LFCA - ו םינותנ תחטבאל םיישומיש םיפיט- Linux - 18 קלח

.סקוניל לע םילעופ טנרטניאל םינופה רוצייה יתרשמ 75%- ל בורקו ,לע-יבשחמו םיתרש ,ירוביצ ןנע לע תפדעומה הלעפהה תכרעמ איה סקוניל ,לודגב .הלעפה תכרעמ -ב םירופישו םיגאב ינוקית קפסל תנמ לע ןועשל ב

.הברה ךכ לכ דועו םימכח םיגצ ,םימכח םינועש ,םיטלבאט ,Android לש םימכח םינופלט ללוכ ,םימכח םיט'גדאג לש םוצע ןווגמ ליעפמ אוה .הכעד אל זאמו ילטיגידה םלועל הכרד תא האצמ סקוניל ,טנרטניאה חוכ דבל

?תחטבואמ סקוניל םאה

.תוינודז תופקתלו תוירשפא תורפהל הפושח טנרטניאל רוביח םע הלעפה תכרעמ לכ ,השעמל .תירקש החנה וזו ,םיטוש תניסח הלעפה תכרעמ איה סקוניל יכ םינימאמ םיבר םישמתשמ .100% ב תחטבואמ הניא הלעפה תכרעמ ף

.דימתמ רתוי יתימא תוינודז תופקתה לש םויאה .םימויאה ףונ לש החימצה תא עינמ הזו ,טנרטניאהמ םוצע חתנ הליעפמ סקוניל םויכ .בר היה תוינודז תונכות תופקתהמ לובסל ןוכיסהו קט תדקוממ רתוי הנטק תיפרגומ

.האירוק םורדב םירתא חוריא תרבח ,NAYANA לש סקוניל יתרש 153- ל בורק לע העיפשהש םיצבק תנפצמש תינודז הנכות ,סברא רפוכה תנכות איה סקוניל תוכרעמ לע תוינודז תונכות לש הפקתהל תמלשומ אמגוד

.ךלש םינותנה לע ןגהל תלחוימה החטבאה תא הל קינעהל ידכב הלעפהה תכרעמ תא רתוי דוע חישקהל ןובנ הז ,וז הביסמ

סקוניל לש םיתרש תושקתהל םיפיט

.םינותנה תומלש לע רומשלו ךלש תכרעמה תחטבא תא קזחל ידכב םשייל ךילעש רתויב הבוטה החטבאה תוינידמ לש המישר ונזכיר .בושחל רשפאש ומכ תכבוסמ הניא ךלש סקונילה תרש תחטבא

.Equifax לש תוחוקל תונולת לש טנרטניאה לטרופב - Apache Struts - העודיה תועיגפה תא ונימ םירקאה ,Equifax לש הרפה לש םינושארה םיבלשב

Apache Struts ימושיי תריציל חותפ דוק תרגסמ איה Java ןרק ידי לע החתופש םייטנגלאו םיינרדומ Apache. ךכ לע העדוה האיצוהו 2017 ץרמב 7 -ב תועיגפה ןוקיתל ןוקית המסרפ ןרקה.

Equifax ש דע .עדימה ירגאממ תויוסח תוחוקל תומושר ינוילימ ףילחהלו הרבחה תשרל השיג גישהל וחילצה םיפקותה .ידמ רחואמ היה הז בלשב ,הנש התוא לש ילוי דע ןוקית אלל הרתונ תועיגפה ,רעצה הברמל ךא ,הלש

?ךכמ דומלל לכונ המ זא

.תומייק תועיגפ לכ לע םיאלט ליחהל ידכ הלש תויחכונה תואסרגל ךלש הנכותה תא ןכדע דימת ,חוטב תויהל ידכ .ךלש תכרעמה תא ץורפל ידכ ףנמל םילוכי םה ןכמ רחאל רשא ,תוירשפא הנכות תויועיגפ יבגל ךלש תרשה

.גצומש יפכ םירגאמ וא ךלש תוליבחה תומישר תא ןכדעל ללכ ךרדב אוה ןושארה דעצה ,ןאיבד וא וטנובוא תוססובמ תוכרעמ ליעפמ התא םא

