25 Petua Keselamatan Hardening untuk Pelayan Linux

25 Petua Keselamatan Hardening untuk Pelayan Linux

Semua orang mengatakannya Linux selamat secara lalai dan dipersetujui untuk meluaskan (topik yang boleh dibahaskan). Walau bagaimanapun, Linux mempunyai model keselamatan yang dibina secara lalai. Perlu menyesuaikannya dan menyesuaikan mengikut keperluan anda yang boleh membantu membuat sistem yang lebih selamat. Linux lebih sukar untuk dikendalikan tetapi menawarkan lebih banyak pilihan fleksibiliti dan konfigurasi.

25 Linux Keselamatan dan Petua Pengerasan

Menjamin sistem dalam pengeluaran dari tangan penggodam dan keropok adalah tugas yang mencabar untuk a Pentadbir sistem. Ini adalah artikel pertama kami yang berkaitan dengan "Cara Mengamankan Kotak Linux"Atau"Mengeraskan kotak linux". Dalam siaran ini kita akan menerangkan 25 Petua & Trik Berguna Untuk menjamin sistem linux anda. Harapan, di bawah petua & helah akan membantu anda melanjutkan untuk menjamin sistem anda.

1. Keselamatan sistem fizikal

Konfigurasikan BIOS untuk melumpuhkan boot dari CD/DVD, Peranti luaran, Pemacu Floppy dalam BIOS. Seterusnya, aktifkan BIOS Kata Laluan & Juga Melindungi Grub dengan kata laluan untuk menyekat akses fizikal sistem anda.

  1. Tetapkan kata laluan grub untuk melindungi pelayan Linux

2. Partition cakera

Penting untuk mempunyai partition yang berbeza untuk mendapatkan keselamatan data yang lebih tinggi sekiranya berlaku bencana. Dengan mewujudkan partisi yang berbeza, data boleh dipisahkan dan dikumpulkan. Apabila kemalangan yang tidak dijangka berlaku, hanya data partition itu akan rosak, sementara data pada partisi lain terselamat. Pastikan anda mesti mengikuti partition berasingan dan pastikan aplikasi pihak ketiga harus dipasang pada sistem fail berasingan di bawah /Memilih.

/ /boot /usr /var /home /tmp /opt

3. Meminimumkan pakej untuk meminimumkan kelemahan

Adakah anda benar -benar mahukan semua jenis perkhidmatan yang dipasang?. Disarankan untuk mengelakkan memasang pakej yang tidak berguna untuk mengelakkan kelemahan dalam pakej. Ini mungkin meminimumkan risiko bahawa kompromi satu perkhidmatan boleh menyebabkan kompromi perkhidmatan lain. Cari dan keluarkan atau lumpuhkan perkhidmatan yang tidak diingini dari pelayan untuk meminimumkan kelemahan. Menggunakan 'Chkconfig'Perintah untuk mengetahui perkhidmatan yang sedang berjalan Runlevel 3.

# /sbin /chkconfig -list | grep '3: on'

Sebaik sahaja anda mengetahui sebarang perkhidmatan yang tidak diingini, lumpuhkannya menggunakan arahan berikut.

# Chkconfig ServiceName Off

Menggunakan Rpm Pengurus Pakej seperti "yum"Atau"apt-get"Alat untuk menyenaraikan semua pakej yang dipasang pada sistem dan keluarkannya menggunakan arahan berikut.

# yum -y mengeluarkan nama pakej
# sudo apt-get mengalih keluar nama pakej
  1. 5 Contoh Perintah Chkconfig
  2. 20 Contoh Praktikal Perintah RPM
  3. 20 Perintah Linux Yum untuk Pengurusan Pakej Linux
  4. 25 Perintah Apt-Get dan Apt-Cache untuk Mengurus Pengurusan Pakej

4. Periksa port rangkaian mendengar

Dengan bantuan 'netstat'Perintah rangkaian anda boleh melihat semua pelabuhan terbuka dan program yang berkaitan. Seperti yang saya katakan di atas penggunaan 'Chkconfig'Perintah untuk melumpuhkan semua perkhidmatan rangkaian yang tidak diingini dari sistem.

