С момента своего выпуска в начале девяностых Linux завоевал восхищение технологического сообщества благодаря своей стабильности, универсальности, настраиваемость и большое сообщество разработчиков с открытым исходным кодом, которые круглосуточно работают над исправлением ошибок и улучшением операционной системы. система. По большому счету, Linux является предпочтительной операционной системой для общедоступного облака, серверов и суперкомпьютеров, и около 75% производственных серверов, подключенных к Интернету, работают под управлением Linux.
Помимо поддержки Интернета, Linux нашел свой путь в цифровой мир и с тех пор не утихает. Он поддерживает широкий спектр интеллектуальных гаджетов, включая смартфоны Android, планшеты, умные часы, умные дисплеи и многое другое.
Linux славится своей высочайшей безопасностью, и это одна из причин, почему она является излюбленным выбором в корпоративных средах. Но факт: ни одна операционная система не может быть защищена на 100%. Многие пользователи считают, что Linux - это надежная операционная система, что является ложным предположением. Фактически, любая операционная система с подключением к Интернету подвержена потенциальным взломам и атакам вредоносного ПО.
В первые годы своего существования Linux имела гораздо меньшую ориентированную на технологии демографическую группу, и риск пострадать от атак вредоносных программ был незначительным. В настоящее время Linux обслуживает огромную часть Интернета, и это способствует росту ландшафта угроз. Угроза атак вредоносных программ более реальна, чем когда-либо.
Прекрасным примером атаки вредоносного ПО на системы Linux является Программа-вымогатель Erebus, вредоносная программа для шифрования файлов, которая поразила около 153 серверов Linux компании NAYANA, южнокорейской хостинговой компании.
По этой причине целесообразно дополнительно усилить защиту операционной системы, чтобы обеспечить желаемую безопасность для защиты ваших данных.
Обеспечить безопасность вашего Linux-сервера не так сложно, как вы думаете. Мы составили список лучших политик безопасности, которые вам необходимо реализовать для повышения безопасности вашей системы и поддержания целостности данных.
На начальных этапах Нарушение Equifax, хакеры воспользовались широко известной уязвимостью - Стойки Apache - на веб-портале жалоб клиентов Equifax.
Стойки Apache - это среда с открытым исходным кодом для создания современных и элегантных веб-приложений Java, разработанная Apache Foundation. 7 марта 2017 года Фонд выпустил патч для устранения уязвимости и опубликовал соответствующее заявление.
Equifax были уведомлены об уязвимости и посоветовали исправить свое приложение, но, к сожалению, уязвимость оставалась не исправленной до июля того же года, когда было уже слишком поздно. Злоумышленники смогли получить доступ к сети компании и украсть миллионы конфиденциальных записей клиентов из баз данных. К тому времени, как Equifax узнал о происходящем, прошло уже два месяца.
Итак, что мы можем извлечь из этого?
Злоумышленники или хакеры всегда будут проверять ваш сервер на предмет возможных уязвимостей программного обеспечения, которые затем могут использовать для взлома вашей системы. На всякий случай всегда обновляйте свое программное обеспечение до его текущих версий, чтобы применить исправления к любым существующим уязвимостям.
Если вы бежите Ubuntu или Системы на основе Debian, первым шагом обычно является обновление списков пакетов или репозиториев, как показано.
$ sudo apt update.
Чтобы проверить наличие всех пакетов с доступными обновлениями, выполните команду:
$ sudo apt list - обновляемый.
Обновите свои программные приложения до их текущих версий, как показано:
$ sudo apt upgrade.
Вы можете объединить эти два в одну команду, как показано.
$ sudo apt update && sudo apt upgrade.
Для RHEL & CentOS обновите свои приложения, выполнив команду:
Обновление $ sudo dnf (CentOS 8 / RHEL 8) $ sudo yum update (более ранние версии RHEL и CentOS)
Другой жизнеспособный вариант - включить автоматические обновления безопасности для Ubuntu а также настроить автоматические обновления для CentOS / RHEL.
Несмотря на поддержку множества удаленных протоколов, унаследованные службы, такие как rlogin, telnet, TFTP и FTP, могут создавать огромные проблемы безопасности для вашей системы. Это старые, устаревшие и небезопасные протоколы, в которых данные отправляются в виде обычного текста. Если они существуют, рассмотрите возможность их удаления, как показано.
Для систем на базе Ubuntu / Debian выполните:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Для RHEL / CentOS-системы, выполнять:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv.
После того, как вы удалите все небезопасные службы, важно просканируйте ваш сервер на предмет открытых портов и закройте все неиспользуемые порты, которые потенциально могут быть использованы хакерами в качестве точки входа.
Предположим, вы хотите заблокировать порт 7070 на Межсетевой экран UFW. Команда для этого будет:
$ sudo ufw deny 7070 / tcp.
Затем перезагрузите брандмауэр, чтобы изменения вступили в силу.
$ sudo ufw reload.
Для Firewalld, запустите команду:
$ sudo firewall-cmd --remove-port = 7070 / tcp --permanent.
И не забудьте перезагрузить брандмауэр.
$ sudo firewall-cmd --reload.
Затем перепроверьте правила брандмауэра, как показано:
$ sudo firewall-cmd --list-all.
Протокол SSH - это удаленный протокол, который позволяет вам безопасно подключаться к устройствам в сети. Хотя это считается безопасным, настроек по умолчанию недостаточно, и требуются некоторые дополнительные настройки, чтобы еще больше удержать злоумышленников от взлома вашей системы.
У нас есть подробное руководство по как усилить протокол SSH. Вот основные моменты.
Fail2ban - это система предотвращения вторжений с открытым исходным кодом, которая защищает ваш сервер от атак грубой силы. Он защищает вашу систему Linux, запрещая IP-адреса, указывающие на вредоносную активность, такую как слишком много попыток входа в систему. По умолчанию он поставляется с фильтрами для популярных сервисов, таких как веб-сервер Apache, vsftpd и SSH.
У нас есть руководство о том, как настроить Fail2ban для дальнейшего укрепления SSH протокол.
Повторное использование паролей или использование слабых и простых паролей значительно подрывает безопасность вашей системы. Вы применяете политику паролей, используйте pam_cracklib для установки или настройки требований к надежности пароля.
С использованием Модуль PAM, вы можете определить надежность пароля, отредактировав /etc/pam.d/system-auth файл. Например, вы можете установить сложность пароля и предотвратить повторное использование паролей.
Если у вас есть веб-сайт, всегда обеспечивайте безопасность своего домена с помощью SSL / TLS сертификат для шифрования данных, которыми обмениваются браузер пользователя и веб-сервер.
После того, как вы зашифруете свой сайт, подумайте также об отключении слабых протоколов шифрования. На момент написания этого руководства последняя версия протокола TLS 1.3, который является наиболее распространенным и широко используемым протоколом. Более ранние версии, такие как TLS 1.0, TLS 1.2 и SSLv1 to SSLv3, были связаны с известными уязвимостями.
[Вам также может понравиться: Как включить TLS 1.3 в Apache и Nginx ]
Это было краткое изложение некоторых шагов, которые вы можете предпринять для обеспечения безопасности и конфиденциальности данных в вашей системе Linux.