Linux hardening steps for starters

useimmissa järjestelmissä on luottamuksellisia tietoja, jotka on suojattava. Näiden tietojen turvaamiseksi meidän on turvattava Linux-järjestelmämme. Mutta miten oikein kovettua Linux-järjestelmä? Tässä artikkelissa, käsittelemme tätä askel askeleelta. Aloitamme fyysisillä turvatoimilla, jotka estävät luvattomia ihmisiä pääsemästä järjestelmään. Seuraavaksi asennus tehdään oikealla tavalla, joten meillä on vankka perusta. Lopuksi totean, että toteutamme joukon yhteisiä turvatoimia. Kun olemme valmiita, palvelimen tai työpöytäjärjestelmän pitäisi olla paremmin suojattu. Oletko valmis? Aloitetaan ensiaskeleet!

Sisällysluettelo

Linux on jo oletuksena turvallinen, eikö?

yksi Linuxia koskevista myyteistä on, että se on turvallinen, koska se ei ole altis viruksille tai muille haittaohjelmille. Tämä pitää osittain paikkansa, sillä Linux käyttää alkuperäisen UNIX-käyttöjärjestelmän perusteita. Prosessit erotetaan toisistaan ja normaalikäyttäjältä rajoitetaan sitä, mitä hän voi tehdä järjestelmällä. Silti Linux ei ole täysin turvallinen oletuksena. Yksi syy on Linux-jakelut, jotka pakkaavat GNU/Linux-ytimen ja siihen liittyvät ohjelmistot. Heidän on valittava käytettävyyden, suorituskyvyn ja turvallisuuden välillä.

kun Linux-jakelut joutuvat tekemään vaikeita valintoja, voi olla varma kompromisseista. Nämä kompromissit johtavat tyypillisesti turvallisuustason heikkenemiseen. Entä haittaohjelmat Linuxille? Se on ehdottomasti myytti. Linux-alustalla on myös reilu osuus takaovia, rootkit, toimii, ja jopa ransomware. Tämä on yksi syy, miksi on tärkeää tehdä järjestelmän koventaminen, turvallisuus auditointi ja teknisten ohjeiden noudattamisen tarkistaminen.

Kuva kohteista, jotka liittyvät Linux-järjestelmän kovettumiseen, auditointiin ja vaatimustenmukaisuuteen.

Linuxin tietoturvaan liittyy monia näkökohtia, kuten Linux – järjestelmän kovettuminen, auditointi ja vaatimustenmukaisuus.

mikä on systeemikarkaisu?

järjestelmän turvallisuustason parantamiseksi teemme erilaisia toimenpiteitä. Tämä voi olla olemassa olevan järjestelmäpalvelun poistaminen tai joidenkin ohjelmistokomponenttien poistaminen.

Järjestelmäkarkaisu on ”oikeiden” asioiden tekemistä. Tavoitteena on parantaa järjestelmän tietoturvatasoa. Järjestelmän asianmukaiseen turvaamiseen liittyy monia näkökohtia. Perusasiat ovat kuitenkin useimmilla käyttöjärjestelmillä samanlaiset. Joten järjestelmän kovettuminen prosessi Linux työpöydälle ja palvelimille on, että erityistä.

Systeemikarkaisun perusperiaatteet

jos laittaisimme mikroskoopin systeemikarkaisulle, voisimme jakaa prosessin muutamiin ydinperiaatteisiin. Näihin kuuluvat vähimmän etuoikeuden periaate, segmentointi ja reduktio.

