От дълго време Linux има репутация насигурност чрез неизвестност. Потребителите имаха предимството да не са основната цел на хакерите и нямаше нужда да се притесняват. Този факт вече не е валиден и през 2017 и 2018 видяхме големи отряди на хакери, които експлоатират Linux грешки и бъгове, намирайки сложни начини за инсталиране на зловреден софтуер, вируси, руткити и други.
Заради неотдавнашния потоп от експлоатации, злонамерен софтуери други лоши неща, които нараняват потребителите на Linux, общността с отворен код отговори с подобряването на защитните функции. Все пак това не е достатъчно и ако използвате Linux на сървър, е добре да разгледате нашия списък и да научите начини, по които можете да подобрите сигурността на Linux сървър.
1. Използвайте SELinux
SELinux, AKA Linux-Enhanced Linux е aинструмент за сигурност, който е вграден в Linux ядрото. След като бъде активиран, той може лесно да наложи политика на сигурност по ваш избор, която е задължителна за непоколебимия Linux сървър.
Идват много базирани на RedHat сървърни операционни системис активиран и конфигуриран SELinux с доста добри настройки по подразбиране. Това каза, че не всяка ОС там поддържа SELinux по подразбиране, така че ще ви покажем как да я включите.
Забележка: Пакетите за щракване изискват AppArmor, алтернатива на SELinux. Ако решите да използвате SELinux, в определени операционни системи Linux може да не сте в състояние да използвате Snaps.
CentOS / RHEL
CentOS и RedHat Enterprise Linux се доставят заедно със системата за сигурност SELinux. Тя е предварително конфигурирана за добра сигурност, така че не са необходими допълнителни инструкции.
Ubuntu сървър
Откакто Karmic Koala, Ubuntu направи много лесно активирането на инструмента за сигурност SELinux. За да го настроите, въведете следните команди.
sudo apt install selinux
Debian
Подобно на Ubuntu, Debian улеснява настройването на SELinux. За да го направите, въведете следните команди.
sudo apt-get install selinux-basics selinux-policy-default auditd
След като сте готови да инсталирате SELinux на Debian, проверете записа на Wiki на софтуера. Тя обхваща много информация, която трябва да се знае, за да я използвате в операционната система.
Ръководство за SELinux
След като започнете да работите със SELinux, направете си услуга и прочетете ръководството за SELinux. Научете как работи. Вашият сървър ще ви благодари!
За достъп до ръководството за SELinux, въведете следната команда в терминална сесия.
man selinux
2. Деактивирайте акаунта на Root
Едно от най-умните неща, които можете да направите, за да се подсигуритевашият Linux сървър е да изключи Root акаунта и да използва само привилегии Sudoer за изпълнение на системни задачи. Като изключите достъпа до този акаунт, ще можете да гарантирате, че лошите участници не могат да получат пълен достъп до системните файлове, да инсталират проблемен софтуер (като злонамерен софтуер) и т.н.
Заключването на Root акаунта в Linux е лесно и вВсъщност, при много Linux сървърни операционни системи (като Ubuntu) той вече е изключен като предпазна мярка. За повече информация относно деактивирането на Root достъп, вижте това ръководство. В него говорим всичко за това как да заключите Root акаунта.
3. Защитете вашия SSH сървър
SSH често е сериозна слаба точка на много Linuxсървъри, тъй като много администратори на Linux предпочитат да вървят с настройките по подразбиране SSH, тъй като те са по-лесни за въртене, отколкото да отделят време за заключване на всичко.
Предприемането на малки стъпки за осигуряване на SSH сървъра на вашата Linux система може да смекчи добра част от неоторизирани потребители, атаки на злонамерен софтуер, кражба на данни и много други.
В миналото на Addictivetips написах задълбочен пост за това как да защитите Linux SSH сървър. За повече информация как да заключите вашия SSH сървър, вижте публикацията тук.
4. Винаги инсталирайте актуализации
Това изглежда очевиден момент, но вие ще бъдетеизненадан да научи колко оператори на Linux сървъри се отказват от актуализации на своята система. Изборът е разбираем, тъй като всяка актуализация има потенциал да завинтва работещи приложения, но избирайки да избегнете актуализации на системата, пропускате пачове за сигурност, които коригират експлоатации и грешки, които хакерите използват за нарушаване на Linux системите.
Вярно е, че актуализирането на производствен Linuxсървърът е много по-досаден, той някога ще бъде на работния плот. Простият факт е, че не можете просто да спрете всичко, за да инсталирате кръпки. За да заобиколите това, помислете за създаване на планиран график за актуализиране.
За да е ясно, няма зададена наука за графиците за актуализиране. Те могат да варират в зависимост от вашия случай на използване, но най-добре е да инсталирате пачове седмично или двуседмично за максимална сигурност.
6. Няма софтуерни хранилища на трети страни
Страхотното при използването на Linux е, че ако сте виеимате нужда от програма, стига да използвате правилната дистрибуция, има налично софтуерно хранилище на трети страни. Проблемът е, че много от тези софтуерни репозиции имат потенциал да се забъркват във вашата система и злонамерен софтуер редовно се появява в тях. Факт е, че ако използвате инсталация на Linux, зависима от софтуера, идващ от непроверени източници на трети страни, ще възникнат проблеми.
Ако трябва да имате достъп до софтуер, който вашиятОперационната система Linux не се разпространява по подразбиране, пропускайте софтуерните хранилища на трети страни за пакети Snap. В магазина има десетки приложения за сървърна оценка. Най-хубавото е, че всяко от приложенията в магазина Snap редовно одити за сигурност.
Искате ли да научите повече за Snap? Вижте нашата публикация по темата, за да научите как можете да го направите на вашия Linux сървър!
7. Използвайте защитна стена
На сървър с ефективна система за защитна стенае всичко. Ако имате една настройка, ще избегнете много от досадните натрапници, с които иначе ще влезете в контакт. От друга страна, ако не успеете да настроите ефективна система за защитна стена, вашият Linux сървър ще пострада тежко.
Има доста различни защитни стенирешения за Linux. Имайки това предвид, някои са по-лесни за разбиране от други. Досега една от най-простите (и най-ефективните) защитни стени в Linux е FirewallD
Забележка: За да използвате FirewallD, трябва да използвате сървърна операционна система, която има системата SystemD init.
За да активирате FirewallD, първо трябва да го инсталирате. Стартирайте прозорец на терминала и въведете командите, които съответстват на вашата операционна система Linux.
Ubuntu сървър
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS / RHEL
sudo yum install firewalld
Със софтуера, инсталиран в системата, го активирайте с Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
заключение
Проблемите със сигурността са все по-често срещани в Linuxсървъри. За съжаление, тъй като Linux продължава да придобива все по-голяма популярност в корпоративното пространство, тези проблеми ще бъдат само по-разпространени. Ако следвате съветите за сигурност в този списък, ще можете да предотвратите по-голямата част от тези атаки.
Коментари