În trecut, Linux se bucura de o imagine de siguranță bazată pe obscuritate. Utilizatorii beneficiau de faptul că nu erau ținta principală a atacatorilor cibernetici și, prin urmare, nu își făceau prea multe griji. Însă, situația s-a schimbat, iar în 2017 și 2018, am observat numeroase cazuri în care hackerii au exploatat vulnerabilități și erori din sistemele Linux, găsind modalități complexe de a instala malware, viruși, rootkit-uri și alte amenințări.
Ca reacție la aceste exploatări recente, malware și alte probleme care afectează utilizatorii Linux, comunitatea open source a luat măsuri pentru a consolida caracteristicile de securitate. Cu toate acestea, aceste eforturi nu sunt suficiente, iar dacă utilizați Linux pe un server, este recomandabil să consultați lista noastră și să descoperiți metode prin care puteți îmbunătăți securitatea serverului dvs. Linux.
1. Implementați SELinux
SELinux, cunoscut și ca Security-Enhanced Linux, este un instrument de securitate integrat în nucleul Linux. Odată activat, acesta poate impune cu ușurință o politică de securitate personalizată, ceea ce este esențial pentru un server Linux robust.
Multe sisteme de operare pentru servere bazate pe RedHat includ SELinux activat și configurat cu setări implicite optime. Cu toate acestea, nu toate sistemele de operare oferă suport implicit pentru SELinux, așa că vom detalia cum îl puteți activa.
Notă: Pachetele Snap necesită AppArmor, o alternativă la SELinux. Dacă alegeți să utilizați SELinux, este posibil să nu puteți utiliza Snaps pe anumite sisteme de operare Linux.
CentOS/Rhel
CentOS și RedHat Enterprise Linux vin cu SELinux preinstalat și configurat pentru o securitate bună, astfel că nu sunt necesare instrucțiuni suplimentare.
Server Ubuntu
Încă de la versiunea Karmic Koala, Ubuntu a simplificat activarea instrumentului de securitate SELinux. Pentru a-l configura, introduceți următoarele comenzi:
sudo apt install selinux
Debian
Similar cu Ubuntu, Debian facilitează configurarea SELinux. Pentru a face acest lucru, introduceți aceste comenzi:
sudo apt-get install selinux-basics selinux-policy-default auditd
După ce ați finalizat instalarea SELinux pe Debian, consultați pagina Wiki a software-ului. Aceasta conține informații esențiale pentru utilizarea eficientă a SELinux pe sistemul de operare.
Manual SELinux
Odată ce SELinux este operațional, este recomandat să parcurgeți manualul SELinux. Înțelegeți cum funcționează. Serverul dvs. vă va mulțumi!
Pentru a accesa manualul SELinux, introduceți următoarea comandă într-o sesiune de terminal:
man selinux
2. Dezactivați contul Root
O măsură inteligentă pentru securizarea serverului dvs. Linux este să dezactivați contul Root și să utilizați privilegiile Sudoer doar pentru a realiza sarcinile de sistem. Prin restricționarea accesului la acest cont, vă veți asigura că actorii rău intenționați nu pot obține acces complet la fișierele de sistem, nu pot instala software problematic (cum ar fi malware) etc.
Blocarea contului Root pe Linux este un proces simplu și, de fapt, pe multe sisteme de operare server Linux (cum ar fi Ubuntu) este deja dezactivat ca măsură de precauție. Pentru mai multe informații despre dezactivarea accesului root, consultați acest ghid dedicat, unde veți afla totul despre cum să blocați contul Root.
3. Securizați serverul SSH
SSH este adesea o verigă slabă pe multe servere Linux, deoarece mulți administratori preferă să folosească setările SSH implicite pentru că sunt mai ușor de implementat, în loc să investească timp pentru a securiza totul.
Efectuarea unor pași simpli pentru securizarea serverului SSH pe sistemul dvs. Linux poate preveni accesul neautorizat, atacurile malware, furtul de date și alte amenințări.
Am publicat anterior un articol detaliat despre cum să securizați un server SSH Linux. Pentru mai multe informații despre cum să vă securizați serverul SSH, consultați articolul respectiv.
4. Instalați întotdeauna actualizările
Deși pare evident, ați fi surprins să aflați câți operatori de servere Linux omit actualizările sistemului. Alegerea este înțeleasă, deoarece fiecare actualizare poate perturba aplicațiile care rulează, dar evitarea actualizărilor de sistem vă face vulnerabili la corecțiile de securitate care remediază vulnerabilitățile și erorile exploatate de hackeri pentru a ataca sistemele Linux.
Este adevărat că actualizarea unui server Linux de producție este mai dificilă decât actualizarea unui sistem desktop. Realitatea este că nu puteți întrerupe totul pentru a instala patch-uri. Pentru a remedia acest aspect, luați în considerare configurarea unui program de actualizare planificat.
Nu există o regulă strictă în ceea ce privește programele de actualizare. Acestea pot varia în funcție de cazul dvs. de utilizare, dar este recomandat să instalați patch-uri săptămânal sau bi-săptămânal pentru securitate maximă.
6. Evitați depozitele de software terță parte
Un aspect pozitiv al utilizării Linux este faptul că, dacă aveți nevoie de un program, există un depozit de software terță parte disponibil. Problema este că multe dintre aceste depozite de software pot compromite sistemul, iar malware-ul apare frecvent în ele. Adevărul este că, dacă folosiți software care provine din surse terțe neverificate, veți întâmpina probleme.
Dacă aveți nevoie de acces la software pe care sistemul dvs. de operare Linux nu îl distribuie implicit, optați pentru pachetele Snap în locul depozitelor de software terță parte. Există zeci de aplicații de tip server disponibile în magazin. În plus, fiecare aplicație din magazinul Snap este supusă regulat auditurilor de securitate.
Doriți să aflați mai multe despre Snap? Consultați articolul nostru pe această temă pentru a afla cum îl puteți utiliza pe serverul dvs. Linux!
7. Folosiți un firewall
Pe un server, implementarea unui sistem Firewall eficient este crucială. Dacă aveți un firewall configurat, veți evita mulți intruși nedoriți. Pe de altă parte, lipsa unui firewall eficient poate cauza probleme grave serverului dvs. Linux.
Există diverse soluții de firewall disponibile pe Linux. Unele sunt mai ușor de înțeles decât altele. De departe, unul dintre cele mai simple (și eficiente) firewall-uri pe Linux este FirewallD.
Notă: pentru a utiliza FirewallD, trebuie să utilizați un sistem de operare server care are sistemul de inițializare SystemD.
Pentru a activa FirewallD, trebuie să îl instalați mai întâi. Lansați o fereastră de terminal și introduceți comenzile corespunzătoare sistemului dvs. de operare Linux.
Server Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS/Rhel
sudo yum install firewalld
Odată ce software-ul este instalat pe sistem, activați-l cu Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
Concluzie
Problemele de securitate devin tot mai frecvente pe serverele Linux. Din păcate, pe măsură ce Linux devine din ce în ce mai popular în mediul enterprise, aceste probleme se vor amplifica. Dacă urmați sfaturile de securitate prezentate în această listă, veți putea preveni majoritatea acestor atacuri.