Principe of least privilege

pienimmän etuoikeuden periaate tarkoittaa, että Käyttäjä antaa käyttäjille ja prosesseille mahdollisimman vähän oikeuksia tehdä työtään. Se on samaa kuin kävijän pääsy rakennukseen. Voit antaa täyden pääsyn rakennukseen, mukaan lukien kaikki herkät alueet. Toinen vaihtoehto on päästää vieraasi vain yhteen kerrokseen, jossa heidän täytyy olla. Valinta on helppo, eikö?

esimerkkejä:

  • kun pelkkä lukuoikeus riittää, älä anna kirjoitusoikeuksia
  • älä salli suoritettavaa koodia muistialueilla, jotka on merkitty datasegmenteiksi
  • älä suorita sovelluksia pääkäyttäjänä, vaan käytä Ei-etuoikeutettua käyttäjätiliä

segmentointi

seuraava periaate on, että jaat isomman alueet pienemmiksi. Jos katsomme rakennusta uudelleen, olemme jakaneet sen useisiin kerroksiin. Jokainen kerros voidaan jakaa edelleen eri vyöhykkeisiin. Ehkä vierailija on sallittu vain kerroksessa 4, sinisellä alueella. Jos käännämme tämän Linux-tietoturvaan, tämä periaate koskisi muistinkäyttöä. Jokainen prosessi voi käyttää vain omia muistisegmenttejään.

Reduction

tällä periaatteella pyritään poistamaan jotain, mitä ei välttämättä tarvita Järjestelmän toimimiseen. Se näyttää vähimmän etuoikeuden periaatteelta, mutta keskittyy ylipäätään jonkin estämiseen. Prosessi, joka ei tarvitse ajaa, olisi pysäytettävä. Sama pätee tarpeettomiin käyttäjätileihin tai arkaluonteisiin tietoihin, joita ei enää käytetä.

järjestelmän kovettumisvaiheet

Tiivistysvaiheiden yleiskatsaus

  1. Asenna tietoturvapäivitykset ja korjaukset
  2. käytä vahvoja salasanoja
  3. sido prosesseja localhostiin
  4. Ota käyttöön palomuuri
  5. Pidä asiat puhtaina
  6. turvallisuuskonfiguraatiot
  7. rajoitettu pääsy
  8. valvo järjestelmiäsi
  9. luo varmuuskopiot (ja testaa!)
  10. suorita järjestelmän tarkastus

1. Asenna tietoturvapäivitykset ja paikkaukset

suurin osa järjestelmien heikkouksista johtuu ohjelmiston puutteista. Näitä puutteita kutsumme haavoittuvuuksiksi. Asianmukainen hoito ohjelmistojen korjaustiedostojen hallinta auttaa vähentämään paljon liittyviä riskejä. Päivitysten asentamiseen liittyy usein pieni riski, varsinkin kun aloitetaan tietoturvapäivitykset ensin. Useimmissa Linux-jakeluissa on mahdollisuus rajoittaa sitä, mitä paketteja haluat päivittää (kaikki, vain tietoturva, per paketti). Varmista, että tietoturvapäivityksesi asennetaan heti, kun ne tulevat saataville. On sanomattakin selvää, ennen kuin toteutat jotain, testaa se ensin (virtuaalinen) testausjärjestelmä.

Linux-jakelusta riippuen saattaa olla olemassa tapa toteuttaa tietoturvapäivitykset automaattisesti, kuten valvomattomat päivitykset Debianissa ja Ubuntussa. Tämä tekee ohjelmistojen korjaustiedostojen hallinnasta paljon helpompaa!

2. Käytä vahvoja salasanoja

tärkein portti järjestelmään on kirjautumalla sisään kelvollisena käyttäjänä kyseisen tilin vastaavalla salasanalla. Vahvat salasanat vaikeuttavat työkalujen salasanan arvailua ja päästävät pahantahtoiset ihmiset kulkemaan sisään etuoven kautta. Vahva salasana koostuu erilaisista merkeistä (aakkosnumeerisista, numeroista, erikoisista kuten prosenteista, välilyönneistä tai jopa Unicode-merkeistä).

3. Sido prosessit localhostiin

kaikkien palvelujen ei tarvitse olla saatavilla verkon kautta. Esimerkiksi, kun käytät paikallista esiintymää MySQL web-palvelimella, anna sen vain kuunnella paikallisen pistorasiaan tai sitoutua localhost (127.0.0.1). Määritä sitten sovelluksen yhteyden kautta tämän paikallisen osoitteen, joka on yleensä jo oletuksena.

