เป็นเวลานาน Linux มีชื่อเสียงการรักษาความปลอดภัยผ่านความสับสน ผู้ใช้มีข้อได้เปรียบที่ไม่ใช่เป้าหมายหลักของแฮกเกอร์และไม่จำเป็นต้องกังวล ความจริงข้อนี้ไม่ถูกต้องอีกต่อไปและในปี 2560 และปี 2018 เราได้เห็นกลุ่มแฮกเกอร์จำนวนมากที่ใช้ประโยชน์จากข้อบกพร่องและข้อบกพร่องของ Linux ค้นหาวิธีที่ยุ่งยากในการติดตั้งมัลแวร์ไวรัสรูทคิทและอื่น ๆ
เนื่องจากการโจมตีช่องโหว่ครั้งล่าสุดมัลแวร์และสิ่งเลวร้ายอื่น ๆ ที่ทำร้ายผู้ใช้ Linux ชุมชนโอเพนซอร์ซได้ตอบสนองด้วยการเพิ่มคุณสมบัติด้านความปลอดภัย ถึงกระนั้นก็ยังไม่เพียงพอและหากคุณใช้งาน Linux บนเซิร์ฟเวอร์เป็นความคิดที่ดีที่จะดูรายการของเราและเรียนรู้วิธีที่คุณสามารถปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ Linux
1. ใช้ประโยชน์จาก SELinux
SELinux, AKA Security-Enhanced Linux เป็นเครื่องมือความปลอดภัยที่สร้างไว้ในเคอร์เนล Linux เมื่อเปิดใช้งานแล้วจะสามารถบังคับใช้นโยบายความปลอดภัยที่คุณเลือกได้อย่างง่ายดายซึ่งเป็นสิ่งจำเป็นสำหรับเซิร์ฟเวอร์ Linux ที่มีความทนทานสูง
ระบบปฏิบัติการเซิร์ฟเวอร์ที่ใช้ RedHat จำนวนมากมาด้วย SELinux เปิดใช้งานและกำหนดค่าด้วยค่าเริ่มต้นที่ดีงาม ดังกล่าวไม่ใช่ทุกระบบปฏิบัติการที่สนับสนุน SELinux โดยค่าเริ่มต้นดังนั้นเราจะแสดงวิธีเปิดใช้งานให้คุณ
หมายเหตุ: แพ็คเกจ Snap ต้องการ AppArmor ซึ่งเป็นทางเลือกแทน SELinux หากคุณเลือกใช้ SELinux ในระบบปฏิบัติการ Linux บางระบบคุณอาจไม่สามารถใช้ Snaps ได้
CentOS / RHEL
CentOS และ RedHat Enterprise Linux มาพร้อมกับระบบรักษาความปลอดภัยของ SELinux มันได้รับการกำหนดค่าไว้ล่วงหน้าเพื่อความปลอดภัยที่ดีดังนั้นจึงไม่จำเป็นต้องมีคำแนะนำเพิ่มเติมอีก
เซิร์ฟเวอร์ Ubuntu
ตั้งแต่ Karmic Koala, Ubuntu ทำให้มันง่ายมากในการเปิดใช้งานเครื่องมือรักษาความปลอดภัยของ SELinux หากต้องการตั้งค่าให้ป้อนคำสั่งต่อไปนี้
sudo apt install selinux
Debian
เช่นเดียวกับ Ubuntu, Debian ทำให้การตั้งค่า SELinux เป็นเรื่องง่าย หากต้องการทำมันให้ป้อนคำสั่งต่อไปนี้
sudo apt-get install selinux-basics selinux-policy-default auditd
หลังจากติดตั้ง SELinux บน Debian เสร็จแล้วให้ตรวจสอบรายการ Wiki บนซอฟต์แวร์ ครอบคลุมข้อมูลที่จำเป็นต้องรู้มากมายสำหรับการใช้งานบนระบบปฏิบัติการ
คู่มือ SELinux
เมื่อคุณได้ทำงานกับ SELinux แล้วโปรดทำด้วยตนเองและอ่านคู่มือ SELinux เรียนรู้วิธีการใช้งาน เซิร์ฟเวอร์ของคุณจะขอบคุณ!
