LFCA - Petua Berguna untuk Mengamankan Data dan Linux - Bahagian 18
- 4269
- 320
- Marcus Kassulke
Sejak dibebaskan pada awal tahun sembilan puluhan, Linux telah memenangi kekaguman komuniti teknologi berkat kestabilan, fleksibiliti, kebolehcapaian, dan komuniti besar pemaju sumber terbuka yang bekerja sepanjang masa untuk memberikan pembetulan pepijat dan penambahbaikan kepada sistem operasi. Secara keseluruhannya, Linux adalah sistem operasi pilihan untuk awan awam, pelayan, dan superkomputer, dan hampir 75% pelayan pengeluaran yang dihadapi internet berjalan di Linux.
Selain daripada menggerakkan internet, Linux telah menemui jalan ke dunia digital dan belum berkurang sejak itu. Ia menguasai pelbagai alat pintar termasuk telefon pintar Android, tablet, smartwatches, paparan pintar dan banyak lagi.
Adakah linux yang selamat?
Linux terkenal dengan keselamatan peringkat teratasnya dan ini salah satu sebab mengapa ia membuat pilihan kegemaran dalam persekitaran perusahaan. Tetapi inilah fakta, tiada sistem operasi 100% selamat. Ramai pengguna percaya bahawa Linux adalah sistem operasi yang tidak jelas, yang merupakan asumsi palsu. Malah, sistem operasi dengan sambungan internet terdedah kepada potensi pelanggaran dan serangan malware.
Pada tahun-tahun awalnya, Linux mempunyai demografi berteknologi yang jauh lebih kecil dan risiko penderitaan serangan malware adalah jauh. Kini Linux menguasai sebahagian besar Internet, dan ini telah mendorong pertumbuhan landskap ancaman. Ancaman serangan malware lebih nyata dari sebelumnya.
Contoh sempurna serangan malware terhadap sistem linux adalah Erebus Ransomware, Malware penyulitan fail yang menjejaskan hampir 153 pelayan Linux Nayana, sebuah syarikat hosting web Korea Selatan.
Atas sebab ini, berhemat untuk mengeraskan sistem operasi untuk memberikan keselamatan yang sangat dianggap untuk melindungi data anda.
Petua Pengerasan Pelayan Linux
Mengamankan pelayan Linux anda tidak begitu rumit seperti yang anda fikirkan. Kami telah menyusun senarai dasar keselamatan terbaik yang anda perlukan untuk melaksanakan untuk menguatkan keselamatan sistem anda dan mengekalkan integriti data.
1. Kemas kini pakej perisian dengan kerap
Pada peringkat awal pelanggaran Equifax, penggodam memanfaatkan kelemahan yang diketahui secara meluas - Apache struts - Pada portal web aduan pelanggan Equifax.
Apache struts adalah rangka kerja sumber terbuka untuk mewujudkan aplikasi web Java moden dan elegan yang dibangunkan oleh Yayasan Apache. Yayasan mengeluarkan patch untuk memperbaiki kelemahan pada 7 Mac 2017, dan mengeluarkan kenyataan untuk itu.
Equifax diberitahu tentang kelemahan dan dinasihatkan untuk menampal permohonan mereka, tetapi sayangnya, kelemahannya tetap tidak dipatikan sehingga bulan Julai tahun yang sama di mana ia terlambat. Penyerang dapat memperoleh akses ke rangkaian syarikat dan mengeluarkan berjuta -juta rekod pelanggan sulit dari pangkalan data. Pada masa Equifax mendapat angin dari apa yang sedang berlaku, dua bulan sudah berlalu.
Jadi, apa yang dapat kita pelajari dari ini?
Pengguna atau penggodam yang berniat jahat akan sentiasa menyiasat pelayan anda untuk kemungkinan kelemahan perisian yang kemudiannya dapat memanfaatkannya untuk melanggar sistem anda. Untuk berada di sisi yang selamat, selalu kemas kini perisian anda ke versi semasa untuk memohon patch ke mana -mana kelemahan yang ada.
Sekiranya anda berlari Ubuntu atau sistem berasaskan Debian, langkah pertama biasanya untuk mengemas kini senarai pakej atau repositori seperti yang ditunjukkan.
kemas kini $ sudo apt
Untuk memeriksa semua pakej dengan kemas kini yang tersedia, jalankan arahan:
$ sudo apt list --upgradable
Meningkatkan aplikasi perisian anda ke versi semasa mereka seperti yang ditunjukkan:
$ sudo apt naik taraf
Anda boleh menggabungkan kedua -dua arahan ini seperti yang ditunjukkan.
$ sudo apt update & & sudo apt upgrade
Untuk RHEL & Centos Naik taraf aplikasi anda dengan menjalankan arahan:
$ SUDO DNF UPDATE (CentOS 8 / RHEL 8) $ SUDO YUM UPDATE (Versi RHEL & CENTOS sebelumnya)
Pilihan lain yang sesuai adalah untuk membolehkan kemas kini keselamatan automatik untuk Ubuntu dan juga persediaan kemas kini automatik untuk CentOS / RHEL.
