- - 7 דרכים לשיפור האבטחה של שרת לינוקס

7 דרכים לשיפור האבטחה של שרת לינוקס

במשך זמן רב, לינוקס יש מוניטין שלביטחון באמצעות אפלוליות. למשתמשים היה היתרון בכך שהוא לא היה היעד העיקרי של האקרים ולא היו צריכים לדאוג. עובדה זו כבר לא תקפה, ובשנים 2017 ו- 2018 ראינו קטעים גדולים של האקרים המנצלים באגים ותקלות של Linux, ומוצאים דרכים מסובכות להתקנת תוכנות זדוניות, וירוסים, ערכות שורש ועוד.

בגלל מבול הניצולים האחרון, תוכנות זדוניותודברים רעים אחרים שפוגעים במשתמשי לינוקס, קהילת הקוד הפתוח הגיבה על ידי תכונות אבטחה. ובכל זאת, זה לא מספיק, ואם אתה משתמש ב- Linux בשרת, כדאי לבדוק את הרשימה שלנו וללמוד דרכים בהן תוכל לשפר את האבטחה של שרת לינוקס.

1. השתמש ב- SELinux

SELinux, AKA לינוקס משופר באבטחה הואכלי אבטחה המובנה בתוך גרעין לינוקס. לאחר ההפעלה, הוא יכול לאכוף בקלות את מדיניות האבטחה שתבחר, שהיא חובה לשרת לינוקס סולידי.

מערכות הפעלה רבות של שרת מבוסס RedHat מגיעותעם SELinux מופעל ומוגדר עם ברירות מחדל טובות למדי. עם זאת, לא כל מערכת הפעלה בחוץ תומכת ב- SELinux כברירת מחדל, אז נראה לך כיצד להפעיל אותה.

הערה: חבילות הצמד דורשות את AppArmor, אלטרנטיבה ל- SELinux. אם תבחר להשתמש ב- SELinux, במערכות הפעלה מסוימות של Linux, ייתכן שלא תוכל להשתמש ב- Snaps.

CentOS / Rhel

CentOS ו- RedHat Enterprise Linux שניהם נשלחים עם מערכת האבטחה SELinux. זה מוגדר מראש לאבטחה טובה, כך שאין צורך בהוראות נוספות.

שרת אובונטו

מאז Karmic Koala, אובונטו הקלה מאוד על הפעלת כלי האבטחה SELinux. כדי להגדיר אותה, הזן את הפקודות הבאות.

sudo apt install selinux

דביאן

בדיוק כמו באובונטו, דביאן מקל מאוד על התקנת SELinux. לשם כך, הזן את הפקודות הבאות.

sudo apt-get install selinux-basics selinux-policy-default auditd

לאחר שתסיים להתקין את SELinux ב- Debian, עיין בערך הוויקי בתוכנה. זה מכסה הרבה מידע שצריך לדעת לשימוש בו במערכת ההפעלה.

מדריך SELinux

ברגע שיש לך SELinux לעבוד, עשה לעצמך טובה וקרא במדריך SELinux. למד כיצד זה עובד. השרת שלך יודה לך!

כדי לגשת למדריך SELinux, הזן את הפקודה הבאה בפגישה מסוף.

man selinux

2. השבת את חשבון השורש

אחד הדברים החכמים ביותר שאפשר לעשות כדי להבטיחשרת הלינוקס שלך אמור לכבות את חשבון ה- Root, ולהשתמש בהרשאות Sudoer בלבד כדי לבצע משימות מערכת. על ידי כיבוי הגישה לחשבון זה, תוכלו להבטיח ששחקנים רעים לא יוכלו לקבל גישה מלאה לקבצי המערכת, להתקין תוכנה בעייתית (כמו תוכנות זדוניות) וכו '.

נעילת חשבון ה- Root ב- Linux היא קלה ופשוטהלמעשה, במערכות הפעלה רבות של שרתי לינוקס (כמו אובונטו) זה כבר מכובה כאמצעי זהירות. למידע נוסף על השבתת גישה לשורש, עיין במדריך זה. בזה, אנו מדברים הכל על איך לנעול את חשבון Root.

3. אבטח את שרת ה- SSH שלך

SSH היא לרוב נקודת תורפה רצינית בהרבה Linuxשרתי, כפי שמנהלי Linux רבים מעדיפים ללכת עם הגדרות ברירת המחדל של SSH, מכיוון שקל יותר להסתובב, במקום לקחת את הזמן לנעול את הכל.

