To hovorí každý Linux je predvolene zabezpečený a do určitej miery schválený (sú to diskutabilné témy). Linux však má predvolene zavedený model zabezpečenia. Je potrebné ho vyladiť a prispôsobiť podľa vašich potrieb, čo môže prispieť k zvýšeniu bezpečnosti systému. Linux je ťažšie spravovať, ale ponúka väčšiu flexibilitu a možnosti konfigurácie.
Zabezpečenie systému vo výrobe z rúk hackeri a krekry je náročná úloha pre a Systémový administrátor. Toto je náš prvý článok o „Ako zabezpečiť box Linux“Alebo„Vytvrdzovanie Linuxovej skrinky“. V tomto príspevku vysvetlíme 25 užitočných tipov a trikov na zabezpečenie systému Linux. Dúfam, že nižšie uvedené tipy a triky vám pomôžu rozšíriť zabezpečenie vášho systému.
Nakonfigurujte BIOS zakázať bootovanie z CD/DVD, Externé zariadenia, Disketová mechanika v BIOS. Ďalej povoľte BIOS heslo a tiež chrániť GRUB s heslom obmedzujúcim fyzický prístup k vášmu systému.
Je dôležité mať rôzne oddiely, aby ste získali vyššie zabezpečenie údajov v prípade, že dôjde k katastrofe. Vytvorením rôznych oddielov je možné údaje oddeliť a zoskupiť. Keď dôjde k neočakávanej nehode, poškodia sa iba údaje z tohto oddielu, zatiaľ čo údaje o ostatných oddieloch zostanú zachované. Uistite sa, že máte nasledujúce oddelené oddiely, a uistite sa, že aplikácie tretích strán by mali byť nainštalované na oddelených súborových systémoch pod /opt.
/ /boot. /usr. /var. /home. /tmp. /opt
Naozaj chcete mať nainštalované všetky druhy služieb?. Odporúča sa vyhnúť sa inštalácii zbytočných balíkov, aby ste sa vyhli chybám balíkov. To môže minimalizovať riziko, že kompromitácia jednej služby môže viesť k ohrozeniu ostatných služieb. Nájdite a odstráňte alebo deaktivujte nechcené služby zo servera, aby ste minimalizovali zraniteľnosť. Použi 'chkconfig„Príkaz na zistenie spustených služieb úroveň behu 3.
# /sbin /chkconfig --list | grep '3: on'
Akonáhle zistíte, že sú spustené všetky nechcené služby, deaktivujte ich pomocou nasledujúceho príkazu.
# chkconfig serviceNázov je vypnuté
Použi Ot./min správca balíkov, ako napríklad „mňam“Alebo„výstižný”Nástroje na zoznam všetkých nainštalovaných balíkov v systéme a ich odstránenie pomocou nasledujúceho príkazu.
# yum -y odstrániť názov balíka
# sudo apt-get odstrániť názov balíka
S pomocou 'netstat„Sieťový príkaz môžete zobraziť všetky otvorené porty a súvisiace programy. Ako som povedal vyššie, použite „chkconfig„Príkaz na zakázanie všetkých nechcených sieťových služieb zo systému.
# netstat -tulpn
Telnet a rlogin protokoly používajú čistý text, nie šifrovaný formát, čo je narušenie bezpečnosti. SSH je bezpečný protokol, ktorý pri komunikácii so serverom používa technológiu šifrovania.
Nikdy sa neprihlasujte priamo ako koreň pokiaľ to nie je nevyhnutné. Použite „sudo”Na vykonávanie príkazov. sudo sú špecifikované v /etc/sudoers súbor je možné tiež upravovať pomocou „visudo”Nástroj, ktorý sa otvorí v VI editor.
Odporúča sa tiež zmeniť predvolené nastavenie SSH 22 číslo portu s iným číslom portu vyššej úrovne. Otvorte hlavné SSH konfiguračný súbor a vykonajte nasledujúce parametre na obmedzenie prístupu používateľov.
