10 nasvetov za utrjevanje Linuxa za začetnike SysAdmins

Sistemi Linux so zasnovani varno in zagotavljajo zanesljiva orodja za upravljanje. A ne glede na to, kako dobro zasnovan je sistem, je njegova varnost odvisna od uporabnika.

Začetniki pogosto potrebujejo leta, da najdejo najboljše varnostne politike za svoje stroje. Zato delimo te bistvene nasvete za utrjevanje Linuxa za nove uporabnike, kot ste vi. Preizkusite jih.

1. Uveljavite stroge politike gesla

Gesla so glavni način preverjanja pristnosti za večino sistemov. Ne glede na to, ali ste domači uporabnik ali strokovnjak, je treba uveljaviti trdna gesla. Najprej onemogočite prazna gesla. Ne boste verjeli, koliko ljudi jih še vedno uporablja.

awk -F: '($ 2 == "") {print}' / etc / shadow

Zaženite zgornji ukaz kot root, da si ogledate, kateri računi imajo prazna gesla. Če najdete nekoga s praznim geslom, uporabnika takoj zaklenite. To lahko storite z naslednjim.

passwd -l USERNAME

Nastavite lahko tudi staranje gesel, da zagotovite, da uporabniki ne morejo uporabljati starih gesel. Uporabite ukaz chage, da to storite s svojega terminala.

chage -l UPORABNO IME

Ta ukaz prikazuje trenutni datum poteka. Če želite nastaviti geslo po 30 dneh, uporabite spodnji ukaz. Uporabniki lahko uporabite Linux skrbnike gesel za zaščito spletnih računov.

8 najboljših skrbnikov gesel za Linux, da ostanejo varni

Potrebujete varni upravitelj gesel za Linux? Te aplikacije so enostavne za uporabo in varujejo vaša spletna gesla.

chage -M 30 UPORABNO IME

2. Varnostno kopiranje osnovnih podatkov

Če resno razmišljate o svojih podatkih, nastavite redne varnostne kopije. Tako lahko tudi, če se vam sistem zruši, hitro obnovite podatke. Toda izbira prave metode varnostnega kopiranja je ključnega pomena za utrjevanje Linuxa.

Če ste domači uporabnik, kloniranje podatkov na trdi disk lahko zadošča. Podjetja pa potrebujejo dovršene varnostne sisteme, ki omogočajo hitro okrevanje.

3. Izogibajte se starejšim komunikacijskim metodam

Linux podpira številne metode oddaljene komunikacije. Toda starejše storitve Unixa, kot so telnet, rlogin in ftp, lahko predstavljajo resne varnostne težave. Torej, poskusite se jim izogniti. Lahko jih popolnoma odstranite, da zmanjšate varnostne težave, povezane z njimi.

apt-get --purge odstrani xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Ta ukaz odstrani nekatere pogosto uporabljene, vendar zastarele storitve iz naprav Ubuntu / Debian. Če uporabljate sistem, ki temelji na RPM, raje uporabite naslednje.

yum erase xinetd ypserv tftp-server telnet-server rsh-server

4. Zavarujte OpenSSH

Protokol SSH je priporočljiva metoda oddaljene komunikacije za Linux. Zagotovite si konfiguracijo strežnika OpenSSH (sshd). Ti lahko več o nastavitvi SSH strežnika preberite tukaj.

Uredite /etc/ssh/sshd_config datoteka za nastavitev varnostnih pravilnikov za ssh. Spodaj je nekaj splošnih varnostnih pravil, ki jih lahko uporablja vsak.

PermitRootLogin no # onemogoči prijavo root
MaxAuthTries 3 # omejuje poskuse preverjanja pristnosti
PasswordAuthentication no # onemogoča preverjanje pristnosti gesla
PermitEmptyPasswords no # onemogoči prazna gesla
X11Forwarding no # onemogoča prenos GUI
DebianBanner no # disbales debelo pasico
AllowUsers *@XXX.X.XXX.0/24 # omeji uporabnike na obseg IP

5. Omeji uporabo CRON-a

CRON je robusten načrtovalec opravil za Linux. Skrbnikom omogoča razporedite opravila v Linuxu s pomočjo crontaba. Zato je ključno omejiti, kdo lahko izvaja CRON-ova opravila. Z naslednjim ukazom lahko izveste vse aktivne pogoje za uporabnika.

crontab -l -u UPORABNO IME

Preverite opravila za vsakega uporabnika, da ugotovite, ali kdo izkorišča CRON. Morda boste želeli vsem uporabnikom preprečiti uporabo crontaba, razen vas. Zaženite naslednji ukaz za to.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Uveljavi module PAM

Linux PAM (vtični moduli za preverjanje pristnosti) ponuja zmogljive funkcije preverjanja pristnosti za aplikacije in storitve. Za zaščito prijave v sistem lahko uporabite različne pravilnike PAM. Na primer, spodnji ukazi omejujejo ponovno uporabo gesla.

