25 Ábendingar um harðnandi öryggi fyrir Linux netþjóna

Allir segja að Linux sé sjálfgefið öruggt og samþykkt að einhverju leyti (það er umdeilt efni). Hins vegar er Linux með innbyggt öryggislíkan sjálfgefið. Þarftu að stilla það upp og aðlaga eftir þörfum þínum sem gæti hjálpað til við að gera kerfið öruggara. Linux er erfiðara að stjórna en býður upp á meiri sveigjanleika og stillingarmöguleika.

Að tryggja kerfi í framleiðslu úr höndum tölvuþrjóta og kex er krefjandi verkefni fyrir kerfisstjóra. Þetta er fyrsta greinin okkar sem tengist „Hvernig á að tryggja Linux kassa“ eða „Herðing á Linux Box“. Í þessari færslu munum við útskýra 25 gagnleg ráð og brellur til að tryggja Linux kerfið þitt. Vona að ábendingar og brellur hér að neðan muni hjálpa þér að lengja til að tryggja kerfið þitt.

1. Líkamlegt kerfisöryggi

Stilltu BIOS til að slökkva á ræsingu frá CD/DVD, ytri tækjum, disklingadrifi í BIOS. Næst skaltu virkja BIOS lykilorð og vernda einnig GRUB með lykilorði til að takmarka líkamlegan aðgang að kerfinu þínu.

  1. Stilltu GRUB lykilorð til að vernda Linux netþjóna

2. Disksneiðing

Það er mikilvægt að hafa mismunandi skipting til að fá hærra gagnaöryggi ef einhver hörmung gerist. Með því að búa til mismunandi skipting er hægt að aðgreina og flokka gögn. Þegar óvænt slys á sér stað skemmast aðeins gögn þeirrar skipting en gögnin á öðrum skiptingum lifðu af. Gakktu úr skugga um að þú verður að hafa eftirfarandi aðskildar skiptingar og vertu viss um að forrit frá þriðja aðila ættu að vera sett upp á aðskildum skráarkerfum undir /opt.

/
/boot
/usr
/var
/home
/tmp
/opt

3. Lágmarkaðu pakka til að lágmarka varnarleysi

Viltu virkilega að alls kyns þjónustu sé sett upp?. Mælt er með því að forðast að setja upp gagnslausa pakka til að forðast veikleika í pakka. Þetta getur dregið úr hættu á að málamiðlun einnar þjónustu geti leitt til málamiðlunar annarrar þjónustu. Finndu og fjarlægðu eða slökktu á óæskilegri þjónustu af þjóninum til að lágmarka varnarleysi. Notaðu 'chkconfig' skipunina til að finna út þjónustu sem eru í gangi á keyrslustigi 3.

# /sbin/chkconfig --list |grep '3:on'

Þegar þú hefur komist að því að óæskileg þjónusta er í gangi skaltu slökkva á henni með eftirfarandi skipun.

# chkconfig serviceName off

Notaðu RPM pakkastjórann eins og „yum“ eða „apt-get“ verkfæri til að skrá alla uppsetta pakka á kerfi og fjarlægja þá með eftirfarandi skipun.

# yum -y remove package-name
# sudo apt-get remove package-name

  1. 5 chkconfig stjórnunardæmi
  2. 20 Hagnýt dæmi um RPM skipanir
  3. 20 Linux YUM skipanir fyrir Linux pakkastjórnun
  4. 25 APT-GET og APT-CACHE skipanir til að stjórna pakkastjórnun

4. Athugaðu Listening Network Ports

Með hjálp 'netstat' netskipunar geturðu skoðað allar opnar höfn og tengd forrit. Eins og ég sagði hér að ofan notaðu 'chkconfig' skipunina til að slökkva á allri óæskilegri netþjónustu úr kerfinu.

# netstat -tulpn

  1. 20 Netstat skipanir fyrir netstjórnun í Linux

5. Notaðu Secure Shell (SSH)

Telnet og rlogin samskiptareglur nota venjulegan texta, ekki dulkóðað snið sem er öryggisbrotin. SSH er örugg samskiptaregla sem notar dulkóðunartækni við samskipti við netþjóninn.

Skráðu þig aldrei beint inn sem rót nema nauðsynlegt sé. Notaðu sudo til að framkvæma skipanir. sudo eru tilgreind í /etc/sudoers skránni, einnig er hægt að breyta með „visudo“ tólinu sem opnast í VI ritlinum.

Einnig er mælt með því að breyta sjálfgefnu SSH 22 gáttarnúmeri með einhverju öðru gáttarnúmeri á hærra stigi. Opnaðu aðal SSH stillingarskrána og gerðu nokkrar eftirfarandi breytur til að takmarka aðgang notenda.

