Ilgą laiką „Linux“ turėjo gerą vardąsaugumas per užtemimą. Naudotojai turėjo pranašumą, kad nėra pagrindinis įsilaužėlių taikinys, ir jiems nereikėjo jaudintis. Šis faktas nebegalioja, o 2017 ir 2018 m. Pamatėme didelius įsilaužėlių būrius, išnaudojančius „Linux“ klaidas ir triktis, radę sudėtingus būdus įdiegti kenkėjiškas programas, virusus, „rootkit“ ir dar daugiau.
Dėl pastarojo meto potvynių, kenkėjiškų programųir kitus blogus dalykus, kenkiančius „Linux“ vartotojams, atvirojo kodo bendruomenė reagavo patobulindama saugos funkcijas. Vis dėlto to nepakanka ir jei naudojate „Linux“ serveryje, pravartu peržvelgti mūsų sąrašą ir sužinoti, kaip galite pagerinti „Linux“ serverio saugą.
1. Pasinaudokite SELinux
SELinux, AKA saugumu sustiprinta „Linux“ yrasaugos įrankis, įmontuotas „Linux“ branduolyje. Įjungę, jis gali lengvai įgyvendinti jūsų pasirinktą saugumo politiką, kuri yra būtina tvirtam „Linux“ serveriui.
Ateina daugybė „RedHat“ pagrindu sukurtų serverių operacinių sistemųsu įjungta „SELinux“ ir sukonfigūruota naudojant gana gerus numatytuosius nustatymus. Beje, ne kiekviena ten esanti OS palaiko „SELinux“ pagal numatytuosius nustatymus, todėl parodysime, kaip ją įjungti.
Pastaba: „Snap“ paketams reikalinga „AppArmor“, alternatyva „SELinux“. Jei nuspręsite naudoti SELinux tam tikrose „Linux“ operacinėse sistemose, galbūt negalėsite naudoti „Snaps“.
„CentOS“ / „Rhel“
„CentOS“ ir „RedHat Enterprise Linux“ tiekiamos su „SELinux“ saugos sistema. Jis iš anksto sukonfigūruotas užtikrinant gerą saugumą, todėl jokių papildomų nurodymų nereikia.
„Ubuntu“ serveris
Nuo „Karmic Koala“ Ubuntu labai lengva įjungti SELinux saugos įrankį. Norėdami jį nustatyti, įveskite šias komandas.
sudo apt install selinux
Debian
Kaip ir „Ubuntu“, „Debian“ leidžia labai lengvai nustatyti „SELinux“. Norėdami tai padaryti, įveskite šias komandas.
sudo apt-get install selinux-basics selinux-policy-default auditd
Įdiegę SELinux „Debian“, patikrinkite programinės įrangos „Wiki“ įrašą. Čia pateikiama daug reikiamos informacijos, norint ją naudoti operacinėje sistemoje.
„SELinux“ vadovas
Kai tik „SELinux“ pradės veikti, padarykite sau paslaugą ir perskaitykite „SELinux“ vadovą. Sužinokite, kaip tai veikia. Jūsų serveris jums padėkos!
Norėdami patekti į „SELinux“ vadovą, terminalo sesijoje įveskite šią komandą.
man selinux
2. Išjunkite pagrindinę sąskaitą
Vienas iš protingiausių dalykų, kurį galite padaryti užsitikrindamijūsų „Linux“ serveris turi išjungti „Root“ sąskaitą ir sistemos užduotims atlikti naudojasi tik „Sudoer“ privilegijomis. Išjungę prieigą prie šios paskyros, galėsite užtikrinti, kad blogi dalyviai negalės visapusiškai naudotis sistemos failais, įdiegti probleminę programinę įrangą (pvz., Kenkėjišką programą) ir kt.
„Root“ paskyros užrakinimas „Linux“ sistemoje yra lengvasTiesą sakant, daugelyje „Linux“ serverių operacinių sistemų (pvz., „Ubuntu“) tai jau yra išjungta kaip atsargumo priemonė. Norėdami gauti daugiau informacijos apie šakninės prieigos išjungimą, skaitykite šiame vadove. Jame mes visi kalbame apie tai, kaip užrakinti „Root“ sąskaitą.
3. Apsaugokite savo SSH serverį
SSH dažnai yra rimta silpnoji vieta daugelyje „Linux“serverių, nes daugelis „Linux“ administratorių nori naudoti numatytuosius SSH parametrus, nes juos lengviau sukti, o ne skirti laiko viskam užrakinti.
