Ilgu laiku Linux ir bijusi reputācijadrošība caur neskaidrību. Lietotājiem bija tā priekšrocība, ka viņi nebija hakeru galvenais mērķis, un viņiem nebija jāuztraucas. Šis fakts vairs nav spēkā, un 2017. un 2018. gadā mēs redzējām lielus hakeru veidus, kas izmanto Linux kļūdas un kļūdas, atrodot sarežģītus veidus, kā instalēt ļaunprātīgu programmatūru, vīrusus, rootkit un daudz ko citu.
Neseno plūdu dēļ tiek ļaunprātīga programmatūraun citas sliktas lietas, kas kaitē Linux lietotājiem, atvērtā koda kopiena ir reaģējusi, papildinot drošības funkcijas. Tomēr ar to nepietiek, un, ja serverī izmantojat Linux, ir ieteicams apskatīt mūsu sarakstu un uzzināt, kā uzlabot Linux servera drošību.
1. Izmantojiet SELinux
SELinux, AKA drošības uzlabota Linux ir adrošības rīks, kas ir iebūvēts Linux kodolā. Pēc tam, kad tas ir iespējots, tas var viegli īstenot jūsu izvēlēto drošības politiku, kas ir obligāta pamata operētājsistēmas Linux serverim.
Pieejamas daudzas uz RedHat balstītas serveru operētājsistēmasar SELinux iespējotu un konfigurētu ar diezgan labiem noklusējumiem. Tas nozīmē, ka ne katra OS operētājsistēma pēc noklusējuma atbalsta SELinux, tāpēc mēs jums parādīsim, kā to ieslēgt.
Piezīme: Snap pakotnēm ir nepieciešama lietotne AppArmor, kas ir alternatīva SELinux. Ja izvēlaties izmantot SELinux, dažās Linux operētājsistēmās, iespējams, nevarēsit izmantot Snaps.
CentOS / Rhel
Gan CentOS, gan RedHat Enterprise Linux tiek piegādāti ar SELinux drošības sistēmu. Tas ir iepriekš konfigurēts labai drošībai, tāpēc papildu instrukcijas nav vajadzīgas.
Ubuntu serveris
Kopš Karmic Koala, Ubuntu ir ļāvis ļoti viegli iespējot SELinux drošības rīku. Lai to iestatītu, ievadiet šīs komandas.
sudo apt install selinux
Debijas
Tāpat kā Ubuntu, arī Debian padara SELinux iestatīšanu ļoti vienkāršu. Lai to izdarītu, ievadiet šīs komandas.
sudo apt-get install selinux-basics selinux-policy-default auditd
Kad esat pabeidzis SELinux instalēšanu Debian, pārbaudiet programmatūras Wiki ierakstu. Tas aptver ļoti daudz informācijas, kas jāzina, lai to lietotu operētājsistēmā.
SELinux rokasgrāmata
Kad esat izvēlējies SELinux strādāt, izsakieties sev par labu un izlasiet SELinux rokasgrāmatu. Uzziniet, kā tas darbojas. Jūsu serveris pateiks paldies!
Lai piekļūtu SELinux rokasgrāmatai, termināļa sesijā ievadiet šo komandu.
man selinux
2. Atspējojiet Root kontu
Viena no gudrākajām lietām, ko varat darīt, lai nodrošinātujūsu Linux serverim ir jāizslēdz Saknes konts, un sistēmas uzdevumu veikšanai izmantojiet tikai Sudoer privilēģijas. Izslēdzot piekļuvi šim kontam, jūs varēsit nodrošināt, ka sliktie dalībnieki nevar iegūt pilnu piekļuvi sistēmas failiem, instalēt problemātisku programmatūru (piemēram, ļaunprātīgu programmatūru) utt.
Saknes konta bloķēšana operētājsistēmā Linux ir vienkāršapatiesībā daudzās Linux serveru operētājsistēmās (piemēram, Ubuntu) tā jau ir izslēgta piesardzības nolūkos. Papildinformāciju par Saknes piekļuves atspējošanu skatiet šajā rokasgrāmatā. Tajā mēs runājam par Root konta bloķēšanu.
3. Nostipriniet savu SSH serveri
SSH bieži ir nopietns vājais punkts daudziem Linuxserveriem, jo daudzi Linux administratori dod priekšroku SSH noklusējuma iestatījumiem, jo tos ir vieglāk iestatīt, nevis visu laiku bloķēt.