2. Keluarkan perkhidmatan/protokol komunikasi warisan
Walaupun sokongannya untuk pelbagai protokol jauh, perkhidmatan warisan seperti RLogin, Telnet, TFTP dan FTP boleh menimbulkan masalah keselamatan yang besar untuk sistem anda. Ini adalah protokol lama, ketinggalan zaman, dan tidak selamat di mana data dihantar dalam teks biasa. Sekiranya ini ada, pertimbangkan untuk membuangnya seperti yang ditunjukkan.
Untuk sistem berasaskan Ubuntu / Debian, laksanakan:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server
Untuk RHEL / Centos-sistem berasaskan, laksanakan:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv
3. Tutup pelabuhan yang tidak digunakan di firewall
Sebaik sahaja anda telah mengeluarkan semua perkhidmatan yang tidak selamat, penting untuk mengimbas pelayan anda untuk membuka pelabuhan dan menutup mana -mana pelabuhan yang tidak digunakan yang berpotensi digunakan titik masuk oleh penggodam.
Katakan anda mahu menyekat pelabuhan 7070 di firewall UFW. Perintah untuk ini akan menjadi:
$ sudo ufw menafikan 7070/tcp
Kemudian muat semula firewall untuk perubahan yang akan berlaku.
$ sudo ufw muat semula
Untuk Firewalld, jalankan arahan:
$ sudo firewall-cmd-remove-port = 7070/tcp --permanent
Dan ingat untuk memuatkan semula firewall.
$ sudo firewall-cmd-reload
Kemudian menyemak semula peraturan firewall seperti yang ditunjukkan:
$ sudo firewall-cmd-list-all
4. Protokol SSH Secure
Protokol SSH adalah protokol jauh yang membolehkan anda menyambung dengan selamat ke peranti di rangkaian. Walaupun dianggap selamat, tetapan lalai tidak mencukupi dan beberapa tweak tambahan diperlukan untuk menghalang pengguna yang berniat jahat daripada melanggar sistem anda.
Kami mempunyai panduan yang komprehensif mengenai cara mengeraskan protokol SSH. Berikut adalah sorotan utama.
- Konfigurasikan Log masuk SSH Kata Laluan & Dayakan Pengesahan Kunci Swasta/Awam.
- Lumpuhkan log masuk akar jauh SSH.
- Lumpuhkan log masuk SSH dari pengguna dengan kata laluan kosong.
- Lumpuhkan Pengesahan Kata Laluan sama sekali dan berpegang pada pengesahan kunci peribadi/awam SSH.
- Hadkan akses kepada pengguna SSH tertentu.
- Konfigurasikan Had untuk Percubaan Kata Laluan.
5. Pasang dan aktifkan fail2ban
Gagal2ban adalah sistem pencegahan pencerobohan sumber terbuka yang melindungi pelayan anda dari serangan bruteforce. Ia melindungi sistem Linux anda dengan mengharamkan IP yang menunjukkan aktiviti berniat jahat seperti terlalu banyak percubaan log masuk. Keluar dari kotak, ia dihantar dengan penapis untuk perkhidmatan popular seperti Apache Webserver, VSFTPD dan SSH.
Kami mempunyai panduan mengenai cara mengkonfigurasi Fail2Ban untuk menguatkan lagi protokol SSH.
6. Menguatkuasakan kekuatan kata laluan menggunakan modul PAM
Menggunakan semula kata laluan atau menggunakan kata laluan yang lemah dan sederhana sangat menjejaskan keselamatan sistem anda. Anda menguatkuasakan polisi kata laluan, gunakan PAM_CrackLib untuk menetapkan atau mengkonfigurasi keperluan kekuatan kata laluan.
Menggunakan modul PAM, anda boleh menentukan kekuatan kata laluan dengan mengedit /etc/Pam.D/Sistem-Auth fail. Sebagai contoh, anda boleh menetapkan kerumitan kata laluan dan mengelakkan penggunaan semula kata laluan.
7. Pasang sijil SSL/TLS
Sekiranya anda menjalankan laman web, pastikan untuk memastikan domain anda menggunakan sijil SSL/ TLS untuk menyulitkan data yang ditukar antara penyemak imbas pengguna dan webserver.
8. Lumpuhkan Protokol Penyulitan Lemah & Kekunci Cipher
Sebaik sahaja anda menyulitkan laman web anda, pertimbangkan juga melumpuhkan protokol penyulitan yang lemah. Pada masa menulis panduan ini, protokol terkini adalah TLS 1.3, yang merupakan protokol yang paling biasa dan digunakan secara meluas. Versi terdahulu seperti TLS 1.0, TLS 1.2, dan sslv1 ke sslv3 telah dikaitkan dengan kelemahan yang diketahui.
[Anda mungkin juga suka: Cara Membolehkan TLS 1.3 di Apache dan nginx]
Mengakhiri
Itu adalah ringkasan beberapa langkah yang boleh anda ambil untuk memastikan keselamatan data dan privasi untuk sistem linux anda.
Menjadi Yayasan Linux Bersertifikat IT Associate (LFCA)- « LFCA Memahami Sistem Operasi Linux - Bahagian 1
- Cara menyambungkan nginx ke php-fpm menggunakan soket unix atau tcp/ip »