![Kako očistiti neželene datoteke v sistemu Windows 11/10](/f/1fd737831066982424a4eee37d4264b5.jpg?width=100&height=100)
To vsi pravijo Linux je privzeto varen in se do neke mere strinja (To so sporne teme). Vendar ima Linux privzeto vzpostavljen vgrajen varnostni model. Morate ga prilagoditi in prilagoditi glede na vaše potrebe, kar lahko pomaga narediti bolj varen sistem. Linux je težje upravljati, vendar ponuja več prilagodljivosti in možnosti konfiguracije.
Zaščita sistema v proizvodnji iz rok hekerji in krekerji je zahtevna naloga za a Sistemski administrator. To je naš prvi članek, povezan z »Kako zavarovati Linux box"Ali"Utrjevanje Linux Box -a“. V tem prispevku bomo razložili 25 koristnih nasvetov in trikov za zaščito vašega sistema Linux. Upam, da vam bodo spodnji nasveti in triki pomagali pri zaščiti sistema.
Konfigurirajte BIOS onemogočiti zagon iz CD/DVD, Zunanje naprave, Disketni pogon v BIOS. Nato omogočite BIOS geslo in tudi zaščito GRUB z geslom za omejitev fizičnega dostopa do vašega sistema.
Pomembno je, da imate različne particije za večjo varnost podatkov, če pride do kakšne katastrofe. Z ustvarjanjem različnih particij je mogoče ločiti in združiti podatke. Ko pride do nepričakovane nesreče, bodo poškodovani samo podatki te particije, podatki o drugih particijah pa so ostali živi. Prepričajte se, da morate imeti naslednje ločene particije in da morajo biti aplikacije tretjih oseb nameščene v ločenih datotečnih sistemih pod /opt.
/ /boot. /usr. /var. /home. /tmp. /opt
Ali res želite namestiti vse vrste storitev?. Priporočljivo je, da se izognete nameščanju neuporabnih paketov, da se izognete ranljivostim v paketih. To lahko zmanjša tveganje, da bi kompromis ene storitve povzročil kompromis drugih storitev. Poiščite in odstranite ali onemogočite neželene storitve s strežnika, da zmanjšate ranljivost. Uporabi 'chkconfig'Ukaz za iskanje storitev, ki se izvajajo stopnja teka 3.
# /sbin /chkconfig --list | grep '3: on'
Ko ugotovite, da se izvajajo neželene storitve, jih onemogočite z naslednjim ukazom.
# chkconfig serviceName izklopljeno
Uporabi RPM upravitelj paketov, kot je »yum"Ali"apt-get”Orodja za seznam vseh nameščenih paketov v sistemu in jih odstranite z naslednjim ukazom.
# yum -y odstrani ime -paketa
# sudo apt-get odstranite ime paketa
S pomočjo 'netstat'Omrežni ukaz, si lahko ogledate vsa odprta vrata in povezane programe. Kot sem rekel zgoraj, uporabite "chkconfig‘Ukaz za onemogočanje vseh neželenih omrežnih storitev iz sistema.
# netstat -tulpn
Telnet in rlogin protokoli uporablja navadno besedilo, ne šifrirano obliko, kar je kršitev varnosti. SSH je varen protokol, ki uporablja tehnologijo šifriranja med komunikacijo s strežnikom.
Nikoli se ne prijavite neposredno kot koren razen če je potrebno. Uporaba "sudo”Za izvajanje ukazov. sudo so navedene v /etc/sudoers datoteko lahko uredite tudi z napisom »visudo”, Ki se odpre v VI urednik.
Priporočljivo je tudi spremeniti privzeto SSH 22 številka vrat z drugo številko vrat višje ravni. Odprite glavno SSH konfiguracijsko datoteko in naredite nekaj naslednjih parametrov, da uporabnikom omejite dostop.
# vi/etc/ssh/sshd_config
PermitRootLogin št
Uporabniško ime AllowUsers
Protokol 2
Ko je na voljo, sisteme vedno posodabljajte z najnovejšimi popravki, varnostnimi popravki in jedrom.
# yum posodobitve. # yum check-update
Cron ima lastno vgrajeno funkcijo, kjer omogoča, da določite, kdo sme in kdo ne želi opravljati nalog. To nadzira uporaba datotek, imenovanih /etc/cron.allow in /etc/cron.deny. Če želite zakleniti uporabnika z uporabo cron, preprosto dodajte uporabniška imena cron.deny in uporabniku omogočiti, da zažene dodatek cron cron.allow mapa. Če želite vsem uporabnikom onemogočiti uporabo crona, dodajte »VSE'Vrstica do cron.deny mapa.
# echo ALL >>/etc/cron.deny
Velikokrat se zgodi, da želimo uporabnikom omejiti uporabo USB vključite sisteme za zaščito in zaščito podatkov pred krajo. Ustvari datoteko "/etc/modprobe.d/no-usb"In dodajanje spodnje vrstice ne bo zaznalo USB shranjevanje.
namestite usb-storage /bin /true
Linux z varnostjo (SELinux) je obvezen varnostni mehanizem za nadzor dostopa, ki je na voljo v jedru. Onemogočanje SELinux pomeni odstranitev varnostnega mehanizma iz sistema. Preden odstranite sistem, dobro premislite. Če je vaš sistem povezan z internetom in do njega dostopa javnost, potem razmislite še o tem.