# vi /etc/ssh/sshd_config
PermitRootLogin no
AllowUsers username
Protocol 2

  1. 5 bestu starfsvenjur til að tryggja og vernda SSH netþjón

6. Haltu kerfinu uppfærðu

Hafðu kerfið alltaf uppfært með nýjustu útgáfuplástrum, öryggisleiðréttingum og kjarna þegar það er tiltækt.

# yum updates
# yum check-update

7. Lockdown Cronjobs

Cron hefur sinn eigin innbyggða eiginleika, þar sem það gerir kleift að tilgreina hverjir mega og hverjir vilja ekki reka störf. Þessu er stjórnað af notkun skráa sem kallast /etc/cron.allow og /etc/cron.deny. Til að læsa notanda sem notar cron skaltu einfaldlega bæta við notendanöfnum í cron.deny og leyfa notanda að keyra cron add í cron.allow skrá. Ef þú vilt slökkva á því að allir notendur noti cron skaltu bæta við ‘ALL’ línunni við cron.deny skrána.

# echo ALL >>/etc/cron.deny

  1. 11 Cron áætlunardæmi í Linux

8. Slökktu á USB-lykli til að greina

Oft gerist það að við viljum takmarka notendur frá því að nota USB-lyki í kerfum til að vernda og tryggja gögn gegn þjófnaði. Búðu til skrá '/etc/modprobe.d/no-usb' og að bæta við neðan línu mun ekki greina USB geymslu.

install usb-storage /bin/true

9. Kveiktu á SELinux

Öryggisbætt Linux (SELinux) er skyldubundið aðgangsstýringaröryggiskerfi sem fylgir kjarnanum. Að slökkva á SELinux þýðir að fjarlægja öryggiskerfi úr kerfinu. Hugsaðu þig tvisvar um áður en þú fjarlægir það, ef kerfið þitt er tengt við internetið og almenningur nálgast það, hugsaðu þá meira um það.

SELinux býður upp á þrjár grunnaðgerðir og þær eru það.

  1. Að framfylgja: Þetta er sjálfgefin stilling sem virkjar og framfylgir SELinux öryggisstefnu á vélinni.
  2. Leyfilegt: Í þessum ham mun SELinux ekki framfylgja öryggisstefnunni á kerfinu, aðeins vara við og skrá aðgerðir. Þessi háttur er mjög gagnlegur til að leysa vandamál tengd SELinux.
  3. Slökkt: Slökkt er á SELinux.

Þú getur skoðað núverandi stöðu SELinux ham frá skipanalínunni með því að nota 'system-config-selinux', 'getenforce' eða 'sestatus' skipanir.

# sestatus

Ef það er óvirkt skaltu virkja SELinux með eftirfarandi skipun.

# setenforce enforcing

Það er líka hægt að stjórna því úr '/etc/selinux/config' skránni, þar sem þú getur virkjað eða slökkt á henni.

10. Fjarlægðu KDE/GNOME skjáborð

Það er engin þörf á að keyra X Window skjáborð eins og KDE eða GNOME á sérstaka LAMP þjóninum þínum. Þú getur fjarlægt eða slökkt á þeim til að auka öryggi miðlara og afköst. Til að slökkva á einföldum opnaðu skrána ‘/etc/inittab‘ og stilltu keyrslustig á 3. Ef þú vilt fjarlægja hana alveg úr kerfinu skaltu nota skipunina hér að neðan.

# yum groupremove "X Window System"

11. Slökktu á IPv6

Ef þú ert ekki að nota IPv6 samskiptareglur, þá ættir þú að slökkva á henni vegna þess að flest forrit eða stefnur þurfa ekki IPv6 samskiptareglur og eins og er er það ekki krafist á þjóninum. Farðu í netstillingarskrá og bættu við eftirfarandi línum til að slökkva á henni.

# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

12. Takmarka notendur að nota gömul lykilorð

Þetta er mjög gagnlegt ef þú vilt banna notendum að nota sömu gömlu lykilorðin. Gamla lykilorðaskráin er staðsett á /etc/security/opasswd. Þetta er hægt að ná með því að nota PAM mát.

Opnaðu '/etc/pam.d/system-auth' skrá undir RHEL/CentOS/Fedora.

# vi /etc/pam.d/system-auth

Opnaðu '/etc/pam.d/common-password' skrá undir Ubuntu/Debian/Linux Mint.

