Linux hardening steps for starters
většina systémů má důvěrná data, která je třeba chránit. Abychom tato data ochránili, musíme zabezpečit náš systém Linux. Ale jak správně ztvrdnout systém Linux? V tomto článku se budeme zabývat tímto krokem. Začínáme fyzickými bezpečnostními opatřeními, abychom zabránili neoprávněným osobám v přístupu do systému. Další je dělat instalaci správným způsobem, takže máme pevný základ. Nakonec použijeme soubor společných bezpečnostních opatření. Po dokončení by měl být váš server nebo stolní systém lépe chráněn. Jste připraveni? Pojďme k prvním krokům!
obsah
Linux je již ve výchozím nastavení Bezpečný, že?
jedním z mýtů o Linuxu je, že je bezpečný, protože není náchylný k virům nebo jiným formám malwaru. To je částečně pravda, protože Linux používá základy původního operačního systému UNIX. Procesy jsou odděleny a běžný uživatel je omezen v tom, co může v systému dělat. Přesto Linux není ve výchozím nastavení dokonale bezpečný. Jedním z důvodů jsou distribuce Linuxu, které balí jádro GNU / Linux a související software. Musí si vybrat mezi použitelností, výkonem a bezpečností.
s obtížnými volbami, které musí distribuce Linuxu udělat, si můžete být jisti kompromisy. Tyto kompromisy obvykle vedou ke snížení úrovně bezpečnosti. A co malware pro Linux? To je určitě mýtus. Platforma Linux má také svůj spravedlivý podíl na zadních dveřích, rootkitech, dílech a dokonce i ransomware. To je jeden z důvodů, proč je důležité provést zpevnění systému, bezpečnostní audit a kontrolu dodržování technických pokynů.
existuje mnoho aspektů zabezpečení Linuxu, včetně zpevnění systému Linux, auditu a dodržování předpisů.
co je vytvrzování systému?
abychom zlepšili úroveň zabezpečení systému, přijímáme různé typy opatření. Mohlo by to být odstranění existující systémové služby nebo odinstalování některých softwarových komponent.
vytvrzování systému je proces provádění „správných“ věcí. Cílem je zvýšit úroveň zabezpečení systému. Existuje mnoho aspektů pro zajištění systému správně. Dosud, základy jsou podobné pro většinu operačních systémů. Takže proces vytvrzování systému pro Linux desktop a servery je to zvláštní.
Základní principy systému kalení
Pokud bychom dát mikroskopem na systému kalení, můžeme rozdělit proces do několika základních principů. Patří sem princip nejmenšího privilegia, segmentace a redukce.
princip nejmenšího privilegia
princip nejmenšího privilegia znamená, že dáváte uživatelům a zpracovatelům minimální oprávnění vykonávat svou práci. Je to podobné jako udělit návštěvníkovi přístup do budovy. Mohli byste dát plný přístup do budovy, včetně všech citlivých oblastí. Druhou možností je umožnit hostovi přístup pouze do jednoho patra, kde musí být. Volba je snadná, že?
příklady:
- Když je přístup pouze pro čtení dost, nedávají oprávnění k zápisu
- nepovolit spustitelný kód v paměti oblastech, které jsou označeny jako datové segmenty
- nechci spouštět aplikace, jako uživatel root, místo toho použijte non-privilegovaný uživatelský účet
Segmentace
další zásadou je, že rozdělit větší prostory na menší. Když se na tu budovu podíváme znovu, rozdělili jsme ji na více pater. Každé patro lze dále rozdělit do různých zón. Možná, že návštěvník je povolen pouze na patře 4, v modré zóně. Pokud to převedeme na zabezpečení Linuxu, tento princip by se vztahoval na využití paměti. Každý proces má přístup pouze k vlastním segmentům paměti.
Snížení
Tento princip se snaží odstranit něco, co není nezbytně nutné, aby systém fungoval. Vypadá to jako princip nejmenšího privilegia, přesto se zaměřuje na prevenci něčeho na prvním místě. Proces, který nemusí běžet, by měl být zastaven. Podobné pro nepotřebné uživatelské účty nebo citlivá data, která se již nepoužívají.
Systém zpevnění kroky
Přehled kalení kroky
- Instalovat bezpečnostní aktualizace a opravy
- Používejte silná hesla
- Vázat procesy na localhost
- Implementovat firewall
- aby věci čisté
- konfigurace Zabezpečení
- Omezení přístupu
- Sledovat své systémy
- Vytvořit zálohy (a otestovat!)
