Kaikki sanovat niin Linux on oletuksena suojattu ja hyväksytty jossain määrin (se on kiistanalainen aihe). Linuxissa on kuitenkin oletuksena sisäänrakennettu suojausmalli. Sinun on viritettävä se ja mukautettava tarpeidesi mukaan, mikä voi auttaa tekemään järjestelmästä turvallisemman. Linuxia on vaikeampi hallita, mutta se tarjoaa enemmän joustavuutta ja kokoonpanovaihtoehtoja.
Järjestelmän turvaaminen tuotannossa käsistä hakkerit ja keksejä on haastava tehtävä a Järjestelmänvalvoja. Tämä on ensimmäinen artikkelimme aiheesta "Kuinka suojata Linux -laatikko"Tai"Linux -laatikon kovettaminen“. Tässä viestissä selitämme 25 hyödyllistä vinkkiä suojataksesi Linux -järjestelmäsi. Toivottavasti alla olevat vinkit auttavat sinua suojaamaan järjestelmääsi.
Määritä BIOS poistamaan käynnistyksen käytöstä CD/DVD, Ulkoiset laitteet, Levykeasema sisään BIOS. Ota seuraavaksi käyttöön BIOS salasana ja suojaa myös GRUB salasanalla, joka rajoittaa järjestelmän fyysistä käyttöä.
On tärkeää käyttää eri osioita paremman tietoturvan saamiseksi, jos katastrofi tapahtuu. Luomalla erilaisia osioita data voidaan erottaa ja ryhmitellä. Odottamattoman onnettomuuden sattuessa vain kyseisen osion tiedot vahingoittuvat, kun taas muiden osioiden tiedot säilyivät. Varmista, että sinulla on seuraavat erilliset osiot ja että kolmannen osapuolen sovellukset on asennettava erillisiin tiedostojärjestelmiin /opt.
/ /boot. /usr. /var. /home. /tmp. /opt
Haluatko todella asentaa kaikenlaisia palveluja?. On suositeltavaa välttää turhien pakettien asentamista pakettien haavoittuvuuksien välttämiseksi. Tämä voi minimoida riskin siitä, että yhden palvelun vaarantuminen voi johtaa muiden palvelujen vaarantumiseen. Etsi ja poista tai poista ei -toivotut palvelut palvelimelta haavoittuvuuden minimoimiseksi. Käytä 'chkconfig’Komento selvittääkseen käynnissä olevat palvelut ajotaso 3.
# /sbin /chkconfig --list | grep '3: päällä'
Kun olet huomannut, että jokin ei -toivottu palvelu on käynnissä, poista ne käytöstä seuraavalla komennolla.
# chkconfig serviceNimi pois
Käytä RPM paketinhallinta, kuten "nam"Tai"apt-get”Työkalut luetteloidaksesi järjestelmän kaikki asennetut paketit ja poistaaksesi ne seuraavan komennon avulla.
# yum -y poista paketin nimi
# sudo apt-get poista paketin nimi
Avulla 'netstatVerkkokomento voit tarkastella kaikkia avoimia portteja ja niihin liittyviä ohjelmia. Kuten edellä sanoin, käytä "chkconfig"Komento poistaa kaikki ei -toivotut verkkopalvelut järjestelmästä.
# netstat -tulpn
Telnet ja rlogin protokollat käyttävät pelkkää tekstiä, ei salattua muotoa, mikä on tietoturvaloukkauksia. SSH on suojattu protokolla, joka käyttää salaustekniikkaa viestinnässä palvelimen kanssa.
Älä koskaan kirjaudu suoraan sisään nimellä juuri ellei ole tarpeen. Käytä "sudo"Suorittaa komentoja. sudo on määritetty kohdassa /etc/sudoers tiedostoa voi myös muokata "visudo”-Apuohjelma, joka avautuu VI toimittaja.
On myös suositeltavaa muuttaa oletusarvoa SSH 22 portin numero jonkin muun korkeamman tason porttinumeron kanssa. Avaa pää SSH määritystiedosto ja määritä seuraavat parametrit rajoittaaksesi käyttäjien pääsyä.