# vi /etc/pam.d/common-password

Bættu eftirfarandi línu við „auth“ hlutann.

auth        sufficient    pam_unix.so likeauth nullok

Bættu eftirfarandi línu við „lykilorð“ hlutann til að banna notanda að endurnota síðustu 5 lykilorð hans eða hennar.

password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

Aðeins síðustu 5 lykilorðin muna eftir miðlara. Ef þú reyndir að nota eitthvað af síðustu 5 gömlu lykilorðunum færðu villu eins og.

Password has been already used. Choose another.

13. Hvernig á að athuga lykilorð notanda

Í Linux eru lykilorð notenda geymd í '/etc/shadow' skrá á dulkóðuðu sniði. Til að athuga hvort lykilorð notenda rennur út þarftu að nota „chage“ skipunina. Það sýnir upplýsingar um gildistíma lykilorðs ásamt síðustu breytingu á lykilorði. Þessar upplýsingar eru notaðar af kerfinu til að ákveða hvenær notandi þarf að breyta lykilorði sínu.

Notaðu eftirfarandi skipun til að skoða öldrunarupplýsingar fyrir núverandi notanda eins og fyrningardagsetningu og tíma.

#chage -l username

Til að breyta öldrun lykilorðs hvers notanda, notaðu eftirfarandi skipun.

#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

  1. -M Stilltu hámarksfjölda daga
  2. -m Stilltu lágmarksfjölda daga
  3. -W Stilltu fjölda daga viðvörunar

14. Læstu og opnaðu reikninginn handvirkt

Læsa og opna eiginleikarnir eru mjög gagnlegir, í stað þess að fjarlægja reikning úr kerfinu geturðu læst honum í viku eða mánuð. Til að læsa tilteknum notanda geturðu notað eftirfarandi skipun.

# passwd -l accountName

Athugið: Læsti notandinn er enn aðeins tiltækur fyrir rótnotanda. Læsingin er framkvæmd með því að skipta út dulkóðuðu lykilorði fyrir (!) streng. Ef einhver reynir að fá aðgang að kerfinu með þessum reikningi mun hann fá villu svipaða og hér að neðan.

# su - accountName
This account is currently not available.

Til að opna eða virkja aðgang að læstum reikningi skaltu nota skipunina sem. Þetta mun fjarlægja (!) streng með dulkóðuðu lykilorði.

# passwd -u accountName

15. Framfylgja sterkari lykilorðum

Nokkrir notendur nota mjúk eða veik lykilorð og lykilorðið þeirra gæti verið tölvusnápur með orðabók byggðum eða brute-force árásum. „pam_cracklib“ einingin er fáanleg í PAM (Pluggable Authentication Modules) einingastafla sem mun neyða notanda til að setja sterk lykilorð. Opnaðu eftirfarandi skrá með ritstjóra.

Lestu líka:

# vi /etc/pam.d/system-auth

Og bættu við línu með því að nota kreditfæribreytur sem (lcredit, ucredit, dcredit og/eða occredit í sömu röð lágstafir, hástafir, tölustafir og annað)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. Virkja Iptables (eldvegg)

Það er mjög mælt með því að virkja Linux eldvegg til að tryggja óviðkomandi aðgang að netþjónum þínum. Notaðu reglur í iptables á síur á komandi, sendandi og áframsendingarpakka. Við getum tilgreint uppruna og áfangastað til að leyfa og hafna í tilteknu udp/tcp gáttarnúmeri.

  1. Grundvallarleiðbeiningar um IPTables og ábendingar

17. Slökktu á Ctrl+Alt+Delete í Inittab

Í flestum Linux dreifingum, með því að ýta á „CTRL-ALT-DELETE“ mun kerfið þitt endurræsa. Svo það er ekki góð hugmynd að hafa þennan valkost virkan að minnsta kosti á framleiðsluþjónum, ef einhver gerir þetta fyrir mistök.

Þetta er skilgreint í '/etc/inittab' skránni, ef þú lítur vel í þá skrá muntu sjá línu svipað og hér að neðan. Sjálfgefið er að línan sé ekki skrifuð út. Við verðum að gera athugasemdir við það. Þessi tiltekna lyklaröð merki mun loka kerfi.

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. Athuga reikninga fyrir tóm lykilorð

Sérhver reikningur með autt lykilorð þýðir að hann er opnaður fyrir óviðkomandi aðgang að hverjum sem er á vefnum og það er hluti af öryggi innan Linux netþjóns. Svo þú verður að ganga úr skugga um að allir reikningar séu með sterk lykilorð og að enginn hafi heimildan aðgang. Tómir lykilorðareikningar eru öryggisáhætta og auðvelt er að hakka það inn. Til að athuga hvort það væru einhverjir reikningar með tómt lykilorð, notaðu eftirfarandi skipun.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

19. Birta SSH borða fyrir innskráningu

Það er alltaf betri hugmynd að hafa löglega borða eða öryggisborða með einhverjum öryggisviðvörunum fyrir SSH auðkenningu. Til að setja slíka borða skaltu lesa eftirfarandi grein.

