10 savjeta za učvršćivanje Linuxa za početnike SysAdmins

Linux sustavi su dizajnerski sigurni i pružaju robusne administrativne alate. No, bez obzira koliko je sustav dobro dizajniran, njegova sigurnost ovisi o korisniku.

Početnicima su često potrebne godine da pronađu najbolje sigurnosne politike za svoje strojeve. Zato dijelimo ove ključne savjete za učvršćivanje Linuxa za nove korisnike poput vas. Pokušajte.

1. Provedite stroga pravila o zaporkama

Lozinke su primarni način provjere autentičnosti za većinu sustava. Bez obzira jeste li kućni korisnik ili profesionalac, nametanje čvrstih lozinki je neophodno. Prvo onemogućite prazne lozinke. Nećete vjerovati koliko ih se ljudi još uvijek koristi.

awk -F: '($ 2 == "") {print}' / etc / shadow

Pokrenite gornju naredbu kao root da biste vidjeli koji računi imaju prazne lozinke. Ako nađete nekoga s praznom lozinkom, odmah zaključajte korisnika. To možete učiniti pomoću sljedećeg.

passwd -l KORISNIČKO IME

Također možete postaviti starenje lozinke kako biste osigurali da korisnici ne mogu koristiti stare lozinke. Upotrijebite naredbu chage da biste to učinili s vašeg terminala.

chage -l KORISNIČKO IME

Ova naredba prikazuje trenutni datum isteka. Da biste postavili istek lozinke nakon 30 dana, upotrijebite donju naredbu. Korisnici mogu koristite Linux upravitelje lozinki da biste zaštitili mrežne račune.

8 najboljih menadžera lozinki za Linux koji će ostati sigurni

Trebate sigurni upravitelj lozinki za Linux? Ove su aplikacije jednostavne za upotrebu i štite vaše mrežne lozinke.

chage -M 30 KORISNIČKO IME

2. Izrada sigurnosnih kopija osnovnih podataka

Ako ozbiljno mislite na svoje podatke, postavite redovite sigurnosne kopije. Na taj način, čak i ako vam se sustav sruši, podatke možete brzo oporaviti. No, odabir prave sigurnosne kopije presudan je za otvrdnjavanje Linuxa.

Ako ste kućni korisnik, kloniranje podataka u tvrdi disk moglo biti dovoljno. Poduzećima su pak potrebni sofisticirani sigurnosni sustavi koji nude brz oporavak.

3. Izbjegavajte naslijeđene metode komunikacije

Linux podržava mnoge metode daljinske komunikacije. No, naslijeđene Unix usluge poput telnet, rlogin i ftp mogu predstavljati ozbiljne sigurnosne probleme. Dakle, pokušajte ih izbjeći. Možete ih potpuno ukloniti da biste smanjili sigurnosne probleme povezane s njima.

apt-get --pročisti uklanjanje xinetd nis tftpd tftpd-hpa telnetd \
> rsh-poslužitelj rsh-obnovljeni-poslužitelj

Ova naredba uklanja neke široko korištene, ali zastarjele usluge s Ubuntu / Debian strojeva. Ako koristite sustav zasnovan na RPM-u, umjesto toga upotrijebite sljedeće.

yum izbriši xinetd ypserv tftp-poslužitelj telnet-poslužitelj rsh-poslužitelj

4. Sigurni OpenSSH

SSH protokol preporučena je metoda daljinske komunikacije za Linux. Obavezno osigurajte svoju konfiguraciju OpenSSH poslužitelja (sshd). Možeš ovdje saznajte više o postavljanju SSH poslužitelja.

Uredite /etc/ssh/sshd_config datoteka za postavljanje sigurnosnih pravila za ssh. Ispod su neka uobičajena sigurnosna pravila koja svatko može koristiti.

PermitRootLogin br # onemogućava prijavu za root
MaxAuthTries 3 # ograničava pokušaje autentifikacije
PasswordAuthentication no # onemogućava provjeru autentičnosti lozinke
PermitEmptyPasswords no # onemogućava prazne lozinke
X11Forwarding no # onemogućava GUI prijenos
DebianBanner no # disbales opširni natpis
AllowUsers *@XXX.X.XXX.0/24 # ograničava korisnike na IP raspon

5. Ograničite upotrebu CRON-a

CRON je robusni rokovnik za Linux. Omogućuje administratorima da rasporedite zadatke u Linuxu pomoću crontaba. Stoga je ključno ograničiti tko može voditi CRON poslove. Pomoću sljedeće naredbe možete saznati sve aktivne radnje korisnika.

crontab -l -u KORISNIČKO IME

Provjerite poslove svakog korisnika kako biste saznali koristi li netko CRON. Možda ćete htjeti blokirati sve korisnike da koriste crontab, osim vas. Pokrenite sljedeću naredbu za ovo.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Provedba PAM modula

Linux PAM (priključni moduli za provjeru autentičnosti) nudi moćne značajke provjere autentičnosti za aplikacije i usluge. Možete koristiti različita PAM pravila kako biste osigurali prijavu sustava. Na primjer, naredbe u nastavku ograničavaju ponovnu upotrebu lozinke.

