Julkaisemisensa jälkeen 1990 -luvun alussa Linux on voittanut teknologiayhteisön ihailun vakauden, monipuolisuuden, muokattavuus ja suuri avoimen lähdekoodin kehittäjien yhteisö, joka työskentelee kellon ympäri tarjotakseen virheenkorjauksia ja parannuksia toimintaan järjestelmä. Yleisesti ottaen Linux on julkisten pilvien, palvelimien ja supertietokoneiden valittuna käyttöjärjestelmä, ja lähes 75% Internet-suuntaisista tuotantopalvelimista toimii Linuxilla.
Internetin käytön lisäksi Linux on löytänyt tiensä digitaaliseen maailmaan eikä ole vähentynyt sen jälkeen. Se käyttää laajaa valikoimaa älykkäitä gadgeteja, mukaan lukien Android -älypuhelimet, tabletit, älykellot, älykkäät näytöt ja paljon muuta.
Linux on tunnettu huipputason turvallisuudestaan, ja se on yksi syy siihen, miksi se tekee suosikkivalinnan yritysympäristöissä. Mutta tässä on tosiasia, että mikään käyttöjärjestelmä ei ole 100% turvallinen. Monet käyttäjät uskovat, että Linux on idioottivarma käyttöjärjestelmä, mikä on väärä olettamus. Itse asiassa kaikki käyttöjärjestelmät, joissa on Internet -yhteys, ovat alttiita mahdollisille rikkomuksille ja haittaohjelmahyökkäyksille.
Alkuvuosina Linuxilla oli paljon pienempi teknologiakeskeinen väestörakenne ja riski haittaohjelmahyökkäyksistä oli pieni. Nykyään Linuxilla on valtava osa Internetistä, ja tämä on edistänyt uhkaympäristön kasvua. Haittaohjelmahyökkäysten uhka on todellisempi kuin koskaan.
Täydellinen esimerkki haittaohjelmahyökkäyksestä Linux -järjestelmiin on Erebus ransomware, tiedostoja salaava haittaohjelma, joka vaikutti Etelä-Korean webhotelliyrityksen NAYANA lähes 153 Linux-palvelimeen.
Tästä syystä on järkevää koventaa käyttöjärjestelmää edelleen niin, että se tarjoaa halutun tietoturvan.
Linux -palvelimen suojaaminen ei ole niin monimutkaista kuin luulisi. Olemme koonneet luettelon parhaista suojauskäytännöistä, jotka sinun on pantava täytäntöön järjestelmän turvallisuuden vahvistamiseksi ja tietojen eheyden ylläpitämiseksi.
Alkuvaiheessa Equifax -rikkomushakkerit käyttivät laajalti tunnettua haavoittuvuutta - Apache Struts - Equifaxin asiakasvalitusten verkkoportaalissa.
Apache Struts on Apache-säätiön kehittämä avoimen lähdekoodin kehys nykyaikaisten ja tyylikkäiden Java-verkkosovellusten luomiseen. Säätiö julkaisi 7. maaliskuuta 2017 korjaustiedoston haavoittuvuuden korjaamiseksi ja antoi asiasta lausunnon.
Equifaxille ilmoitettiin haavoittuvuudesta ja neuvoivat korjaamaan sovelluksensa, mutta valitettavasti haavoittuvuus jäi korjaamatta saman vuoden heinäkuuhun, jolloin oli liian myöhäistä. Hyökkääjät pystyivät pääsemään yrityksen verkkoon ja poistamaan miljoonia luottamuksellisia asiakastietoja tietokannoista. Kun Equifax sai tuulen tapahtumista, kaksi kuukautta oli jo kulunut.
Joten mitä voimme oppia tästä?
Haitalliset käyttäjät tai hakkerit etsivät aina palvelimeltasi mahdollisia ohjelmistohaavoittuvuuksia, joita he voivat sitten hyödyntää järjestelmän rikkomiseen. Turvallisuuden vuoksi päivitä ohjelmisto aina sen nykyisiin versioihin, jotta se voi korjata kaikki olemassa olevat haavoittuvuudet.
Jos olet käynnissä Ubuntu tai Debian-pohjaiset järjestelmät, ensimmäinen askel on yleensä päivittää pakettiluettelosi tai arkistot kuvan osoittamalla tavalla.
$ sudo apt päivitys.
Jos haluat tarkistaa kaikki saatavilla olevat päivitykset sisältävät paketit, suorita komento:
$ sudo apt list -päivitettävissä.
Päivitä ohjelmistosovelluksesi nykyisiin versioihin kuvan mukaisesti:
$ sudo apt päivitys.
Voit yhdistää nämä kaksi yhteen komentoon kuvan osoittamalla tavalla.
