10 tipov na vytvrdenie systému Linux pre začiatočníkov SysAdmins

Systémy Linux sú zabezpečené už od návrhu a poskytujú robustné nástroje na správu. Bez ohľadu na to, ako dobre je systém navrhnutý, jeho bezpečnosť závisí od používateľa.

Začiatočníkom často trvá roky, kým nájdu najlepšiu bezpečnostnú politiku pre svoje stroje. Preto zdieľame tieto základné tipy na posilnenie systému Linux pre nových používateľov, ako ste vy. Vyskúšajte ich.

1. Presadzujte prísne zásady pre heslá

Heslá sú primárnou metódou autentifikácie pre väčšinu systémov. Bez ohľadu na to, či ste domáci používateľ alebo profesionál, vynucovanie pevných hesiel je nevyhnutnosťou. Najskôr deaktivujte prázdne heslá. Neuveríte, koľko ľudí ich stále používa.

awk -F: '($ 2 == "") {print}' / etc / shadow

Spustením vyššie uvedeného príkazu ako root zobrazíte, ktoré účty majú prázdne heslá. Ak nájdete niekoho s prázdnym heslom, okamžite ho zablokujte. Môžete to urobiť pomocou nasledujúcich pokynov.

heslo -l USERNAME

Môžete tiež nastaviť starnutie hesla, aby ste zaistili, že používatelia nebudú môcť používať staré heslá. Pomocou príkazu chage to urobíte z terminálu.

chage -l USERNAME

Tento príkaz zobrazuje aktuálny dátum vypršania platnosti. Ak chcete nastaviť expiráciu hesla po 30 dňoch, použite nasledujúci príkaz. Používatelia môžu používajte správcov hesiel systému Linux na zaistenie bezpečnosti online účtov.

8 najlepších správcov hesiel pre Linux, aby ste zostali v bezpečí

Potrebujete bezpečného správcu hesiel pre systém Linux? Tieto aplikácie sa ľahko používajú a chránia vaše online heslá.

chage -M 30 USERNAME

2. Zálohujte základné údaje

Ak to so svojimi dátami myslíte vážne, nastavte si pravidelné zálohy. Týmto spôsobom, aj keď dôjde k zlyhaniu systému, môžete dáta rýchlo obnoviť. Pre spevnenie Linuxu je ale výber správnej metódy zálohovania zásadný.

Ak ste domáci používateľ, klonovanie údajov na pevný disk mohlo stačiť. Podniky však potrebujú sofistikované systémy zálohovania, ktoré umožňujú rýchle zotavenie.

3. Vyhýbajte sa starým komunikačným metódam

Linux podporuje mnoho metód diaľkovej komunikácie. Staršie unixové služby ako telnet, rlogin a ftp však môžu predstavovať vážne problémy so zabezpečením. Takže sa im snažte vyhnúť. Môžete ich úplne odstrániť, aby sa znížili problémy so zabezpečením, ktoré sú s nimi spojené.

apt-get --purge remove xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Tento príkaz odstráni niektoré široko používané, ale zastarané služby zo strojov Ubuntu / Debian. Ak používate systém založený na otáčkach za minútu, použite namiesto toho nasledujúce.

yum vymazať xinetd ypserv tftp-server telnet-server rsh-server

4. Zabezpečte OpenSSH

Protokol SSH je odporúčaná metóda vzdialenej komunikácie pre Linux. Uistite sa, že ste zabezpečili konfiguráciu svojho servera OpenSSH (sshd). Môžeš tu sa dozviete viac informácií o nastavení servera SSH.

Upravte /etc/ssh/sshd_config súbor na nastavenie bezpečnostných politík pre ssh. Ďalej uvádzame niekoľko bežných bezpečnostných politík, ktoré môže ktokoľvek použiť.

PermitRootLogin č. # Zakáže prihlásenie root
MaxAuthTries 3 # obmedzuje pokusy o autentizáciu
PasswordAuthentication no # zakáže autentifikáciu pomocou hesla
PermitEmptyPasswords č. # Zakáže prázdne heslá
X11Forwarding no # zakáže prenos GUI
DebianBanner # # neumožňuje podrobný banner
AllowUsers *@XXX.X.XXX.0/24 # obmedzuje používateľov na rozsah adries IP

5. Obmedzte použitie CRON

CRON je robustný plánovač úloh pre Linux. Umožňuje správcom plánujte úlohy v systéme Linux pomocou programu crontab. Preto je zásadné obmedziť, kto môže riadiť úlohy CRON. Všetky aktívne cronjoby pre používateľa môžete zistiť pomocou nasledujúceho príkazu.

crontab -l -u USERNAME

Skontrolujte úlohy pre každého používateľa a zistite, či niekto nevyužíva CRON. Možno budete chcieť zabrániť všetkým používateľom v používaní crontabu okrem vás. Spustite nasledujúci príkaz.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo VŠETKY >> /etc/cron.d/cron.deny

6. Presadzujte moduly PAM

Linux PAM (Pluggable Authentication Modules) ponúka výkonné funkcie autentifikácie pre aplikácie a služby. Na zabezpečenie prihlásenia do systému môžete použiť rôzne politiky PAM. Napríklad nižšie uvedené príkazy obmedzujú opätovné použitie hesla.