נקיטת צעדים קטנים לאבטחת שרת ה- SSH במערכת הלינוקס שלך יכולה להקל על נתח טוב של משתמשים לא מורשים, התקפות זדוניות, גניבת נתונים והרבה יותר.

בעבר ב- Addictivetips, כתבתי פוסט מעמיק שכולל כיצד לאבטח שרת לינוקס SSH. למידע נוסף על אופן נעילת שרת ה- SSH, עיין בפוסט כאן.

4. התקן עדכונים תמיד

זה נראה כמו נקודה מובנת מאליה, אבל כןהופתע ללמוד כמה מפעילי שרתי לינוקס מוותרים על עדכונים במערכת שלהם. הבחירה מובנת, מכיוון שלכל עדכון יש פוטנציאל לדפוק אפליקציות הפועלות, אך על ידי בחירה להימנע מעדכוני מערכת, אתה מפסיד תיקוני אבטחה שמתקנים ניצולים ובאגים בהם משתמשים האקרים לצורך הפצת מערכות לינוקס.

נכון לעדכון על לינוקס הפקההשרת הרבה יותר מעצבן שהוא יהיה אי פעם בשולחן העבודה. העובדה הפשוטה היא שאתה לא יכול פשוט לעצור הכל כדי להתקין טלאים. כדי לעקוף זאת, שקול להגדיר לוח זמנים לעדכונים מתוכנן.

כדי להיות ברור אין מדעי קבוע בלוח הזמנים לעדכונים. הם יכולים להשתנות בהתאם למקרה השימוש שלך, אך עדיף להתקין טלאים מדי שבוע, או דו-שבועיים למען אבטחה מרבית.

6. אין מאגרי תוכנה של צד שלישי

הדבר הנהדר בשימוש בלינוקס הוא שאם אתםזקוק לתכנית, כל עוד אתה משתמש בהפצה הנכונה, יש מאגר תוכנה של צד שלישי זמין. הבעיה היא שלמרות רבות ממחזורי התוכנה האלה יש פוטנציאל להתעסק במערכת שלך, ותוכנות זדוניות מופיעות בהן באופן קבוע. העובדה היא שאם אתה מנהל התקנה של לינוקס התלויה בתוכנה שמקורה במקורות צד שלישי לא מאומתים, בעיות עומדות להתרחש.

אם אתה חייב להיות בעל גישה לתוכנה שלךמערכת ההפעלה לינוקס אינה מפיצה כברירת מחדל, דלג על מאגרי התוכנה של צד שלישי עבור חבילות Snap. יש עשרות אפליקציות בדרגת שרת בחנות. והכי חשוב, כל אחת מהאפליקציות בחנות Snap מקבלת ביקורת אבטחה באופן קבוע.

רוצה ללמוד עוד על Snap? עיין בפוסט שלנו בנושא כדי ללמוד כיצד תוכל להפעילו בשרת לינוקס שלך!

7. השתמש בחומת אש

בשרת, עם מערכת חומת אש יעילהזה הכל. אם יש לך הגדרה אחת, תימנע מהרבה הפורצים המציקים שאחרת תבוא במגע איתם. מצד שני, אם לא תצליח להתקין מערכת חומת אש יעילה, שרת הלינוקס שלך יסבול קשה.

יש לא מעט חומת אש שונותפתרונות ב- Linux. עם זאת, חלקם קלים להבנה מאחרים. ללא ספק, אחת החומות הפשוטות (והיעילות ביותר) ב- Linux היא FirewallD

הערה: כדי להשתמש ב- FirewallD, עליך להשתמש במערכת הפעלה שרת עם מערכת ה- init של SystemD.

כדי לאפשר את FirewallD, תחילה עליך להתקין אותה. הפעל חלון מסוף והזן את הפקודות התואמות את מערכת ההפעלה לינוקס שלך.

שרת אובונטו

sudo systemctl disable ufw
sudo systemctl stop ufw
sudo apt install firewalld

דביאן

sudo apt-get install firewalld

CentOS / Rhel

sudo yum install firewalld

כאשר התוכנה מותקנת במערכת, הפעל אותה באמצעות Systemd.

sudo systemctl enable firewalld
sudo systemctl start firewalld

סיכום

בעיות אבטחה נפוצות יותר ויותר ב- Linuxשרתים. למרבה הצער, ככל שלינוקס ממשיכה להיות יותר ויותר פופולרית במרחב הארגוני, הנושאים הללו רק הולכים להיות נפוצים יותר. אם תעקוב אחר עצות האבטחה ברשימה זו, תוכל למנוע את רוב ההתקפות הללו.

הערות