10 Linuxi karastamisnõuannet algajatele SysAdminsile

Linuxi süsteemid on disainilt turvalised ja pakuvad tugevaid haldustööriistu. Kuid hoolimata sellest, kui hästi süsteem on välja töötatud, sõltub selle turvalisus kasutajast.

Algajatel kulub sageli aastaid, et leida oma masinatele parim turvapoliitika. Sellepärast jagame neid olulisi Linuxi karastamise näpunäiteid uutele kasutajatele nagu sina. Proovige neid.

1. Jõustage tugevad paroolieeskirjad

Paroolid on enamiku süsteemide peamine autentimismeetod. Pole tähtis, kas olete kodukasutaja või professionaal, on soliidsete paroolide jõustamine hädavajalik. Kõigepealt keelake tühjad paroolid. Te ei usu, kui palju inimesi neid veel kasutab.

awk -F: '($ 2 == "") {print}' / etc / shadow

Käivitage ülaltoodud käsk juurena, et vaadata, millistel kontodel on tühjad paroolid. Kui leiate kellegi tühja parooliga, lukustage kasutaja kohe. Seda saate teha järgmise abil.

passwd -l kasutajanimi

Samuti saate seadistada parooli vananemise, et kasutajad ei saaks vanu paroole kasutada. Kasutage oma terminalist selleks käsku chage.

chage -l USERNAME

See käsk kuvab praeguse aegumiskuupäeva. Parooli aegumise määramiseks 30 päeva pärast kasutage allolevat käsku. Kasutajad võivad kasutage veebikontode turvalisuse tagamiseks Linuxi paroolihaldureid.

8 parimat turvalist Linuxi paroolihaldurit

Kas vajate Linuxi jaoks turvalist paroolihaldurit? Neid rakendusi on lihtne kasutada ja need tagavad teie veebiparoolide turvalisuse.

chage -M 30 KASUTAJANIMI

2. Oluliste andmete varundamine

Kui olete oma andmetega tõsine, siis seadistage regulaarsed varukoopiad. Nii saate isegi andmed kiiresti taastada, isegi kui teie süsteem kokku jookseb. Õige varundusmeetodi valimine on aga Linuxi karastamiseks ülioluline.

Kui olete kodukasutaja, andmete kloonimine kõvakettale võiks piisata. Ettevõtted vajavad aga keerukaid varundussüsteeme, mis pakuvad kiiret taastumist.

3. Vältige pärandkommunikatsioonimeetodeid

Linux toetab paljusid kaugsuhtlusmeetodeid. Kuid sellised Unixi teenused nagu telnet, rlogin ja ftp võivad tekitada tõsiseid turbeprobleeme. Niisiis, proovige neid vältida. Nendega seotud turbeprobleemide vähendamiseks võite need täielikult eemaldada.

apt-get --purge eemalda xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-ümber-server

See käsk eemaldab mõned laialdaselt kasutatavad, kuid aegunud teenused Ubuntu / Debiani masinatest. Kui kasutate RPM-põhist süsteemi, kasutage selle asemel järgmist.

yum kustuta xinetd ypserv tftp-server telnet-server rsh-server

4. Turvaline OpenSSH

SSH-protokoll on Linuxi jaoks soovitatav kaugside meetod. Veenduge, et olete oma OpenSSH-i serveri (sshd) konfiguratsiooni turvanud. Sa saad lisateavet SSH-serveri seadistamise kohta leiate siit.

Redigeerige /etc/ssh/sshd_config fail ssh-i turvapoliitikate määramiseks. Allpool on mõned levinumad turvapoliitikad, mida kõik saavad kasutada.

PermitRootLogin nr # keelab juur sisselogimise
MaxAuthTries 3 # piirab autentimiskatseid
PasswordAuthentification nr # keelab parooli autentimise
PermitEmptyPasswords nr # keelab tühjad paroolid
X11Edastamine nr # keelab GUI edastamise
DebianBanneri nr # disbales verbose banner
AllowUsers *@XXX.X.XXX.0/24 # piirab kasutajaid IP-vahemikuga

5. Piirake CRONi kasutamist

CRON on Linuxi jaoks kindel töökava. See võimaldab administraatoritel ajastage ülesanded Linuxis crontabi abil. Seega on ülioluline piirata, kes saavad CRON-i töid juhtida. Kasutaja jaoks saate teada kõik aktiivsed cronjobid järgmise käsu abil.

crontab -l -u KASUTAJANIMI

Kontrollige iga kasutaja töökohti, et teada saada, kas keegi kasutab CRONi. Võib-olla soovite blokeerida kõik kasutajad crontabi kasutamise, välja arvatud teie. Selleks käivitage järgmine käsk.

echo $ (whoami) >> /etc/cron.d/cron.allow
# kaja KÕIK >> /etc/cron.d/cron.deny

6. Jõustada PAM-moodulid

Linuxi PAM (ühendatavad autentimismoodulid) pakub rakenduste ja teenuste jaoks võimsaid autentimisfunktsioone. Süsteemi sisselogimise kindlustamiseks võite kasutada erinevaid PAM-i reegleid. Näiteks piiravad allpool olevad käsud parooli taaskasutamist.

