![10 สิ่งที่ต้องทำหลังจากติดตั้ง Ubuntu 12.10](/f/3cade2fc39a2b55c02c0fdc26a942661.jpg?width=100&height=100)
นับตั้งแต่เปิดตัวในช่วงต้นทศวรรษที่ 1990 Linux ได้รับความชื่นชมจากชุมชนเทคโนโลยีด้วยความเสถียร ความเก่งกาจ ความสามารถในการปรับแต่งและชุมชนขนาดใหญ่ของนักพัฒนาโอเพ่นซอร์สที่ทำงานตลอดเวลาเพื่อแก้ไขจุดบกพร่องและปรับปรุงการดำเนินงาน ระบบ. โดยทั่วไปแล้ว Linux เป็นระบบปฏิบัติการทางเลือกสำหรับคลาวด์สาธารณะ เซิร์ฟเวอร์ และซูเปอร์คอมพิวเตอร์ และเกือบ 75% ของเซิร์ฟเวอร์ที่ใช้งานจริงที่เชื่อมต่อกับอินเทอร์เน็ตทำงานบน Linux
นอกเหนือจากการเปิดเครื่องอินเทอร์เน็ตแล้ว ลินุกซ์ได้ค้นพบหนทางสู่โลกดิจิทัลและไม่เคยหยุดนิ่งตั้งแต่นั้นเป็นต้นมา มันขับเคลื่อนอุปกรณ์อัจฉริยะมากมายรวมถึงสมาร์ทโฟน Android แท็บเล็ต smartwatches สมาร์ทดิสเพลย์และอื่น ๆ อีกมากมาย
Linux ขึ้นชื่อในเรื่องความปลอดภัยระดับสูงสุด และเป็นหนึ่งในสาเหตุที่ทำให้เป็นตัวเลือกที่ชื่นชอบในสภาพแวดล้อมขององค์กร แต่นี่คือข้อเท็จจริง ไม่มีระบบปฏิบัติการใดที่ปลอดภัย 100% ผู้ใช้หลายคนเชื่อว่า Linux เป็นระบบปฏิบัติการที่เข้าใจผิดได้ ซึ่งเป็นการสันนิษฐานที่ผิด อันที่จริง ระบบปฏิบัติการใดๆ ที่มีการเชื่อมต่ออินเทอร์เน็ตมีความเสี่ยงต่อการละเมิดที่อาจเกิดขึ้นและการโจมตีของมัลแวร์
ในช่วงปีแรกๆ ลินุกซ์มีกลุ่มประชากรที่เน้นเทคโนโลยีที่เล็กกว่ามาก และความเสี่ยงที่จะได้รับผลกระทบจากการโจมตีของมัลแวร์นั้นอยู่ห่างไกล ทุกวันนี้ลินุกซ์เป็นขุมพลังของอินเทอร์เน็ตจำนวนมาก และสิ่งนี้ได้ขับเคลื่อนการเติบโตของแนวภัยคุกคาม ภัยคุกคามจากการโจมตีของมัลแวร์มีมากขึ้นกว่าเดิม
ตัวอย่างที่สมบูรณ์แบบของการโจมตีของมัลแวร์บนระบบ Linux คือ Erebus ransomwareมัลแวร์เข้ารหัสไฟล์ที่ได้รับผลกระทบเกือบ 153 เซิร์ฟเวอร์ Linux ของ NAYANA บริษัทเว็บโฮสติ้งของเกาหลีใต้
ด้วยเหตุนี้ จึงควรระมัดระวังในการทำให้ระบบปฏิบัติการแข็งแกร่งขึ้นเพื่อให้มีการรักษาความปลอดภัยที่เป็นที่ต้องการอย่างมากในการปกป้องข้อมูลของคุณ
การรักษาความปลอดภัยเซิร์ฟเวอร์ Linux ของคุณไม่ซับซ้อนอย่างที่คุณคิด เราได้รวบรวมรายชื่อนโยบายความปลอดภัยที่ดีที่สุดที่คุณต้องนำไปใช้เพื่อเพิ่มความปลอดภัยให้กับระบบของคุณและรักษาความสมบูรณ์ของข้อมูล
ในระยะเริ่มต้นของ การละเมิด Equifaxแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ที่เป็นที่รู้จักอย่างกว้างขวาง – Apache Struts – บนเว็บพอร์ทัลการร้องเรียนของลูกค้าของ Equifax
Apache Struts เป็นเฟรมเวิร์กโอเพนซอร์สสำหรับการสร้างเว็บแอปพลิเคชัน Java ที่ทันสมัยและสวยงามซึ่งพัฒนาโดย Apache Foundation มูลนิธิได้ออกโปรแกรมแก้ไขเพื่อแก้ไขช่องโหว่เมื่อวันที่ 7 มีนาคม 2017 และออกแถลงการณ์ถึงผลกระทบดังกล่าว
Equifax ได้รับแจ้งถึงช่องโหว่ดังกล่าวและแนะนำให้แก้ไขแอปพลิเคชัน แต่น่าเสียดายที่ช่องโหว่ดังกล่าวยังไม่ได้รับการแก้ไขจนถึงเดือนกรกฎาคมของปีเดียวกัน ซึ่งถือว่าสายเกินไป ผู้โจมตีสามารถเข้าถึงเครือข่ายของบริษัทและดึงข้อมูลลูกค้าที่เป็นความลับนับล้านออกจากฐานข้อมูล เมื่อถึงเวลาที่ Equifax ทราบถึงสิ่งที่เกิดขึ้น สองเดือนผ่านไปแล้ว
แล้วเราจะเรียนรู้อะไรจากสิ่งนี้ได้บ้าง?