- provést audit systému
1. Nainstalujte aktualizace zabezpečení a opravy
většina slabin v systémech je způsobena vadami softwaru. Tyto nedostatky nazýváme zranitelnosti. Správná péče o správu softwarových oprav pomáhá snižovat mnoho souvisejících rizik. Aktivita instalace aktualizací má často nízké riziko, zejména při prvním spuštění bezpečnostních záplat. Většina distribucí Linuxu má možnost omezit balíčky, které chcete upgradovat (všechny, pouze zabezpečení, na balíček). Ujistěte se, že vaše aktualizace zabezpečení jsou nainstalovány, jakmile budou k dispozici. Je samozřejmé, že než něco implementujete, vyzkoušejte to nejprve na (virtuálním) testovacím systému.
v závislosti na vaší distribuci Linuxu může existovat způsob, jak automaticky implementovat bezpečnostní záplaty, jako jsou bezobslužné aktualizace v Debianu a Ubuntu. Díky tomu je správa softwarových oprav mnohem jednodušší!
2. Používejte silná hesla
hlavní bránou do systému je přihlášení jako platný uživatel s příslušným heslem daného účtu. Silná hesla ztěžují nástrojům uhodnout heslo a nechat škodlivé lidi vejít předními dveřmi. Silné heslo se skládá z různých znaků (alfanumerické, číselné, speciální jako procento, mezera nebo dokonce znaky Unicode).
3. Vázat procesy na localhost
ne všechny služby musí být dostupné prostřednictvím sítě. Například při spuštění lokální instance MySQL na vašem webovém serveru, ať to jen poslouchat na místní soketu nebo vázat na localhost (127.0.0.1). Poté nakonfigurujte aplikaci tak, aby se připojovala prostřednictvím této místní adresy, která je obvykle již výchozí.
4. Implementujte firewall
povolený provoz by měl v ideální situaci dosáhnout vašeho systému. Chcete-li toho dosáhnout, implementujte řešení brány firewall, jako je iptables nebo novější nftables.
při vytváření zásad pro firewall zvažte použití zásady“ odepřít vše, povolit některé“. Takže ve výchozím nastavení odmítnete veškerý provoz a poté definujete, jaký druh provozu chcete povolit. To je zvláště užitečné pro příchozí provoz, aby se zabránilo sdílení služeb, které jste neměli v úmyslu sdílet.
Užitečné čte:
- Rozdíly mezi iptables a nftables
5. Udržujte věci čisté
vše nainstalované v systému, který tam nepatří, může negativně ovlivnit váš počítač. Zvýší také vaše zálohy(a časy obnovení). Nebo mohou obsahovat zranitelnosti. Čistý systém je často zdravější a bezpečnější systém. Proto je minimalizace skvělou metodou v procesu vytvrzování Linuxu.
Žalovatelné úkoly patří:
- Odstraňte nepoužívané balíček
- Vyčistit staré domovské adresáře a odstranit uživatele
6. Zabezpečené konfigurace
většina aplikací má k dispozici jedno nebo více bezpečnostních opatření k ochraně před některými formami hrozeb pro software nebo systém. Podívejte se na manuálové stránce pro všechny možnosti a vyzkoušet tyto možnosti pečlivě.
7. Omezit přístup
povolit přístup k počítači pouze oprávněným uživatelům. Opravdu někdo potřebuje přístup nebo jsou možné alternativní metody, aby uživateli dal to,co chce?
8. Monitorujte své systémy
většina narušení je nezjištěna kvůli nedostatečnému monitorování. Implementovat normální monitorování systému a implementovat monitorování bezpečnostních událostí. Například použití auditního rámce Linux zvýšilo míru detekce podezřelých událostí.
9. Vytvořit zálohy (a test!)
pravidelně zálohujte systémová data. To může zabránit ztrátě dat. Ještě důležitější je otestovat své zálohy. Zálohování je hezké, ale je to obnovení, které se opravdu počítá!
zálohování lze provést pomocí existujících systémových nástrojů, jako je tar
a scp
. Další možností, jak ušetřit šířku pásma, je synchronizace dat s nástroji, jako je rsync. Pokud chcete raději použít záložní program, zvažte Amandu nebo Baculu.
10. Provést auditování systému
Screenshot Linux server security audit provádí s Lynis.
systém nemůžete správně chránit, pokud jej neměříte.
k pravidelnému auditu vašeho systému použijte bezpečnostní nástroj, jako je Lynis. Jakékoli nálezy jsou zobrazeny na obrazovce a také uloženy v datovém souboru pro další analýzu. S rozsáhlým souborem protokolu umožňuje použít všechna dostupná data a naplánovat další akce pro další vytvrzení systému.