10 tipů pro kalení systému Linux pro začátečníky SysAdmins

Systémy Linux jsou zabezpečeny záměrně a poskytují robustní nástroje pro správu. Bez ohledu na to, jak dobře je systém navržen, jeho bezpečnost závisí na uživateli.

Začátečníkům často trvá roky, než najdou nejlepší zásady zabezpečení pro své stroje. Proto sdílíme tyto základní tipy pro posílení Linuxu pro nové uživatele, jako jste vy. Vyzkoušejte je.

1. Prosazujte přísné zásady hesel

Hesla jsou primární metodou ověřování pro většinu systémů. Bez ohledu na to, zda jste domácí uživatel nebo profesionál, vynucování pevných hesel je nutností. Nejprve deaktivujte prázdná hesla. Neuvěříte, kolik lidí je stále používá.

awk -F: '($ 2 == "") {print}' / etc / shadow

Spuštěním výše uvedeného příkazu jako root zobrazíte, které účty mají prázdná hesla. Pokud najdete někoho s prázdným heslem, ihned uživatele uzamkněte. Můžete to udělat pomocí následujícího.

heslo -l UŽIVATELSKÉ JMÉNO

Můžete také nastavit stárnutí hesla, aby uživatelé nemohli používat stará hesla. K tomu použijte příkaz chage z vašeho terminálu.

chage -l USERNAME

Tento příkaz zobrazuje aktuální datum vypršení platnosti. Chcete-li nastavit vypršení platnosti hesla po 30 dnech, použijte níže uvedený příkaz. Uživatelé mohou k zabezpečení online účtů používejte správce hesel v systému Linux.

8 nejlepších správců hesel pro Linux, aby zůstali v bezpečí

Potřebujete zabezpečeného správce hesel pro Linux? Tyto aplikace se snadno používají a udržují vaše online hesla v bezpečí.

chage -M 30 UŽIVATELSKÉ JMÉNO

2. Zálohujte základní data

Pokud to se svými daty myslíte vážně, nastavte pravidelné zálohy. Tímto způsobem, i když váš systém selže, můžete data rychle obnovit. Volba správné metody zálohování je ale pro posílení Linuxu zásadní.

Pokud jste domácí uživatel, klonování dat na pevný disk může stačit. Podniky však potřebují sofistikované zálohovací systémy, které nabízejí rychlou obnovu.

3. Vyvarujte se starších komunikačních metod

Linux podporuje mnoho metod vzdálené komunikace. Starší služby Unixu, jako je telnet, rlogin a ftp, však mohou představovat vážné bezpečnostní problémy. Snažte se jim tedy vyhnout. Můžete je úplně odebrat, abyste snížili bezpečnostní problémy s nimi spojené.

apt-get --purge odstranit xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Tento příkaz odstraní některé široce používané, ale zastaralé služby ze strojů Ubuntu / Debian. Pokud používáte systém založený na RPM, použijte místo toho následující.

yum vymazat xinetd ypserv tftp-server telnet-server rsh-server

4. Zabezpečte OpenSSH

Protokol SSH je doporučená metoda vzdálené komunikace pro Linux. Zajistěte konfiguraci svého serveru OpenSSH (sshd). Můžeš zde se dozvíte více o nastavení serveru SSH.

Upravte /etc/ssh/sshd_config soubor pro nastavení zásad zabezpečení pro ssh. Níže uvádíme některé běžné zásady zabezpečení, které může kdokoli použít.

PermitRootLogin č. # Zakáže přihlášení uživatele root
MaxAuthTries 3 # omezuje pokusy o ověření
PasswordAuthentication no # zakáže ověřování hesla
PermitEmptyPasswords č. # Zakáže prázdná hesla
X11Forwarding no # zakáže přenos GUI
DebianBanner # # nezruší podrobný banner
AllowUsers *@XXX.X.XXX.0/24 # omezuje uživatele na rozsah IP adres

5. Omezte používání CRON

CRON je robustní plánovač úloh pro Linux. Umožňuje správcům naplánovat úkoly v Linuxu pomocí nástroje crontab. Je tedy zásadní omezit, kdo může spouštět úlohy CRON. Všechny aktivní cronjoby pro uživatele můžete zjistit pomocí následujícího příkazu.

crontab -l -u UŽIVATELSKÉ JMÉNO

Zkontrolujte úlohy každého uživatele a zjistěte, zda někdo nevyužívá CRON. Možná budete chtít zablokovat používání crontabu všem uživatelům kromě vás. Spusťte následující příkaz.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Vynutit PAM moduly

Linux PAM (Pluggable Authentication Modules) nabízí výkonné funkce ověřování aplikací a služeb. K zabezpečení přihlášení do systému můžete použít různé zásady PAM. Například níže uvedené příkazy omezují opětovné použití hesla.

