우선 리눅스 강화 단계
대부분의 시스템에는 보호해야 할 기밀 데이터가 있습니다. 이 데이터를 보호하기 위해,우리는 우리의 리눅스 시스템을 확보 할 필요가있다. 하지만 어떻게 제대로 리눅스 시스템을 강화하는 방법? 이 기사에서는이 단계를 단계별로 다룰 것입니다. 우리는 처음에 시스템에 액세스 권한이없는 사람을 방지하기 위해 물리적 보안 조치에 의해 시작. 다음 설치 올바른 방법을하고있다,그래서 우리는 견고한 기반을 가지고있다. 마지막으로 일련의 일반적인 보안 조치를 적용 할 것입니다. 우리가 끝난 후에,당신의 서버 또는 탁상용 체계는 잘 보호되어야 합니다. 당신은 준비가 되셨습니까? 의 첫 번째 단계를 진행하자!
목차
리눅스는 이미 기본 보안,권리?
리눅스에 대한 신화 중 하나는 바이러스 나 다른 형태의 맬웨어에 취약하지 않기 때문에 안전하다는 것입니다. 리눅스는 원래 유닉스 운영 체제의 기초를 사용하기 때문에 이것은 부분적으로 사실이다. 프로세스는 분리되며 일반 사용자는 시스템에서 수행할 수 있는 작업이 제한됩니다. 그럼에도 불구하고,리눅스는 기본적으로 완벽하게 안전하지 않습니다. 그 이유 중 하나는 리눅스 커널과 관련 소프트웨어를 패키지하는 리눅스 배포판입니다. 유용성,성능 및 보안 중에서 선택해야합니다.
리눅스 배포판이 만들어야하는 어려운 선택으로,당신은 타협을 확신 할 수 있습니다. 이러한 타협은 일반적으로 보안 수준이 낮아집니다. 무엇 리눅스 악성 코드에 대한? 저것은 명확하게 신화 이다. 리눅스 플랫폼은 또한 백도어,루트킷,작품,심지어 랜섬웨어의 정당한 몫을 가지고있다. 이것이 시스템 강화,보안 감사 및 기술 지침 준수 여부를 확인하는 것이 중요한 이유 중 하나입니다.
리눅스 보안에는 리눅스 시스템 강화,감사,규정 준수 등 여러 측면이 있다.
시스템 경화 란 무엇입니까?
시스템의 보안 수준을 향상시키기 위해 다양한 유형의 조치를 취합니다. 이는 기존 시스템 서비스를 제거하거나 일부 소프트웨어 구성 요소를 제거 할 수 있습니다.
시스템 경화는’올바른’일을 하는 과정입니다. 목표는 시스템의 보안 수준을 향상시키는 것입니다. 시스템을 제대로 확보하는 데는 여러 가지 측면이 있습니다. 그러나,기본은 대부분의 운영 체제에 대한 유사하다. 그래서 리눅스 데스크톱 및 서버에 대한 시스템 경화 과정은 특별한 것입니다.
시스템 경화의 핵심 원리
시스템 경화에 현미경을 적용하면 프로세스를 몇 가지 핵심 원칙으로 나눌 수 있습니다. 여기에는 최소 권한,세분화 및 축소 원칙이 포함됩니다.
최소 권한의 프린시페
최소 권한의 원칙은 사용자가 작업을 수행할 수 있는 최소한의 권한을 사용자에게 부여하고 처리하는 것을 의미합니다. 이는 방문객에게 건물에 대한 액세스 권한을 부여하는 것과 유사합니다. 모든 민감한 지역을 포함하여 건물에 대한 전체 액세스 권한을 부여 할 수 있습니다. 다른 옵션은 게스트가 있어야 할 단일 층에 액세스 할 수 있도록하는 것입니다. 선택은 쉽다,권리?
예:
- 읽기 전용 액세스가 충분하면 쓰기 권한을 부여하지 마십시오
- 데이터 세그먼트로 플래그가 지정된 메모리 영역에서 실행 코드를 허용하지 마십시오
- 루트 사용자로 응용 프로그램을 실행하지 말고 대신 권한이없는 사용자 계정을 사용하십시오
세분화
다음 원칙은 더 큰 영역을 분할하는 것입니다.작은 것들로. 우리가 그 건물을 다시 보면,우리는 그것을 여러 층으로 나눴습니다. 각 층은 다른 구역으로 더 나눌 수 있습니다. 어쩌면 당신은 방문자 만 바닥에 허용 4,파란색 영역에서. 우리가 이것을 리눅스 보안으로 번역한다면,이 원칙은 메모리 사용에 적용될 것입니다. 각 프로세스는 자신의 메모리 세그먼트에 액세스 할 수 있습니다.
감축
이 원칙은 시스템이 작동하는 데 엄격하게 필요하지 않은 것을 제거하는 것을 목표로합니다. 그것은 최소한의 특권의 원칙처럼 보이지만 처음에는 무언가를 막는 데 중점을 둡니다. 실행할 필요가 없는 프로세스를 중지해야 합니다. 불필요한 사용자 계정이나 더 이상 사용되지 않는 중요한 데이터와 유사합니다.
시스템 강화 단계
강화 단계 개요
- 보안 업데이트 및 패치 설치
- 강력한 암호 사용
- 로컬 호스트에 프로세스 바인딩
- 방화벽 구현
- 정리 유지
- 보안 구성
- 액세스 제한
- 시스템 모니터링
- 백업 생성(및 테스트!)