# vi/etc/ssh/sshd_config
PermitRootLogin nro
AllowUsers -käyttäjänimi
Protokolla 2
Pidä järjestelmä aina ajan tasalla uusimpien julkaisujen korjausten, suojauskorjausten ja ytimen kanssa, kun se on saatavilla.
# yum päivitykset. # yum check-update
Cron sillä on oma sisäänrakennettu ominaisuus, jonka avulla voit määrittää, kuka saa ja kuka ei halua suorittaa töitä. Tätä ohjataan käyttämällä tiedostoja nimeltä /etc/cron.allow ja /etc/cron.deny. Jos haluat lukita käyttäjän cronilla, lisää käyttäjänimet cron.deny ja sallia käyttäjän suorittaa cron add in cron.allow tiedosto. Jos haluat estää kaikki käyttäjät käyttämästä cronia, lisää "KAIKKI’Linja cron.deny tiedosto.
# echo ALL >>/etc/cron.deny
Monta kertaa tapahtuu, että haluamme rajoittaa käyttäjiä käyttämästä USB pysy järjestelmissä suojataksesi ja varmistaaksesi tiedot varastamiselta. Luo tiedosto "/etc/modprobe.d/no-usb"Ja lisääminen rivin alle ei tunnista USB varastointi.
asenna usb-storage /bin /true
Turvallisuutta parantava Linux (SELinux) on pakollinen pääsynvalvontamekanismi, joka on ytimessä. Poistetaan käytöstä SELinux tarkoittaa turvamekanismin poistamista järjestelmästä. Harkitse kahdesti huolellisesti ennen poistamista, jos järjestelmäsi on liitetty Internetiin ja yleisö käyttää sitä, niin mieti sitä tarkemmin.
SELinux tarjoaa kolme perustoimintatilaa ja ne ovat.
Voit tarkastella kohteen nykyistä tilaa SELinux tilasta komentoriviltä käyttämällä 'system-config-selinux‘, ‘getenforce'Tai'sestatus’Komentoja.
# sestatus
Jos se ei ole käytössä, ota se käyttöön SELinux käyttämällä seuraavaa komentoa.
# setenforce -pakottaminen
Sitä voidaan hallita myös "/etc/selinux/config'Tiedosto, jossa voit ottaa sen käyttöön tai poistaa sen käytöstä.
Ei tarvitse juosta X Ikkuna työpöydät kuten KDE tai GNOME omistettuasi LAMPPU palvelin. Voit poistaa tai poistaa ne palvelimen ja suorituskyvyn parantamiseksi. Poista käytöstä yksinkertainen avaamalla tiedosto "/etc/inittab"Ja aseta ajotaso asentoon 3. Jos haluat poistaa sen kokonaan järjestelmästä, käytä alla olevaa komentoa.
# yum groupremove "X Window System"
Jos et käytä a IPv6 protokolla, sinun pitäisi poistaa se käytöstä, koska useimmat sovellukset tai käytännöt eivät ole pakollisia IPv6 protokollaa ja tällä hetkellä sitä ei vaadita palvelimella. Siirry verkon määritystiedostoon ja poista se lisäämällä seuraavat rivit.
# vi/etc/sysconfig/network
NETWORKING_IPV6 = ei. IPV6INIT = ei
Tämä on erittäin hyödyllistä, jos haluat estää käyttäjiä käyttämästä samoja vanhoja salasanoja. Vanha salasanatiedosto sijaitsee osoitteessa /etc/security/opasswd. Tämä voidaan saavuttaa käyttämällä PAM moduuli.
Avaa '/etc/pam.d/system-auth"Tiedosto alla RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Avata "/Etc/pam.d/common-password"Tiedosto alla Ubuntu/Debian/Linux Mint.
# vi /etc/pam.d/common-password
Lisää seuraava rivi kohtaan "tod'Osio.
auth riittävä pam_unix.so likeauth nullok
Lisää seuraava rivi kohtaan "Salasana-Osiossa, jos haluat estää käyttäjää käyttämästä uudelleen viimeksi 5 hänen salasanansa.
riittävä salasana pam_unix.so nullok use_authtok md5 varjo muistaa = 5
Vain viimeinen 5 palvelin muistaa salasanat. Jos yritit käyttää jotain viimeistä 5 vanhoja salasanoja, saat kaltaisen virheen.
