Kõik ütlevad seda Linux on vaikimisi turvaline ja nõustub mõnevõrra (see on vaieldav teema). Kuid Linuxil on vaikimisi sisseehitatud turvamudel. Vajadus seda häälestada ja kohandada vastavalt teie vajadustele, mis võib aidata süsteemi turvalisemaks muuta. Linuxit on raskem hallata, kuid see pakub rohkem paindlikkust ja konfiguratsioonivõimalusi.
Süsteemi turvamine lavastuses käest häkkerid ja kreekerid on raske ülesanne a Süsteemiadministraator. See on meie esimene artikkel, mis on seotud "Kuidas kaitsta Linuxi kasti"Või"Linuxi kasti kõvendamine“. Selles postituses selgitame 25 kasulikku nippi oma Linuxi süsteemi turvamiseks. Loodan, et allpool toodud näpunäited aitavad teil oma süsteemi turvalisemaks muuta.
Seadistage BIOS käivitamise keelamiseks CD/DVD, Välised seadmed, Disketiseade sisse BIOS. Järgmisena lubage BIOS parool ja ka kaitsta GRUB parooliga, et piirata teie süsteemi füüsilist juurdepääsu.
Tähtis on omada erinevaid vaheseinu, et saada suurem andmete turvalisus juhuks, kui juhtub mõni katastroof. Erinevate vaheseinte loomisega saab andmeid eraldada ja rühmitada. Ootamatu õnnetuse korral kahjustatakse ainult selle sektsiooni andmeid, samas kui teiste vaheseinte andmed jäid alles. Veenduge, et teil peavad olema järgmised eraldi sektsioonid ja veenduge, et kolmanda osapoole rakendused tuleks installida eraldi failisüsteemidesse /opt.
/ /boot. /usr. /var. /home. /tmp. /opt
Kas soovite tõesti kõik teenused installida? Pakettide turvaaukude vältimiseks on soovitatav vältida kasutute pakettide installimist. See võib minimeerida riski, et ühe teenuse kompromiss võib viia teiste teenuste ohtu. Haavatavuse minimeerimiseks otsige ja eemaldage või keelake serverist soovimatud teenused. Kasuta 'chkconfig„Käsk, et teada saada töötavad teenused jooksutase 3.
# /sbin /chkconfig --list | grep '3: on'
Kui olete teada saanud, et mõni soovimatu teenus töötab, keelake see järgmise käsu abil.
# chkconfig serviceNimi väljas
Kasuta RPM paketihaldur, näiteks "nami"Või"apt-get”Tööriistad, et loetleda kõik süsteemi installitud paketid ja eemaldada need järgmise käsu abil.
# yum -y eemalda paketi nimi
# sudo apt-get eemalda paketi nimi
Abiga 'netstat"Võrgukäsk saate vaadata kõiki avatud porte ja nendega seotud programme. Nagu ma eespool ütlesin, kasutage "chkconfig„Käsk kõigi soovimatute võrguteenuste keelamiseks süsteemist.
# netstat -tulpn
Telnet ja rlogin protokollid kasutavad lihtteksti, mitte krüpteeritud vormingut, mis on turvarikkumised. SSH on turvaline protokoll, mis kasutab serveriga suhtlemise ajal krüpteerimistehnoloogiat.
Ärge kunagi logige sisse otse nimega juur kui see pole vajalik. Kasuta "sudo"Käskude täitmiseks. sudo on määratud /etc/sudoers faili saab redigeerida ka "visudo"Utiliit, mis avaneb VI toimetaja.
Samuti on soovitatav vaikimisi muuta SSH 22 pordi number mõne muu kõrgema taseme pordinumbriga. Avage peamine SSH konfiguratsioonifaili ja määrake kasutajate juurdepääsu piiramiseks mõned järgmised parameetrid.
# vi/etc/ssh/sshd_config
PermitRootLogin nr
AllowUsersi kasutajanimi
Protokoll 2
Hoidke süsteemi alati värskendatud, kasutades uusimaid väljalaskepaiku, turvaparandusi ja tuuma, kui see on saadaval.
# yum uuendused. # yum check-update
Cron sellel on oma sisseehitatud funktsioon, kus see võimaldab määrata, kes võivad ja kes ei soovi töid käivitada. Seda kontrollib nn failide kasutamine /etc/cron.allow ja /etc/cron.deny. Kasutaja lukustamiseks croni abil lisage lihtsalt kasutajanimed cron.deny ja lubada kasutajal käivitada cron add in cron.allow faili. Kui soovite keelata kõigil kasutajatel croni kasutamise, lisageKÕIK'Rida cron.deny faili.
