- - 7 způsobů, jak zlepšit zabezpečení serveru Linux

7 způsobů, jak zlepšit zabezpečení serveru Linux

Linux má po dlouhou dobu pověstbezpečnost skrze nejasnost. Uživatelé měli tu výhodu, že nebyli primárním cílem hackerů, a nemuseli si dělat starosti. Tato skutečnost již neplatí a v letech 2017 a 2018 jsme viděli velké množství hackerů, kteří využívají chyby a závady systému Linux, hledají složité způsoby instalace malwaru, virů, rootkitů a dalších.

Kvůli nedávné záplavě exploitů, malwarua další špatné věci, které poškozují uživatele Linuxu, komunita open source reagovala posílením bezpečnostních funkcí. To však stále nestačí a pokud používáte Linux na serveru, je dobré se podívat na náš seznam a naučit se, jak můžete zlepšit zabezpečení serveru Linux.

1. Využijte SELinux

SELinux, AKA Security-Enhanced Linux jebezpečnostní nástroj, který je zabudován do linuxového jádra. Jakmile je povoleno, může snadno vynutit bezpečnostní politiku podle vašeho výběru, která je nutností pro pevný server Linux.

Přichází mnoho serverových operačních systémů založených na RedHats aktivovaným SELinuxem a konfigurovaným s docela dobrými výchozími hodnotami. To znamená, že ne každý operační systém ve výchozím nastavení podporuje SELinux, takže vám ukážeme, jak jej zapnout.

Poznámka: Balíčky Snap vyžadují AppArmor, alternativu k SELinuxu. Pokud se rozhodnete používat SELinux, v některých operačních systémech Linux možná nebudete moci Snaps používat.

CentOS / Rhel

CentOS a RedHat Enterprise Linux jsou dodávány s bezpečnostním systémem SELinux. Je předkonfigurován pro zajištění dobrého zabezpečení, takže nejsou potřeba žádné další pokyny.

Ubuntu server

Od chvíle, kdy Karmic Koala, Ubuntu velmi usnadnil aktivaci bezpečnostního nástroje SELinux. Chcete-li jej nastavit, zadejte následující příkazy.

sudo apt install selinux

Debian

Stejně jako na Ubuntu, i Debian usnadňuje nastavení SELinuxu. Chcete-li to provést, zadejte následující příkazy.

sudo apt-get install selinux-basics selinux-policy-default auditd

Po dokončení instalace SELinuxu na Debianu se podívejte na položku Wiki v softwaru. Zahrnuje mnoho potřebných informací pro jejich použití v operačním systému.

Manuál SELinux

Až bude SELinux funkční, udělejte si laskavost a přečtěte si příručku SELinux. Zjistěte, jak to funguje. Váš server vám děkuje!

Chcete-li získat přístup k příručce SELinux, zadejte v relaci terminálu následující příkaz.

man selinux

2. Zakažte kořenový účet

Jedna z nejchytřejších věcí, které můžete zajistitváš Linuxový server má vypnout rootský účet a k plnění systémových úkolů používat pouze oprávnění Sudoer. Vypnutím přístupu k tomuto účtu budete moci zajistit, aby špatní herci nemohli získat plný přístup k systémovým souborům, instalovat problematický software (jako je malware) atd.

Uzamčení účtu Root v systému Linux je snadné a snadnove skutečnosti je na mnoha operačních systémech Linux (jako je Ubuntu) již jako preventivní opatření vypnuto. Další informace o deaktivaci rootovského přístupu naleznete v této příručce. V tom mluvíme o tom, jak uzamknout root účet.

3. Zabezpečte svůj server SSH

SSH je na mnoha Linuxech často vážnou slabou stránkouservery, protože mnozí Linuxoví administrátoři dávají přednost výchozím nastavením SSH, protože je snazší je roztočit, místo aby zabrali všechno.

Malé kroky k zabezpečení serveru SSH ve vašem systému Linux mohou zmírnit dobrý kus neoprávněných uživatelů, útoků škodlivého softwaru, krádeže dat a mnoho dalšího.

