Για πολύ καιρό, το Linux είχε φήμηασφάλεια μέσω της αφύπνισης. Οι χρήστες είχαν το πλεονέκτημα ότι δεν ήταν ο κύριος στόχος των χάκερ και δεν χρειάζεται να ανησυχούν. Αυτό το γεγονός δεν ισχύει πλέον, και το 2017 και το 2018, είδαμε μεγάλες σειρές χάκερ που εκμεταλλεύονται σφάλματα και δυσλειτουργίες του Linux, βρίσκοντας δύσκολους τρόπους για την εγκατάσταση κακόβουλων προγραμμάτων, ιών, rootkits κ.α.
Λόγω της πρόσφατης πλημμύρας εκμεταλλεύσεων, malwareκαι άλλα κακά πράγματα που πλήττουν τους χρήστες του Linux, η κοινότητα ανοιχτού κώδικα έχει ανταποκριθεί βελτιώνοντας τα χαρακτηριστικά ασφαλείας. Ακόμα, αυτό δεν αρκεί και εάν χρησιμοποιείτε το Linux σε ένα διακομιστή, είναι καλή ιδέα να δείτε τη λίστα μας και να μάθετε τρόπους για να βελτιώσετε την ασφάλεια ενός διακομιστή Linux.
1. Χρησιμοποιήστε το SELinux
Το SELinux, το AKA Security-Enhanced Linux είναι έναπου είναι ενσωματωμένο στον πυρήνα του Linux. Μόλις ενεργοποιηθεί, μπορεί εύκολα να επιβάλει μια πολιτική ασφάλειας της επιλογής σας, η οποία είναι απαραίτητη για έναν διακομιστή Linux με ροκ-στερεά χαρακτηριστικά.
Υπάρχουν πολλά λειτουργικά συστήματα διακομιστή με βάση το RedHatμε το SELinux ενεργοποιημένο και διαμορφωμένο με πολύ καλές προεπιλογές. Τούτου λεχθέντος, δεν κάθε OS εκεί υποστηρίζει SELinux από προεπιλογή, έτσι θα σας δείξουμε πώς να το ενεργοποιήσετε.
Σημείωση: Τα πακέτα Snap απαιτούν AppArmor, μια εναλλακτική λύση για το SELinux. Εάν επιλέξετε να χρησιμοποιήσετε το SELinux, σε ορισμένα λειτουργικά συστήματα Linux, ίσως να μην μπορείτε να χρησιμοποιήσετε το Snaps.
CentOS / Rhel
Το CentOS και το RedHat Enterprise Linux μεταφέρονται με το σύστημα ασφαλείας SELinux. Προρρυθμίζεται για καλή ασφάλεια, επομένως δεν απαιτούνται περαιτέρω οδηγίες.
Διακομιστή Ubuntu
Από το Karmic Koala, το Ubuntu έχει κάνει πολύ εύκολη την ενεργοποίηση του εργαλείου ασφαλείας SELinux. Για να το ρυθμίσετε, εισαγάγετε τις ακόλουθες εντολές.
sudo apt install selinux
Debian
Ακριβώς όπως στο Ubuntu, το Debian καθιστά πολύ εύκολο το setup SELinux. Για να το κάνετε, εισαγάγετε τις ακόλουθες εντολές.
sudo apt-get install selinux-basics selinux-policy-default auditd
Αφού ολοκληρώσετε την εγκατάσταση του SELinux στο Debian, ελέγξτε την καταχώρηση του Wiki στο λογισμικό. Καλύπτει πολλές πληροφορίες που χρειάζεται να γνωρίζετε για τη χρήση του στο λειτουργικό σύστημα.
Εγχειρίδιο SELinux
Μόλις εργαστείτε με το SELinux, κάντε τον εαυτό σας μια χάρη και διαβάστε το εγχειρίδιο του SELinux. Μάθετε πώς λειτουργεί. Ο διακομιστής σας θα σας ευχαριστήσει!