# CentOS / RHEL
echo 'lozinka dovoljna pam_unix.so use_authtok md5 shadow Remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'lozinka dovoljna pam_unix.so use_authtok md5 shadow Remember = 5' >> \
> /etc/pam.d/common-password

Ograničavaju upotrebu lozinki koje su korištene u zadnjih pet tjedana. Postoji mnogo više PAM pravila koja pružaju dodatne slojeve sigurnosti.

7. Uklonite neiskorištene pakete

Uklanjanje neiskorištenih paketa smanjuje površinu napada na vašem stroju. Dakle, preporučujemo vam da izbrišete rijetko korištene pakete. Sve trenutno instalirane pakete možete pregledati pomoću naredbi u nastavku.

instaliran je yum popis # CentOS / RHEL 
pogodan popis --instaliran # Ubuntu / Debian

Recimo da želite ukloniti neiskorišteni paket vlc. To možete učiniti pokretanjem sljedećih naredbi kao root.

uklonite vlc # CentOS / RHEL
ukloniti vlc # Ubuntu / Debian

8. Sigurni parametri jezgre

Sljedeći učinkovit način otvrdnjavanja Linuxa je osiguravanje parametara jezgre. Te parametre možete konfigurirati pomoću sysctl ili izmjenom konfiguracijske datoteke. Ispod su neke uobičajene konfiguracije.

kernel.randomize_va_space = 2 # randomiziraj bazu adresa za mmap, hrpu i stog
kernel.panic = 10 # ponovno pokretanje nakon 10 sekundi nakon panike kernela
net.ipv4.icmp_ignore_bogus_error_responses # štiti loše poruke o pogreškama
net.ipv4.ip_forward = 0 # onemogućava prosljeđivanje IP-a
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignorira ICP pogreške

Ovo su samo neke osnovne konfiguracije. S iskustvom ćete naučiti različite načine konfiguracije jezgre.

9. Konfigurirajte iptables

Linux jezgre pružaju robusne metode filtriranja mrežnih paketa putem svog Netfilter API-ja. Možete koristiti iptables za interakciju s ovim API-jem i postavljanje prilagođenih filtara za mrežne zahtjeve. Ispod su neka osnovna iptables pravila za korisnike usmjerene na sigurnost.

-A INPUT -j REJECT # odbijanje svih ulaznih zahtjeva
-APRIJED -j ODBACITI # odbiti prosljeđivanje prometa
-A ULAZAK -i lo -j PRIHVATI
-A IZLAZ -o lo -j PRIHVATI # dopustiti promet na localhostu
# dopustiti zahtjeve za ping
-A IZLAZ -p icmp -j PRIHVATI # dopušta odlazne pingove
# dopušta uspostavljene / povezane veze
-A ULAZ -m stanje --država USTANOVLJENA, POVEZANA -j PRIHVAĆA
-A IZLAZ -m stanje --država USTANOVLJENA, POVEZANA -j PRIHVATENA
# dopustiti DNS pretraživanja
-A IZLAZ -p udp -m udp --dport 53 -j PRIHVATI
# dopušta http / https zahtjeve
-A IZLAZ -p tcp -m tcp --port 80 -m stanje - stanje NOVO -j PRIHVATI
-A IZLAZ -p tcp -m tcp --dport 443 -m stanje - stanje NOVO -j PRIHVATI
# dopustiti SSH pristup
-A ULAZ -p tcp -m tcp --dport 22 -j PRIHVATI
-A IZLAZ -p tcp -m tcp --dport 22 -j PRIHVATI

10. Zapisnici monitora

Možete koristiti zapisnike da biste bolje razumjeli svoj Linux stroj. Vaš sustav pohranjuje nekoliko datoteka dnevnika za aplikacije i usluge. Ovdje ćemo iznijeti najvažnije.

• /var/log/auth.log zapisuje pokušaje autorizacije
• /var/log/daemon.log zapisuje pozadinske aplikacije
• / var / log / debug zapisuje podatke o uklanjanju pogrešaka
• /var/log/kern.log zapisuje podatke jezgre
• / var / log / syslog zapisuje sistemske podatke
• / var / log / faillog evidencije neuspjelih prijava

Najbolji savjeti za otvrdnjavanje Linuxa za početnike

Osigurati Linux sustav nije tako teško kao što mislite. Sigurnost možete ojačati slijedeći neke od savjeta spomenutih u ovom vodiču. Svladavat ćete više načina osiguranja Linuxa kako steknete iskustvo.

7 osnovnih postavki privatnosti za OS Chrome i Google Chrome

Koristite Chromebook, ali ste zabrinuti zbog privatnosti? Podesite ovih 7 postavki u pregledniku Chrome na OS Chrome kako biste ostali sigurni na mreži.

O autoru