20 Gagnlegar öryggiseiginleikar og verkfæri fyrir Linux stjórnendur

Í þessari grein munum við lista yfir gagnlega Linux öryggiseiginleika sem sérhver kerfisstjóri ætti að vita. Við deilum einnig nokkrum gagnlegum verkfærum til að hjálpa kerfisstjóra að tryggja öryggi á Linux netþjónum sínum.

Listinn er sem hér segir og er ekki skipulagður í neinni sérstakri röð.

1. Linux notenda- og hópstjórnun

Linux notenda- og hópstjórnun er grundvallaratriði en samt mjög mikilvægur þáttur í kerfisstjórnun. Athugaðu að notandi getur verið einstaklingur eða hugbúnaðareining eins og vefþjónsferli og eigandi skráa.

Rétt skilgreining notendastjórnunar (sem getur falið í sér reikningsupplýsingar notanda, hópa sem notandi tilheyrir, hvaða hluta kerfis notandi hefur aðgang að, hvaða forrit þeir geta keyrt, framfylgja lykilorðareglum fyrir lykilorðastofnun o.s.frv.) getur hjálpað kerfisstjóra í tryggja öruggan kerfisaðgang og rekstur notenda innan Linux kerfis.

2. Linux PAM

PAM (Pluggable Authentication Modules) er öflug og sveigjanleg svíta af bókasöfnum fyrir kerfisbundið auðkenningarkerfi. Hvert safn aðgerða sem fylgir PAM getur verið notað af forriti til að biðja um að notandi sé auðkenndur.

Þetta gerir Linux kerfisstjóra kleift að skilgreina hvernig forrit auðkenna notendur. Það er hins vegar öflugt og mjög krefjandi að skilja, læra og nota.

3. Eldveggur sem byggir á netþjóni/hýsingaraðila

Linux er sent með Netfilter undirkerfinu sem býður upp á pakkasíunvirkni, alls kyns netfanga- og tengiþýðingu, mörg lög af API fyrir viðbætur frá þriðja aðila og fleira.

Allar nútíma Linux eldveggslausnir eins og firewalld, nftables (arftaki iptables) og fleira, nota þetta undirkerfi fyrir pakkasíun til að hjálpa til við að stjórna, vernda og hindra netumferð sem fer inn eða út úr Linux kerfi.

4. Linux SELinux

Verkefni sem upphaflega var þróað af Þjóðaröryggisstofnun Bandaríkjanna (NSA), Secure Enhanced Linux (eða SELinux í stuttu máli) er háþróaður Linux öryggiseiginleiki.

Það er öryggisarkitektúr sem er samþættur í Linux kjarnanum með því að nota Linux öryggiseiningar (LSM). Það bætir við hefðbundnu Linux-aðgangsstýringarlíkaninu (DAC) með því að bjóða upp á lögboðna aðgangsstýringu (MAC).

Það skilgreinir aðgang og flutningsréttindi hvers notanda, forrits, ferlis og skráar á kerfinu; það stjórnar samskiptum þessara aðila með því að nota öryggisstefnu sem tilgreinir hversu ströng eða mild uppsetning Linux kerfis ætti að vera.

SELinux er foruppsett á flestum ef ekki öllum RHEL dreifingum eins og Fedora, CentOS-stream, Rocky Linux, AlmaLinux o.s.frv.

5. AppArmor

Líkt og SELinux er AppArmor einnig skyldubundin aðgangsstýring (MAC) öryggiseining sem veitir skilvirkt og auðvelt í notkun Linux forritaöryggiskerfi. Margar Linux dreifingar eins og Debian, Ubuntu og openSUSE koma með AppArmor uppsett.

Helsti munurinn á AppArmor og SELinux er að hann er byggður á slóðum, það gerir kleift að blanda saman framfylgdar- og kvartunarsniðum. Það notar einnig „innihalda skrár“ til að auðvelda þróun, auk þess sem það hefur mun lægri aðgangshindrun.

