Посмотреть вложение 3424
Как обеспечить безопасность Linux?
Поскольку так много наших личных и профессиональных данных сегодня доступно в Интернете, важно, чтобы все – от профессионалов до обычных пользователей Интернета – знали основы безопасности и конфиденциальности. Будучи студентом, я смог получить опыт в этой области в рамках самообразования, а именно изучения различных иностранных материалов, так как в институте рассказывали только про СТРК, модели угроз и ПЭМИН, и +100500 изменений в ФЗ 152 и теперь адаптирую этот материл на русском языке. В частности в этой статье рассмотрим использование инструментов с открытым исходным кодом для защиты вашей среды Linux от взломов.
В этой статье описываются шесть простых шагов по повышению безопасности вашей среды Linux для персонального использования. На протяжении всего своего пути я использовал инструменты с открытым исходным кодом для ускорения процесса обучения и ознакомления с концепциями более высокого уровня, связанными с обеспечением безопасности моего Linux-сервера. Я протестировал эти шаги, используя различные версии Ubuntu, но эти шаги также подойдут и для других дистрибутивов Linux.
1. Запуск обновлений
Разработчики постоянно находят варианты, как сделать серверы более стабильными, быстрыми и безопасными, исправляя известные уязвимости. Регулярный запуск обновлений – хорошая практика для обеспечения безопасности. Запускайте их с помощью:
sudo apt-get update && apt-get upgrade
2. Включение защиты межсетевого экрана
Включение брандмауэра облегчает контроль входящего и исходящего трафика на вашем сервере.
Существует множество приложений брандмауэра, которые можно использовать в Linux, включая firewall-cmd и Uncomplicated Firewall (UFW). Я использую UFW, поэтому мои примеры относятся именно к нему, но эти принципы применимы к любому выбранному вами инструменту.
Установите UFW с помощью:
Если вы хотите еще больше обезопасить свой сервер, вы можете запретить входящие и исходящие соединения. Будьте осторожны и внимательны: Это изолирует ваш сервер от всего мира, поэтому после блокирования всего трафика вы должны указать, какие исходящие соединения разрешены из вашей системы:
sudo ufw default deny incoming
sudo ufw default allow outgoing
Вы также можете написать правила для разрешения входящих соединений, которые нужны вам для персонального использования:
Например, чтобы обеспечить разрешение SSH-соединений:
В завершение включите брандмауэр, используя:
3. Усиление защиты паролей
Применение строгой политики паролей является важным аспектом обеспечения безопасности сервера от кибератак и утечки данных.
Некоторые лучшие практики для политики паролей включают обеспечение минимальной длины и указание возраста пароля. Для выполнения этих задач я использую пакет libpam-cracklib.
Установите пакет libpam-cracklib:
sudo apt-get install libpam-cracklib
Чтобы обеспечить соблюдение длины пароля:
- Откройте файл /etc/pam.d/common-password.
- Измените минимальную длину символов для всех паролей, изменив строку minlen=12 на любое количество символов.
Чтобы предотвратить повторное использование пароля:
- В том же файле (/etc/pam.d/common-password) добавьте строку remember=x.
- Например, если вы хотите запретить пользователю повторно использовать один из его последних пяти паролей, используйте: remember=5.
Чтобы установить срок действия пароля:
Найдите следующие строки в файле /etc/login.defs и замените их на желаемое количество времени (дней). Например:
PASS_MIN_AGE: 3
PASS_MAX_AGE: 90
PASS_WARN_AGE: 14
Обеспечение соблюдения сложности пароля
- Четыре параметра для обеспечения символов в паролях: lcredit (строчные буквы), ucredit (прописные буквы), dcredit (цифра) и ocredit (спец символы).
- В том же файле (/etc/pam.d/common-password) найдите строку, содержащую pam_cracklib.so.
- Добавьте следующее в конец этой строки:
lcredit=-a ucredit=-b dcredit=-c ocredit=-d
Например, следующая строка требует, чтобы пароли содержали по одному символу. Вы можете изменить числа в зависимости от предпочитаемого уровня безопасности пароля:
lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
4. Отключение ненужных служб, которые подвержены к эксплуатации различных уязвимостей
Лучшей практикой является отключение ненужных служб. Это позволит ограничить количество портов, открытых для эксплуатации.
Установите пакет systemd:
sudo apt-get install systemd
Проверьте, какие службы запущены:
Остановите службу, если она запущена:
Отключите включение службы при загрузке:
systemctl disable <service>
После выполнения этих команд проверьте состояние службы:
systemctl status <service>
5. Проверка прослушиваемых портов
Открытые порты могут представлять угрозу безопасности, поэтому важно проверить, какие порты прослушиваются на вашем сервере. Я использую команду netstat, чтобы показать все сетевые подключения:
Посмотрите на столбцы адресов, чтобы определить номер порта. Обнаружив открытые порты, проверьте их, чтобы убедиться, что все они необходимы. Если это не так, измените запущенные службы или настройки МЭ.
6. Сканирование на наличие вредоносных программ
Использование антивирусного программного обеспечения – это простой способ уберечь ваш хост от вредоносных программ. Я предпочитаю использовать программу ClamAV с открытым исходным кодом.
Установите ClamAV:
sudo apt-get install clamav
Обновите сигнатуры вирусов:
Просканируйте все файлы и выведете на экран зараженные файлы:
sudo clamscan -r --bell -i /
Необходимо автоматизировать сканирование, чтобы вам не приходилось запоминать команды или тратить время на выполнение сканирования вручную. Для такой простой автоматизации вы можете использовать таймеры systemd или ваш любимый cron.
Заключение
Это лишь некоторые из многих шагов, которые Вы можете предпринять для обеспечения безопасности Вашего Linux-сервера. Конечно, профилактика – это только часть решения. Эти практики должны сочетаться с тщательным мониторингом на предмет атак типа “отказ в обслуживании”, анализом системы с помощью Lynis и постоянным созданием резервных копий.
Оффлайн
Оффлайн