SELinux ponuja tri osnovne načine delovanja in so.
Ogledate si lahko trenutno stanje SELinux način iz ukazne vrstice z uporabo 'system-config-selinux‘, ‘getenforce'Ali'sedež'Ukazi.
# sestatus
Če je onemogočen, omogočite SELinux z uporabo naslednjega ukaza.
# setenforce uveljavljanje
Upravljati ga je mogoče tudi iz '/etc/selinux/config‘Datoteko, kjer jo lahko omogočite ali onemogočite.
Ni treba teči X okno namizni računalniki KDE ali GNOME na vaš namenski SVETILKA strežnika. Če želite povečati varnost strežnika in zmogljivost, jih lahko odstranite ali onemogočite. Če želite onemogočiti preprosto, odprite datoteko "/etc/inittab'In nastavite raven teka na 3. Če ga želite popolnoma odstraniti iz sistema, uporabite spodnji ukaz.
# yum groupremove "X Window System"
Če ne uporabljate a IPv6 protokol, potem ga onemogočite, ker večina aplikacij ali pravilnikov ni potrebna IPv6 protokola in trenutno ni potreben na strežniku. Pojdite na konfiguracijsko datoteko omrežja in dodajte naslednje vrstice, da jo onemogočite.
# vi/etc/sysconfig/network
NETWORKING_IPV6 = ne. IPV6INIT = ne
To je zelo uporabno, če želite uporabnikom preprečiti uporabo istih starih gesel. Datoteka starega gesla se nahaja na naslovu /etc/security/opasswd. To je mogoče doseči z uporabo PAM modul.
Odprto '/etc/pam.d/system-auth'Datoteka pod RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Odprto ‘/Etc/pam.d/common-password'Datoteka pod Ubuntu/Debian/Linux Mint.
# vi /etc/pam.d/common-password
Naslednjo vrstico dodajte v »avt‘Oddelek.
auth zadostna količina pam_unix.tako všeč nutlok
Naslednjo vrstico dodajte v »geslo", Da uporabniku preprečite ponovno uporabo zadnje 5 njegovo geslo.
zadostno geslo pam_unix.so nullok use_authtok md5 shadow remember = 5
Samo zadnji 5 gesla si zapomni strežnik. Če ste poskušali uporabiti katerega od zadnjih 5 stara gesla, boste dobili napako, kot je.
Geslo je že uporabljeno. Izberite drugo.
V Linuxu so uporabniška gesla shranjena v »/etc/shadow"Datoteka v šifrirani obliki. Če želite preveriti rok uporabnikovega gesla, uporabite »chage‘Ukaz. Prikazuje podatke o poteku veljavnosti gesla skupaj z datumom zadnje spremembe gesla. Te podatke sistem uporabi za odločanje, kdaj mora uporabnik spremeniti svoje geslo.
Če si želite ogledati vse podatke o staranju obstoječih uporabnikov, kot je npr rok uporabnosti in čas, uporabite naslednji ukaz.
#chage -l uporabniško ime
Če želite spremeniti staranje gesla katerega koli uporabnika, uporabite naslednji ukaz.
#chage -M 60 uporabniško ime. #chage -M 60 -m 7 -W 7 userName
Funkcije zaklepanja in odklepanja so zelo uporabne, namesto da odstranite račun iz sistema, ga lahko zaklenete za teden ali mesec. Za zaklepanje določenega uporabnika lahko uporabite ukaz follow.
# passwd -l ime računa
Opomba: Zaklenjeni uporabnik je še vedno na voljo za koren samo uporabnik. Zaklepanje se izvede z zamenjavo šifriranega gesla z (!) vrvica. Če nekdo poskuša dostopati do sistema s tem računom, bo dobil napako, podobno spodnji.
# su - ime računa. Ta račun trenutno ni na voljo.
Če želite odkleniti ali omogočiti dostop do zaklenjenega računa, uporabite ukaz kot. S tem boste odstranili (!) niz s šifriranim geslom.
# passwd -u ime računa
Številni uporabniki uporabljajo mehka ali šibka gesla in njihovo geslo je lahko vdrto z temelji na slovarju ali brutalna sila napadi. The ‘pam_cracklib'Modul je na voljo v PAM (Priključni moduli za preverjanje pristnosti) sklad modulov, ki uporabnika prisili, da nastavi močna gesla. Odprite naslednjo datoteko z urejevalnikom.