# echo ALL >>/etc/cron.deny
Mitu korda juhtub, et tahame piirata kasutajate kasutamist USB jääda süsteemidesse, et kaitsta ja kaitsta andmeid varastamise eest. Loo fail "/etc/modprobe.d/no-usb"Ja rea alla lisamine ei tuvasta USB ladustamine.
installige usb-storage /bin /true
Turvaliselt täiustatud Linux (SELinux) on kernelis pakutav kohustuslik juurdepääsukontrolli turvamehhanism. Keelamine SELinux tähendab turvamehhanismi eemaldamist süsteemist. Mõelge enne eemaldamist kaks korda hoolikalt, kui teie süsteem on Interneti -ühendusega ja avalikkusele juurdepääsetav, siis mõelge sellele veel.
SELinux pakub kolme põhilist töörežiimi ja need on.
Saate vaadata praegust olekut SELinux režiimis käsurealt, kasutades nuppu "system-config-selinux‘, ‘getenforce'Või'sestatus'Käske.
# sestatus
Kui see on keelatud, lubage see SELinux kasutades järgmist käsku.
# setenforce jõustamine
Seda saab hallata ka "/etc/selinux/config"Fail, kus saate selle lubada või keelata.
Joosta pole vaja X aken lauaarvutid nagu KDE või GNOME teie pühendunud kohta LAMP server. Saate need serveri ja jõudluse suurendamiseks eemaldada või keelata. Lihtsa keelamiseks avage fail "/etc/inittabJa seadke jooksutasemeks 3. Kui soovite selle süsteemist täielikult eemaldada, kasutage allolevat käsku.
# yum groupremove "X Window System"
Kui te ei kasuta a IPv6 protokolli, siis peaksite selle keelama, kuna enamik rakendusi või poliitikaid pole nõutavad IPv6 protokolli ja praegu pole seda serveris vaja. Minge võrgu konfiguratsioonifaili ja lisage selle keelamiseks järgmised read.
# vi/etc/sysconfig/network
NETWORKING_IPV6 = ei. IPV6INIT = ei
See on väga kasulik, kui soovite keelata kasutajatel kasutada samu vanu paroole. Vana paroolifail asub aadressil /etc/security/opasswd. Seda on võimalik saavutada kasutades PAM moodul.
Ava '/etc/pam.d/system-auth'Fail all RHEL / CentOS / Fedora.
# vi /etc/pam.d/süsteem-auth
Avatud „/Etc/pam.d/common-password'Fail all Ubuntu/Debian/Linux Mint.
# vi /etc/pam.d/common-password
Lisage järgmine rida:aut'Jagu.
auth piisav pam_unix.so likeauth nullok
Lisage järgmine rida:parool"Jaotis, mis keelab kasutajal viimast uuesti kasutada 5 tema parool.
parool piisav pam_unix.so nullok use_authtok md5 vari mäleta = 5
Ainult viimane 5 paroolid jäävad serverile meelde. Kui proovisite mõnda viimast kasutada 5 vanad paroolid, saate vea nagu.
Parool on juba kasutatud. Valige teine.
Linuxis salvestatakse kasutaja paroolid kausta „/etc/shadow"Fail krüpteeritud vormingus. Kasutajate paroolide aegumise kontrollimiseks peate kasutama nuppu „chage'Käsk. See kuvab teavet parooli aegumise üksikasjade kohta koos viimase parooli muutmise kuupäevaga. Neid üksikasju kasutab süsteem, et otsustada, millal peab kasutaja oma parooli muutma.
Olemasoleva kasutaja vananemisteabe, näiteks aegumiskuupäev ja aega, kasutage järgmist käsku.
#chage -l kasutajanimi
Kasutaja parooli vananemise muutmiseks kasutage järgmist käsku.
#chage -M 60 kasutajanimi. #chage -M 60 -m 7 -W 7 userName
Lukustamis- ja avamisfunktsioonid on väga kasulikud, selle asemel, et konto süsteemist eemaldada, saate selle nädalaks või kuuks lukustada. Konkreetse kasutaja lukustamiseks võite kasutada järgmist käsku.
# passwd -l kontoNimi
Märge: Lukustatud kasutaja on endiselt saadaval juur ainult kasutaja. Lukustamine toimub krüptitud parooli asendamisega (!) string. Kui keegi üritab selle konto abil süsteemile juurde pääseda, kuvatakse talle sarnane viga nagu allpool.
# su - accountName. See konto pole praegu saadaval.
Lukustatud konto avamiseks või juurdepääsu lubamiseks kasutage käsku as. See eemaldab (!) string krüpteeritud parooliga.
# passwd -u accountName
Paljud kasutajad kasutavad pehmeid või nõrku paroole ja nende parooli võidakse häkkida sõnastikul põhinev või toores jõud rünnakud. „pam_cracklib"Moodul on saadaval PAM (Ühendatavad autentimismoodulid) moodulipakk, mis sunnib kasutajat määrama tugevad paroolid. Avage redaktoriga järgmine fail.