# vi/etc/ssh/sshd_config
PermitRootLogin č
AllowUsers užívateľské meno
Protokol 2
Vždy, keď je k dispozícii, majte systém vždy aktualizovaný o najnovšie opravy, opravy zabezpečenia a jadro.
# mňam aktualizácií. # yum kontrola-aktualizácia
Cron má vlastnú vstavanú funkciu, kde umožňuje určiť, kto môže a kto nechce vykonávať úlohy. Toto je riadené používaním súborov s názvom /etc/cron.allow a /etc/cron.deny. Ak chcete používateľa uzamknúť pomocou programu cron, jednoducho doň zadajte používateľské mená cron.deny a aby používateľ mohol spustiť cron add in cron.allow súbor. Ak chcete zakázať všetkým používateľom používať cron, zadajte „VŠETKY‘Linka na cron.deny súbor.
# echo ALL >>/etc/cron.deny
Mnohokrát sa stane, že chceme používateľom obmedziť používanie USB držať v systémoch na ochranu a zabezpečenie údajov pred krádežou. Vytvoriť súbor „/etc/modprobe.d/no-usb“A pridanie pod riadok sa nezistí USB skladovanie.
nainštalujte usb-storage /bin /true
Zabezpečený Linux (SELinux) je povinný bezpečnostný mechanizmus riadenia prístupu poskytovaný v jadre. Deaktivácia SELinux znamená odstránenie bezpečnostného mechanizmu zo systému. Pred odstránením si dvakrát dobre premyslite, či je váš systém pripojený k internetu a má prístup verejnosť, potom sa nad ním ešte zamyslite.
SELinux poskytuje tri základné režimy prevádzky a sú.
Môžete si zobraziť aktuálny stav SELinux režim z príkazového riadka pomocou príkazu „system-config-selinux‘, ‘posilniť“Alebo„sestatus‘Príkazy.
# sestatus
Ak je vypnutý, povoľte ho SELinux pomocou nasledujúceho príkazu.
# setenforce presadzovanie
Dá sa tiež spravovať z „/etc/selinux/config‘, Kde ho môžete povoliť alebo zakázať.
Behať netreba X okno desktopy ako KDE alebo GNOME na tvojom oddanom LAMPA server. Môžete ich odstrániť alebo zakázať, aby ste zvýšili bezpečnosť servera a výkon. Ak chcete jednoducho zakázať, otvorte súbor „/etc/inittab“A nastavte úroveň behu na 3. Ak ho chcete úplne odstrániť zo systému, použite nasledujúci príkaz.
# yum groupremove "X Window System"
Ak nepoužívate a IPv6 protokol, mali by ste ho vypnúť, pretože väčšina aplikácií alebo politík nie je potrebná IPv6 protokol a v súčasnosti to na serveri nie je potrebné. Prejdite na konfiguračný súbor siete a deaktivujte ho pridaním nasledujúcich riadkov.
# vi/etc/sysconfig/network
NETWORKING_IPV6 = č. IPV6INIT = č
Je to veľmi užitočné, ak chcete používateľom zakázať používať rovnaké staré heslá. Starý súbor s heslom sa nachádza na adrese /etc/security/opasswd. To sa dá dosiahnuť použitím PAM modul.
Otvorené '/etc/pam.d/system-auth„Súbor pod RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Otvorené „/Etc/pam.d/common-password„Súbor pod Mincovňa Ubuntu/Debian/Linux.
# vi /etc/pam.d/common-password
Pridajte nasledujúci riadok do „autoriz‘Sekcia.
auth dostatočné pam_unix.so ako krásna nullok
Pridajte nasledujúci riadok do „heslo„Časť, ktorá zabráni používateľovi opakovane používať naposledy 5 jeho heslo.
dostatočné heslo pam_unix.so nullok use_authtok md5 tieň zapamätať = 5
Len posledný 5 heslá si server pamätá. Ak ste sa pokúsili použiť niektorý z posledných 5 staré heslá, zobrazí sa chyba ako.
