- - 7 spôsobov, ako zvýšiť bezpečnosť servera Linux

7 spôsobov, ako zvýšiť bezpečnosť servera Linux

Linux má už dlho povesťbezpečnosť prostredníctvom nejasností. Používatelia mali tú výhodu, že neboli primárnym cieľom hackerov, a nemuseli sa obávať. Táto skutočnosť už nie je platná a v rokoch 2017 a 2018 sme videli veľké množstvo hackerov, ktorí zneužívajú chyby a závady systému Linux a nachádzajú zložité spôsoby inštalácie škodlivého softvéru, vírusov, rootkitov a ďalších.

Kvôli nedávnej záplave zneužitia, škodlivého softvérua ďalšie zlé veci, ktoré poškodzujú používateľov systému Linux, komunita s otvoreným zdrojom reagovala posilnením bezpečnostných funkcií. Stále to nestačí a ak používate Linux na serveri, je dobré sa pozrieť na náš zoznam a naučiť sa, ako môžete zvýšiť bezpečnosť servera Linux.

1. Využite SELinux

SELinux, AKA Security-Enhanced Linux je abezpečnostný nástroj, ktorý je zabudovaný do jadra systému Linux. Po povolení môže ľahko presadiť bezpečnostnú politiku podľa vášho výberu, ktorá je nevyhnutnosťou pre solídny Linuxový server.

Prichádza veľa serverových operačných systémov založených na RedHats povoleným SELinuxom a nakonfigurovaným s celkom dobrými predvolenými hodnotami. To znamená, že nie každý operačný systém v predvolenom nastavení podporuje SELinux, takže vám ukážeme, ako ho zapnúť.

Poznámka: Balíky Snap vyžadujú aplikáciu AppArmor, alternatívu k SELinuxu. Ak sa rozhodnete pre použitie SELinuxu, v niektorých operačných systémoch Linux možno nebudete môcť použiť funkciu Snaps.

CentOS / RHEL

CentOS a RedHat Enterprise Linux sú dodávané s bezpečnostným systémom SELinux. Je predkonfigurovaný pre dobrú bezpečnosť, takže nie sú potrebné žiadne ďalšie pokyny.

Ubuntu server

Ubuntu od vydania produktu Karmic Koala veľmi ľahko aktivoval bezpečnostný nástroj SELinux. Ak ho chcete nastaviť, zadajte nasledujúce príkazy.

sudo apt install selinux

Debian

Rovnako ako na Ubuntu, aj Debian veľmi ľahko nastavuje SELinux. Ak to chcete urobiť, zadajte nasledujúce príkazy.

sudo apt-get install selinux-basics selinux-policy-default auditd

Po dokončení inštalácie SELinuxu na Debiane si pozrite softvér Wiki. Zahŕňa množstvo potrebných informácií na ich použitie v operačnom systéme.

Príručka SELinux

Keď začnete pracovať so SELinuxom, urobte si láskavosť a prečítajte si príručku k SELinuxu. Zistite, ako to funguje. Váš server vám ďakuje!

Ak chcete získať prístup k príručke SELinux, zadajte v relácii terminálu nasledujúci príkaz.

man selinux

2. Vypnite koreňový účet

Jedna z najchytrejších vecí, ktoré môžete zaistiťváš Linuxový server má vypnúť rootovský účet a na vykonávanie systémových úloh používať iba oprávnenia sudoera. Vypnutím prístupu do tohto účtu budete môcť zabezpečiť, aby zlí herci nemohli získať plný prístup k systémovým súborom, inštalovať problematický softvér (ako je malware) atď.

Uzamknutie účtu Root v systéme Linux je jednoduché a v systéme Windowsv mnohých operačných systémoch pre servery Linux (ako je Ubuntu) je už ako preventívne opatrenie vypnuté. Viac informácií o zakázaní rootovského prístupu nájdete v tejto príručke. V nej hovoríme o tom, ako uzamknúť root účet.

3. Zabezpečte svoj server SSH

SSH je často vážnym nedostatkom mnohých Linuxovservery, pretože mnohí správcovia Linuxu uprednostňujú predvolené nastavenia SSH, pretože sa ľahšie rozprestierajú, namiesto toho, aby zabrali všetko.