# CentOS / RHEL
echo 'heslo dostatočné pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'heslo dostatočné pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

Obmedzujú používanie hesiel, ktoré boli použité za posledných päť týždňov. Existuje oveľa viac politík PAM, ktoré poskytujú ďalšie vrstvy zabezpečenia.

7. Odstráňte nepoužívané balíčky

Odstránenie nepoužitých balíkov znižuje útočnú plochu na vašom počítači. Odporúčame vám preto odstrániť zriedka používané balíčky. Všetky aktuálne nainštalované balíčky môžete zobraziť pomocou nižšie uvedených príkazov.

nainštalovaný zoznam # CentOS / RHEL 
zoznam apt - nainštalovaný # Ubuntu / Debian

Povedzme, že chcete odstrániť nepoužívaný balík vlc. Môžete to urobiť spustením nasledujúcich príkazov ako root.

yum remove vlc # CentOS / RHEL
apt remove vlc # Ubuntu / Debian

8. Zabezpečte parametre jadra

Ďalším efektívnym spôsobom spevnenia Linuxu je zabezpečenie parametrov jadra. Tieto parametre môžete nakonfigurovať pomocou sysctl alebo úpravou konfiguračného súboru. Nižšie uvádzame niektoré bežné konfigurácie.

kernel.randomize_va_space = 2 # randomnize základňa adries pre mmap, haldu a zásobník
kernel.panic = 10 # reštartujte po 10 sekundách po panike jadra
net.ipv4.icmp_ignore_bogus_error_responses # chráni zlé chybové správy
net.ipv4.ip_forward = 0 # zakáže preposielanie IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignoruje chyby ICP

Je to iba niekoľko základných konfigurácií. Naučíte sa rôzne spôsoby konfigurácie jadra so skúsenosťami.

9. Nakonfigurujte iptables

Jadrá systému Linux poskytujú robustné metódy filtrovania sieťových paketov prostredníctvom svojho rozhrania Netfilter API. Môžete použiť iptables na interakciu s týmto API a na nastavenie vlastných filtrov pre sieťové požiadavky. Ďalej uvádzame niekoľko základných pravidiel pre iptables pre používateľov zameraných na zabezpečenie.

-A VSTUP -j ODMIETNUTIE # odmietnuť všetky prichádzajúce požiadavky
-VPRED -j ODMIETNUTIE # odmietnuť presmerovanie prenosu
-VSTUP -i lo -j AKCEPTOVAŤ
-A VÝSTUP -o lo -j AKCEPTOVAŤ # povoľuje prenos na localhost
# povoliť ping žiadosti
-A VÝSTUP -p icmp -j AKCEPT # povoliť odchádzajúce pingy
# povoliť nadviazané / súvisiace spojenia
-A VSTUP -m stav - štát UVEDENÝ, SÚVISIACE -j AKCEPTOVAŤ
-A VÝSTUP -m stav - štát STAVENÝ, SÚVISIACE -j AKCEPTOVAŤ
# povoliť vyhľadávanie DNS
-A VÝSTUP -p udp -m udp --dport 53 -j AKCEPTOVAŤ
# povoliť požiadavky http / https
-A VÝSTUP -p tcp -m tcp --dport 80 -m stav --štát NOVÝ -j PRIJAŤ
-A VÝSTUP -p tcp -m tcp --dport 443 -m stav --štát NOVÝ -j PRIJAŤ
# povoliť prístup SSH
-A VSTUP -p tcp -m tcp --dport 22 -j AKCEPTOVAŤ
-A VÝSTUP -p tcp -m tcp --dport 22 -j AKCEPTOVAŤ

10. Monitorujte denníky

Môžete použiť protokoly na lepšie pochopenie vášho stroja so systémom Linux. Váš systém ukladá niekoľko súborov denníkov pre aplikácie a služby. Tu uvádzame základné.

• /var/log/auth.log zaznamenáva pokusy o autorizáciu
• /var/log/daemon.log zaznamenáva aplikácie na pozadí
• / var / log / debug zaznamenáva údaje o ladení
• /var/log/kern.log zaznamenáva údaje jadra
• / var / log / syslog zaznamenáva systémové údaje
• / var / log / faillog prihlási neúspešné prihlásenia

Najlepšie tipy na kalenie systému Linux pre začiatočníkov

Zabezpečenie systému Linux nie je také ťažké, ako si myslíte. Zabezpečenie môžete zvýšiť dodržaním niektorých tipov uvedených v tejto príručke. Po získaní skúseností si osvojíte viac spôsobov zabezpečenia Linuxu.

7 Základné nastavenie súkromia pre Chrome OS a Google Chrome

Používate Chromebook, ale máte obavy o ochranu súkromia? Vyladením týchto 7 nastavení v prehliadači Chrome v systéme Chrome OS zaistíte bezpečnosť online.

O autorovi