Heslo už bolo použité. Vyberte inú.
V systéme Linux sú heslá používateľov uložené v priečinku „/etc/shadow„Súbor v šifrovanom formáte. Ak chcete skontrolovať vypršanie platnosti hesla používateľov, musíte použiť príkaz „Čarodejnica‘Príkaz. Zobrazuje informácie o vypršaní platnosti hesla spolu s dátumom poslednej zmeny hesla. Tieto podrobnosti používa systém na rozhodnutie, kedy si používateľ musí zmeniť heslo.
Ak chcete zobraziť akékoľvek informácie o starnutí existujúceho používateľa, ako napr dátum spotreby a čas, použite nasledujúci príkaz.
#chage -l používateľské meno
Ak chcete zmeniť starnutie hesla ktoréhokoľvek používateľa, použite nasledujúci príkaz.
#chage -M 60 používateľské meno. #chage -M 60 -m 7 -W 7 užívateľské meno
Veľmi užitočné sú funkcie zamykania a odomykania, namiesto odstránenia účtu zo systému ho môžete zamknúť na týždeň alebo mesiac. Na uzamknutie konkrétneho používateľa môžete použiť nasledujúci príkaz.
# passwd -l accountName
Poznámka: Uzamknutý používateľ je stále k dispozícii pre koreň iba užívateľ. Uzamknutie sa vykoná nahradením šifrovaného hesla za (!) reťazec. Ak sa niekto pokúsi o prístup do systému pomocou tohto účtu, zobrazí sa chyba podobná nižšie.
# su - meno účtu. Tento účet nie je momentálne k dispozícii.
Ak chcete odomknúť alebo povoliť prístup k uzamknutému účtu, použite príkaz ako. Tým sa odstráni (!) reťazec so zašifrovaným heslom.
# passwd -u účetMeno
Mnoho používateľov používa mäkké alebo slabé heslá a ich heslo môže byť napadnuté kódom založené na slovníku alebo hrubou silou útoky. „pam_cracklib„Modul je k dispozícii v PAM (Pripojiteľné autentifikačné moduly) modul, ktorý prinúti užívateľa nastaviť silné heslá. Otvorte nasledujúci súbor pomocou editora.
Prečítajte si tiež:
# vi /etc/pam.d/system-auth
A pridajte riadok pomocou parametrov kreditu ako (úver, ucredit, dcredit a/alebo uznať respektíve malé písmená, veľké písmená, číslice a ďalšie)
/lib/security/$ISA/pam_cracklib.so zopakovať = 3 minlen = 8 lredit = -1 ucredit = -2 dcredit = -2 ocredit = -1
Dôrazne sa odporúča povoliť Linux firewall zaistiť neoprávnený prístup k vašim serverom. Použiť pravidlá v iptables do filtrov prichádzajúci, vychádzajúce a preposielanie pakety. Môžeme špecifikovať zdrojovú a cieľovú adresu, ktorá má byť povolená a odmietnutá udp/tcp číslo portu.
Vo väčšine distribúcií Linuxu stlačením klávesu „CTRL-ALT-DELETE “ váš systém reštartuje. Nie je preto dobré mať túto možnosť povolenú aspoň na produkčných serveroch, ak to niekto omylom urobí.
Toto je definované v „/etc/inittab„Súbor, ak sa na tento súbor pozriete pozorne, uvidíte riadok podobný nižšie. Štandardne nie je riadok komentovaný. Musíme to komentovať. Táto konkrétna signalizácia sekvencie klávesov vypne systém.
# Trap CTRL-ALT-DELETE. #ca:: ctrlaltdel:/sbin/shutdown -t3 -r now
Každý účet s prázdnym heslom znamená, že je otvorený pre neoprávnený prístup komukoľvek na webe a je súčasťou zabezpečenia na serveri Linux. Musíte sa teda uistiť, že všetky účty majú silné heslá a nikto nemá oprávnený prístup. Účty s prázdnymi heslami predstavujú bezpečnostné riziká a dajú sa ľahko hacknúť. Ak chcete skontrolovať, či existujú účty s prázdnym heslom, použite nasledujúci príkaz.