$ sudo apt päivitys && sudo apt päivitys.
Varten RHEL & CentOS päivitä sovelluksesi suorittamalla komento:
$ sudo dnf -päivitys (CentOS 8 / RHEL 8) $ sudo yum -päivitys (aiemmat RHEL- ja CentOS -versiot)
Toinen toimiva vaihtoehto on ottaa käyttöön Ubuntun automaattiset suojauspäivitykset ja myös aseta automaattiset päivitykset CentOS / RHEL: lle.
Huolimatta siitä, että se tukee lukemattomia etäprotokollia, vanhat palvelut, kuten rlogin, telnet, TFTP ja FTP, voivat aiheuttaa valtavia turvallisuusongelmia järjestelmällesi. Nämä ovat vanhoja, vanhentuneita ja turvattomia protokollia, joissa tiedot lähetetään pelkkänä tekstinä. Jos ne ovat olemassa, harkitse niiden poistamista kuvan osoittamalla tavalla.
Suorita Ubuntu- / Debian-pohjaiset järjestelmät seuraavasti:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Varten RHEL / CentOS-pohjaiset järjestelmät, suorita:
$ sudo yum poista xinetd tftp-palvelin telnet-palvelin rsh-palvelin ypserv.
Kun olet poistanut kaikki turvattomat palvelut, se on tärkeää etsi palvelimeltasi avoimia portteja ja sulje käyttämättömät portit, joita hakkerit voivat mahdollisesti käyttää tulopisteenä.
Oletetaan, että haluat estää portin 7070 päällä UFW -palomuuri. Tätä varten komento on:
$ sudo ufw kieltää 7070/tcp.
Lataa sitten palomuuri uudelleen, jotta muutokset tulevat voimaan.
$ sudo ufw lataa uudelleen.
Varten Palomuuri, suorita komento:
$ sudo palomuuri-cmd --remove-port = 7070/tcp --permanent.
Ja muista ladata palomuuri uudelleen.
$ sudo palomuuri-cmd-lataa.
Tarkista sitten palomuurisäännöt kuvan mukaisesti:
$ sudo palomuuri-cmd-lista-kaikki.
SSH -protokolla on etäprotokolla, jonka avulla voit muodostaa yhteyden turvallisesti verkon laitteisiin. Vaikka sitä pidetään turvallisena, oletusasetukset eivät riitä, ja joitakin lisämuutoksia tarvitaan estämään haitallisia käyttäjiä rikkomasta järjestelmääsi.
Meillä on kattava opas kuinka kovettaa SSH -protokollaa. Tässä ovat tärkeimmät kohokohdat.
Fail2ban on avoimen lähdekoodin tunkeutumisenestojärjestelmä, joka suojaa palvelintasi bruteforce-hyökkäyksiltä. Se suojaa Linux -järjestelmääsi estämällä haitallista toimintaa osoittavat IP -osoitteet, kuten liian monta kirjautumisyritystä. Laitteen mukana toimitetaan suodattimet suosituille palveluille, kuten Apache -verkkopalvelin, vsftpd ja SSH.
Meillä on opas kuinka määritä Fail2ban vahvistamaan SSH: ta entisestään protokollaa.
Salasanojen uudelleenkäyttö tai heikkojen ja yksinkertaisten salasanojen käyttö heikentää suuresti järjestelmän turvallisuutta. Pakotat salasanakäytännön, käytä pam_cracklib -asetusta salasanan vahvuusvaatimusten asettamiseen tai määrittämiseen.
Käyttämällä PAM -moduuli, voit määrittää salasanan voimakkuuden muokkaamalla /etc/pam.d/system-auth tiedosto. Voit esimerkiksi asettaa salasanan monimutkaisuuden ja estää salasanojen uudelleenkäytön.
Jos käytät verkkosivustoa, varmista aina verkkotunnuksesi suojaus käyttämällä SSL/ TLS -varmenne salaamaan käyttäjien selaimen ja verkkopalvelimen välillä vaihdetut tiedot.
Kun olet salannut sivustosi, harkitse myös heikkojen salausprotokollien poistamista käytöstä. Tämän oppaan kirjoittamishetkellä uusin protokolla on TLS 1.3, joka on yleisin ja laajalti käytetty protokolla. Aiemmat versiot, kuten TLS 1.0, TLS 1.2 ja SSLv1 - SSLv3, on liitetty tunnettuihin haavoittuvuuksiin.
[ Saatat myös pitää: Kuinka ottaa TLS 1.3 käyttöön Apache- ja Nginx -sovelluksissa ]
Tämä oli yhteenveto joistakin toimista, joita voit tehdä varmistaaksesi tietoturvan ja yksityisyyden Linux -järjestelmällesi.