Вопрос или проблема
У меня есть следующее предложение для моих серверов по клиенту insights.
Безопасность SSH снижается, когда в криптополитике включены небезопасные шифры или hmac.
Исправление с помощью плейбука, похоже, не работает. То же самое касается и связанной статьи базы знаний Red Hat. https://access.redhat.com/articles/7041246
Более беспокоит то, что я никогда не изменял эти политики, инциденты сообщают о том, что у систем была эта проблема три дня назад, но ‘Дата изменения’ была 18 июля 24 года.
Что произошло с моими серверами, что они вдруг начали позволять эти небезопасные шифры? Указывает ли это на утечку данных? Или это могло быть изменение со стороны AWS?
Ответ или решение
Понимание проблемы безопасности SSH на серверах RHEL в AWS
Недавние рекомендации от клиента Red Hat Insights касательно изменений правил шифрования (cipher rules) на ваших серверах вызывают обеспокоенность и требуют тщательного рассмотрения. Давайте углубимся в суть проблемы и возможные пути её решения, принимая во внимание ваш опыт работы с серверными системами и специфику облачных решений AWS.
Фон проблемы
Вы столкнулись с предупреждением о том, что безопасность SSH может быть снижена из-за включения небезопасных шифров или hmac в политике криптографии. Это может происходить, если на системе используются устаревшие или не рекомендованные алгоритмы шифрования, что подрывает безопасность сервера.
Важно отметить, что вы не вносили изменений в эти политики, а система указывает на изменение статуса безопасности, причем это зафиксировано в отчете о инциденте всего три дня назад. Также следует подчеркнуть, что дата изменения политики была зафиксирована как 18 июля 2024 года, что вызывает вопросы о возможных вмешательствах.
Причины изменения политики шифрования
Существует несколько объяснений, почему ваши серверы могли начать использовать небезопасные шифры:
-
Автоматические обновления: Если ваша система настроена на автоматическое обновление, могли быть установлены новые пакеты, которые изменили конфигурацию криптографии.
-
Обновления AWS: Иногда облачные провайдеры, такие как AWS, могут вносить изменения, влияя на конфигурацию вашей системы. Однако это маловероятно, так как AWS придерживается принципа изоляции и безопасности виртуальных машин.
-
Проблемы с конфигурацией: Возможно, другие администраторы изменили параметры конфигурации, либо это произошло в результате скрипта, который прошел на ваших серверах.
-
Неавторизованный доступ: Наконец, стоит рассмотреть возможность наличия неавторизованного доступа к серверам, что могло привести к изменению политик. Разумно провести аудит безопасности и изучить логи доступа.
Рекомендации по устранению проблемы
-
Аудит и мониторинг: Проведите полный аудит логов доступа и системных событий на наличие подозрительной активности. Используйте инструменты мониторинга для выявления некорректных изменений.
-
Проверка конфигураций: Проанализируйте текущие настройки криптографической политики. Для изменения шифров и hmac используйте команды, такие как
update-crypto-policies --set DEFAULTна RHEL, чтобы вернуться к стандартной политике. -
Обновление системной документации: Убедитесь, что ваша документация и информационные системы отражают актуальные состояния и изменения.
-
Тестирование после изменений: Всегда тестируйте изменения в безопасной среде перед их применением к продакшн-системам.
-
Обратитесь в поддержку Red Hat: Если проблема остается нерешенной, обратитесь в службу поддержки Red Hat для получения рекомендации по конкретному инциденту.
Заключение
Хотя предупреждение о снижении безопасности может вызывать тревогу, важно действовать систематично и логично. Приняв во внимание предложенные шаги и рекомендации, вы сможете смягчить риски, связанные с безопасностью ваших серверов RHEL в AWS. Проверка на наличие неавторизованного доступа и применение стандартов безопасности поможет обеспечить должный уровень защиты данных и инфраструктуры в облаке.