# netstat -tulpn
  1. 20 Perintah Netstat untuk Pengurusan Rangkaian di Linux

5. Gunakan Secure Shell (SSH)

Telnet dan rlogin Protokol menggunakan teks biasa, bukan format yang disulitkan yang merupakan pelanggaran keselamatan. SSH adalah protokol selamat yang menggunakan teknologi penyulitan semasa komunikasi dengan pelayan.

Tidak pernah log masuk secara langsung seperti akar melainkan perlu. Gunakan "sudo"Untuk melaksanakan arahan. sudo ditentukan dalam /etc/sudoers Fail juga boleh diedit dengan "Visudo"Utiliti yang dibuka Vi editor.

Ia juga disyorkan untuk menukar lalai SSH 22 Nombor port dengan beberapa nombor port peringkat yang lebih tinggi. Buka utama SSH fail konfigurasi dan buat beberapa parameter berikut untuk menyekat pengguna untuk mengakses.

# vi/etc/ssh/sshd_config
Lumpuhkan log masuk root
Permitrootlogin no
Hanya membenarkan pengguna tertentu
Nama Pengguna Allowusers
Gunakan versi SSH Protocol 2
Protokol 2
  1. 5 amalan terbaik untuk menjamin dan melindungi pelayan SSH

6. Pastikan sistem dikemas kini

Sentiasa Simpan Sistem Dikemaskini dengan Patch Siaran Terkini, Pembetulan Keselamatan dan Kernel Apabila tersedia.

# yum kemas kini # yum check-update

7. Lockdown Cronjobs

Cron Adakah ia sendiri dibina dalam ciri, di mana ia membolehkan untuk menentukan siapa yang mungkin, dan yang mungkin tidak mahu menjalankan pekerjaan. Ini dikawal oleh penggunaan fail yang dipanggil /etc/cron.Benarkan dan /etc/cron.menafikan. Untuk mengunci pengguna menggunakan Cron, cukup tambahkan nama pengguna di Cron.menafikan dan untuk membolehkan pengguna menjalankan kron menambah Cron.Benarkan fail. Sekiranya anda ingin melumpuhkan semua pengguna daripada menggunakan Cron, tambahkan 'SEMUA'garis ke Cron.menafikan fail.

# echo semua >>/etc/cron.menafikan
  1. 11 Contoh penjadualan Cron di Linux

8. Lumpuhkan usb melekat untuk mengesan

Banyak kali ia berlaku bahawa kita mahu menyekat pengguna daripada menggunakan USB melekatkan sistem untuk melindungi dan menjamin data daripada mencuri. Buat fail '/etc/modprobe.d/no-usb'Dan menambah garis di bawah tidak akan mengesan USB penyimpanan.

Pasang USB-STORAGE /BIN /BENAR

9. Hidupkan Selinux

Linux yang dipertingkatkan keselamatan (Selinux) adalah mekanisme keselamatan kawalan akses wajib yang disediakan dalam kernel. Melumpuhkan Selinux bermaksud mengeluarkan mekanisme keselamatan dari sistem. Fikirkan dua kali dengan berhati -hati sebelum mengeluarkan, jika sistem anda dilampirkan ke Internet dan diakses oleh orang ramai, maka fikirkan lebih lanjut.

Selinux menyediakan tiga mod operasi asas dan mereka.

  1. Menguatkuasakan: Ini adalah mod lalai yang membolehkan dan menguatkuasakan Selinux Dasar Keselamatan di Mesin.
  2. Permisif: Dalam mod ini, Selinux tidak akan menguatkuasakan dasar keselamatan sistem, hanya memberi amaran dan tindakan log. Mod ini sangat berguna dari segi penyelesaian masalah Selinux isu berkaitan.
  3. Kurang upaya: Selinux dimatikan.

Anda boleh melihat status semasa Selinux mod dari baris arahan menggunakan 'Sistem-Config-Selinux','getenforce'Atau'Sestatus'Perintah.

# Sestatus

Sekiranya ia dilumpuhkan, dapatkan Selinux Menggunakan arahan berikut.