# CentOS / RHEL
echo 'dovolj gesla pam_unix.so use_authtok md5 shadow Remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'dovolj gesla pam_unix.so use_authtok md5 shadow Remember = 5' >> \
> /etc/pam.d/common-password

Omejujejo uporabo gesel, ki so bila uporabljena v zadnjih petih tednih. Obstaja veliko več pravilnikov PAM, ki zagotavljajo dodatne ravni varnosti.

7. Odstranite neuporabljene pakete

Odstranjevanje neuporabljenih paketov zmanjša površino napada na vaši napravi. Zato priporočamo, da izbrišete redko uporabljene pakete. Vse trenutno nameščene pakete si lahko ogledate z uporabo spodnjih ukazov.

nameščen seznam yum # CentOS / RHEL 
apt list --instaliran # Ubuntu / Debian

Recimo, da želite odstraniti neuporabljeni paket vlc. To lahko storite tako, da zaženete naslednje ukaze kot root.

yum odstranite vlc # CentOS / RHEL
apt odstraniti vlc # Ubuntu / Debian

8. Varni parametri jedra

Drug učinkovit način utrjevanja Linuxa je zaščita parametrov jedra. Te parametre lahko konfigurirate s pomočjo sysctl ali s spreminjanjem konfiguracijske datoteke. Spodaj je nekaj pogostih konfiguracij.

kernel.randomize_va_space = 2 # naključno naslovi osnovo za mmap, kopico in sklad
kernel.panic = 10 # ponovni zagon po 10 sekundah po paniki jedra
net.ipv4.icmp_ignore_bogus_error_responses # ščiti slaba sporočila o napakah
net.ipv4.ip_forward = 0 # onemogoči posredovanje IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # prezre napake ICP

To je le nekaj osnovnih konfiguracij. Z izkušnjami se boste naučili različnih načinov konfiguracije jedra.

9. Konfigurirajte iptables

Jedra Linuxa zagotavljajo zanesljive metode filtriranja omrežnih paketov prek svojega Netfilter API-ja. Iptables lahko uporabite za interakcijo s tem API-jem in nastavite filtre po meri za omrežne zahteve. Spodaj je nekaj osnovnih iptables pravil za uporabnike, ki se osredotočajo na varnost.

-A INPUT -j REJECT # zavrne vse vhodne zahteve
-A FORWARD -j REJECT # zavrne posredovanje prometa
-A VHOD -i lo -j SPREJEM
-A OUTPUT -o lo -j ACCEPT # dovoli promet na localhost
# dovoli zahteve za ping
-A IZHOD -p icmp -j SPREJMI # dovoli odhodne pinge
# dovoli vzpostavljene / povezane povezave
-A VHOD -m stanje - stanje VZPOSTAVLJENO, POVEZANO -j SPREJEM
-A IZHOD -m stanje - stanje VZPOSTAVLJENO, POVEZANO -j SPREJEM
# dovoli iskanje DNS
-A IZHOD -p udp -m udp --dport 53 -j SPREJEM
# dovoli http / https zahteve
-A IZHOD -p tcp -m tcp --dport 80 -m stanje - stanje NOVO -j SPREJEM
-A IZHOD -p tcp -m tcp --dport 443 -m stanje - stanje NOVO -j SPREJEM
# dovoli SSH dostop
-A VHOD -p tcp -m tcp --dport 22 -j SPREJEM
-A IZHOD -p tcp -m tcp --dport 22 -j SPREJEM

10. Dnevniki monitorja

Dnevnike lahko uporabite za boljši smisel vašega računalnika Linux. Vaš sistem shrani več dnevniških datotek za aplikacije in storitve. Tu opisujemo bistvene.

• /var/log/auth.log beleži poskuse avtorizacije
• /var/log/daemon.log beleži aplikacije v ozadju
• / var / log / debug beleži podatke o odpravljanju napak
• /var/log/kern.log beleži podatke jedra
• / var / log / syslog beleži sistemske podatke
• / var / log / faillog prijavi neuspele prijave

Najboljši nasveti za utrjevanje Linuxa za začetnike

Zavarovanje sistema Linux ni tako težko, kot se vam zdi. Varnost lahko okrepite tako, da upoštevate nekatere nasvete, omenjene v tem priročniku. S pridobivanjem izkušenj boste obvladali več načinov zaščite Linuxa.

7 bistvenih nastavitev zasebnosti za Chrome OS in Google Chrome

Uporabljate Chromebook, vendar vas skrbi zasebnost? Teh 7 nastavitev prilagodite v brskalniku Chrome v sistemu Chrome OS, da boste varni v spletu.

O avtorju