$ sudo apt update

:הדוקפה תא לעפה ,םינימז םינוכדע םע תוליבחה לכ תומייק םא קודבל ידכ

$ sudo apt list --upgradable

:גצומכ םהלש תויחכונה תואסרגל ךלש הנכותה ימושיי תא גרדש

$ sudo apt upgrade

.גצומש יפכ תחא הדוקפב הלא ינש תא רשרשל לוכי התא

$ sudo apt update && sudo apt upgrade

:הדוקפה תלעפה ידי לע םכלש םימושייה תא וגרדש CentOS -ו RHEL רובע

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

.CentOS/RHEL רובע םייטמוטוא םינוכדע תרדגה איה תפסונ אמייק תורשפא

.גצומש יפכ םתוא ריסהל לוקש ,םימייק הלא םא .ליגר טסקטב םיחלשנ םינותנה םהבש ןוחטיב ירסחו םינשוימ ,םינשי םילוקוטורפב רבודמ .ךלש תכרעמה רובע תויקנע החטבא תויעב תווהל םילוכי FTP -ו rlogin, teln

:עצב ,ןאיבד/וטנובוא תוססובמ תוכרעמ רובע

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

:עצב ,RHEL/CentOS תוססובמ תוכרעמ רובע

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

.םירקאה ידי לע הסינכ תדוקנ שמשל תולולעש שומישב ןניאש תואיצי לכ רוגסלו תוחותפ תואיצי רותיאל ךלש תרשה תא קורסל בושח םיחטבואמ אלה םיתורישה לכ תא תרסהש רחאל

:היהת ךכל הדוקפה .UFW לש שאה תמוחב 7070 האיצי תא םוסחל הצרתש חיננ

$ sudo ufw deny 7070/tcp

.ףקותל וסנכיי םייונישהש ידכ שאה תמוח תא שדחמ ןעט זאו

$ sudo ufw reload

:הדוקפה תא לעפה ,Firewalld רובע

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

.שאה תמוח תא שדחמ ןועטל ורכזו

$ sudo firewall-cmd --reload

:ראותמכ שאה תמוח יללכ תא קודב ןכמ רחאל

$ sudo firewall-cmd --list-all

.ךלש תכרעמה תא רפהל םיינודז םישמתשמ רתוי דוע עיתרהל ידכ םיפסונ םייוניש המכ םישרדנו תוקיפסמ ןניא לדחמה תרירב תורדגה ךא ,חטבואמ בשחנ הז םנמא .תשרב םירישכמל חטבואמ רוביח רשפאמה קחורמ לוקוטורפ

.תוירקיעה אישה תודוקנ ןלהל .SSH לוקוטורפ תא חישקהל דציכ ףיקמ ךירדמ ונל שי

Fail2ban תובותכ רוסיא ידי לע ךלש סקונילה תכרעמ לע ןגמ הז .תוירזכא תופקתה ינפמ ךלש תרשה לע הנגמה חותפ דוקב הרידח תעינמל תכרעמ איה IP י'צאפא לש טנרטניא תרש ןוגכ םיירלופופ םיתורישל םירטליפ םע

.רתוי דוע SSH לוקוטורפ תא קזחל ידכ Fail2ban תא רידגהל דציכ ךירדמ ונל שי

.המסיסה קזוח תושירד תא רידגהל וא רידגהל ידכ pam_cracklib -ב שמתשה ,תואמסיס תוינידמ ףכוא התא .םכלש תכרעמה תחטבא תא דואמ םירערעמ תוטושפו תושלח תואמסיסב שומיש וא תואמסיסב רזוח שומיש

.תואמסיסב רזוח שומיש עונמלו תואמסיס תובכרומ רידגהל ולכות ,אמגודל .etc/pam.d/system-auth/ ץבוקה תכירע ידי לע המסיסה קזוח תא רידגהל ולכות PAM -ה לודומ תועצמאב

.טנרטניאה תרשל םישמתשמה ןפדפד ןיב ופלחוהש םינותנ תנפצהל SSL/TLS רושיא תועצמאב ךלש ןיימודה תא חטבאל דימת דפקה ,רתא להנמ התא םא

.תועודי תויועיגפל ורשקנ SSLv3 -ל SSLv1 -ו TLS 1.0, TLS 1.2 ןוגכ תומדוק תואסרג .רתויב ץופנהו ץופנה לוקוטורפה אוהש ,TLS 1.3 אוה ןורחאה לוקוטורפה ,הז ךירדמ תביתכ תעב .םישלח הנפצה ילוקוטורפ תי

[Nginx -ו Apache -ב TLS 1.3 ליעפהל דציכ :בהאתש ןכתי]

.ךלש סקוניל תכרעמל תויטרפו םינותנ תחטבא חיטבהל ידכ טוקנל לוכי התאש םידעצהמ המכ לש םוכיס היה הז