Већ дуже време Линук је имао репутацијусигурност кроз несигурност. Корисници су имали предност што нису били главна хакера и нису морали да брину. Та чињеница више не важи, па смо у 2017. и 2018. видели велике бројеве хакера који искориштавају Линук грешке и пропусте, проналазећи шкакљиве начине инсталирања злонамјерног софтвера, вируса, рооткита и још много тога.
Због недавне поплаве експлозија, малваре-аи друге лоше ствари које штете корисницима Линука, заједница отвореног кода одговорила је побољшавањем безбедносних функција. Ипак, ово није довољно, и ако користите Линук на серверу, добро је погледати нашу листу и научити начине на које можете побољшати сигурност Линук сервера.
1. Искористите СЕЛинук
СЕЛинук, АКА Линук побољшани систем безбедности јесигурносни алат који је уграђен у Линук кернел. Једном омогућено, може лако да примењује безбедносну политику по вашем избору, која је неопходна за солидан Линук сервер.
Долазе многи оперативни системи са сервером РедХатса омогућеним и подешеним СЕЛинук-ом са прилично добрим подразумеваним поставкама. Поред тога, не постоји сваки ОС тамо подразумевано подржава СЕЛинук, тако да ћемо вам показати како да га укључите.
Напомена: Снап пакети захтевају АппАрмор, алтернативу СЕЛинуку. Ако одлучите да користите СЕЛинук, на одређеним Линук оперативним системима можда нећете моћи да користите Снапс.
ЦентОС / Рхел
ЦентОС и РедХат Ентерприсе Линук испоручују се са СЕЛинук сигурносним системом. Унапред је конфигурисан за добру безбедност, тако да нису потребна додатна упутства.
Убунту сервер
Откад је Кармиц Коала, Убунту је врло лако омогућио сигурносни алат СЕЛинук. Да бисте га поставили, унесите следеће команде.
sudo apt install selinux
Дебиан
Као и на Убунту-у, Дебиан олакшава подешавање СЕЛинук-а. Да бисте то учинили, унесите следеће команде.
sudo apt-get install selinux-basics selinux-policy-default auditd
Након што сте завршили са инсталирањем СЕЛинук-а на Дебиан, погледајте унос Вики на софтверу. Обухвата мноштво информација о којима треба знати да бисте их користили у оперативном систему.
СЕЛинук приручник
Једном када будете радили на СЕЛинуку, учините себи услугу и прочитајте СЕЛинук приручник. Научите како то функционише. Ваш сервер ће вам захвалити!
Да бисте приступили упутству за СЕЛинук, унесите следећу наредбу у терминалску сесију.
man selinux
2. Онемогућите Роот налог
Једна од најпаметнијих ствари коју можете учинити да то осигуратеваш Линук сервер мора искључити Роот налог и користити само Судоер привилегије за извршавање системских задатака. Ако искључите приступ овом налогу, моћи ћете да осигурате да лоши актери не могу добити потпуни приступ системским датотекама, инсталирати проблематичан софтвер (попут злонамерног софтвера) итд.
Лако је закључавање налога Роот на ЛинукуУ ствари, на многим Линук оперативним системима (попут Убунту-а) то је већ искључено из предострожности. За више информација о онемогућавању коријенског приступа, погледајте овај водич. У њему разговарамо о томе како закључати Роот налог.
3. Осигурајте свој ССХ сервер
ССХ је често озбиљна слаба тачка многих Линук-апослужитељи, што више Линук администратора радије иду са заданим ССХ поставкама, јер се лакше окрећу, него да одузимају вријеме да закључају све.
Ако предузмете мале кораке да осигурате ССХ сервер на вашем Линук систему, можете умањити добар део неовлашћених корисника, нападе злонамјерног софтвера, крађу података и још много тога.
У прошлости сам на Аддицтиветипс писао детаљни пост о томе како осигурати Линук ССХ сервер. За више информација о закључавању вашег ССХ сервера, прочитајте пост овде.
4. Увек инсталирајте исправке
Ово изгледа очигледно, али требало биизненађен сазнањем колико Линук оператора је одустало од ажурирања на свом систему. Избор је разумљив, будући да свако ажурирање може потенцијално поништити покренуте апликације, али одабиром избегавања ажурирања система пропуштате сигурносне закрпе које поправљају подвиге и грешке које хакери користе да би покренули Линук системе.
Тачно је то ажурирање на производном Линукусервер је пуно више нервозан што ће икада бити на радној површини. Једноставна чињеница је да не можете једноставно зауставити све да инсталирате закрпе. Да бисте то заобишли, размислите о постављању планираног распореда ажурирања.
Да будемо јасни, не постоји сет наука о распоредима ажурирања. Они могу да варирају у зависности од случаја ваше употребе, али најбоље је да инсталирате закрпе недељно или двонедељно за максималну сигурност.
6. Нема спремишта софтвера треће стране
Одлична ствар у коришћењу Линука је то ако стетреба вам програм, све док користите исправну дистрибуцију, на располагању је складиште софтвера треће стране. Проблем је што велики број ових софтверских репоса може да се побрка са вашим системом, а у њима се редовно приказује злонамерни софтвер. Чињеница је да, ако покрећете Линук инсталацију која зависи од софтвера који потиче из непроверених извора других произвођача, десиће се проблеми.
Ако морате имати приступ вашем софтверуЛинук оперативни систем не дистрибуира подразумевано, прескочи складишта софтвера треће стране за Снап пакете. У трговини постоје десетине апликација за сервер. Најбоље од свега је што свака од апликација у продавници Снап редовно прима ревизије безбедности.
Желите да сазнате више о Снап-у? Погледајте наш пост о овој теми како бисте сазнали како то можете да покренете на вашем Линук серверу!
7. Искористите заштитни зид
На серверу који има ефикасан фиревалл системје све. Ако имате једно подешавање, избећи ћете пуно неугодних уљеза са којима бисте иначе дошли у контакт. Са друге стране, ако не успете да поставите ефикасан заштитни зид, ваш Линук сервер ће озбиљно патити.
Постоји доста различитих фиревалл-арешења на Линуку. Имајући то у виду, неке је лакше разумјети него друге. Један од најједноставнијих (и најефикаснијих) фиревалл-а на Линуку је ФиреваллД
Напомена: Да бисте користили ФиреваллД, морате користити ОС послужитеља који има СистемД инит систем.
Да бисте омогућили ФиреваллД, прво морате да га инсталирате. Отворите прозор терминала и унесите команде које одговарају вашем Линук оперативном систему.
Убунту сервер
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Дебиан
sudo apt-get install firewalld
ЦентОС / Рхел
sudo yum install firewalld
Са софтвером инсталираним на систему, омогућите га са системом.
sudo systemctl enable firewalld sudo systemctl start firewalld
Закључак
Питања сигурности су све чешћа у Линукусервери. Нажалост, како Линук и даље постаје све популарнији у пословном простору, ова питања ће само постати превладавајућа. Ако следите савете за безбедност на овој листи, моћи ћете да спречите већину ових напада.
Коментари