# Setenforce menguatkuasakan

Ia juga boleh diuruskan dari '/etc/selinux/config'fail, di mana anda boleh mengaktifkan atau melumpuhkannya.

10. Keluarkan desktop kde/gnome

Tidak perlu berlari X tetingkap Desktop seperti Kde atau Gnome Pada pelayan lampu khusus anda. Anda boleh membuang atau melumpuhkannya untuk meningkatkan keselamatan pelayan dan prestasi. Untuk melumpuhkan mudah buka fail '/etc/inittab'dan tetapkan tahap larian ke 3. Sekiranya anda ingin mengeluarkannya sepenuhnya dari sistem Gunakan arahan di bawah.

# yum groupremove "X Window System"

11. Matikan IPv6

Sekiranya anda tidak menggunakan IPv6 protokol, maka anda harus melumpuhkannya kerana kebanyakan aplikasi atau dasar tidak diperlukan IPv6 protokol dan pada masa ini tidak diperlukan di pelayan. Pergi ke fail konfigurasi rangkaian dan tambahkan garis berikut untuk melumpuhkannya.

# vi/etc/sysconfig/rangkaian
Rangkaian_ipv6 = tiada ipv6init = tidak

12. Hadkan pengguna untuk menggunakan kata laluan lama

Ini sangat berguna jika anda ingin tidak membenarkan pengguna menggunakan kata laluan lama yang sama. Fail kata laluan lama terletak di /etc/keselamatan/opasswd. Ini dapat dicapai dengan menggunakan Pam modul.

Buka '/etc/Pam.D/Sistem-Auth'Fail di bawah RHEL / CENTOS / FEDORA.

# vi /etc /Pam.D/Sistem-Auth

Buka '/etc/Pam.D/Common-Password'Fail di bawah Ubuntu/Debian/Linux Mint.

# vi /etc /Pam.D/Common-Password

Tambahkan baris berikut ke 'auth'Seksyen.

auth Pam_unix yang mencukupi.Jadi LikeAuth Nullok

Tambahkan baris berikut ke 'kata laluan'bahagian untuk tidak membenarkan pengguna daripada menggunakan semula yang terakhir 5 kata laluannya.

kata laluan PAM_UNIX yang mencukupi.jadi nullok use_authtok md5 bayangan ingat = 5

Hanya yang terakhir 5 Kata laluan diingat oleh pelayan. Sekiranya anda cuba menggunakan mana -mana yang terakhir 5 kata laluan lama, anda akan mendapat ralat seperti.

Kata laluan sudah digunakan. Pilih yang lain.

13. Cara memeriksa kata laluan tamat pengguna

Di Linux, kata laluan pengguna disimpan dalam '/etc/bayangan'fail dalam format yang disulitkan. Untuk memeriksa kata laluan tamat tempoh pengguna, anda perlu menggunakan 'Chage'Perintah. Ia memaparkan maklumat butiran tamat tempoh kata laluan bersama dengan tarikh perubahan kata laluan terakhir. Butiran ini digunakan oleh sistem untuk menentukan bila pengguna mesti menukar kata laluannya.

Untuk melihat maklumat penuaan pengguna yang ada seperti tarikh luput dan masa, Gunakan arahan berikut.

#chage -l nama pengguna

Untuk menukar penuaan kata laluan mana -mana pengguna, gunakan arahan berikut.

#chage -m 60 nama pengguna #chage -m 60 -m 7 -w 7 nama pengguna
Parameter
  1. -M Tetapkan bilangan hari maksimum
  2. -m Tetapkan bilangan minimum hari
  3. -W Tetapkan bilangan hari amaran

14. Kunci dan buka kunci akaun secara manual

Ciri -ciri kunci dan buka kunci sangat berguna, bukannya mengeluarkan akaun dari sistem, anda boleh menguncinya selama seminggu atau sebulan. Untuk mengunci pengguna tertentu, anda boleh menggunakan arahan ikut.

# Passwd -l Akaun Akaun

Catatan : Pengguna terkunci masih tersedia untuk akar pengguna sahaja. Penguncian dilakukan dengan menggantikan kata laluan yang disulitkan dengan (!) tali. Sekiranya seseorang yang cuba mengakses sistem menggunakan akaun ini, dia akan mendapat ralat yang serupa dengan di bawah.

