Desde o seu lançamento no início dos anos 90, o Linux conquistou a admiração da comunidade tecnológica graças à sua estabilidade, versatilidade, personalização e uma grande comunidade de desenvolvedores de código aberto que trabalham 24 horas por dia para fornecer correções de bugs e melhorias para o funcionamento sistema. Em geral, o Linux é o sistema operacional de escolha para nuvem pública, servidores e supercomputadores, e cerca de 75% dos servidores de produção voltados para a Internet são executados no Linux.
Além de alimentar a Internet, o Linux encontrou seu caminho para o mundo digital e não diminuiu desde então. Ele alimenta uma vasta gama de gadgets inteligentes, incluindo smartphones Android, tablets, smartwatches, telas inteligentes e muitos mais.
O Linux é conhecido por sua segurança de alto nível e é uma das razões pelas quais ele é a escolha favorita em ambientes corporativos. Mas aqui está um fato, nenhum sistema operacional é 100% seguro. Muitos usuários acreditam que o Linux é um sistema operacional à prova de falhas, o que é uma suposição falsa. Na verdade, qualquer sistema operacional com conexão à Internet é suscetível a violações e ataques de malware em potencial.
Durante seus primeiros anos, o Linux tinha uma demografia centrada em tecnologia muito menor e o risco de sofrer ataques de malware era remoto. Hoje em dia, o Linux alimenta uma grande parte da Internet e isso impulsionou o crescimento do cenário de ameaças. A ameaça de ataques de malware é mais real do que nunca.
Um exemplo perfeito de ataque de malware em sistemas Linux é o Erebus ransomware, um malware para criptografar arquivos que afetou cerca de 153 servidores Linux da NAYANA, uma empresa sul-coreana de hospedagem na web.
Por esse motivo, é prudente fortalecer ainda mais o sistema operacional para dar a segurança tão desejada para proteger seus dados.
Proteger seu servidor Linux não é tão complicado quanto você pode imaginar. Compilamos uma lista das melhores políticas de segurança que você precisa implementar para fortalecer a segurança do seu sistema e manter a integridade dos dados.
Nos estágios iniciais do Violação Equifax, os hackers aproveitaram uma vulnerabilidade amplamente conhecida - Apache Struts - no portal de reclamação do cliente da Equifax.
Apache Struts é uma estrutura de código aberto para a criação de aplicativos da web Java modernos e elegantes desenvolvidos pela Apache Foundation. A Fundação lançou um patch para corrigir a vulnerabilidade em 7 de março de 2017 e emitiu uma declaração para esse efeito.
O Equifax foi notificado sobre a vulnerabilidade e aconselhado a corrigir seu aplicativo, mas, infelizmente, a vulnerabilidade permaneceu sem patch até julho do mesmo ano, quando já era tarde demais. Os invasores conseguiram obter acesso à rede da empresa e exfiltrar milhões de registros confidenciais de clientes dos bancos de dados. Quando Equifax ficou sabendo do que estava acontecendo, dois meses já haviam se passado.
Então o que podemos aprender com isso?
Usuários mal-intencionados ou hackers sempre investigarão seu servidor em busca de possíveis vulnerabilidades de software que eles podem aproveitar para violar seu sistema. Para estar no lado seguro, sempre atualize seu software para as versões atuais para aplicar patches a quaisquer vulnerabilidades existentes.
Se você está correndo Ubuntu ou Sistemas baseados em Debian, o primeiro passo geralmente é atualizar suas listas de pacotes ou repositórios conforme mostrado.
$ sudo apt update.
Para verificar todos os pacotes com atualizações disponíveis, execute o comando:
$ sudo apt list --atualizável.
Atualize seus aplicativos de software para as versões atuais, conforme mostrado:
$ sudo apt upgrade.
Você pode concatenar esses dois em um comando, conforme mostrado.
$ sudo apt update && sudo apt update.
Para RHEL & CentOS atualize seus aplicativos executando o comando:
Atualização $ sudo dnf (CentOS 8 / RHEL 8) $ sudo yum update (versões anteriores do RHEL e CentOS)
Outra opção viável é habilitar atualizações automáticas de segurança para o Ubuntu e também configurar atualizações automáticas para CentOS / RHEL.
Apesar de seu suporte para uma infinidade de protocolos remotos, serviços legados como rlogin, telnet, TFTP e FTP podem representar enormes problemas de segurança para o seu sistema. Esses são protocolos antigos, desatualizados e inseguros, nos quais os dados são enviados em texto simples. Se já existirem, considere removê-los conforme mostrado.
Para sistemas baseados em Ubuntu / Debian, execute:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Para RHEL / CentOSsistemas baseados em, execute:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv.
Depois de remover todos os serviços inseguros, é importante escaneie seu servidor em busca de portas abertas e feche todas as portas não utilizadas que podem ser potencialmente utilizadas como ponto de entrada por hackers.
Suponha que você deseja bloquear a porta 7070 no Firewall UFW. O comando para isso será:
$ sudo ufw negar 7070 / tcp.
Em seguida, recarregue o firewall para que as alterações tenham efeito.
$ sudo ufw reload.
Para Firewalld, execute o comando:
$ sudo firewall-cmd --remove-port = 7070 / tcp --permanent.
E lembre-se de recarregar o firewall.
$ sudo firewall-cmd --reload.
Em seguida, verifique as regras de firewall conforme mostrado:
$ sudo firewall-cmd --list-all.
O protocolo SSH é um protocolo remoto que permite que você se conecte com segurança a dispositivos em uma rede. Embora seja considerado seguro, as configurações padrão não são suficientes e alguns ajustes extras são necessários para impedir ainda mais usuários mal-intencionados de violar seu sistema.
Temos um guia completo sobre como fortalecer o protocolo SSH. Aqui estão os principais destaques.
Fail2ban é um sistema de prevenção de intrusão de código aberto que protege seu servidor de ataques de força bruta. Ele protege seu sistema Linux ao banir IPs que indicam atividades maliciosas, como muitas tentativas de login. Fora da caixa, ele vem com filtros para serviços populares, como servidor web Apache, vsftpd e SSH.
Temos um guia sobre como configurar Fail2ban para fortalecer ainda mais o SSH protocolo.
Reutilizar senhas ou usar senhas fracas e simples prejudica muito a segurança do seu sistema. Você impõe uma política de senha, usa o pam_cracklib para definir ou configurar os requisitos de força da senha.
Usando o Módulo PAM, você pode definir a força da senha editando o /etc/pam.d/system-auth Arquivo. Por exemplo, você pode definir a complexidade da senha e evitar a reutilização de senhas.
Se você estiver executando um site, sempre certifique-se de proteger seu domínio usando um Certificado SSL / TLS para criptografar dados trocados entre o navegador dos usuários e o servidor da web.
Depois de criptografar seu site, considere também desabilitar os protocolos de criptografia fracos. No momento da redação deste guia, o protocolo mais recente é TLS 1.3, que é o protocolo mais comum e amplamente utilizado. Versões anteriores, como TLS 1.0, TLS 1.2 e SSLv1 a SSLv3, foram associadas a vulnerabilidades conhecidas.
[ Você pode gostar também: Como habilitar TLS 1.3 no Apache e Nginx ]
Este foi um resumo de algumas das etapas que você pode seguir para garantir a segurança e a privacidade dos dados do seu sistema Linux.