ผู้ใช้หรือแฮกเกอร์ที่เป็นอันตรายจะตรวจสอบเซิร์ฟเวอร์ของคุณเสมอเพื่อหาช่องโหว่ของซอฟต์แวร์ที่อาจเกิดขึ้น ซึ่งพวกเขาสามารถใช้ประโยชน์จากการละเมิดระบบของคุณได้ เพื่อความปลอดภัย ให้อัปเดตซอฟต์แวร์ของคุณเป็นเวอร์ชันปัจจุบันเสมอเพื่อใช้แพตช์กับช่องโหว่ที่มีอยู่
หากคุณกำลังวิ่ง อูบุนตู หรือ ระบบที่ใช้เดเบียนขั้นตอนแรกมักจะอัปเดตรายการแพ็คเกจหรือที่เก็บของคุณตามที่แสดง
$ sudo apt อัปเดต
หากต้องการตรวจสอบแพ็กเกจทั้งหมดที่มีการอัพเดต ให้รันคำสั่ง:
$ sudo apt list -- อัพเกรดได้
อัปเกรดแอปพลิเคชันซอฟต์แวร์ของคุณเป็นเวอร์ชันปัจจุบันดังที่แสดง:
$ sudo ฉลาดอัพเกรด
คุณสามารถเชื่อมสองสิ่งนี้เข้าด้วยกันในคำสั่งเดียวดังที่แสดง
$ sudo apt update && sudo apt อัปเกรด
สำหรับ เรเอล & CentOS อัปเกรดแอปพลิเคชันของคุณโดยเรียกใช้คำสั่ง:
$ sudo dnf อัปเดต ( CentOS 8 / RHEL 8) $ sudo yum update ( เวอร์ชันก่อนหน้าของ RHEL & CentOS )
อีกทางเลือกหนึ่งคือ เปิดใช้งานการอัปเดตความปลอดภัยอัตโนมัติสำหรับ Ubuntu และนอกจากนี้ยังมี ตั้งค่าการอัปเดตอัตโนมัติสำหรับ CentOS / RHEL.
แม้จะรองรับโปรโตคอลระยะไกลมากมาย แต่บริการดั้งเดิม เช่น rlogin, telnet, TFTP และ FTP อาจก่อให้เกิดปัญหาด้านความปลอดภัยขนาดใหญ่สำหรับระบบของคุณ โปรโตคอลเหล่านี้เป็นโปรโตคอลที่เก่า ล้าสมัย และไม่ปลอดภัย ซึ่งข้อมูลจะถูกส่งเป็นข้อความธรรมดา หากมีอยู่แล้ว ให้พิจารณาลบออกตามที่แสดง
สำหรับระบบที่ใช้ Ubuntu / Debian ให้ดำเนินการ:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-เซิร์ฟเวอร์
สำหรับ เรเอล / CentOS-ตามระบบ ดำเนินการ:
$ sudo yum ลบ xinetd tftp-server telnet-server rsh-server ypserv
เมื่อคุณได้ลบบริการที่ไม่ปลอดภัยทั้งหมดแล้ว สิ่งสำคัญคือ สแกนเซิร์ฟเวอร์ของคุณเพื่อหาพอร์ตที่เปิดอยู่ และปิดพอร์ตที่ไม่ได้ใช้ซึ่งแฮกเกอร์สามารถใช้จุดเริ่มต้นได้
สมมติว่าคุณต้องการบล็อกพอร์ต 7070 บน ไฟร์วอลล์ UFW. คำสั่งสำหรับสิ่งนี้จะเป็น:
$ sudo ufw ปฏิเสธ 7070/tcp
จากนั้นโหลดไฟร์วอลล์ใหม่เพื่อให้การเปลี่ยนแปลงมีผล
$ sudo ufw โหลดซ้ำ
สำหรับ ไฟร์วอลล์, รันคำสั่ง:
$ sudo firewall-cmd --remove-port=7070/tcp --permanent.jpg --remove-port=7070/tcp -- ถาวร
และอย่าลืมโหลดไฟร์วอลล์ใหม่
$ sudo firewall-cmd --reload.dll
จากนั้นตรวจสอบกฎไฟร์วอลล์ตามที่แสดง:
$ sudo firewall-cmd --list-all.
