Visi tā saka Linux pēc noklusējuma ir droša un piekrīt zināmam apjomam (tās ir debatējamas tēmas). Tomēr Linux pēc noklusējuma ir iebūvēts drošības modelis. Nepieciešams to pielāgot un pielāgot atbilstoši jūsu vajadzībām, kas var palīdzēt padarīt sistēmu drošāku. Linux ir grūtāk pārvaldīt, taču tas piedāvā lielāku elastību un konfigurācijas iespējas.
Sistēmas nodrošināšana ražošanā no rokām hakeri un krekeri ir izaicinošs uzdevums a Sistēmas administrators. Šis ir mūsu pirmais raksts, kas saistīts ar “Kaste Linux drošībai"Vai"Linux kastes sacietēšana“. Šajā rakstā mēs paskaidrosim 25 noderīgi padomi un ieteikumi lai aizsargātu savu Linux sistēmu. Ceru, ka zemāk sniegtie padomi un ieteikumi palīdzēs jums uzlabot sistēmas drošību.
Konfigurējiet BIOS lai atspējotu palaišanu no CD/DVD, Ārējās ierīces, Diskete iekšā BIOS. Pēc tam iespējojiet BIOS paroli un arī aizsargāt GRUB ar paroli, lai ierobežotu jūsu sistēmas fizisko piekļuvi.
Ir svarīgi, lai būtu dažādi nodalījumi, lai iegūtu lielāku datu drošību, ja notiek kāda katastrofa. Izveidojot dažādus nodalījumus, datus var atdalīt un grupēt. Ja notiek negaidīts negadījums, tiks bojāti tikai šī nodalījuma dati, bet dati par citiem nodalījumiem saglabājās. Pārliecinieties, vai jums ir jābūt šādiem atsevišķiem nodalījumiem un vai trešo pušu lietojumprogrammas ir jāinstalē atsevišķās failu sistēmās /opt.
/ /boot. /usr. /var. /home. /tmp. /opt
Vai tiešām vēlaties instalēt visa veida pakalpojumus? Ieteicams izvairīties no bezjēdzīgu pakotņu instalēšanas, lai izvairītos no pakotņu ievainojamības. Tas var samazināt risku, ka viena pakalpojuma kompromiss var izraisīt citu pakalpojumu kompromisu. Atrodiet un noņemiet vai atspējojiet nevēlamus pakalpojumus no servera, lai samazinātu ievainojamību. Izmantojiet “chkconfig“Komanda, lai uzzinātu, kuri pakalpojumi darbojas 3. līmenis.
# /sbin /chkconfig --list | grep '3: ieslēgts'
Kad esat uzzinājis, ka darbojas kāds nevēlams pakalpojums, atspējojiet tos, izmantojot šo komandu.
# chkconfig serviceName off
Izmantojiet RPM iepakojuma pārvaldnieks, piemēram, "ņam"Vai"apt-get”Rīkus, lai uzskaitītu visas sistēmā instalētās pakotnes un noņemtu tās, izmantojot šo komandu.
# yum -y noņemt iepakojuma nosaukumu
# sudo apt-get noņemt paketes nosaukumu
Ar palīdzību 'netstat“Tīkla komanda jūs varat apskatīt visus atvērtos portus un ar tiem saistītās programmas. Kā es teicu iepriekš, izmantojiet “chkconfig“Komanda, lai no sistēmas atspējotu visus nevēlamos tīkla pakalpojumus.
# netstat -tulpn
Telnet un rlogin protokoli izmanto vienkāršu tekstu, nevis šifrētu formātu, kas ir drošības pārkāpumi. SSH ir drošs protokols, kas saziņas laikā ar serveri izmanto šifrēšanas tehnoloģiju.
Nekad nepiesakieties tieši kā sakne ja vien tas nav nepieciešams. Izmantot “sudo”, Lai izpildītu komandas. sudo ir norādīti sadaļā /etc/sudoers failu var rediģēt arī ar "visudo”Utilīta, kas tiek atvērta VI redaktors.
Ieteicams arī mainīt noklusējuma iestatījumus SSH 22 porta numuru ar kādu citu augstāka līmeņa porta numuru. Atveriet galveno SSH konfigurācijas failu un izveidojiet dažus šādus parametrus, lai ierobežotu lietotāju piekļuvi.