# CentOS / RHEL
echo 'parool on piisav pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/süsteem-auth
# Ubuntu / Debian
echo 'parool on piisav pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common- parool

Need piiravad paroolide kasutamist, mida on kasutatud viimase viie nädala jooksul. PAM-i poliitikaid, mis pakuvad täiendavaid turvakihte, on palju rohkem.

7. Eemaldage kasutamata pakendid

Kasutamata pakettide eemaldamine vähendab teie masina rünnakupinda. Niisiis, soovitame kustutada harva kasutatavad paketid. Kõiki praegu installitud pakette saate vaadata allolevate käskude abil.

yum loend on installitud # CentOS / RHEL 
apt-loend - installitud # Ubuntu / Debian

Oletame, et soovite kasutamata paketi vlc eemaldada. Seda saate teha, käivitades järgmised käsud juurena.

eemaldage vlc # CentOS / RHEL
apt eemaldage vlc # Ubuntu / Debian

8. Turvalised tuuma parameetrid

Teine tõhus viis Linuxi karastamiseks on tuuma parameetrite turvamine. Neid parameetreid saate konfigureerida sysctl või muutes konfiguratsioonifaili. Allpool on mõned levinumad konfiguratsioonid.

kernel.randomize_va_space = 2 # mmap, kuhja ja virna juhuslikult jaotatav aadressibaas
kernel.panic = 10 # taaskäivitage pärast 10 sekundit pärast tuuma paanikat
net.ipv4.icmp_ignore_bogus_error_responses # kaitseb halbu veateateid
net.ipv4.ip_forward = 0 # keelab IP-edastuse
net.ipv4.icmp_ignore_bogus_error_responses = 1 # eirab ICP vigu

Need on vaid mõned põhikonfiguratsioonid. Õpite kogemuste abil erinevaid tuuma seadistamise viise.

9. Seadistage iptables

Linuxi tuumad pakuvad Netfilter API kaudu võrgupakettide jaoks tugevaid filtreerimismeetodeid. Selle API-ga suhtlemiseks ja võrgutaotluste jaoks kohandatud filtrite seadistamiseks võite kasutada iptablesi. Allpool on toodud mõned peamised iptabeli reeglid turvalisusele keskendunud kasutajatele.

-A INPUT -j REJECT # lükkab tagasi kõik sissetulevad taotlused
-EEDASI -j REJECT # lükake liikluse edastamine tagasi
-SISEND -i lo -j VASTUVÕTU
-A VÄLJUND -o lo -j ACCEPT # lubab kohalikul hostil liiklust
# lubage pingitaotlused
-A VÄLJUND -p icmp -j ACCEPT # lubab väljuvaid pinge
# lubage loodud / seotud ühendusi
-A SISEND -m olek - riik RIIGITATUD, SEOTUD -j VÕTTA
-A VÄLJUND -m olek - riik MÄÄRATUD, SEOTUD -J VASTUVÕTU
# luba DNS-i otsimine
-A VÄLJUND -p udp -m udp --dport 53 -j VASTU
# lubage http / https-i taotlusi
-A VÄLJUND -p tcp -m tcp --port 80 -m olek --riik UUS -j VASTU
-A VÄLJUND -p tcp -m tcp --port 443 -m olek --riik UUS -j VASTU
# lubage SSH-le juurdepääs
-A SISEND -p tcp -m tcp --port 22 -j VASTU
-A VÄLJUND -p tcp -m tcp --port 22 -j VASTU

10. Monitorilogid

Logisid saate oma Linuxi masina paremaks mõistmiseks kasutada. Teie süsteem salvestab mitu rakenduste ja teenuste logifaili. Siinkohal toome välja olulised.

• /var/log/auth.log logib autoriseerimiskatsed
• /var/log/daemon.log logib taustarakendused
• / var / log / debug logib andmete silumise
• /var/log/kern.log logib kerneli andmed
• / var / log / syslog logib süsteemi andmed
• / var / log / faillog logib ebaõnnestunud sisselogimised

Parimad Linuxi karastamise näpunäited algajatele

Linuxi süsteemi turvamine pole nii raske kui arvate. Turvalisust saate tugevdada, järgides mõningaid selles juhendis mainitud näpunäiteid. Kogemuste omandamisel saate teada rohkem võimalusi Linuxi turvamiseks.

7 Chrome OS-i ja Google Chrome'i olulised privaatsusseaded

Kas kasutate Chromebooki, kuid olete mures privaatsuse pärast? Muutke need 7 seadet Chrome OS-i Chrome'i brauseris, et võrgus turvaline olla.

Autori kohta