linuxの強化手順

BY admin
|

ほとんどのシステムには、保護する必要のある機密データがあります。 このデータを保護するには、Linuxシステムを保護する必要があります。 しかし、どのようにLinuxシステムを適切に強化するのですか? この記事では、このステップを段階的に説明します。 私たちは、最初の場所でシステムにアクセスする権限のない人を防ぐために、物理的なセキュリティ対策から始めます。 次は正しい方法でインストールを行っているので、私たちは強固な基盤を持っています。 最後に、共通のセキュリティ対策のセットを適用します。 私達が終了した後、あなたのサーバーかデスクトップシステムはよりよく保護されるべきです。 準備はいいか? のは、最初のステップを進めてみましょう!

目次

Linuxはデフォルトではすでに安全ですよね?

Linuxについての神話の一つは、ウイルスやその他の形態のマルウェアの影響を受けにくいため、安全であるということです。 Linuxは元のUNIXオペレーティングシステムの基盤を使用しているため、これは部分的に真実です。 プロセスは分離され、通常のユーザーは、彼または彼女がシステム上で何ができるかに制限されています。 それでも、Linuxはデフォルトでは完全に安全ではありません。 その理由の一つは、GNU/Linuxカーネルと関連するソフトウェアをパッケージ化したLinuxディストリビューションです。 彼らは、ユーザビリティ、パフォーマンス、およびセキュリティの間で選択する必要があります。

Linuxディストリビューションがしなければならない困難な選択で、あなたは妥協を確信することができます。 これらの妥協は、通常、セキュリティレベルの低下をもたらします。 Linux用のマルウェアはどうですか? それは間違いなく神話です。 Linuxプラットフォームはまた、バックドア、ルートキット、作品、さらにはランサムウェアの公正なシェアを持っています。 これが、システムの強化、セキュリティ監査、および技術ガイドラインへの準拠のチェックを行うことが重要な理由の1つです。

Linuxシステムの強化、監査、およびコンプライアンスに関連する項目の写真。

Linuxセキュリティには、Linuxシステムの強化、監査、コンプライアンスなど、多くの側面があります。

システム強化とは何ですか?

システムのセキュリティレベルを向上させるために、さまざまな対策を講じています。 これは、既存のシステムサービスを削除したり、いくつかのソフトウェアコンポーネントをアンイ

システムの強化は、”正しい”ことを行うプロセスです。 目標は、システムのセキュリティレベルを向上させることです。 システムを適切に保護するには、多くの側面があります。 しかし、基本はほとんどのオペレーティングシステムで似ています。 だから、Linuxデスクトップとサーバーのシステム強化プロセスは、その特別なことです。

システム硬化のコア原則

システム硬化に顕微鏡を置く場合、プロセスをいくつかのコア原則に分割することができます。 これには、最小特権、セグメンテーション、および削減の原則が含まれます。

最小権限の原則

最小権限の原則は、ユーザーとプロセスに最低限の権限を与えることを意味します。 これは、訪問者に建物へのアクセスを許可することに似ています。 あなたはすべての機密領域を含む建物へのフルアクセスを与えることができます。 他のオプションは、彼らがする必要がある単一のフロアにアクセスするためにあなたのゲストを許可することです。 選択は右、簡単ですか?

:

  • 読み取り専用アクセスで十分な場合は、書き込み権限を与えない
  • データセグメントとしてフラグが設定されているメモリ領域で実行可能コードを許可しない
  • rootユーザーとしてアプリケーションを実行せず、代わりに非特権ユーザーアカウントを使用する

セグメンテーション

次の原則は、より大きな領域を分割することです小さなものに。 その建物をもう一度見ると、それを複数のフロアに分割しました。 各フロアはさらに異なるゾーンに分割することができます。 たぶんあなたの訪問者は、ブルーゾーンで、4階にのみ許可されています。 これをLinuxセキュリティに変換すると、この原則はメモリ使用量に適用されます。 各プロセスは、独自のメモリセグメントにのみアクセスできます。

削減

この原則は、システムが機能するために厳密に必要ではないものを削除することを目的としています。 それは最小特権の原則のように見えますが、最初に何かを防ぐことに焦点を当てています。 実行する必要のないプロセスは、停止する必要があります。 不要なユーザーアカウントや使用されなくなった機密データにも同様です。

システム強化手順

強化手順の概要

  1. セキュリティ更新プログラムとパッチのインストール
  2. 強力なパスワードの使用
  3. プロセスをlocalhostにバインド
  4. ファイアウォールの実装
  5. 物事をきれいに保つ
  6. セキュリティ構成
  7. アクセスの制限
  8. システムの監視
  9. バックアップの作成(およびテスト!)
  10. システム監査の実行