# su - nama akaun akaun ini tidak tersedia pada masa ini.

Untuk membuka kunci atau membolehkan akses ke akaun terkunci, gunakan arahan sebagai. Ini akan dikeluarkan (!) rentetan dengan kata laluan yang disulitkan.

# passwd -u akaun akaun

15. Menguatkuasakan kata laluan yang lebih kuat

Sebilangan pengguna menggunakan kata laluan lembut atau lemah dan kata laluan mereka mungkin digodam dengan Kamus berasaskan atau serangan kekerasan. 'PAM_CRACKLIB'Modul tersedia di Pam (Modul pengesahan pluggable) Stack modul yang akan memaksa pengguna menetapkan kata laluan yang kuat. Buka fail berikut dengan editor.

Baca juga:

# vi /etc /Pam.D/Sistem-Auth

Dan tambahkan garis menggunakan parameter kredit sebagai (lcredit, Ucredit, dcredit dan/atau Ocredit masing-masing kes, kes atas, digit dan lain-lain masing-masing)

/lib/keselamatan/$ ISA/PAM_CRACKLIB.jadi cuba semula = 3 minlen = 8 lcredit = -1 uCredit = -2 dcredit = -2 ocredit = -1

16. Dayakan iptables (firewall)

Sangat disyorkan untuk membolehkan Linux Firewall Untuk mendapatkan akses pelayan anda yang tidak dibenarkan. Memohon peraturan dalam IPTABLES kepada penapis masuk, keluar dan penghantaran paket. Kami dapat menentukan alamat sumber dan destinasi untuk membolehkan dan menafikan secara spesifik UDP/TCP nombor port.

  1. Panduan dan petua asas iptables

17. Lumpuhkan Ctrl+Alt+Padam di Inittab

Dalam kebanyakan pengagihan Linux, menekan 'Ctrl-alt-delete ' akan membawa sistem anda untuk menghidupkan semula proses. Oleh itu, bukan idea yang baik untuk mempunyai pilihan ini diaktifkan sekurang -kurangnya pada pelayan pengeluaran, jika seseorang dengan keliru melakukan ini.

Ini ditakrifkan dalam '/etc/inittab'Fail, jika anda melihat dengan teliti dalam fail itu, anda akan melihat garis yang serupa dengan di bawah. Secara lalai tidak dikomentari. Kita mesti mengulasnya. Isyarat urutan utama ini akan menutup sistem.

# Perangkap ctrl -alt -delete #ca :: ctrlaltdel:/sbin/shutdown -t3 -r sekarang

18. Memeriksa akaun untuk kata laluan kosong

Sebarang akaun yang mempunyai kata laluan kosong bermaksud dibuka untuk akses yang tidak dibenarkan kepada sesiapa sahaja di web dan ia adalah sebahagian daripada keselamatan dalam pelayan Linux. Oleh itu, anda mesti memastikan semua akaun mempunyai kata laluan yang kuat dan tidak ada yang mempunyai akses yang dibenarkan. Akaun kata laluan kosong adalah risiko keselamatan dan mudah digodam. Untuk memeriksa sama ada terdapat akaun dengan kata laluan kosong, gunakan arahan berikut.

# kucing /etc /Shadow | awk -f: '($ 2 == "") cetak $ 1'

19. Paparkan sepanduk SSH sebelum log masuk

Adalah idea yang lebih baik untuk mempunyai spanduk undang -undang atau spanduk keselamatan dengan beberapa amaran keselamatan sebelum pengesahan SSH. Untuk menetapkan sepanduk seperti membaca artikel berikut.

  1. Paparkan mesej amaran SSH kepada pengguna

20. Pantau aktiviti pengguna

Sekiranya anda berurusan dengan banyak pengguna, maka penting untuk mengumpulkan maklumat setiap aktiviti dan proses pengguna yang digunakan oleh mereka dan menganalisisnya pada masa yang akan datang atau sekiranya ada prestasi, masalah keselamatan. Tetapi bagaimana kita dapat memantau dan mengumpulkan maklumat aktiviti pengguna.