V minulosti jsem na Addictivetips psal podrobný příspěvek o tom, jak zabezpečit Linux SSH server. Další informace o uzamčení serveru SSH naleznete zde.

4. Vždy nainstalujte aktualizace

Vypadá to jako zřejmý bod, ale měli bystepřekvapilo, když se dozvěděli, kolik provozovatelů Linuxových serverů se vzdává aktualizací svého systému. Volba je pochopitelná, protože každá aktualizace má potenciál utlumit běžící aplikace, ale pokud se rozhodnete vyhnout aktualizacím systému, vynecháte bezpečnostní záplaty, které opravují zneužití a chyby, které hackeři používají k dobíjení Linuxových systémů.

Je pravda, že aktualizace na produkčním Linuxuserver je mnohem otravnější, že to někdy bude na ploše. Jednoduše řečeno je, že nemůžete zastavit vše, co chcete nainstalovat. Chcete-li tento problém vyřešit, zvažte nastavení plánovaného plánu aktualizací.

Abychom si byli jisti, že neexistuje žádný vědní plán pro aktualizace. Mohou se lišit v závislosti na vašem případu použití, ale pro maximální zabezpečení je nejlepší instalovat záplaty týdně nebo dvakrát týdně.

6. Žádné softwarové úložiště třetích stran

Skvělá věc o používání Linuxu je, že pokud anopotřebujete program, pokud používáte správnou distribuci, je k dispozici softwarové úložiště třetích stran. Problém je v tom, že mnoho z těchto softwarových repozitářů má potenciál se pohrávat s vaším systémem a v nich se pravidelně objevuje malware. Faktem je, že pokud provádíte instalaci systému Linux v závislosti na softwaru pocházejícím z neověřených zdrojů třetích stran, nastanou problémy.

Pokud musíte mít přístup k softwaru, který vášOperační systém Linux ve výchozím stavu nedistribuuje, přeskočte softwarové úložiště třetích stran pro balíčky Snap. V obchodě jsou desítky aplikací na úrovni serveru. Nejlepší ze všech je, že každá z aplikací v obchodě Snap pravidelně dostává bezpečnostní audity.

Chcete se dozvědět více o Snapu? Podívejte se na náš příspěvek na toto téma a zjistěte, jak jej můžete dostat na svůj Linuxový server!

7. Využijte bránu firewall

Na serveru s efektivním systémem Firewallje všechno. Pokud máte jeden nastavený, vyhnete se mnoha nepříjemným vetřelcům, s nimiž byste se jinak dostali do kontaktu. Na druhou stranu, pokud se vám nepodaří nastavit efektivní systém Firewall, váš server Linux bude trpět vážně.

Existuje docela dost různých firewallůřešení na Linuxu. S ohledem na to jsou některé lépe pochopitelné než jiné. Jedním z nejjednodušších (a nejúčinnějších) firewallů na Linuxu je FirewallD

Poznámka: Chcete-li používat FirewallD, musíte používat serverový OS, který má systém Init System.

Chcete-li povolit FirewallD, musíte jej nejprve nainstalovat. Spusťte okno terminálu a zadejte příkazy, které odpovídají vašemu operačnímu systému Linux.

Ubuntu server

sudo systemctl disable ufw
sudo systemctl stop ufw
sudo apt install firewalld

Debian

sudo apt-get install firewalld

CentOS / Rhel

sudo yum install firewalld

S nainstalovaným softwarem v systému jej povolte pomocí Systemd.

sudo systemctl enable firewalld
sudo systemctl start firewalld

Závěr

Problémy se zabezpečením jsou v systému Linux stále častějšíservery. Bohužel, protože Linux se v podnikovém prostoru stává stále více populárnějším, tyto problémy budou stále častější. Pokud budete postupovat podle bezpečnostních tipů v tomto seznamu, budete moci zabránit většině těchto útoků.

Komentáře