# vi/etc/ssh/sshd_config
PermitRootLogin nr
AllowUsers lietotājvārds
2. protokols
Vienmēr atjauniniet sistēmu, izmantojot jaunākos laidienu ielāpus, drošības labojumus un kodolu, kad tas ir pieejams.
# yum atjauninājumi. # yum check-update
Cron tai ir sava iebūvēta funkcija, kas ļauj norādīt, kurš drīkst un kurš negrib darboties. To kontrolē, izmantojot failus, ko sauc /etc/cron.allow un /etc/cron.deny. Lai bloķētu lietotāju, izmantojot cron, vienkārši pievienojiet lietotājvārdus cron.deny un ļaut lietotājam palaist cron add in cron.atļaut failu. Ja vēlaties liegt visiem lietotājiem izmantot cron, pievienojiet “VISI‘Līnija uz cron.deny failu.
# echo ALL >>/etc/cron.deny
Daudzas reizes gadās, ka mēs vēlamies ierobežot lietotāju izmantošanu USB turieties sistēmās, lai aizsargātu un aizsargātu datus no zādzības. Izveidojiet failu "/etc/modprobe.d/no-usb"Un pievienošana zem rindiņas netiks atklāta USB uzglabāšana.
instalējiet usb-storage /bin /true
Uzlabota drošība Linux (SELinux) ir obligāts piekļuves kontroles drošības mehānisms, kas paredzēts kodolā. Atspējošana SELinux nozīmē drošības mehānisma noņemšanu no sistēmas. Pirms sistēmas noņemšanas divreiz rūpīgi padomājiet, ja jūsu sistēma ir pievienota internetam un tai ir pieejama sabiedrība, tad padomājiet par to sīkāk.
SELinux nodrošina trīs pamata darbības režīmus, un tie ir.
Jūs varat apskatīt pašreizējo statusu SELinux režīmā no komandrindas, izmantojot "system-config-selinux‘, ‘getenforce'Vai'sestatus'Komandas.
# sestatus
Ja tas ir atspējots, iespējojiet to SELinux izmantojot šādu komandu.
# setenforce izpilde
To var pārvaldīt arī no “/etc/selinux/config"Failu, kur varat to iespējot vai atspējot.
Nav jāskrien X logs galddatoriem patīk KDE vai GNOME par savu veltīto LAMPA serveris. Varat tos noņemt vai atspējot, lai palielinātu servera un veiktspējas drošību. Lai atspējotu vienkāršu, atveriet failu "/etc/inittab"Un iestatiet darbības līmeni uz 3. Ja vēlaties to pilnībā noņemt no sistēmas, izmantojiet zemāk esošo komandu.
# yum groupremove "X Window System"
Ja neizmantojat a IPv6 protokolu, tad to vajadzētu atspējot, jo lielākā daļa lietojumprogrammu vai politikas nav nepieciešamas IPv6 protokols, un pašlaik tas serverī nav nepieciešams. Dodieties uz tīkla konfigurācijas failu un pievienojiet šādas rindas, lai to atspējotu.
# vi/etc/sysconfig/network
NETWORKING_IPV6 = nē. IPV6INIT = nē
Tas ir ļoti noderīgi, ja vēlaties liegt lietotājiem izmantot tās pašas vecās paroles. Vecais paroles fails atrodas vietnē /etc/security/opasswd. To var panākt, izmantojot PAM modulis.
Atvērt "/etc/pam.d/system-auth'Fails zem RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Atvērt “/Etc/pam.d/common-password'Fails zem Ubuntu/Debian/Linux Mint.
# vi /etc/pam.d/common-password
Pievienojiet šādu rindu:aut'Sadaļa.
auth pietiek pam_unix.tik likeauth nullok
Pievienojiet šādu rindu:paroleSadaļā, lai neļautu lietotājam pēdējo reizi atkārtoti izmantot 5 viņa vai viņas parole.
parole pietiekama pam_unix.so nullok use_authtok md5 ēnu atcerēties = 5
Tikai pēdējais 5 paroles serveris atceras. Ja mēģinājāt izmantot kādu no pēdējiem 5 vecās paroles, jūs saņemsit kļūdu, piemēram.