Vykdydami nedidelius veiksmus, kad apsaugotumėte SSH serverį savo „Linux“ sistemoje, galite sušvelninti nemažą dalį pašalinių vartotojų, kenkėjiškų programų atakas, duomenų vagystes ir dar daugiau.
Anksčiau apie „Addictivetips“ rašiau išsamų pranešimą apie tai, kaip apsaugoti „Linux SSH“ serverį. Norėdami gauti daugiau informacijos apie tai, kaip užrakinti savo SSH serverį, skaitykite čia.
4. Visada įdiekite atnaujinimus
Tai atrodo akivaizdu, bet jūs taip ir būtumėtenustebęs sužinojęs, kiek „Linux“ serverių operatorių atsisako atnaujinimų savo sistemoje. Pasirinkimas yra suprantamas, nes kiekvienas atnaujinimas gali užkirsti kelią veikiančioms programoms, tačiau pasirinkdami vengti sistemos atnaujinimų praleidžiate saugos pataisas, kurios taiso išnaudojimus ir klaidas, kurias įsilaužėliai naudoja, norėdami atnaujinti „Linux“ sistemas.
Tiesa, atnaujinant gamybos „Linux“serveris yra daug labiau erzinantis, jis kada nors bus darbalaukyje. Paprastas faktas yra tas, kad jūs negalite tik sustabdyti viską, kad įdiegtumėte pataisas. Norėdami išspręsti šią problemą, apsvarstykite galimybę sudaryti suplanuotą atnaujinimo tvarkaraštį.
Aišku, nėra jokių atnaujintų tvarkaraščių mokslo. Jie gali skirtis priklausomai nuo jūsų naudojimo atvejo, tačiau, norint maksimaliai apsaugoti, pataisas geriausia dėti kas savaitę arba kas dvi savaites.
6. Nėra trečiųjų šalių programinės įrangos saugyklų
Puiku naudojant „Linux“ yra tai, kad jei jūsjums reikia programos, jei naudojate tinkamą paskirstymą, yra trečiųjų šalių programinės įrangos saugykla. Problema ta, kad daugelis šių programinės įrangos perlaidų gali suklaidinti jūsų sistemą, o jose nuolat rodoma kenkėjiška programa. Faktas yra tas, kad jei jūs naudojate „Linux“ diegimą, priklausomą nuo programinės įrangos, gaunamos iš nepatikrintų trečiųjų šalių šaltinių, iškyla problemų.
Jei turite turėti prieigą prie programinės įrangos, kuri jūsų„Linux“ operacinė sistema neskirsto pagal numatytuosius nustatymus, praleiskite „Snap“ paketų trečiųjų šalių programinės įrangos saugyklas. Parduotuvėje yra dešimtys serverio lygio programų. Geriausia, kad kiekviena „Snap“ parduotuvės programa reguliariai gauna saugumo auditą.
Norite sužinoti daugiau apie „Snap“? Peržiūrėkite mūsų įrašą šia tema ir sužinokite, kaip galite jį naudoti savo „Linux“ serveryje!
7. Pasinaudokite ugniasiene
Serveryje, turinčiame efektyvią ugniasienės sistemąyra viskas. Jei turite vieną nustatytą, išvengsite daugybės nemalonių įsibrovėlių, su kuriais kitu atveju teko susidurti. Kita vertus, jei nepavyks nustatyti veiksmingos ugniasienės sistemos, jūsų „Linux“ serveris smarkiai nukentės.
Yra gana daug skirtingų užkardųsprendimai „Linux“. Turint tai omenyje, kai kuriuos lengviau suprasti nei kitus. Iki šiol viena iš paprasčiausių (ir efektyviausių) „Linux“ užkardų yra „FirewallD“
Pastaba: norėdami naudoti „FirewallD“, turite naudoti serverio OS, turinčią „SystemD init“ sistemą.
Norėdami įjungti „FirewallD“, pirmiausia turėsite ją įdiegti. Paleiskite terminalo langą ir įveskite komandas, atitinkančias jūsų „Linux“ operacinę sistemą.
„Ubuntu“ serveris
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
„CentOS“ / „Rhel“
sudo yum install firewalld
Įdiegę programinę įrangą sistemoje, įgalinkite ją naudodami „Systemd“.
sudo systemctl enable firewalld sudo systemctl start firewalld
Išvada
Saugumo problemos vis dažnesnės Linuxserveriai. Deja, kadangi „Linux“ ir toliau tampa vis populiaresnė įmonių erdvėje, šios problemos bus tik labiau paplitusios. Jei laikysitės šiame sąraše pateiktų saugos patarimų, galėsite užkirsti kelią daugumai šių išpuolių.
Komentarai