Podniknutie malých krokov na zabezpečenie servera SSH vo vašom systéme Linux môže zmierniť dobrý počet neoprávnených používateľov, útokov škodlivého softvéru, krádeže údajov a mnoho ďalšieho.

V minulosti som na Addictivetips napísal podrobný príspevok o zabezpečení servera Linux SSH. Viac informácií o tom, ako uzamknúť svoj server SSH, nájdete tu.

4. Vždy inštalujte aktualizácie

Vyzerá to ako zrejmý bod, ale mali by ste byťprekvapený, keď sa dozvedel, koľko operátorov serverov Linux vzdáva aktualizácií vo svojom systéme. Táto voľba je pochopiteľná, pretože každá aktualizácia má potenciál utlmiť bežiace aplikácie, ale výberom toho, aby ste sa vyhli aktualizáciám systému, vám chýbajú bezpečnostné záplaty, ktoré opravujú zneužitia a chyby, ktoré hackeri používajú na dobudovanie Linuxových systémov.

Je pravda, že aktualizácia na produkčnom Linuxeserver je omnoho nepríjemnejší, aký kedy bude na pracovnej ploche. Jednoduchá skutočnosť je, že nemôžete len zastaviť všetko na inštaláciu opráv. Ak sa chcete tomuto problému vyhnúť, zvážte nastavenie plánovaného plánu aktualizácií.

Je jasné, že v plánoch aktualizácií nie je stanovená žiadna veda. Môžu sa líšiť v závislosti od prípadu použitia, ale pre maximálnu bezpečnosť je najlepšie nainštalovať záplaty týždenne alebo dvakrát týždenne.

6. Žiadne archívy softvéru tretích strán

Skvelá vec pri používaní systému Linux je, že ak mátePotrebujete program, pokiaľ využívate správnu distribúciu, máte k dispozícii softvérové ​​úložisko tretích strán. Problém je v tom, že veľa z týchto softvérových úložísk má potenciál na neporiadok so systémom a v nich sa pravidelne zobrazuje malware. Faktom je, že ak prevádzkujete inštaláciu systému Linux v závislosti od softvéru pochádzajúceho z neoverených zdrojov tretích strán, vyskytnú sa problémy.

Ak musíte mať prístup k softvéru, ktorý vášOperačný systém Linux v predvolenom nastavení nedistribuuje, preskočte archívy softvéru tretích strán pre balíčky Snap. V obchode sú desiatky aplikácií na úrovni servera. Najlepšie zo všetkého je, že každá z aplikácií v obchode Snap pravidelne prijíma bezpečnostné audity.

Chcete sa dozvedieť viac o službe Snap? Prečítajte si náš príspevok na túto tému a zistite, ako sa dá dostať na váš Linuxový server!

7. Využite bránu firewall

Na serveri s efektívnym systémom Firewallje všetko. Ak ho máte nastavený, vyhnete sa mnohým nepríjemným votrelcom, s ktorými by ste sa inak dostali do kontaktu. Na druhej strane, ak sa vám nepodarí nastaviť efektívny systém Firewall, váš server so systémom Linux bude vážne trpieť.

Existuje pomerne málo rôznych firewallovriešenia na Linuxe. S ohľadom na to sú niektoré zrozumiteľnejšie ako iné. Jedným z najjednoduchších (a najúčinnejších) firewallov na Linuxe je FirewallD

Poznámka: Ak chcete používať FirewallD, musíte používať serverový OS, ktorý má systém Init SystemD.

Ak chcete povoliť FirewallD, musíte ho najprv nainštalovať. Spustite okno terminálu a zadajte príkazy, ktoré zodpovedajú vášmu operačnému systému Linux.

Ubuntu server

sudo systemctl disable ufw
sudo systemctl stop ufw
sudo apt install firewalld

Debian

sudo apt-get install firewalld

CentOS / RHEL

sudo yum install firewalld

Ak je softvér nainštalovaný v systéme, povoľte ho pomocou Systemd.

sudo systemctl enable firewalld
sudo systemctl start firewalld

záver

Problémy s bezpečnosťou sú v Linuxe čoraz bežnejšieservery. Bohužiaľ, keďže Linux sa v podnikovom priestore čoraz viac stáva populárnejším, tieto problémy budú stále častejšie. Ak budete postupovať podľa bezpečnostných tipov v tomto zozname, budete môcť zabrániť väčšine týchto útokov.

Komentáre