Parole jau ir izmantota. Izvēlieties citu.
Operētājsistēmā Linux lietotāja paroles tiek saglabātas sadaļā "/etc/shadow"Fails šifrētā formātā. Lai pārbaudītu lietotāja paroles derīguma termiņu, izmantojiet “chage‘Pavēle. Tas parāda informāciju par paroles derīguma termiņu un pēdējo paroles maiņas datumu. Šo informāciju sistēma izmanto, lai izlemtu, kad lietotājam ir jāmaina sava parole.
Lai apskatītu esošā lietotāja novecošanas informāciju, piemēram, derīguma termiņš un laiks, izmantojiet šādu komandu.
#chage -l lietotājvārds
Lai mainītu jebkura lietotāja paroles novecošanos, izmantojiet šo komandu.
#chage -M 60 lietotājvārds. #chage -M 60 -m 7 -W 7 userName
Bloķēšanas un atbloķēšanas funkcijas ir ļoti noderīgas, tā vietā, lai izņemtu kontu no sistēmas, varat to bloķēt uz nedēļu vai mēnesi. Lai bloķētu konkrētu lietotāju, varat izmantot komandu follow.
# passwd -l accountName
Piezīme: Bloķētais lietotājs joprojām ir pieejams sakne tikai lietotājam. Bloķēšana tiek veikta, aizstājot šifrētu paroli ar (!) virkne. Ja kāds mēģina piekļūt sistēmai, izmantojot šo kontu, viņš saņems līdzīgu kļūdu kā zemāk.
# su - accountName. Šis konts pašlaik nav pieejams.
Lai atbloķētu vai iespējotu piekļuvi bloķētam kontam, izmantojiet komandu kā. Tas noņems (!) virkne ar šifrētu paroli.
# passwd -u accountName
Vairāki lietotāji izmanto mīkstas vai vājas paroles, un viņu parole var tikt uzlauzta, izmantojot balstīta uz vārdnīcu vai brutālu spēku uzbrukumiem. “pam_cracklib"Modulis ir pieejams PAM (Pievienojami autentifikācijas moduļi) moduļu kaudze, kas piespiedīs lietotāju iestatīt spēcīgas paroles. Atveriet šādu failu ar redaktoru.
Lasīt arī:
# vi /etc/pam.d/system-auth
Un pievienojiet līniju, izmantojot kredīta parametrus kā (kredīts, ucredit, dcredit un/vai kredīts attiecīgi mazie, lielie, cipari un citi)
/lib/security/$ISA/pam_cracklib.so vēlreiz mēģiniet = 3 min = 8 lcredit = -1 ucredit = -2 dcredit = -2 ocredit = -1
Ir ļoti ieteicams iespējot Linux ugunsmūris lai nodrošinātu jūsu serveru neatļautu piekļuvi. Piemērojiet noteikumus iptables uz filtriem ienākošo, izejošais un pārsūtīšana paciņas. Mēs varam norādīt avota un galamērķa adresi, ko atļaut un noraidīt konkrētā vietā udp/tcp ostas numurs.
Lielākajā daļā Linux izplatījumu nospiediet taustiņu "CTRL-ALT-DELETE ” prasīs jūsu sistēmas restartēšanu. Tāpēc nav ieteicams šo iespēju iespējot vismaz ražošanas serveros, ja kāds to kļūdas dēļ dara.
Tas ir definēts sadaļā “/etc/inittab“Failu, ja rūpīgi ieskatīsities šajā failā, redzēsit rindu, kas līdzīga zemāk redzamajai. Pēc noklusējuma rindiņa netiek komentēta. Mums tas ir jākomentē. Šī konkrētā taustiņu secības signalizācija izslēgs sistēmu.
# Trap CTRL-ALT-DELETE. #ca:: ctrlaltdel:/sbin/shutdown -t3 -r tagad
Jebkurš konts ar tukšu paroli nozīmē, ka tas ir atvērts nesankcionētai piekļuvei ikvienam tīmeklī, un tas ir daļa no drošības Linux serverī. Tāpēc jums jāpārliecinās, ka visos kontos ir spēcīgas paroles un nevienam nav atļautas piekļuves. Tukši paroļu konti ir drošības risks, un tos var viegli uzlauzt. Lai pārbaudītu, vai ir kādi konti ar tukšu paroli, izmantojiet šo komandu.