Loe ka:
# vi /etc/pam.d/süsteem-auth
Ja lisage rida krediidiparameetrite abil kui (krediit, ucredit, dcredit ja/või krediit vastavalt väiketähti, suurtähti, numbrit ja muud)
/lib/security/$ISA/pam_cracklib.soovita uuesti = 3 minutit = 8 laenu = -1 krediit = -2 krediiti = -2 krediiti = -1
On väga soovitatav lubada Linuxi tulemüür serverite volitamata juurdepääsu tagamiseks. Rakendage reegleid iptables filtrite juurde sissetulev, väljaminev ja edastamine pakette. Saame määrata lähte- ja sihtkoha aadressi, mida konkreetselt lubada ja tagasi lükata udp/tcp pordi number.
Enamikus Linuxi distributsioonides vajutage nuppuCTRL-ALT-DELETE ” võtab teie süsteemi protsessi taaskäivitamiseks. Niisiis, ei ole hea mõte lubada seda valikut vähemalt tootmisserverites, kui keegi seda ekslikult teeb.
See on määratletud jaotises „/etc/inittab"Fail, kui vaatate seda faili tähelepanelikult, näete allpool sarnast rida. Vaikimisi rida ei kommenteerita. Peame seda kommenteerima. See konkreetne võtmejärjestuse signaalimine lülitab süsteemi välja.
# Lõksu CTRL-ALT-DELETE. #ca:: ctrlaltdel:/sbin/shutdown -t3 -r kohe
Iga konto, millel on tühi parool, tähendab, et see on avatud volitamata juurdepääsuks kõigile veebis ja see on osa Linuxi serveri turvalisusest. Seega peate veenduma, et kõigil kontodel on tugevad paroolid ja kellelgi pole volitatud juurdepääsu. Tühjad paroolikontod on turvariskid ja neid saab kergesti häkkida. Tühja parooliga kontode kontrollimiseks kasutage järgmist käsku.
# kass /etc /shadow | awk -F: '($ 2 == "") {print $ 1}'
Enne SSH -autentimist on alati parem omada seaduslikku bännerit või turvabännereid koos mõne turvahoiatusega. Selliste bännerite määramiseks lugege järgmist artiklit.
Kui teil on palju kasutajaid, on oluline koguda teavet iga kasutaja tegevuse ja protsessid, mida nad tarbivad, ja analüüsida neid hiljem või juhul, kui see on mingisugune jõudlus, turvalisus küsimusi. Kuid kuidas me saame jälgida ja koguda teavet kasutajate tegevuste kohta.
On kaks kasulikku tööriista nimega "psacct'Ja'seadus"Kasutatakse kasutajate tegevuste ja protsesside jälgimiseks süsteemis. Need tööriistad töötavad süsteemi taustal ja jälgivad pidevalt iga kasutaja tegevust süsteemis ja ressursse, mida tarbivad sellised teenused nagu Apache, MySQL, SSH, FTP, jne. Installimise, konfigureerimise ja kasutamise kohta lisateabe saamiseks külastage allolevat URL -i.
Teisaldage logid spetsiaalsesse logiserverisse, see võib takistada sissetungijatel kohalikke logisid hõlpsalt muuta. Allpool on Linuxi tavaline logifailide nimi ja nende kasutamine:
Tootmissüsteemis on vaja katastroofide taastamiseks võtta olulistest failidest varukoopia ja hoida need turvavõlvis, kauges kohas või väljaspool.
Režiimi on kahte tüüpi NIC sidumine, tuleb liimimisliideses mainida.
NIC -sidumine aitab meil vältida ühte ebaõnnestumist. Sisse NIC sidudes sidume kaks või enam Etherneti võrgukaardid koos ja loome ühe virtuaalse liidese, kuhu saame määrata IP aadress, et teiste serveritega rääkida. Meie võrk on saadaval ühe korral NIC -kaart on maas või pole mingil põhjusel saadaval.
Loe ka: Looge Linuxis võrgukanali sidumine
Linuxi kernel ja sellega seotud failid on sisse lülitatud /boot kataloog, mis vaikimisi on lugema kirjutama. Selle muutmine Loe ainult vähendab kriitiliste algfailide volitamata muutmise ohtu. Selleks avage "/etc/fstab”Fail.
# vi /etc /fstab
Lisage alljärgnev rida, salvestage ja sulgege see.
LABEL = /boot /boot ext2 vaikimisi, ro 1 2
Pange tähele, et kui peate tulevikus kerneli uuendama, peate muudatuse lugemiseks-kirjutamiseks lähtestama.
Lisage järgmine rida "/etc/sysctl.conf”Faili, mida eirata ping või eetrisse taotlus.
Ignoreeri ICMP taotlust: net.ipv4.icmp_echo_ignore_all = 1 Ignoreeri ringhäälingutaotlust: net.ipv4.icmp_echo_ignore_broadcasts = 1
Laadige uued seaded või muudatused, käivitades järgmise käsu
#sysctl -p
Kui olete ülaltoodud loendist mõne olulise turva- või karastamisnõuete vahele jätnud või teil on mõni muu näpunäide, mis tuleb loendisse lisada. Palun jätke oma kommentaarid meie kommentaaride kasti. TecMint on alati huvitatud kommentaaride, ettepanekute ja parandusarutelude saamisest.