  1. Sýna SSH viðvörunarskilaboð til notenda

20. Fylgstu með athöfnum notenda

Ef þú ert að fást við fullt af notendum, þá er mikilvægt að safna upplýsingum um hverja notendastarfsemi og ferla sem þeir nota og greina þá síðar eða ef einhvers konar frammistöðu, öryggisvandamál. En hvernig við getum fylgst með og safnað upplýsingum um notendavirkni.

Það eru tvö gagnleg verkfæri sem kallast „psacct“ og „acct“ eru notuð til að fylgjast með athöfnum notenda og ferlum í kerfi. Þessi verkfæri keyra í kerfisbakgrunni og fylgjast stöðugt með hverri notandavirkni á kerfi og tilföngum sem þjónustur eins og Apache, MySQL, SSH, FTP, o.

  1. Fylgstu með notendavirkni með psacct eða acct skipunum

21. Skoðaðu logs reglulega

Færðu annála inn á sérstakan annálaþjón, þetta gæti komið í veg fyrir að boðflennir geti auðveldlega breytt staðbundnum annálum. Hér að neðan eru algengar Linux sjálfgefnar skráarheiti og notkun þeirra:

  1. /var/log/message – Þar sem heilar kerfisskrár eða núverandi virkniskrár eru tiltækar.
  2. /var/log/auth.log – Auðkenningarskrár.
  3. /var/log/kern.log – Kjarnaskrár.
  4. /var/log/cron.log – Crond logs (cron starf).
  5. /var/log/maillog – Póstþjónsskrár.
  6. /var/log/boot.log – Kerfisræsingarskrá.
  7. /var/log/mysqld.log – Notkunarskrá fyrir MySQL gagnagrunnsþjón.
  8. /var/log/secure – Auðkenningarskrá.
  9. /var/log/utmp eða /var/log/wtmp : Innskráningarskrá.
  10. /var/log/yum.log: Yum log skrár.

22. Mikilvægt öryggisafrit af skrá

Í framleiðslukerfi er nauðsynlegt að taka öryggisafrit af mikilvægum skrám og geyma þær í öryggishvelfingu, fjarlægri síðu eða utan staðar fyrir endurheimt hamfara.

23. NIC Bonding

Það eru tvær tegundir af stillingum í NIC tengingu, þarf að nefna í tengingarviðmóti.

  1. mode=0 – Round Robin
  2. mode=1 – Virk og öryggisafrit

NIC Bonding hjálpar okkur að forðast stakan bilunarpunkt. Í NIC-tengingu tengjum við tvö eða fleiri Ethernet-netkort saman og búum til eitt sýndarviðmót þar sem við getum úthlutað IP-tölu til að tala við aðra netþjóna. Netið okkar verður tiltækt ef eitt NIC-kort er niðri eða ekki tiltækt af einhverjum ástæðum.

24. Haltu /boot sem skrifvarinn

Linux kjarninn og tengdar skrár hans eru í /boot möppu sem er sjálfgefið sem lesa-skrifa. Að breyta því í skrifvarið dregur úr hættu á óviðkomandi breytingum á mikilvægum ræsiskrám. Til að gera þetta skaltu opna /etc/fstab skrána.

# vi /etc/fstab

Bættu við eftirfarandi línu neðst, vistaðu og lokaðu henni.

LABEL=/boot     /boot     ext2     defaults,ro     1 2

Vinsamlegast athugaðu að þú þarft að endurstilla breytinguna á lesa-skrifa ef þú þarft að uppfæra kjarnann í framtíðinni.

25. Hunsa ICMP eða útsendingarbeiðni

Bættu við eftirfarandi línu í /etc/sysctl.conf skrá til að hunsa ping eða útsendingarbeiðni.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

Hladdu nýjum stillingum eða breytingum með því að keyra eftirfarandi skipun

#sysctl -p

Ef þú hefur misst af mikilvægu öryggis- eða herðingarráði á listanum hér að ofan, eða þú ert með einhverja aðra ábendingu sem þarf að vera með á listanum. Vinsamlegast sendu athugasemdir þínar í athugasemdareitinn okkar. TecMint hefur alltaf áhuga á að fá athugasemdir, ábendingar og umræður um úrbætur.