6. Fail2ban

misheppnaðar innskráningartilraunir og fleira, og uppfærir eldveggsreglur til að banna slíka IP tölu í tiltekinn tíma.

7. ModSecurity Web Application Firewall (WAF)

ModSecurity er þróað af Trustwave's SpiderLabs og er ókeypis og opinn uppspretta, öflugur og fjölvettvangur WAF vél. Það virkar með Apache, NGINX og IIS vefþjónum. Það getur hjálpað kerfisstjórum og vefforritshönnuðum með því að veita fullnægjandi öryggi gegn ýmsum árásum, til dæmis SQL innspýtingum. Það styður HTTP umferðarsíun og eftirlit, skráningu og rauntíma greiningu.

Fyrir frekari upplýsingar, skoðaðu:

  • Hvernig á að setja upp ModSecurity fyrir Nginx á Debian/Ubuntu
  • Hvernig á að setja upp ModSecurity með Apache á Debian/Ubuntu

8. Öryggisskrár

Öryggisskrár hjálpa til við að halda utan um atburði sem tengjast sérstaklega öryggi og öryggi alls upplýsingatækniinnviða þíns eða eins Linux kerfis. Þessir atburðir fela í sér árangursríkar og misheppnaðar tilraunir til að fá aðgang að netþjóni, forritum og fleira, virkjun á IDS, viðvaranir ræstar og margt fleira.

Sem kerfisstjóri þarftu að bera kennsl á áhrifarík og skilvirk annálastjórnunarverkfæri og viðhalda bestu starfsvenjum um stjórnun öryggisskrár.

9. OpenSSH

OpenSSH er leiðandi tengitól fyrir fjarinnskráningu með SSH netsamskiptareglum. Það gerir örugg samskipti á milli tölva með því að dulkóða umferð á milli þeirra og útilokar þannig illgjarn athæfi frá netglæpamönnum.

Hér eru nokkrar gagnlegar leiðbeiningar til að hjálpa þér að tryggja OpenSSH netþjóninn þinn:

  • Hvernig á að tryggja og herða OpenSSH Server
  • 5 bestu OpenSSH netþjónarnir bestu öryggisaðferðir
  • Hvernig á að setja upp SSH lykilorðslausa innskráningu í Linux

10. OpenSSL

OpenSSL er vinsælt, almennt notað dulritunarsafn, sem er fáanlegt sem skipanalínuverkfæri sem útfærir Secure Sockets Layer (SSL v2/v3) og Transport Layer Security (TLS v1) netsamskiptareglur og tengda dulritunarstaðla sem krafist er af þeim.

Það er almennt notað til að búa til einkalykla, búa til CSRs (Certificate Signing Requests), setja upp SSL/TLS vottorðið þitt, skoða upplýsingar um vottorð og margt fleira.

11. Innbrotsgreiningarkerfi (IDS)

IDS er vöktunartæki eða hugbúnaður sem greinir grunsamlega starfsemi eða brot gegn reglum og býr til viðvaranir þegar þær finnast á grundvelli þessara viðvarana, sem kerfisstjóri eða öryggissérfræðingur, eða hvaða starfsmenn sem málið varðar, geturðu rannsakað málið og gripið til viðeigandi aðgerða til að bæta úr hættunni.

Það eru aðallega tvenns konar IDS: hýsingartengd IDS sem er notuð til að fylgjast með einu kerfi og nettengd IDS sem er notuð til að fylgjast með heilu neti.

Það eru fjölmargir hugbúnaðarbyggðir IDS fyrir Linux eins og AIDE og fleiri.

12. Linux eftirlitsverkfæri

Til að tryggja framboð á hinum ýmsu kerfum, þjónustu og forritum innan upplýsingatækniinnviða fyrirtækis þíns þarftu að hafa auga með þessum aðilum í rauntíma.

Og besta leiðin til að ná þessu er í gegnum Icinga 2 og fleira.

