Linux herding trinn for startere
de fleste systemer har konfidensielle data som må beskyttes. For å beskytte disse dataene må Vi sikre Vårt Linux-system. Men hvordan å herde Et Linux-system riktig? I denne artikkelen vil vi dekke dette trinnvis. Vi starter med fysiske sikkerhetstiltak for å hindre uvedkommende fra å få tilgang til systemet i første omgang. Neste er å gjøre installasjonen på riktig måte, så vi har et solid fundament. Til slutt vil vi bruke et sett med felles sikkerhetstiltak. Etter at vi er ferdige, bør serveren eller skrivebordet være bedre beskyttet. Er du klar? La oss fortsette med de første trinnene!
Innholdsfortegnelse
Linux er allerede sikkert som standard, ikke sant?
En av mytene Om Linux er at Den er sikker, da Den ikke er utsatt for virus eller andre former for skadelig programvare. Dette er delvis sant, Da Linux bruker grunnlaget for det opprinnelige UNIX-operativsystemet. Prosesser er atskilt og en normal bruker er begrenset i hva han eller hun kan gjøre på systemet. Likevel Er Linux ikke helt sikkert som standard. En av grunnene er Linux-distribusjoner som pakker GNU / Linux-kjernen og tilhørende programvare. De må velge mellom brukervennlighet, ytelse og sikkerhet.
Med de vanskelige valgene Som Linux-distribusjoner må gjøre, kan du være sikker på kompromisser. Disse kompromissene resulterer vanligvis i et senket sikkerhetsnivå. Hva med malware For Linux? Det er definitivt en myte. Linux-plattformen har også sin rettferdige andel av bakdører, rootkits, works og til og med ransomware. Det er en av grunnene til at det er viktig å gjøre systemherding, sikkerhetsrevisjon og kontroll for overholdelse av tekniske retningslinjer.
Det er mange aspekter Ved Linux-sikkerhet, inkludert Linux – systemherding, revisjon og overholdelse.
Hva er systemherding?
for å forbedre sikkerhetsnivået til et system, tar vi ulike typer tiltak. Dette kan være fjerning av en eksisterende systemtjeneste eller avinstallere noen programvarekomponenter.
systemherding er prosessen med å gjøre de riktige tingene. Målet er å øke sikkerhetsnivået i systemet. Det er mange aspekter å sikre et system riktig. Likevel er grunnleggende likt for de fleste operativsystemer. Så systemet herding prosessen For Linux desktop og servere er at den spesielle.
Kjerneprinsipper for systemherding
Hvis vi ville sette et mikroskop på systemherding, kunne vi dele prosessen i noen kjerneprinsipper. Disse inkluderer prinsippet om minst privilegium, segmentering og reduksjon.
Principe of least privilege
prinsippet om minste privilegier betyr at du gir brukere og behandler minimum tillatelse til å gjøre jobben sin. Det ligner på å gi en besøkende tilgang til en bygning. Du kan gi full tilgang til bygningen, inkludert alle følsomme områder. Det andre alternativet er å bare tillate din gjest å få tilgang til en etasje hvor de trenger å være. Valget er enkelt, ikke sant?
Eksempler:
- når skrivebeskyttet tilgang er nok, ikke gi skrivetillatelser
- ikke tillat kjørbar kode i minneområder som er flagget som datasegmenter
- ikke kjør programmer som rotbruker, bruk i stedet en ikke-privilegert brukerkonto
Segmentering
det neste prinsippet er at du deler større områder til mindre. Hvis vi ser på den bygningen igjen, har vi delt den i flere etasjer. Hver etasje kan videre deles inn i forskjellige soner. Kanskje du besokende er bare tillatt pa etasje 4, i den bla sonen. Hvis Vi oversetter Dette Til Linux-sikkerhet, vil dette prinsippet gjelde for minnebruk. Hver prosess kan bare få tilgang til sine egne minnesegmenter.
Reduksjon
dette prinsippet tar sikte på å fjerne noe som ikke er strengt nødvendig for at systemet skal fungere. Det ser ut som prinsippet om minst privilegium, men fokuserer på å forhindre noe i utgangspunktet. En prosess som ikke trenger å kjøre, bør stoppes. Lignende for unødvendige brukerkontoer eller sensitive data som ikke lenger brukes.
systemherdingstrinn
Oversikt over herdingstrinn
- Installer sikkerhetsoppdateringer og oppdateringer
- Bruk sterke passord
- Bind prosesser til localhost
- Implementer en brannmur
- Hold ting rent
- sikkerhetskonfigurasjoner
- begrens tilgang
- overvåk systemene dine
- opprett Sikkerhetskopier (og test!)