# kaķis /etc /shadow | awk -F: '($ 2 == "") {print $ 1}'
Pirms SSH autentifikācijas vienmēr ir labāk izmantot likumīgu reklāmkarogu vai drošības reklāmkarogus ar dažiem drošības brīdinājumiem. Lai iestatītu šādus reklāmkarogus, izlasiet šo rakstu.
Ja jums ir darīšana ar daudziem lietotājiem, tad ir svarīgi apkopot informāciju par katra lietotāja darbībām un procesus, ko patērē, un analizēt tos vēlāk vai gadījumā, ja ir kāda veida veiktspēja, drošība jautājumi. Bet kā mēs varam uzraudzīt un apkopot informāciju par lietotāju darbībām.
Ir divi noderīgi rīki, ko sauc par “psacct' un 'akts“Tiek izmantoti, lai uzraudzītu lietotāju darbības un procesus sistēmā. Šie rīki darbojas sistēmas fonā un nepārtraukti izseko katru lietotāja darbību sistēmā un resursus, ko patērē tādi pakalpojumi kā Apache, MySQL, SSH, FTPutt. Lai iegūtu papildinformāciju par instalēšanu, konfigurēšanu un lietošanu, apmeklējiet zemāk esošo URL.
Pārvietojiet žurnālus speciālā žurnālu serverī, tas var neļaut iebrucējiem viegli mainīt vietējos žurnālus. Tālāk ir norādīts parastais Linux noklusējuma žurnālfailu nosaukums un to izmantošana:
Ražošanas sistēmā ir nepieciešams veikt svarīgu failu dublēšanu un glabāt tos drošības glabātavā, attālā vietā vai izbraukuma vietā katastrofu seku novēršanai.
Ir divu veidu režīmi NIC līmēšana, jāpiemin sasaistes saskarnē.
NIC saistīšana palīdz mums izvairīties no viena neveiksmes punkta. In NIC saistot, mēs saistām divus vai vairākus Tīkla Ethernet kartes kopā un izveidojiet vienu virtuālu saskarni, kur mēs varam piešķirt IP adresi, lai sarunātos ar citiem serveriem. Mūsu tīkls būs pieejams viena gadījumā NIC karte nedarbojas vai nav pieejama kāda iemesla dēļ.
Lasīt arī: Izveidojiet NIC kanālu savienošanu operētājsistēmā Linux
Ir iekļauts Linux kodols un ar to saistītie faili /boot direktoriju, kas pēc noklusējuma ir Lasīt rakstīt. Mainot to uz tikai lasīt samazina kritisku sāknēšanas failu neatļautas modificēšanas risku. Lai to izdarītu, atveriet "/etc/fstab”Failu.
# vi /etc /fstab
Apakšā pievienojiet šādu rindu, saglabājiet un aizveriet to.
LABEL = /boot /boot ext2 noklusējuma vērtības, ro 1 2
Lūdzu, ņemiet vērā, ka, ja nākotnē vajadzēs jaunināt kodolu, izmaiņas ir jāiestata uz lasīšanu un rakstīšanu.
Pievienot šādu rindiņu sadaļā "/etc/sysctl.conf”Failu, ko ignorēt ping vai pārraidīt pieprasījumu.
Ignorēt ICMP pieprasījumu: net.ipv4.icmp_echo_ignore_all = 1 Ignorēt apraides pieprasījumu: net.ipv4.icmp_echo_ignore_broadcasts = 1
Ielādējiet jaunus iestatījumus vai izmaiņas, izpildot šādu komandu
#sysctl -p
Ja esat palaidis garām kādu svarīgu drošības vai sacietēšanas padomu iepriekš minētajā sarakstā vai jums ir kāds cits padoms, kas jāiekļauj sarakstā. Lūdzu, ievietojiet savus komentārus mūsu komentāru lodziņā. TecMint vienmēr ir ieinteresēts saņemt komentārus, ieteikumus, kā arī diskusijas par uzlabojumiem.