Salasana on jo käytetty. Valitse toinen.
Linuxissa käyttäjän salasanat tallennetaan "/etc/shadow"Tiedosto salatussa muodossa. Jos haluat tarkistaa käyttäjän salasanan vanhenemisen, sinun on käytettävähaastaa’Komento. Se näyttää tiedot salasanan vanhentumisesta ja viimeisen salasanan vaihtopäivän. Järjestelmä käyttää näitä tietoja päättäessään, milloin käyttäjän on vaihdettava salasanansa.
Voit tarkastella olemassa olevan käyttäjän ikääntymistietoja, kuten päättymispäivä ja aika, käytä seuraavaa komentoa.
#chage -l käyttäjätunnus
Voit muuttaa minkä tahansa käyttäjän salasanan vanhenemista seuraavalla komennolla.
#chage -M 60 -käyttäjätunnus. #chage -M 60 -m 7 -W 7 userName
Lukitus- ja lukituksen avausominaisuudet ovat erittäin hyödyllisiä, sen sijaan että poistat tilin järjestelmästä, voit lukita sen viikoksi tai kuukaudeksi. Voit lukita tietyn käyttäjän käyttämällä seuraavaa komentoa.
# passwd -l accountName
Merkintä: Lukittu käyttäjä on edelleen käytettävissä juuri vain käyttäjä. Lukitus suoritetaan korvaamalla salattu salasana (!) merkkijono. Jos joku yrittää käyttää järjestelmää tällä tilillä, hän saa seuraavankaltaisen virheen.
# su - accountName. Tämä tili ei ole tällä hetkellä käytettävissä.
Voit avata lukitun tilin tai avata sen käytön käyttämällä komentoa as. Tämä poistaa (!) merkkijono salatulla salasanalla.
# passwd -u accountName
Monet käyttäjät käyttävät pehmeitä tai heikkoja salasanoja, ja heidän salasanansa voidaan hakkeroida a sanakirjaan perustuva tai raaka voima hyökkäyksiä. 'pam_cracklib"Moduuli on saatavana PAM (Liitettävät todennusmoduulit) moduulipino, joka pakottaa käyttäjän asettamaan vahvat salasanat. Avaa seuraava tiedosto editorilla.
Lue myös:
# vi /etc/pam.d/system-auth
Ja lisää linja käyttämällä luottoparametreja muodossa (luotto, ucredit, dcredit ja/tai luotto vastaavasti pienet, isot, numerot ja muut)
/lib/security/$ISA/pam_cracklib.so yritä uudelleen = 3 minlen = 8 lcredit = -1 ucredit = -2 dcredit = -2 ocredit = -1
On erittäin suositeltavaa ottaa käyttöön Linux -palomuuri suojataksesi palvelimiesi luvattoman käytön. Käytä sääntöjä iptables suodattimiin saapuva, lähtevä ja edelleenlähetys paketteja. Voimme määrittää lähde- ja kohdeosoitteen sallittavaksi ja estettäväksi tietyissä kohdissa udp/tcp porttinumero.
Useimmissa Linux -jakeluissa paina 'CTRL-ALT-DELETE ” kestää järjestelmän uudelleenkäynnistyksen. Joten tämä ei ole hyvä idea ottaa tämä vaihtoehto käyttöön ainakin tuotantopalvelimilla, jos joku vahingossa tekee tämän.
Tämä määritellään kohdassa "/etc/inittab"Tiedosto, jos tarkastelet sitä tarkasti, näet samanlaisen rivin kuin alla. Oletuksena riviä ei kommentoida. Meidän on kommentoitava se. Tämä nimenomainen näppäinsarjan signalointi sammuttaa järjestelmän.
# Trap CTRL-ALT-DELETE. #ca:: ctrlaltdel:/sbin/shutdown -t3 -r nyt
Jokainen tili, jolla on tyhjä salasana, tarkoittaa sitä, että se avataan luvattomalle käytölle kenelle tahansa verkossa ja se on osa Linux -palvelimen turvallisuutta. Sinun on siis varmistettava, että kaikilla tileillä on vahvat salasanat ja kenelläkään ei ole valtuutettuja käyttöoikeuksia. Tyhjät salasanatilit ovat tietoturvariskejä ja ne voidaan helposti hakata. Voit tarkistaa, onko tilillä tyhjää salasanaa, käyttämällä seuraavaa komentoa.