- Utfør systemrevisjon
1. Installere sikkerhetsoppdateringer og oppdateringer
de fleste svakheter i systemer skyldes feil i programvaren. Disse feilene kaller vi sårbarheter. Riktig omsorg for programvare patch management hjelp med å redusere mye av de relaterte risikoer. Aktiviteten med å installere oppdateringer har ofte lav risiko, spesielt når du starter med sikkerhetsoppdateringene først. De Fleste Linux-distribusjoner har muligheten til å begrense hvilke pakker du vil oppgradere (alle, kun sikkerhet, per pakke). Sørg for at sikkerhetsoppdateringene installeres så snart de er tilgjengelige. Det sier seg selv, før du implementerer noe, test det først på et (virtuelt) testsystem.
Avhengig Av Linux-distribusjonen din, kan det være en måte å implementere sikkerhetsoppdateringer automatisk, som uovervåkede oppgraderinger På Debian og Ubuntu. Dette gjør programvare patch management mye enklere!
2. Bruk sterke passord
hovedgatewayen til et system er ved å logge inn som en gyldig bruker med det relaterte passordet til den kontoen. Sterke passord gjør det vanskeligere for verktøy å gjette passordet og la ondsinnede mennesker gå inn via inngangsdøren. Et sterkt passord består av en rekke tegn (alfanumeriske, tall, spesielle som prosent, mellomrom, Eller Unicode-tegn).
3. Bind prosesser til localhost
Ikke alle tjenester må være tilgjengelige via nettverket. For eksempel, når du kjører en lokal forekomst Av MySQL på webserveren din, la den bare lytte på en lokal kontakt eller binde til localhost (127.0.0.1). Konfigurer deretter programmet til å koble til via denne lokale adressen,som vanligvis allerede er standard.
4. Implementer en brannmur
Bare tillatt trafikk bør i en ideell situasjon nå systemet ditt. For å oppnå dette, implementere en brannmur løsning som iptables, eller nyere nftables.
når du oppretter en policy For brannmuren, bør du vurdere å bruke en «avslå alle, tillat noen» – policy. Så du nekte all trafikk som standard, deretter definere hva slags trafikk du vil tillate. Dette er spesielt nyttig for innkommende trafikk, for å hindre delingstjenester du ikke har tenkt å dele.
Nyttig leser:
- Forskjellen mellom iptables og nftables
5. Hold ting rent
Alt som er installert på et system som ikke tilhører det, kan bare påvirke maskinen negativt. Det vil også øke sikkerhetskopiene dine (og gjenopprette tider). Eller de kan inneholde sårbarheter. Et rent system er ofte et mer sunt og sikkert system. Derfor er minimalisering en flott metode i Prosessen Med Linux-herding.
Handlingsoppgaver inkluderer:
- Slett ubrukt pakke
- Rydd opp gamle hjemmekataloger og fjern brukerne
6. Sikre konfigurasjoner
de fleste programmer har ett eller flere sikkerhetstiltak tilgjengelig for å beskytte mot noen former for trusler mot programvaren eller systemet. Se på mannsiden for eventuelle alternativer og test disse alternativene nøye.
7. Begrens tilgang
tillat kun tilgang til maskinen for autoriserte brukere. Har noen virkelig trenger tilgang eller er alternative metoder mulig å gi brukeren hva han eller hun ønsker?
8. Overvåke systemer
de fleste inntrenging er uoppdaget, på grunn av manglende overvåking. Implementere normal systemovervåking og implementere overvåking på sikkerhetshendelser. For eksempel økte Bruken Av Linux audit framework deteksjonsraten for mistenkte hendelser.
9. Lag sikkerhetskopier(og test!)
ta Regelmessig sikkerhetskopi av systemdata. Dette kan forhindre tap av data. Enda viktigere, test sikkerhetskopiene dine. Å ha en sikkerhetskopi er fint, men det er gjenopprettingen som virkelig teller!
Sikkerhetskopier kan gjøres med eksisterende systemverktøy som tar
og scp
. Et annet alternativ til å spare båndbredde er å synkronisere data med verktøy som rsync. Hvis du heller vil bruke et backupprogram, bør Du vurdere Amanda eller Bacula.
10. Utfør systemrevisjon
Skjermbilde av En Linux server sikkerhetsrevisjon utført Med Lynis.
du kan ikke ordentlig beskytte et system hvis du ikke måler det.
Bruk et sikkerhetsverktøy Som Lynis til å utføre en regelmessig revisjon av systemet. Eventuelle funn er vist på skjermen og også lagret i en datafil for videre analyse. Med en omfattende loggfil tillater den å bruke alle tilgjengelige data og planlegge neste handlinger for videre systemherding.