Για να αποκτήσετε πρόσβαση στο εγχειρίδιο SELinux, πληκτρολογήστε την ακόλουθη εντολή σε μια συνεδρία τερματικού.
man selinux
2. Απενεργοποιήστε το λογαριασμό Root
Ένα από τα πιο έξυπνα πράγματα που μπορείτε να κάνετε για να εξασφαλίσετεο διακομιστής του Linux σας θα κλείσει τον λογαριασμό Root και θα χρησιμοποιήσει μόνο δικαιώματα Sudoer για να ολοκληρώσει τις εργασίες του συστήματος. Με το κλείσιμο της πρόσβασης σε αυτόν τον λογαριασμό, θα είστε σε θέση να διασφαλίσετε ότι οι κακοί ηθοποιοί δεν μπορούν να έχουν πλήρη πρόσβαση στα αρχεία συστήματος, να εγκαταστήσουν προβληματικό λογισμικό (όπως κακόβουλο λογισμικό) κ.λπ.
Το κλείδωμα του λογαριασμού Root στο Linux είναι εύκολο και στοΠράγματι, σε πολλά λειτουργικά συστήματα διακομιστών Linux (όπως το Ubuntu) έχει ήδη κλείσει ως προφύλαξη. Για περισσότερες πληροφορίες σχετικά με την απενεργοποίηση της πρόσβασης στο Root, ανατρέξτε σε αυτόν τον οδηγό. Σε αυτό, μιλάμε όλοι για το πώς να κλειδώσετε τον λογαριασμό Root.
3. Ασφαλίστε το διακομιστή SSH
Το SSH είναι συχνά ένα σοβαρό αδύναμο σημείο σε πολλά Linuxservers, όπως πολλοί διαχειριστές Linux προτιμούν να πάνε με τις προεπιλεγμένες ρυθμίσεις SSH, καθώς είναι πιο εύκολο να γυρίσουν, παρά να πάρουν το χρόνο να κλειδώσουν τα πάντα.
Κάνοντας μικρά βήματα για τη διασφάλιση του διακομιστή SSH στο σύστημά σας Linux μπορεί να μετριάσει ένα καλό κομμάτι μη εξουσιοδοτημένων χρηστών, επιθέσεις κακόβουλου λογισμικού, κλοπές δεδομένων και πολλά άλλα.
Στο παρελθόν σχετικά με τα Addictivetips, έγραψα μια σε βάθος δημοσίευση σχετικά με τον τρόπο εξασφάλισης ενός διακομιστή SSH Linux. Για περισσότερες πληροφορίες σχετικά με τον τρόπο κλειδώματος του διακομιστή SSH, δείτε την ανάρτηση εδώ.
4. Εγκαθιστάτε πάντα ενημερώσεις
Αυτό φαίνεται σαν ένα προφανές σημείο, αλλά θα ήτανεκπλήσσει να μάθει πόσοι λειτουργοί διακομιστών Linux εγκαταλείπουν το σύστημά τους. Η επιλογή είναι κατανοητή, καθώς κάθε ενημέρωση έχει τη δυνατότητα να σπάσει τις εφαρμογές που εκτελούνται, αλλά επιλέγοντας να αποφύγετε τις ενημερώσεις του συστήματος, χάνετε τις ενημερωμένες εκδόσεις ασφαλείας που διορθώνουν εκμεταλλεύσεις και σφάλματα που χρησιμοποιούν οι χάκερ για να σπάσουν τα συστήματα Linux.
Είναι αλήθεια ότι η ενημέρωση σε μια παραγωγή Linuxserver είναι πολύ πιο ενοχλητικό που θα είναι ποτέ στο Desktop. Το απλό γεγονός είναι ότι δεν μπορείτε να σταματήσετε τα πάντα για να εγκαταστήσετε επιδιορθώσεις. Για να το κάνετε αυτό, σκεφτείτε να ρυθμίσετε ένα προγραμματισμένο χρονοδιάγραμμα ενημέρωσης.
Για να είμαστε σαφείς, δεν υπάρχει επιστήμη σχετικά με τα προγράμματα ενημέρωσης. Μπορούν να ποικίλουν ανάλογα με τη χρήση της θήκης σας, αλλά είναι καλύτερο να εγκαταστήσετε ενημερώσεις εβδομαδιαίως ή δύο εβδομάδες για μέγιστη ασφάλεια.