1. セキュリティ更新プログラムとパッチのインストール

システムの弱点のほとんどはソフトウェアの欠陥に起因します。 これらの欠陥は、我々は脆弱性と呼ばれます。 ソフトウェアパッチ管理のための適切なケアは、関連するリスクの多くを減らすのに役立ちます。 更新プログラムのインストール作業は、特にセキュリティパッチを最初に開始する場合、リスクが低いことがよくあります。 ほとんどのLinuxディストリビューションには、アップグレードするパッケージを制限するオプションがあります(すべて、セキュリティのみ、パッケージごと)。 セキュリティ更新プログラムが利用可能になったらすぐにインストールされていることを確認してください。 言うまでもなく、何かを実装する前に、最初に(仮想)テストシステムでテストします。

Linuxディストリビューションによっては、DebianやUbuntuでの無人アップグレードなど、セキュリティパッチを自動的に実装する方法があるかもしれません。 これにより、ソフトウェアパッチ管理が非常に簡単になります!

2. 強力なパスワードを使用する

システムへの主なゲートウェイは、そのアカウントの関連するパスワードで有効なユーザーとしてログインすることです。 強力なパスワードは、ツールがパスワードを推測し、悪意のある人々が正面玄関を介して歩くようにすることをより困難にします。 強力なパスワードは、さまざまな文字(英数字、数字、パーセント、スペース、またはUnicode文字などの特殊文字)で構成されています。

3. プロセスをlocalhost

にバインドするすべてのサービスがネットワーク経由で利用可能である必要はありません。 たとえば、Webサーバー上でMySQLのローカルインスタンスを実行する場合は、ローカルソケットでのみリッスンするか、localhost(127.0.0.1)にバインドします。 次に、このローカルアドレスを介して接続するようにアプリケーションを構成します。

4. ファイアウォールを実装する

許可されたトラフィックのみが理想的な状況でシステムに到達する必要があります。 これを実現するには、iptablesや新しいnftablesのようなファイアウォールソリューションを実装します。

ファイアウォールのポリシーを作成するときは、”すべて拒否、一部許可”ポリシーの使用を検討してください。 したがって、デフォルトですべてのトラフィックを拒否し、許可するトラフィックの種類を定義します。 これは、受信トラフィックに特に便利で、共有するつもりのないサービスを共有しないようにします。

:

  • iptablesとnftablesの違い

5. 物事をきれいに保つ

そこに属していないシステムにインストールされているすべてがあなたのマシンに悪影響を与えるだけです。 また、バックアップ(および復元時間)が増加します。 または、脆弱性が含まれている可能性があります。 クリーンなシステムは、多くの場合、より健康的で安全なシステムです。 したがって、最小化は、Linuxの硬化の過程で素晴らしい方法です。

実行可能なタスクには、次のものがあります:

  • 未使用のパッケージを削除
  • 古いホームディレクトリをクリーンアップし、ユーザーを削除します

6. 安全な構成

ほとんどのアプリケーションには、ソフトウェアまたはシステムに対するいくつかの形態の脅威から保護するための1つ以上のセキ オプションについてはmanページを見て、これらのオプションを慎重にテストしてください。

7. アクセスを制限

許可されたユーザーのマシンへのアクセスのみを許可します。 誰かが本当にアクセスを必要としているのですか、またはユーザーが望むものをユーザーに与えるための代替方法が可能ですか?

8. システムを監視する

ほとんどの侵入は、監視の欠如のために検出されません。 通常のシステム監視を実装し、セキュリティイベントの監視を実装します。 たとえば、Linux監査フレームワークを使用すると、疑わしいイベントの検出率が向上しました。

9. バックアップを作成します(およびテスト!)

定期的にシステムデータのバックアップを作成します。 これにより、データの損失を防ぐことができます。 さらに重要なのは、バックアップをテストすることです。 バックアップを持つことはいいですが、それは本当にカウント復元です!

バックアップは、tarscpのような既存のシステムツールで行うことができます。 帯域幅を節約する別のオプションは、rsyncのようなツールとデータを同期させることです。 バックアッププログラムを使用する場合は、AmandaまたはBaculaを検討してください。

10. システム監査の実行

Lynis(Linux/Unix監査ツール)screenshot

Lynisで実行されたLinuxサーバーセキュリティ監査のスクリーンショット。

測定しないとシステムを適切に保護することはできません。

Lynisのようなセキュリティツールを使用して、システムの定期的な監査を実行します。 どの調査結果でもスクリーンで示され、またそれ以上の分析のためのデータファイルで貯えられる。 広範なログファイルを使用すると、利用可能なすべてのデータを使用し、さらにシステム強化のための次のアクションを計画することができます。