โปรโตคอล SSH เป็นโปรโตคอลระยะไกลที่ให้คุณเชื่อมต่อกับอุปกรณ์บนเครือข่ายได้อย่างปลอดภัย แม้ว่าระบบจะถือว่าปลอดภัย แต่การตั้งค่าเริ่มต้นยังไม่เพียงพอ และจำเป็นต้องมีการปรับแต่งเพิ่มเติมเพื่อป้องกันไม่ให้ผู้ใช้ที่ประสงค์ร้ายละเมิดระบบของคุณ
เรามีคำแนะนำที่ครอบคลุมเกี่ยวกับ วิธีทำให้โปรโตคอล SSH แข็งขึ้น. นี่คือไฮไลท์หลัก
Fail2ban เป็นระบบป้องกันการบุกรุกแบบโอเพนซอร์สที่ปกป้องเซิร์ฟเวอร์ของคุณจากการโจมตีแบบเดรัจฉาน ปกป้องระบบ Linux ของคุณโดยห้าม IP ที่ระบุกิจกรรมที่เป็นอันตรายเช่น พยายามเข้าสู่ระบบมากเกินไป. มาพร้อมตัวกรองสำหรับบริการยอดนิยม เช่น เว็บเซิร์ฟเวอร์ Apache, vsftpd และ SSH เมื่อแกะกล่อง
เรามีคู่มือวิธีการ กำหนดค่า Fail2ban เพื่อเสริมความแข็งแกร่งให้กับ SSH มาตรการ.
การใช้รหัสผ่านซ้ำหรือใช้รหัสผ่านที่ไม่รัดกุมและเรียบง่ายจะบ่อนทำลายความปลอดภัยของระบบของคุณอย่างมาก คุณบังคับใช้นโยบายรหัสผ่าน ใช้ pam_cracklib เพื่อตั้งค่าหรือกำหนดค่าข้อกำหนดความเข้มงวดของรหัสผ่าน
ใช้ โมดูล PAMคุณสามารถกำหนดระดับความปลอดภัยของรหัสผ่านได้โดยการแก้ไข /etc/pam.d/system-auth ไฟล์. ตัวอย่างเช่น คุณสามารถตั้งค่าความซับซ้อนของรหัสผ่านและป้องกันการใช้รหัสผ่านซ้ำ
หากคุณกำลังใช้งานเว็บไซต์ ตรวจสอบให้แน่ใจเสมอว่าได้รักษาความปลอดภัยโดเมนของคุณโดยใช้ ใบรับรอง SSL/TLS เพื่อเข้ารหัสข้อมูลที่แลกเปลี่ยนระหว่างเบราว์เซอร์ของผู้ใช้และเว็บเซิร์ฟเวอร์
เมื่อคุณเข้ารหัสไซต์ของคุณแล้ว ให้พิจารณาปิดใช้งานโปรโตคอลการเข้ารหัสที่อ่อนแอด้วย ในขณะที่เขียนคู่มือนี้ โปรโตคอลล่าสุดคือ TLS 1.3ซึ่งเป็นโปรโตคอลที่ใช้กันทั่วไปมากที่สุด เวอร์ชันก่อนหน้า เช่น TLS 1.0, TLS 1.2 และ SSLv1 ถึง SSLv3 เชื่อมโยงกับช่องโหว่ที่ทราบ
[ คุณอาจชอบ: วิธีเปิดใช้งาน TLS 1.3 ใน Apache และ Nginx ]
นั่นคือบทสรุปของขั้นตอนบางอย่างที่คุณสามารถทำได้เพื่อรับรองความปลอดภัยของข้อมูลและความเป็นส่วนตัวสำหรับระบบ Linux ของคุณ