Veicot mazus soļus, lai SSH serveri nodrošinātu savā Linux sistēmā, var mazināt labu daļu no neatļautiem lietotājiem, ļaunprātīgas programmatūras uzbrukumiem, datu zādzībām un daudz ko citu.
Iepriekš par Addictivetips es rakstīju padziļinātu ierakstu par to, kā nodrošināt Linux SSH servera drošību. Lai iegūtu papildinformāciju par SSH servera bloķēšanu, apskatiet ziņu šeit.
4. Vienmēr instalējiet atjauninājumus
Tas, šķiet, ir acīmredzams punkts, bet jūs tā būtuPārsteigts, uzzinot, cik daudz Linux serveru operatoru atsakās no atjauninājumiem savā sistēmā. Izvēle ir saprotama, jo katram atjauninājumam ir potenciāls izskrūvēt darbojošās lietojumprogrammas, taču, izvēloties izvairīties no sistēmas atjauninājumiem, jūs palaižat garām drošības ielāpus, kas novērš ekspluatāciju un kļūdas, kuras hakeri izmanto Linux sistēmu atsākšanai.
Tā ir taisnība, ka atjaunināšana ražošanas Linuxserveris ir daudz kaitinošāks, tas kādreiz atradīsies uz darbvirsmas. Fakts ir tāds, ka jūs nevarat vienkārši apturēt visu, lai instalētu ielāpus. Lai to izvairītos, apsveriet iespēju izveidot plānotu atjaunināšanas grafiku.
Skaidri sakot, atjaunināšanas grafikos nav noteiktas zinātnes. Tie var atšķirties atkarībā no jūsu lietošanas gadījuma, taču vislabākās drošības labad vislabāk ir instalēt plāksterus katru nedēļu vai divreiz nedēļā.
6. Nav trešo personu programmatūras krātuvju
Lieliska lieta, izmantojot Linux, ir tā, ka, ja jūsnepieciešama programma, ja vien jūs izmantojat pareizo izplatīšanu, ir pieejams trešās puses programmatūras krātuve. Problēma ir tā, ka lielai daļai šīs programmatūras repo ir iespējams sajaukt jūsu sistēmu, un tajās regulāri parādās ļaunprātīga programmatūra. Faktiski, ja jūs darbināt Linux instalāciju, kas ir atkarīga no programmatūras, kas nāk no nepārbaudītiem, trešo pušu avotiem, rodas problēmas.
Ja jums ir jābūt piekļuvei programmatūrai, kas jūsuLinux operētājsistēma pēc noklusējuma neizplatās, izlaidiet trešo personu programmatūras krātuves Snap pakotnēm. Veikalā ir desmitiem servera līmeņa lietojumprogrammu. Pats labākais, ka katra no Snap veikala lietotnēm regulāri saņem drošības auditus.
Vai vēlaties uzzināt vairāk par Snap? Iepazīstieties ar mūsu ierakstu par šo tēmu, lai uzzinātu, kā jūs to varat iegūt uz jūsu Linux servera!
7. Izmantojiet ugunsmūri
Uz servera ir efektīva ugunsmūra sistēmair viss. Ja jums tāds ir iestatīts, jūs izvairīsities no daudziem nepatīkamiem iebrucējiem, ar kuriem jūs citādi būtu nonācis saskarē. No otras puses, ja neizdodas iestatīt efektīvu ugunsmūra sistēmu, jūsu Linux serveris smagi cietīs.
Ir diezgan daudz dažādu ugunsmūririsinājumi uz Linux. Paturot to prātā, dažus ir vieglāk saprast nekā citus. Līdz šim viens no vienkāršākajiem (un efektīvākajiem) ugunsmūriem Linux ir FirewallD
Piezīme: lai izmantotu FirewallD, jums jāizmanto servera OS, kurai ir SystemD init sistēma.
Lai iespējotu FirewallD, tas vispirms jāinstalē. Atveriet termināļa logu un ievadiet komandas, kas atbilst jūsu Linux operētājsistēmai.
Ubuntu serveris
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debijas
sudo apt-get install firewalld
CentOS / Rhel
sudo yum install firewalld
Ja programmatūra ir instalēta sistēmā, iespējojiet to ar sistēmu.
sudo systemctl enable firewalld sudo systemctl start firewalld
Secinājums
Drošības problēmas Linux operētājsistēmā ir arvien biežākasserveriem. Diemžēl, tā kā Linux turpina kļūt arvien populārāks uzņēmumu telpā, šie jautājumi tikai palielināsies. Ja ievērosit šajā sarakstā sniegtos drošības padomus, jūs varēsit novērst lielāko daļu šo uzbrukumu.
Komentāri