# CentOS / RHEL
echo 'heslo dostatečné pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'heslo dostatečné pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

Omezují používání hesel, která byla použita během posledních pěti týdnů. Existuje mnoho dalších zásad PAM, které poskytují další vrstvy zabezpečení.

7. Odeberte nepoužívané balíčky

Odebrání nepoužívaných balíků snižuje útočnou plochu na vašem počítači. Doporučujeme tedy odstranit zřídka používané balíčky. Všechny aktuálně nainstalované balíčky můžete zobrazit pomocí níže uvedených příkazů.

nainstalovaný seznam yum # CentOS / RHEL 
seznam apt - nainstalováno # Ubuntu / Debian

Řekněme, že chcete odebrat nepoužitý balíček vlc. To lze provést spuštěním následujících příkazů jako root.

yum remove vlc # CentOS / RHEL
apt remove vlc # Ubuntu / Debian

8. Zabezpečte parametry jádra

Dalším efektivním způsobem zpevnění Linuxu je zabezpečení parametrů jádra. Tyto parametry můžete konfigurovat pomocí sysctl nebo úpravou konfiguračního souboru. Níže uvádíme několik běžných konfigurací.

kernel.randomize_va_space = 2 # randomnize základna adres pro mmap, haldu a zásobník
kernel.panic = 10 # restart po 10 sekundách po panice jádra
net.ipv4.icmp_ignore_bogus_error_responses # chrání špatné chybové zprávy
net.ipv4.ip_forward = 0 # zakáže přesměrování IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignoruje chyby ICP

Je to jen několik základních konfigurací. Naučíte se různé způsoby konfigurace jádra se zkušenostmi.

9. Nakonfigurujte iptables

Linuxová jádra poskytují robustní metody filtrování síťových paketů prostřednictvím svého rozhraní Netfilter API. Můžete použít iptables k interakci s tímto API a nastavit vlastní filtry pro síťové požadavky. Níže uvádíme několik základních pravidel iptables pro uživatele zaměřené na zabezpečení.

-A VSTUP -j ODMÍTNOUT # odmítnout všechny příchozí požadavky
-A FORWARD -j ODMÍTNOUT # odmítnout přesměrování provozu
-VSTUP -i lo -j PŘIJMOUT
-A VÝSTUP -o lo -j PŘIJMOUT # povolit provoz na localhost
# povolit ping žádosti
-A VÝSTUP -p icmp -j PŘIJMOUT # povolit odchozí pingy
# povolit navázaná / související spojení
-A VSTUP -m stav --stát ZAVEDENO, SOUVISEJÍCÍ -j PŘIJMOUT
-A VÝSTUP -m stav --stát ZAVEDENO, SOUVISEJÍCÍ -j PŘIJMOUT
# povolit vyhledávání DNS
-A VÝSTUP -p udp -m udp --dport 53 -j PŘIJMOUT
# povolit požadavky http / https
-A VÝSTUP -p tcp -m tcp --dport 80 -m stav --state NOVINKA -j PŘIJMOUT
-A VÝSTUP -p tcp -m tcp --dport 443 -m stav --state NOVINKA -j PŘIJMOUT
# povolit přístup SSH
-A VSTUP -p tcp -m tcp --dport 22 -j PŘIJMOUT
-A VÝSTUP -p tcp -m tcp --dport 22 -j PŘIJMOUT

10. Monitorujte protokoly

Protokoly můžete využít k lepšímu pochopení svého počítače se systémem Linux. Váš systém ukládá několik souborů protokolu pro aplikace a služby. Zde uvádíme základní.

• /var/log/auth.log zaznamenává pokusy o autorizaci
• /var/log/daemon.log zaznamenává aplikace na pozadí
• / var / log / debug zaznamenává data ladění
• /var/log/kern.log zaznamenává data jádra
• / var / log / syslog zaznamenává systémová data
• / var / log / faillog zaznamenává neúspěšná přihlášení

Nejlepší tipy pro kalení Linuxu pro začátečníky

Zabezpečení systému Linux není tak těžké, jak si myslíte. Zabezpečení můžete zvýšit dodržováním některých tipů uvedených v této příručce. Po získání zkušeností si osvojíte více způsobů zabezpečení Linuxu.

7 Základní nastavení ochrany osobních údajů pro Chrome OS a Google Chrome

Používáte Chromebook, ale máte obavy o soukromí? Vylepšete těchto 7 nastavení v prohlížeči Chrome v systému Chrome OS, abyste zůstali v bezpečí online.

O autorovi