Haavoittuvaisen Linux-palvelimen (Metasploitable 2) koventaminen

[DrF]

Olen treenimielessä testaillut kyseisen palvelimen tietoturvaa. Ohjeita tähän löytyy paljon, mutta ei yhtäkään joka käsittelee sen koventamista.

Kyseessä on siis joku ikivanha Linuxi, joka on täynnä haavoittuvuuksia: Metasploitable 2 Exploitability Guide

Mitenköhän tähän saisi ladattua päivityksiä?

Kokeilin mm. tätä, mutta tuloksetta...
How to install software or upgrade from an old unsupported release?

 

[telcoM]

Koska tuo on nimenomaan "harjoitusmaaliksi" tarkoitettu systeemi, on mahdollista että siitä on karsittu pois paketinhallintatyökalut joilla päivitykset normaalisti hoidettaisiin.

Tosielämässä tuollainen "pommi" kovennettaisiin jotakuinkin seuraavasti:

1.) kytketään siitä pois päältä kaikki sellaiset palvelut joille ei ole välitöntä tarvetta sen tuotantoroolissa.
Eli: käytetään SSH:lla, FTP pois, telnet pois, DNS-serveri pois, exec/login/shell palvelut pois, ikivanha SMB1-protokollaa käyttävä Samba pois koska mikään ajan tasalle päivitetty Windows ei kuitenkaan enää suostu juttelemaan sen kanssa, irc-serveri pois, salaamaton VNC ja X11 kuuntelemaan vain localhostia (jolloin yhteyden voi ottaa SSH:n portti/X11-forwardoinnilla jos on tarvetta+vaatii autentikoinnin), NFS pois päältä jos sitä ei erityisesti tarvita, samoin erilaiset proxy-palvelut, SMTP:täkään ei tarvitse vastaanottaa verkosta ellei koneen erityisesti pidä vastaanottaa sähköpostia, jne. jne.

2.) Kun turhat palvelut on kytketty pois, tarkistetaan ettei tarpeellisissa palveluissa ole ylimääräisiä toimintoja päällä, ja tarvittaessa karsitaan tarpeettomat pois. Esimerkiksi jos HTTP-serveri on Apache, tarkistetaan että siellä ei ole proxy-toimintomoduulia päällä, tai jos se tarvitaan jotain tarpeellista palvelua varten, sitten katsotaan että se on konfiguroitu niin että se sallii vain ko. palvelun käytön eikä rajatonta proxyamista mistä tahansa mihin tahansa.

3.) Sitten rajataan pääsy niihin tarpeellisiin palveluihin vain niistä IP-osoitteista joista on todellinen tarve päästä tuohon koneeseen (iptables, /etc/hosts.allow|deny, palvelukohtaiset asetukset). Jos noin vanha kone on suoraan kiinni internetissä ilman mitään suojausta, siitä tulee matopurkki ennemmin tai myöhemmin.

4.) Jos yhteyksiä internetistä tarvitaan, reititetään ne jonkin parempaa suojaa tarjoavan ratkaisun läpi: jos pääsy tarvitaan vain rajatulle joukolle, kenties pääsyn voisi sallia vain autentikoidun VPN:n kautta. Jos tarvitaan sähköpostin vastaanottoa, reititetään sähköpostit jonkin paremmin päivitetyn haittaohjelmatarkistimen kautta ennnen kuin ne päästetään tuohon koneeseen. Jos tuossa koneessa on jokin webbipalvelu jonka pitää olla julkinen, sitten voisi harkita laittaa sen eteen jonkin paremmin päivitetyn koneen proxyksi niin, että proxyssä rajataan URI-osoitteet joita proxyn kautta saa pyytää. Jos käytettävissä on rautapalomuuri, se laitetaan toteuttamaan vastaavat rajoitukset kuin kohdassa 3).

5.) Palvelimen omistajalle tehtäisiin selväksi että kone on niin vanha ja tuen ulkopuolelle tippunut, että sitä ei voida enää päivittää normaaliin tapaan, ja suositellaan erittäin painokkaasti sen päivittämistä johonkin uudempaan ratkaisuun, koska se on selvästi tunnistettava heikko kohta tietoturvamielessä. Jos asiakas kuitenkin haluaa jatkaa tällä ratkaisulla, hän saa sen tehdä jos allekirjoituksellaan kuittaa tiedostavansa riskit ja sen seikan että mahdolliset kriittiset tietoturvapäivitykset tällaiseen tapaukseen saattavat vaatia reilusti normaalia enemmän työaikaa eikä onnistumisesta ole takuuta. Jos se alkaa aiheuttaa haittaa muille järjestelmille, se oletetaan silloin lähtökohtaisesti murretuksi ja verkkoyhteys katkaistaan tällöin pitemmittä puheitta.

(Ilman kapulakieltä: haluaisimme kantaa tuon höyryävän p*skalootan pikaisesti ulos konesalista.)

6.) Jos muiden toimenpiteiden jälkeen katsotaan tarpeelliseksi, pystytetään toinen virtuaalikone jossa on kääntäjä + samat kirjastoversiot kuin ongelmakoneessa, ja käytetään sitä esim. uuden SSH-paketin kääntämiseen ja korvataan ainakin järjestelmän alkuperäinen sshd tällä tuoreemmalla versiolla. Testataan huolella. Tämä on sitten tuntilaskutuksella tehtävää työtä joka ei kuulu perusylläpitoon.

 

[DrF]

Telcom, iso kiitos vastauksestasi.