# kissa /etc /shadow | awk -F: '($ 2 == "") {print $ 1}'
Ennen SSH -todennusta on aina parempi saada laillinen banneri tai tietoturvabannereita, joissa on joitakin turvallisuusvaroituksia. Jos haluat asettaa tällaisia bannereita, lue seuraava artikkeli.
Jos sinulla on paljon käyttäjiä, on tärkeää kerätä tiedot jokaisesta käyttäjän toiminnasta ja prosessit, joita he kuluttavat, ja analysoida niitä myöhemmin tai jos on minkäänlaista suorituskykyä, turvallisuutta kysymyksiä. Mutta miten voimme seurata ja kerätä tietoja käyttäjien toiminnasta.
On olemassa kaksi hyödyllistä työkalua nimeltä "psacct'Ja'lakiKäytetään seuraamaan käyttäjien toimintoja ja prosesseja järjestelmässä. Nämä työkalut toimivat järjestelmän taustalla ja seuraavat jatkuvasti jokaista käyttäjän toimintaa järjestelmässä ja palvelujen, kuten Apache, MySQL, SSH, FTP, jne. Lisätietoja asennuksesta, kokoonpanosta ja käytöstä on alla olevassa URL -osoitteessa.
Siirrä lokit omaan lokipalvelimeen, tämä voi estää tunkeilijoita muuttamasta paikallisia lokeja helposti. Alla on yleinen Linuxin oletuslokitiedostojen nimi ja niiden käyttö:
Tuotantojärjestelmässä on välttämätöntä ottaa tärkeistä tiedostoista varmuuskopio ja säilyttää ne turvavarastossa, etäsivustolla tai muualla, jotta katastrofit voivat toipua.
Tilaa on kahta tyyppiä NIC liimaus, täytyy mainita liimausliittymässä.
NIC -liimaus auttaa meitä välttämään yksittäistä epäonnistumista. Sisään NIC sidonta, sitomme kaksi tai useampia Ethernet -verkkokortit yhdessä ja tehdä yksi virtuaalinen käyttöliittymä, johon voimme määrittää IP osoite muiden palvelimien kanssa. Verkkomme on käytettävissä yhden tapauksessa NIC -kortti on poissa käytöstä tai ei ole käytettävissä jostain syystä.
Lue myös: Luo NIC -kanavasidonta Linuxissa
Linux -ydin ja siihen liittyvät tiedostot ovat /boot hakemisto, joka on oletuksena nimellä lukea kirjoittaa. Vaihdetaan siihen Lue ainoastaan vähentää kriittisten käynnistystiedostojen luvattoman muokkaamisen riskiä. Voit tehdä tämän avaamalla "/etc/fstab”Tiedosto.
# vi /etc /fstab
Lisää seuraava rivi alareunaan, tallenna ja sulje se.
LABEL = /boot /boot ext2 oletusarvot, ro 1 2
Huomaa, että sinun on palautettava muutos luku- ja kirjoitustilaan, jos haluat päivittää ytimen tulevaisuudessa.
Lisää seuraava rivi kohtaan "/etc/sysctl.conf”Tiedosto ohitettava ping tai lähettää pyyntö.
Ohita ICMP -pyyntö: net.ipv4.icmp_echo_ignore_all = 1 Ohita lähetyspyyntö: net.ipv4.icmp_echo_ignore_broadcasts = 1
Lataa uudet asetukset tai muutokset suorittamalla seuraava komento
#sysctl -p
Jos olet unohtanut jonkin tärkeän turva- tai kovettumisvinkin yllä olevasta luettelosta tai sinulla on muita vinkkejä, jotka on sisällytettävä luetteloon. Jätä kommenttisi kommenttikenttään. TecMint on aina kiinnostunut saamaan kommentteja, ehdotuksia ja keskustelua parantamisesta.