Linuxは、90年代初頭にリリースされて以来、その安定性、汎用性、 カスタマイズ可能性、およびバグ修正と運用の改善を提供するために24時間体制で作業するオープンソース開発者の大規模なコミュニティ システム。 概して、Linuxは、パブリッククラウド、サーバー、およびスーパーコンピューターに最適なオペレーティングシステムであり、インターネットに接続された本番サーバーの75%近くがLinuxで実行されています。
Linuxは、インターネットを強化する以外に、デジタルの世界への道を見つけ、それ以来衰えることはありません。 これは、Androidスマートフォン、タブレット、スマートウォッチ、スマートディスプレイなど、さまざまなスマートガジェットに電力を供給します。
Linuxはそのトップレベルのセキュリティで有名であり、それがエンタープライズ環境で人気のある選択肢となる理由の1つです。 しかし、これが事実です。100%安全なオペレーティングシステムはありません。 多くのユーザーは、Linuxは絶対確実なオペレーティングシステムであると信じていますが、これは誤った仮定です。 実際、インターネットに接続されているオペレーティングシステムは、潜在的な侵害やマルウェア攻撃の影響を受けやすくなっています。
Linuxは初期の頃、技術中心の人口統計がはるかに小さく、マルウェア攻撃に苦しむリスクはほとんどありませんでした。 今日、Linuxはインターネットの大部分を支えており、これが脅威の展望の成長を後押ししています。 マルウェア攻撃の脅威はかつてないほど現実的になっています。
Linuxシステムに対するマルウェア攻撃の完璧な例は Erebusランサムウェア、韓国のWebホスティング会社であるNAYANAの153台近くのLinuxサーバーに影響を与えたファイル暗号化マルウェア。
このため、オペレーティングシステムをさらに強化して、データを保護するために非常に望まれているセキュリティを提供することが賢明です。
Linuxサーバーの保護は、思ったほど複雑ではありません。 システムのセキュリティを強化し、データの整合性を維持するために実装する必要のある最高のセキュリティポリシーのリストをまとめました。
の初期段階では Equifax違反、ハッカーは広く知られている脆弱性を利用しました– Apache Struts –Equifaxの顧客苦情Webポータル。
Apache Struts は、ApacheFoundationによって開発された最新のエレガントなJavaWebアプリケーションを作成するためのオープンソースフレームワークです。 財団は2017年3月7日に脆弱性を修正するパッチをリリースし、その旨の声明を発表しました。
Equifaxは脆弱性について通知を受け、アプリケーションにパッチを適用するようにアドバイスされましたが、残念ながら、脆弱性は同じ年の7月までパッチが適用されておらず、その時点では手遅れでした。 攻撃者は会社のネットワークにアクセスし、データベースから何百万もの機密の顧客レコードを盗み出すことができました。 Equifaxが何が起こっているのかを知るまでに、すでに2か月が経過していました。
では、これから何を学ぶことができるでしょうか?
悪意のあるユーザーやハッカーは、ソフトウェアの脆弱性の可能性について常にサーバーを調査し、それを利用してシステムを侵害する可能性があります。 安全のために、ソフトウェアを常に現在のバージョンに更新して、既存の脆弱性にパッチを適用してください。
実行している場合 Ubuntu また Debianベースのシステム、最初のステップは通常、示されているようにパッケージリストまたはリポジトリを更新することです。
$ sudoaptアップデート。
利用可能なアップデートを含むすべてのパッケージを確認するには、次のコマンドを実行します。
$ sudo aptlist--アップグレード可能。
次に示すように、ソフトウェアアプリケーションを現在のバージョンにアップグレードします。
$ sudoaptアップグレード。
図のように、これら2つを1つのコマンドに連結できます。
$ sudo apt update && sudo aptupgrade。
にとって RHEL & CentOS 次のコマンドを実行して、アプリケーションをアップグレードします。
$ sudo dnf update(CentOS 8 / RHEL 8) $ sudo yum update(以前のバージョンのRHELおよびCentOS)
別の実行可能なオプションは Ubuntuの自動セキュリティ更新を有効にする そしてまた CentOS / RHELの自動更新を設定する.