ในการเข้าถึงคู่มือ SELinux ให้ป้อนคำสั่งต่อไปนี้ในเทอร์มินัลเซสชัน
man selinux
2. ปิดการใช้งานบัญชีรูท
หนึ่งในสิ่งที่ฉลาดที่สุดที่คุณสามารถทำได้เพื่อความปลอดภัยเซิร์ฟเวอร์ Linux ของคุณคือการปิดบัญชีรูทและใช้สิทธิ์ Sudoer เพื่อทำงานระบบให้สำเร็จเท่านั้น ด้วยการปิดการเข้าถึงบัญชีนี้คุณจะสามารถมั่นใจได้ว่านักแสดงที่ไม่สามารถเข้าถึงไฟล์ระบบได้อย่างเต็มที่ติดตั้งซอฟต์แวร์ที่มีปัญหา (เช่นมัลแวร์) ฯลฯ
การล็อคบัญชีรูทบน Linux นั้นง่ายและในความจริงแล้วในระบบปฏิบัติการเซิร์ฟเวอร์ Linux หลายระบบ (เช่น Ubuntu) มันได้ทำการปิดระบบไว้แล้วเพื่อเป็นการป้องกันไว้ล่วงหน้า สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการปิดใช้งานการเข้าถึงรูทโปรดอ่านคู่มือนี้ ในนั้นเราพูดคุยทั้งหมดเกี่ยวกับวิธีการล็อคบัญชีรูท
3. รักษาความปลอดภัยเซิร์ฟเวอร์ SSH ของคุณ
SSH มักเป็นจุดอ่อนที่สำคัญของลีนุกซ์หลายตัวเซิร์ฟเวอร์ผู้ดูแลระบบ Linux จำนวนมากต้องการใช้การตั้งค่า SSH เริ่มต้นเนื่องจากสามารถหมุนได้ง่ายขึ้นแทนที่จะใช้เวลาล็อคทุกอย่างลง
ทำตามขั้นตอนเล็ก ๆ เพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ SSH บนระบบ Linux ของคุณสามารถลดจำนวนผู้ใช้ที่ไม่ได้รับอนุญาตการโจมตีมัลแวร์การขโมยข้อมูลและอื่น ๆ อีกมากมาย
ในอดีตที่ Addictivetips ฉันเขียนโพสต์เชิงลึกเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ Linux SSH สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการล็อคเซิร์ฟเวอร์ SSH ของคุณตรวจสอบโพสต์ที่นี่
4. ติดตั้งการปรับปรุงเสมอ
ดูเหมือนว่าเป็นจุดที่ชัดเจน แต่คุณเป็นประหลาดใจที่ได้เรียนรู้ว่าผู้ให้บริการเซิร์ฟเวอร์ Linux จำนวนเท่าใดที่ไม่ได้รับการอัปเดตในระบบของพวกเขา ตัวเลือกนั้นเป็นที่เข้าใจได้เนื่องจากการอัพเดททุกครั้งมีแนวโน้มที่จะทำให้แอพพลิเคชั่นทำงาน แต่โดยการเลือกที่จะหลีกเลี่ยงการอัปเดตระบบคุณจะพลาดแพตช์การรักษาความปลอดภัย
เป็นเรื่องจริงที่การอัปเดตบน Linux ที่ใช้งานจริงเซิร์ฟเวอร์น่ารำคาญกว่าเดิมมากบนเดสก์ท็อป ความจริงง่ายๆคือคุณไม่สามารถหยุดทุกอย่างเพื่อติดตั้งแพตช์ ในการหลีกเลี่ยงปัญหานี้ให้พิจารณาตั้งค่ากำหนดการอัปเดตตามแผน
เพื่อให้ชัดเจนไม่มีการตั้งค่าวิทยาศาสตร์ในตารางการอัปเดต อาจแตกต่างกันไปขึ้นอยู่กับกรณีการใช้งานของคุณ แต่ควรติดตั้งแพตช์รายสัปดาห์หรือรายปักษ์เพื่อความปลอดภัยสูงสุด
