอบว่าจะต้องการทำอะไรบ้าง สามารถดูข้อมูลได้ที่ http://bastille-linux.sourceforge.net/