- 시스템 감사 수행
1. 보안 업데이트 및 패치 설치
시스템의 대부분의 약점은 소프트웨어의 결함으로 인해 발생합니다. 이러한 결함을 우리는 취약점이라고 부릅니다. 소프트웨어 패치 관리에 대한 적절한 관리는 많은 관련 위험을 줄이는 데 도움이됩니다. 업데이트 설치 활동은 특히 보안 패치를 먼저 시작할 때 위험이 낮은 경우가 많습니다. 대부분의 리눅스 배포판은 업그레이드 할 패키지를 제한 할 수있는 옵션이 있습니다(모든,보안 만,패키지 당). 보안 업데이트가 사용 가능한 즉시 설치되는지 확인합니다. 그것은 당신이 무언가를 구현하기 전에(가상)테스트 시스템에서 먼저 테스트한다는 것은 말할 필요도 없습니다.
리눅스 배포판에 따라 데비안과 우분투의 무인 업그레이드와 같은 보안 패치를 자동으로 구현하는 방법이 있을 수 있습니다. 이 소프트웨어 패치 관리가 훨씬 쉽게!
2. 강력한 암호 사용
시스템의 주요 게이트웨이는 해당 계정의 관련 암호를 사용하여 유효한 사용자로 로그인하는 것입니다. 강력한 암호를 사용하면 도구가 암호를 추측하기가 더 어려워지고 악의적 인 사람들이 현관 문을 통해 들어올 수 있습니다. 강력한 암호는 다양한 문자(영숫자,숫자,퍼센트,공백 또는 유니 코드 문자와 같은 특수 문자)로 구성됩니다.
3. 로컬 호스트
에 프로세스를 바인딩합니다. 예를 들어,웹 서버에서 로컬 인스턴스를 실행하는 경우 로컬 소켓에서만 수신하거나 로컬 호스트(127.0.0.1)에 바인딩하도록 합니다. 그런 다음 이 로컬 주소를 통해 연결하도록 응용 프로그램을 구성합니다.
4. 방화벽 구현
허용된 트래픽만 이상적인 상황에서 시스템에 도달해야 합니다. 이를 위해 다음과 같은 방화벽 솔루션을 구현하십시오.
방화벽에 대한 정책을 만들 때는”모두 거부,일부 허용”정책을 사용하는 것이 좋습니다. 그래서 당신은 기본적으로 모든 트래픽을 거부 한 다음 허용 할 트래픽의 종류를 정의합니다. 이는 공유하지 않으려는 공유 서비스를 방지하기 위해 들어오는 트래픽에 특히 유용합니다.
유용한 읽기:
- 그 이유는 다음과 같습니다.
5. 깨끗하게 유지
속하지 않는 시스템에 설치된 모든 것은 컴퓨터에 부정적인 영향을 줄 수 있습니다. 그것은 또한 당신의 백업을 증가(및 복원 시간)합니다. 또는 취약점을 포함 할 수 있습니다. 깨끗한 시스템은 종종 더 건강하고 안전한 시스템입니다. 따라서 최소화는 리눅스 강화 과정에서 훌륭한 방법입니다.
실행 가능한 작업은 다음과 같습니다:
- 사용하지 않는 패키지 삭제
- 이전 홈 디렉토리 정리 및 사용자 제거
6. 보안 구성
대부분의 응용 프로그램에는 소프트웨어 또는 시스템에 대한 일부 형태의 위협으로부터 보호할 수 있는 하나 이상의 보안 조치가 있습니다. 모든 옵션에 대한 매뉴얼 페이지를보고 신중하게 이러한 옵션을 테스트합니다.
7. 액세스 제한
승인된 사용자만 머신에 액세스할 수 있습니다. 누군가가 실제로 액세스 권한이 필요하거나 사용자가 원하는 것을 제공 할 수있는 대체 방법이 있습니까?
8. 시스템 모니터링
모니터링 부족으로 인해 대부분의 침입이 감지되지 않습니다. 정상적인 시스템 모니터링을 구현하고 보안 이벤트에 대한 모니터링을 구현합니다. 예를 들어,리눅스 감사 프레임 워크의 사용은 의심 이벤트의 탐지율을 증가했다.
9. 백업 만들기(및 테스트!)
정기적으로 시스템 데이터의 백업을 만듭니다. 이렇게하면 데이터 손실을 방지 할 수 있습니다. 더욱 중요한 것은 백업을 테스트하는 것입니다. 백업을 갖는 것은 좋은,하지만 정말 계산 복원입니다!
백업은tar
및scp
와 같은 기존 시스템 도구를 사용하여 수행할 수 있습니다. 대역폭을 절약 할 수있는 또 다른 옵션은 다음과 같은 도구를 사용하여 데이터를 동기화하는 것입니다. 당신은 오히려 백업 프로그램을 사용하려는 경우,아만다 또는 바 큘라를 고려.
10. 시스템 감사 수행
리니스와 함께 수행 된 리눅스 서버 보안 감사의 스크린 샷.
측정하지 않으면 시스템을 제대로 보호할 수 없습니다.
라이니스와 같은 보안 도구를 사용하여 시스템에 대한 정기적인 감사를 수행합니다. 모든 결과는 화면에 표시되며 추가 분석을 위해 데이터 파일에 저장됩니다. 광범위한 로그 파일을 사용하면 사용 가능한 모든 데이터를 사용하고 추가 시스템 강화를 위해 다음 작업을 계획 할 수 있습니다.