# mačka /etc /tieň | awk -F: '($ 2 == "") {print $ 1}'
Pred autentifikáciou SSH je vždy lepšie mať legálny banner alebo bezpečnostné bannery s bezpečnostnými upozorneniami. Ak chcete nastaviť takéto bannery, prečítajte si nasledujúci článok.
Ak máte do činenia s veľkým počtom používateľov, je dôležité zhromaždiť informácie o jednotlivých aktivitách používateľov a nimi spotrebované procesy a analyzovať ich neskôr alebo v prípade akéhokoľvek výkonu, zabezpečenia problémy. Ako však môžeme monitorovať a zhromažďovať informácie o aktivitách používateľov.
Existujú dva užitočné nástroje s názvom „psacct“A„akct„Sa používajú na monitorovanie aktivít a procesov používateľov v systéme. Tieto nástroje bežia na pozadí systému a nepretržite sledujú každú aktivitu používateľa v systéme a zdroje spotrebované službami, ako napr Apache, MySQL, SSH, FTP, atď. Ďalšie informácie o inštalácii, konfigurácii a použití nájdete na nižšie uvedenej adrese URL.
Presúvajte protokoly na vyhradený server protokolov, čo môže brániť útočníkom v jednoduchej úprave lokálnych protokolov. Nasleduje bežný názov predvoleného súboru denníka Linux a jeho použitie:
V produkčnom systéme je potrebné zálohovať dôležité súbory a uložiť ich v trezore, na vzdialenom mieste alebo mimo pracoviska na obnovu po haváriách.
Existujú dva typy režimu NIC lepenie, je potrebné spomenúť v rozhraní lepenia.
Lepenie NIC pomáha nám vyhnúť sa jednému bodu zlyhania. V NIC lepenie, spájame dve alebo viac Sieťové ethernetové karty dohromady a vytvoríme jedno virtuálne rozhranie, ktoré môžeme priradiť IP adresa na rozhovor s inými servermi. V prípade jedného bude naša sieť k dispozícii Karta NIC je nefunkčný alebo nedostupný z akéhokoľvek dôvodu.
Prečítajte si tiež: Vytvorte väzbu kanálov NIC v systéme Linux
Linuxové jadro a súvisiace súbory sú vo formáte /boot adresár, ktorý je predvolene ako čítaj píš. Zmena na iba na čítanie znižuje riziko neoprávnenej úpravy kritických zavádzacích súborov. Ak to chcete urobiť, otvorte „/etc/fstab”Súbor.
# vi /etc /fstab
V spodnej časti pridajte nasledujúci riadok, uložte ho a zatvorte.
LABEL = /boot /boot ext2 predvolené, ro 1 2
Upozorňujeme, že ak budete v budúcnosti potrebovať aktualizovať jadro, musíte zmenu zmeniť na čítanie a zápis.
Pridajte nasledujúci riadok do „/etc/sysctl.conf”Ignorovať ping alebo vysielanie žiadosť.
Ignorovať požiadavku ICMP: net.ipv4.icmp_echo_ignore_all = 1 Ignorovať požiadavku na vysielanie: net.ipv4.icmp_echo_ignore_broadcasts = 1
Načítajte nové nastavenia alebo zmeny spustením nasledujúceho príkazu
#sysctl -p
Ak ste vo vyššie uvedenom zozname vynechali nejaký dôležitý tip na zabezpečenie alebo kalenie alebo ak máte iný tip, ktorý musí byť v zozname zahrnutý. Napíšte svoje pripomienky do nášho poľa pre komentáre. TecMint vždy má záujem dostávať pripomienky, návrhy a diskusie na zlepšenie.