4. Ota käyttöön palomuuri

vain sallittu liikenne tulisi ihanteellisessa tilanteessa saavuttaa järjestelmäsi. Tämän saavuttamiseksi, toteuttaa palomuuri ratkaisu, kuten iptables, tai uudempi nftables.

kun luot käytäntöä palomuurillesi, harkitse ”Estä kaikki, salli jotkut” – käytäntöä. Joten kiellät kaiken liikenteen oletuksena, määrittele sitten, millaista liikennettä haluat sallia. Tämä on erityisen hyödyllinen saapuvan liikenteen, estää jakaminen palveluja et aio jakaa.

hyödyllisiä lukuja:

  • erot iptables ja nftables

5. Pidä asiat puhtaana

kaikki asennettuna järjestelmään, joka ei kuulu sinne, voi vaikuttaa vain negatiivisesti koneeseesi. Se myös lisää varmuuskopioita (ja palauttaa kertaa). Tai ne voivat sisältää haavoittuvuuksia. Puhdas järjestelmä on usein terveellisempi ja turvallisempi järjestelmä. Siksi minimointi on loistava menetelmä Linux-kovettumisprosessissa.

Toimintakelpoisia tehtäviä ovat:

  • Poista käyttämätön paketti
  • Siivoa Vanhat kotihakemistot ja poista käyttäjät

6. Suojatut kokoonpanot

useimmissa sovelluksissa on yksi tai useampi suojaustoimenpide, joka suojaa tietynlaisilta ohjelmistoon tai järjestelmään kohdistuvilta uhkilta. Katso man-sivulta mahdolliset vaihtoehdot ja testaa nämä vaihtoehdot huolellisesti.

7. Rajoitettu pääsy

Salli pääsy koneeseen vain valtuutetuille käyttäjille. Tarvitseeko joku todella käyttöoikeutta vai ovatko vaihtoehtoiset keinot mahdollisia, jotta käyttäjä saa haluamansa?

8. Tarkkaile järjestelmiäsi

useimmat tunkeutumiset jäävät havaitsematta valvonnan puutteen vuoksi. Toteutetaan normaali järjestelmän seuranta ja toteutetaan turvallisuustapahtumien seuranta. Esimerkiksi Linux audit Frameworkin käyttö lisäsi epäiltyjen tapahtumien havaitsemisastetta.

9. Luo varmuuskopiot(ja testaa!)

tee järjestelmätiedoista säännöllisesti varmuuskopio. Tämä voi estää tietojen häviämisen. Vielä tärkeämpää, testaa varmuuskopiot. Ottaa varmuuskopio on mukavaa, mutta se on palauttaa, että todella laskee!

varmuuskopiot voidaan tehdä olemassa olevilla järjestelmätyökaluilla, kuten tar ja scp. Toinen vaihtoehto kaistanleveyden säästämiseksi on tietojen synkronointi rsync: n kaltaisilla työkaluilla. Jos haluat mieluummin käyttää varmuuskopiointiohjelmaa, harkitse Amanda tai Bacula.

10. Suorita järjestelmävalvonta

Lynis (Linux/Unix auditing tool) kuvakaappaus

kuvakaappaus Lyniksellä suoritetusta Linux-palvelimen tietoturvatarkastuksesta.

järjestelmää ei voi suojata kunnolla, jos sitä ei mitata.

käytä Lynisin kaltaista tietoturvatyökalua järjestelmäsi säännölliseen tarkastamiseen. Mahdolliset havainnot näytetään näytöllä ja tallennetaan myös datatiedostoon tarkempaa analysointia varten. Laaja lokitiedosto, se mahdollistaa käyttää kaikkia saatavilla olevia tietoja ja suunnitella seuraavia toimia edelleen järjestelmän kovettuminen.