Terdapat dua alat berguna yang dipanggil 'PSACCT'Dan'Acct'digunakan untuk memantau aktiviti dan proses pengguna pada sistem. Alat ini berjalan dalam latar belakang sistem dan terus menjejaki setiap aktiviti pengguna pada sistem dan sumber yang digunakan oleh perkhidmatan seperti Apache, Mysql, SSH, Ftp, dan lain-lain. Untuk maklumat lanjut mengenai pemasangan, konfigurasi dan penggunaan, lawati URL di bawah.

  1. Pantau aktiviti pengguna dengan arahan PSACCT atau ACCT

21. Semak log secara berkala

Pindahkan log di pelayan log khusus, ini mungkin menghalang penceroboh untuk mengubahsuai log tempatan dengan mudah. Berikut adalah nama fail log lalai Linux biasa dan penggunaannya:

  1. /var/log/mesej - Di mana log sistem keseluruhan atau log aktiviti semasa tersedia.
  2. /var/log/auth.log - Log pengesahan.
  3. /var/log/kern.log - Log kernel.
  4. /var/log/cron.log - Log Crond (Kerja Cron).
  5. /var/log/maillog - Log pelayan mel.
  6. /var/log/boot.log - Log boot sistem.
  7. /var/log/mysqld.log - Fail log pelayan pangkalan data mysql.
  8. /var/log/selamat - Log pengesahan.
  9. /var/log/utmp atau /var/log/wtmp : Fail rekod log masuk.
  10. /var/log/yum.LOG: fail log yum.

22. Sandaran fail penting

Dalam sistem pengeluaran, perlu mengambil sandaran fail penting dan menyimpannya di peti besi keselamatan, tapak terpencil atau tapak untuk pemulihan bencana.

23. Ikatan NIC

Terdapat dua jenis mod di Nic ikatan, perlu disebutkan dalam antara muka ikatan.

  1. mod = 0 - Robin pusingan
  2. mod = 1 - Aktif dan sandaran

Ikatan NIC membantu kita untuk mengelakkan satu titik kegagalan. Dalam Nic ikatan, kami mengikat dua atau lebih Kad Ethernet Rangkaian Bersama -sama dan buat satu antara muka maya tunggal di mana kita boleh menetapkan Ip alamat untuk bercakap dengan pelayan lain. Rangkaian kami akan tersedia sekiranya berlaku Kad Nic turun atau tidak tersedia kerana alasan.

Baca juga : Buat ikatan saluran NIC di Linux

24. Simpan /boot sebagai baca sahaja

Kernel linux dan fail yang berkaitan ada /boot direktori yang secara lalai sebagai baca tulis. Menukarnya ke baca sahaja mengurangkan risiko pengubahsuaian fail boot kritikal yang tidak dibenarkan. Untuk melakukan ini, buka "/etc/fstab"Fail.

# vi /etc /fstab

Tambahkan baris berikut di bahagian bawah, simpan dan tutupnya.

Label = /boot /boot ext2 lalai, ro 1 2

Sila ambil perhatian bahawa anda perlu menetapkan semula perubahan untuk membaca-menulis jika anda perlu menaik taraf kernel pada masa akan datang.

25. Abaikan permintaan ICMP atau penyiaran

Tambah baris berikut dalam "/etc/sysctl.Conf"Fail untuk diabaikan ping atau siaran permintaan.

Abaikan permintaan ICMP: bersih.IPv4.ICMP_ECHO_IGNORE_ALL = 1 Abaikan Permintaan Penyiaran: Bersih.IPv4.ICMP_ECHO_IGNORE_BROADCASTS = 1

Muatkan tetapan atau perubahan baru, dengan menjalankan arahan berikut

#sysctl -p

Sekiranya anda terlepas sebarang keselamatan penting atau pengerasan dalam senarai di atas, atau anda mempunyai sebarang tip lain yang perlu dimasukkan ke dalam senarai. Sila jatuhkan komen anda di kotak komen kami. Tecmint selalu berminat untuk menerima komen, cadangan serta perbincangan untuk penambahbaikan.