無数のリモートプロトコルをサポートしているにもかかわらず、rlogin、telnet、TFTP、FTPなどのレガシーサービスは、システムに大きなセキュリティ問題を引き起こす可能性があります。 これらは、データがプレーンテキストで送信される、古く、時代遅れで、安全でないプロトコルです。 これらが存在する場合は、図のように削除することを検討してください。
Ubuntu / Debianベースのシステムの場合、以下を実行します。
$ sudoaptパージtelnetdtftpd tftpd-hpa xinetd rsh-serverrsh-redone-server。
にとって RHEL / CentOSベースのシステム、実行:
$ sudo yum refresh xinetd tftp-server telnet-server rsh-serverypserv。
安全でないサービスをすべて削除したら、次のことが重要です。 サーバーをスキャンして開いているポートを探します ハッカーがエントリポイントとして使用する可能性のある未使用のポートをすべて閉じます。
ポートをブロックしたいとします 7070 に UFWファイアウォール. このためのコマンドは次のようになります。
$ sudo ufw deny 7070 / tcp。
次に、変更を有効にするためにファイアウォールをリロードします。
$ sudo ufwreload。
にとって ファイアウォールで保護、次のコマンドを実行します。
$ sudo Firewall-cmd --remove-port = 7070 / tcp--permanent。
そして、ファイアウォールをリロードすることを忘れないでください。
$ sudo Firewall-cmd--reload。
次に、次のようにファイアウォールルールをクロスチェックします。
$ sudo Firewall-cmd--list-all。
SSHプロトコルは、ネットワーク上のデバイスに安全に接続できるようにするリモートプロトコルです。 安全であると見なされていますが、デフォルト設定では不十分であり、悪意のあるユーザーがシステムを侵害するのをさらに防ぐために、いくつかの追加の調整が必要です。
包括的なガイドがあります SSHプロトコルを強化する方法. 主なハイライトは次のとおりです。
Fail2ban は、ブルートフォース攻撃からサーバーを保護するオープンソースの侵入防止システムです。 次のような悪意のあるアクティビティを示すIPを禁止することにより、Linuxシステムを保護します。 ログイン試行回数が多すぎます. 箱から出して、Apache Webサーバー、vsftpd、SSHなどの一般的なサービス用のフィルターが付属しています。
方法に関するガイドがあります SSHをさらに強化するようにFail2banを構成します プロトコル。
パスワードを再利用したり、弱くて単純なパスワードを使用したりすると、システムのセキュリティが大幅に損なわれます。 パスワードポリシーを適用し、pam_cracklibを使用してパスワード強度要件を設定または構成します。
を使用して PAMモジュール、を編集してパスワード強度を定義できます /etc/pam.d/system-auth ファイル。 たとえば、パスワードの複雑さを設定し、パスワードの再利用を防ぐことができます。
ウェブサイトを運営している場合は、常にを使用してドメインを保護するようにしてください SSL / TLS証明書 ユーザーのブラウザとウェブサーバーの間で交換されるデータを暗号化するため。
サイトを暗号化したら、弱い暗号化プロトコルを無効にすることも検討してください。 このガイドを書いている時点で、最新のプロトコルは TLS 1.3、これは最も一般的で広く使用されているプロトコルです。 TLS 1.0、TLS 1.2、SSLv1からSSLv3などの以前のバージョンは、既知の脆弱性に関連付けられています。
[ あなたはおそらくそれも好きでしょう: ApacheとNginxでTLS1.3を有効にする方法 ]
これは、Linuxシステムのデータセキュリティとプライバシーを確保するために実行できるいくつかの手順の要約です。