6. ไม่มีที่เก็บซอฟต์แวร์ของบุคคลที่สาม
สิ่งที่ยอดเยี่ยมเกี่ยวกับการใช้ Linux คือถ้าคุณต้องการโปรแกรมตราบใดที่คุณใช้การกระจายที่ถูกต้องมีที่เก็บซอฟต์แวร์ของบุคคลที่สามที่พร้อมใช้งาน ปัญหาคือ repos ซอฟต์แวร์เหล่านี้จำนวนมากมีศักยภาพที่จะยุ่งกับระบบของคุณและมัลแวร์จะปรากฏขึ้นเป็นประจำ ความจริงคือถ้าคุณใช้การติดตั้ง Linux ขึ้นอยู่กับซอฟต์แวร์ที่มาจากแหล่งที่มาที่ไม่ผ่านการตรวจสอบบุคคลที่สามปัญหาจะเกิดขึ้น
หากคุณต้องมีสิทธิ์เข้าถึงซอฟต์แวร์ที่คุณใช้ระบบปฏิบัติการ Linux จะไม่เผยแพร่ตามค่าเริ่มต้นให้ข้ามที่เก็บซอฟต์แวร์บุคคลที่สามสำหรับแพ็คเกจ Snap มีแอปพลิเคชันเกรดเซิร์ฟเวอร์จำนวนมากในสโตร์ ดีที่สุดของทุกแอพใน Snap store ได้รับการตรวจสอบความปลอดภัยเป็นประจำ
ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Snap หรือไม่ ลองอ่านโพสต์ของเราในหัวข้อนั้นเพื่อเรียนรู้ว่าคุณจะทำมันบนเซิร์ฟเวอร์ Linux ของคุณได้อย่างไร!
7. ใช้ประโยชน์จากไฟร์วอลล์
บนเซิร์ฟเวอร์มีระบบไฟร์วอลล์ที่มีประสิทธิภาพคือทุกอย่าง หากคุณได้ตั้งค่าไว้คุณจะหลีกเลี่ยงผู้บุกรุกที่น่ารำคาญจำนวนมากที่คุณไม่ได้ติดต่อด้วย ในทางกลับกันหากคุณไม่สามารถตั้งค่าระบบไฟร์วอลล์ที่มีประสิทธิภาพเซิร์ฟเวอร์ Linux ของคุณจะได้รับความเสียหายอย่างรุนแรง
มีไฟร์วอลล์ที่แตกต่างกันค่อนข้างน้อยโซลูชั่นบน Linux โดยที่ในใจบางคนเข้าใจง่ายกว่าคนอื่น จนถึงตอนนี้หนึ่งในไฟร์วอลล์ที่ง่ายที่สุด (และมีประสิทธิภาพมากที่สุด) บน Linux คือ FirewallD
หมายเหตุ: ในการใช้ FirewallD คุณจะต้องใช้เซิร์ฟเวอร์ OS ที่มีระบบเริ่มต้นของ SystemD
หากต้องการเปิดใช้งาน FirewallD คุณจะต้องติดตั้งก่อน เรียกทำงานหน้าต่างเทอร์มินัลและป้อนคำสั่งที่สอดคล้องกับระบบปฏิบัติการ Linux ของคุณ
เซิร์ฟเวอร์ Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS / RHEL
sudo yum install firewalld
เมื่อติดตั้งซอฟต์แวร์ในระบบให้เปิดใช้งานด้วย Systemd
sudo systemctl enable firewalld sudo systemctl start firewalld
ข้อสรุป
ปัญหาด้านความปลอดภัยมีอยู่ทั่วไปใน Linux มากขึ้นเรื่อย ๆเซิร์ฟเวอร์ น่าเศร้าที่ Linux ยังคงได้รับความนิยมเพิ่มมากขึ้นเรื่อย ๆ ในพื้นที่องค์กรปัญหาเหล่านี้กำลังแพร่หลายมากขึ้นเท่านั้น หากคุณปฏิบัติตามเคล็ดลับความปลอดภัยในรายการนี้คุณจะสามารถป้องกันการโจมตีส่วนใหญ่ได้
ความคิดเห็น