Preberite tudi:
# vi /etc/pam.d/system-auth
In dodajte vrstico s kreditnimi parametri kot (kredit, ukredit, dcredit in/ali ocredit male, velike, števke in drugo)
/lib/security/$ISA/pam_cracklib.so poskusite znova = 3 minlen = 8 lkredit = -1 ucredit = -2 dcredit = -2 ocredit = -1
Zelo priporočljivo je omogočiti Linux požarni zid za zagotovitev nepooblaščenega dostopa do vaših strežnikov. Uporabite pravila v iptables do filtrov dohodni, odhodni in posredovanje paketi. Določimo lahko izvorni in ciljni naslov, ki ga lahko dovolimo in zavrnemo udp/tcp številka vrat.
V večini distribucij Linuxa pritisnete »CTRL-ALT-DELETE ' bo vaš sistem znova zagnal proces. Torej, ni dobro, če bi to možnost omogočili vsaj na produkcijskih strežnikih, če to kdo pomotoma stori.
To je opredeljeno v "/etc/inittab‘File, če natančno pogledate to datoteko, boste videli vrstico, podobno spodnji. Vrstica privzeto ni komentirana. To moramo komentirati. Ta posebna signalizacija zaporedja tipk bo zaustavila sistem.
# Pasti CTRL-ALT-DELETE. #ca:: ctrlaltdel:/sbin/shutdown -t3 -r zdaj
Vsak račun s praznim geslom pomeni, da je odprt za nepooblaščen dostop do vseh v spletu in je del varnosti v strežniku Linux. Zato se morate prepričati, da imajo vsi računi močna gesla in da nihče nima pooblaščenega dostopa. Prazni računi za gesla so varnostno tveganje in jih je mogoče zlahka vdreti. Če želite preveriti, ali obstaja račun s praznim geslom, uporabite naslednji ukaz.
# mačka /etc /shadow | awk -F: '($ 2 == "") {print $ 1}'
Pred preverjanjem pristnosti SSH je vedno bolje imeti zakonsko ali varnostno pasico z nekaj varnostnimi opozorili. Če želite nastaviti takšne pasice, preberite naslednji članek.
Če imate opravka z veliko uporabniki, je pomembno, da zberete podatke o dejavnostih vsakega uporabnika in procesi, ki jih porabijo, in jih analizirajo pozneje ali v primeru, če obstaja kakšna izvedba, varnost vprašanja. Kako pa lahko spremljamo in zbiramo podatke o dejavnostih uporabnikov.
Obstajata dve uporabni orodji, imenovani "psacct'In'acct„Se uporabljajo za spremljanje dejavnosti in procesov uporabnikov v sistemu. Ta orodja se izvajajo v ozadju sistema in nenehno spremljajo vsako aktivnost uporabnika v sistemu in vire, ki jih porabijo storitve, kot so Apache, MySQL, SSH, FTPitd. Za več informacij o namestitvi, konfiguraciji in uporabi obiščite spodnji URL.
Premaknite dnevnike v namenski strežnik dnevnikov, to lahko prepreči vsiljivcem enostavno spreminjanje lokalnih dnevnikov. Spodaj so imena skupnih privzetih datotek dnevnika Linux in njihova uporaba:
V proizvodnem sistemu je treba varnostne kopije vzeti in jih hraniti v varnostnem trezorju, na oddaljenem spletnem mestu ali zunaj mesta za obnovo po nesrečah.
Obstajata dve vrsti načina NIC povezovanje, je treba omeniti v vmesniku za lepljenje.
Lepljenje NIC nam pomaga, da se izognemo eni točki okvare. V NIC povezujemo, vežemo dva ali več Omrežne kartice Ethernet skupaj in naredimo en sam virtualni vmesnik, ki ga lahko dodelimo IP naslov za pogovor z drugimi strežniki. Naše omrežje bo na voljo v primeru enega NIC kartica je zaradi kakršnega koli razloga pokvarjen ali nedosegljiv.
Preberite tudi: Ustvarite povezavo kanalov NIC v Linuxu
Jedro Linuxa in z njim povezane datoteke so /boot imenik, ki je privzeto kot brati, pisati. Spreminjanje v le za branje zmanjšuje tveganje nepooblaščene spremembe kritičnih zagonskih datotek. Če želite to narediti, odprite »/etc/fstab" mapa.
# vi /etc /fstab
Spodaj dodajte naslednjo vrstico, jo shranite in zaprite.
LABEL = /boot /boot ext2 privzeto, ro 1 2
Upoštevajte, da morate spremembo ponastaviti na branje-pisanje, če morate v prihodnosti nadgraditi jedro.
Dodajte naslednjo vrstico v “/etc/sysctl.conf”, Ki ga želite prezreti ping ali oddajanje prošnja.
Prezri zahtevo ICMP: net.ipv4.icmp_echo_ignore_all = 1 Prezri zahtevo za oddajanje: net.ipv4.icmp_echo_ignore_broadcasts = 1
Naložite nove nastavitve ali spremembe tako, da zaženete naslednji ukaz
#sysctl -p
Če ste na zgornjem seznamu spregledali kakšen pomemben nasvet glede varnosti ali utrjevanja ali imate kateri koli drug namig, ki ga je treba vključiti na seznam. Prosimo, da svoje komentarje vnesete v polje za komentarje. TecMint vedno zanima prejemanje pripomb, predlogov in razprav za izboljšave.