13. Linux VPN Verkfæri

VPN (stutt fyrir Virtual Private Network) er kerfi til að dulkóða umferð þína á ótryggðum netum eins og internetinu. Það veitir örugga nettengingu við net fyrirtækisins þíns í gegnum almenna internetið.

Skoðaðu þessa handbók til að setja upp VPN fljótt í skýinu: Hvernig á að búa til þinn eigin IPsec VPN netþjón í Linux

14. Verkfæri fyrir öryggisafritun og endurheimt kerfis og gagna

Að taka öryggisafrit af gögnum tryggir að fyrirtæki þitt tapi ekki mikilvægum gögnum ef ófyrirséð atvik verða. Endurheimtartæki hjálpa þér að endurheimta gögn eða kerfi á fyrri tíma til að hjálpa fyrirtækinu þínu að jafna sig eftir hörmungar af hvaða stærðargráðu sem er.

Hér eru nokkrar gagnlegar greinar um Linux öryggisafritunarverkfæri:

  • 25 framúrskarandi öryggisafritunarforrit fyrir Linux kerfi
  • 7 bestu opinn uppspretta \Diskklónun/öryggisafritun\ verkfæri fyrir Linux netþjóna
  • Slappaðu af og endurheimtu – Afritaðu og endurheimtu Linux kerfi
  • Hvernig á að klóna eða taka öryggisafrit af Linux diski með Clonezilla

15. Linux Gagna dulkóðunarverkfæri

Dulkóðun er fyrsta flokks öryggistækni í gagnavernd sem tryggir að aðeins viðurkenndir aðilar hafi aðgang að upplýsingum sem eru geymdar eða í flutningi. Þú munt finna fjöldann allan af dulkóðunarverkfærum fyrir Linux kerfi sem þú getur nýtt þér til öryggis.

16. Lynis – Öryggisúttektarverkfæri

Lynis er ókeypis, opinn uppspretta, sveigjanlegur og vinsæll hýsingaröryggisendurskoðun og varnarleysisskönnun og matstæki. Það keyrir á Linux kerfum og öðrum Unix-líkum stýrikerfum eins og Mac OS X.

17. Nmap – Netskanni

Nmap (stutt fyrir Network Mapper) er mikið notað, ókeypis, opinn uppspretta og eiginleikaríkt öryggistól fyrir netkönnun eða öryggisúttekt. Það er þvert á vettvang, þess vegna keyrir það á Linux, Windows og Mac OS X.

18. Wireshark

Wireshark er fullkominn og öflugur netpakkagreiningartæki, sem gerir kleift að taka upp pakka í beinni sem hægt er að vista til síðar/ótengdra greiningar.
Það er líka þvert á vettvang og keyrir á Unix-líkum kerfum eins og Linux-undirstaða stýrikerfum, Mac OSX og einnig Windows.

19. Nikto

Nikto er öflugur, opinn vefskanni sem skannar vefsíðu/forrit, sýndargestgjafa og vefþjón fyrir þekkta veikleika og rangstillingar.

Það reynir að bera kennsl á uppsetta vefþjóna og hugbúnað áður en prófanir eru framkvæmdar.

20. Linux uppfærsla

Síðast en ekki síst, sem kerfisstjóri, ættir þú að framkvæma reglulega hugbúnaðaruppfærslur beint frá stýrikerfinu til uppsettra pakka og forrita, til að tryggja að þú sért með nýjustu öryggisleiðréttingarnar.

$ sudo apt update         [On Debian, Ubuntu and Mint]
$ sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
$ sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
$ sudo zypper update      [On OpenSUSE]

Þetta er allt sem við áttum fyrir þig. Þessi listi er styttri en hann ætti að vera. Ef þú heldur það, deildu með okkur fleiri verkfærum sem eiga skilið að vera þekkt fyrir lesendur okkar í gegnum athugasemdaformið hér að neðan.