6. Δεν υπάρχουν αποθετήρια λογισμικού τρίτων κατασκευαστών
Το μεγάλο πράγμα για τη χρήση του Linux είναι ότι αν εσείςχρειάζεστε ένα πρόγραμμα, εφ 'όσον χρησιμοποιείτε τη σωστή διανομή, υπάρχει διαθέσιμος χώρος αποθήκευσης λογισμικού τρίτου κατασκευαστή. Το πρόβλημα είναι ότι πολλά από αυτά τα repos λογισμικού έχουν τη δυνατότητα να χάλια με το σύστημά σας, και κακόβουλα προγράμματα εμφανίζονται τακτικά σε αυτά. Το γεγονός είναι, αν τρέχετε μια εγκατάσταση Linux που εξαρτάται από το λογισμικό που προέρχεται από μη επαληθευμένες πηγές τρίτων, προβλήματα θα συμβούν.
Εάν πρέπει να έχετε πρόσβαση στο λογισμικό που σαςΤο λειτουργικό σύστημα Linux δεν διανέμει από προεπιλογή, παραλείψτε τα αποθετήρια λογισμικού τρίτων για τα πακέτα Snap. Υπάρχουν δεκάδες εφαρμογές ποιότητας διακομιστή στο κατάστημα. Το καλύτερο από όλα, κάθε μία από τις εφαρμογές στο κατάστημα Snap λαμβάνει τακτικά ελέγχους ασφάλειας.
Θέλετε να μάθετε περισσότερα σχετικά με το Snap; Ελέγξτε την ανάρτησή μας σχετικά με το θέμα για να μάθετε πώς μπορείτε να το πάτε στον server σας Linux!
7. Χρησιμοποιήστε ένα τείχος προστασίας
Σε ένα διακομιστή, έχοντας ένα αποτελεσματικό σύστημα Firewallείναι όλα. Εάν έχετε δημιουργήσει ένα, θα αποφύγετε πολλούς ενοχλητικούς εισβολείς με τους οποίους διαφορετικά θα έρθετε σε επαφή. Από την άλλη πλευρά, εάν αποτύχετε να δημιουργήσετε ένα αποτελεσματικό σύστημα τείχους προστασίας, ο διακομιστής του Linux σας θα υποστεί σοβαρά.
Υπάρχουν αρκετά διαφορετικά τείχη προστασίαςλύσεις στο Linux. Με αυτό κατά νου, ορισμένοι είναι ευκολότερο να κατανοηθούν από άλλους. Μέχρι στιγμής, ένα από τα απλούστερα (και πιο αποτελεσματικά) τείχη προστασίας στο Linux είναι το FirewallD
Σημείωση: Για να χρησιμοποιήσετε το FirewallD, πρέπει να χρησιμοποιείτε ένα λειτουργικό σύστημα διακομιστή που έχει το σύστημα SystemD init.
Για να ενεργοποιήσετε το FirewallD, θα πρέπει πρώτα να το εγκαταστήσετε. Εκκινήστε ένα παράθυρο τερματικού και εισαγάγετε τις εντολές που αντιστοιχούν στο λειτουργικό σας σύστημα Linux.
Διακομιστή Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS / Rhel
sudo yum install firewalld
Με το λογισμικό που είναι εγκατεστημένο στο σύστημα, ενεργοποιήστε το με το Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
συμπέρασμα
Τα θέματα ασφάλειας είναι όλο και πιο συνηθισμένα στο Linuxδιακομιστές. Δυστυχώς, καθώς το Linux συνεχίζει να γίνεται ολοένα και πιο δημοφιλές στον επιχειρησιακό χώρο, τα θέματα αυτά θα είναι πιο διαδεδομένα. Αν ακολουθήσετε τις συμβουλές ασφαλείας σε αυτήν τη λίστα, θα είστε σε θέση να αποτρέψετε την πλειοψηφία αυτών των επιθέσεων.
Σχόλια