De mult timp, Linux a avut o reputație de securitate prin obscuritate. Utilizatorii au avut avantajul de a nu fi ținta principală a hackerilor și nu trebuiau să-și facă griji. Acest fapt nu mai este valabil și, în 2017 și 2018, am văzut o mulțime de hackeri care exploatează erori și erori Linux, găsind modalități dificile de a instala malware, viruși, rootkit-uri și multe altele.
Din cauza recentelor exploatații, malware și alte lucruri rele care rănesc utilizatorii Linux, comunitatea open source a răspuns prin îmbunătățirea funcțiilor de securitate. Totuși, acest lucru nu este suficient și, dacă utilizați Linux pe un server, este o idee bună să vă uitați la lista noastră și să aflați modalități prin care puteți îmbunătăți securitatea unui server Linux.
Cuprins
1. Folosiți SELinux
SELinux, AKA Security-Enhanced Linux este un instrument de securitate care este încorporat în kernel-ul Linux. Odată activat, poate aplica cu ușurință o politică de securitate pe care o alegeți, ceea ce este o necesitate pentru un server Linux solid.
Multe sisteme de operare pentru servere bazate pe RedHat vin cu SELinux activat și configurat cu valori implicite destul de bune. Acestea fiind spuse, nu toate sistemele de operare de acolo acceptă SELinux în mod implicit, așa că vă vom arăta cum să-l porniți.
Notă: Pachetele Snap necesită AppArmor, o alternativă la SELinux. Dacă alegeți să utilizați SELinux, pe anumite sisteme de operare Linux, este posibil să nu puteți utiliza Snaps.
CentOS/Rhel
CentOS și RedHat Enterprise Linux sunt livrate ambele cu sistemul de securitate SELinux. Este pre-configurat pentru o bună securitate, deci nu sunt necesare instrucțiuni suplimentare.
server Ubuntu
Încă de la Karmic Koala, Ubuntu a făcut foarte ușor activarea instrumentului de securitate SELinux. Pentru a-l configura, introduceți următoarele comenzi.
sudo apt install selinux
Debian
La fel ca în Ubuntu, Debian face foarte ușor să configurați SELinux. Pentru a face acest lucru, introduceți următoarele comenzi.
sudo apt-get install selinux-basics selinux-policy-default auditd
După ce ați terminat de instalat SELinux pe Debian, verificați intrarea Wiki de pe software. Acesta acoperă o mulțime de informații necesare pentru a le utiliza pe sistemul de operare.
Manual SELinux
Odată ce SELinux funcționează, fă-ți un serviciu și citește manualul SELinux. Aflați cum funcționează. Serverul dumneavoastră vă va mulțumi!
Pentru a accesa manualul SELinux, introduceți următoarea comandă într-o sesiune de terminal.
man selinux
2. Dezactivează contul Root
Unul dintre cele mai inteligente lucruri pe care le puteți face pentru a vă securiza serverul Linux este să închideți contul Root și să utilizați privilegiile Sudoer numai pentru a îndeplini sarcinile de sistem. Prin oprirea accesului la acest cont, vă veți putea asigura că actorii răi nu pot avea acces complet la fișierele de sistem, nu pot instala software-ul problematic (cum ar fi malware) etc.
Blocarea contului Root pe Linux este ușoară și, de fapt, pe multe sisteme de operare pentru servere Linux (cum ar fi Ubuntu) este deja oprită ca măsură de precauție. Pentru mai multe informații despre dezactivarea accesului rădăcină, consultați acest ghid. În ea, vorbim totul despre cum să blocați contul Root.
3. Securizează-ți serverul SSH
SSH este adesea un punct slab serios pe multe servere Linux, deoarece mulți administratori Linux preferă să utilizeze setările SSH implicite, deoarece acestea sunt mai ușor de activat, mai degrabă decât să-și ia timp pentru a bloca totul.
Făcând pași mici pentru a securiza serverul SSH pe sistemul dvs. Linux poate atenua o bună parte a utilizatorilor neautorizați, atacurile malware, furtul de date și multe altele.
În trecut, pe wdzwdz, am scris o postare aprofundată despre cum să securizați un server SSH Linux. Pentru mai multe informații despre cum să vă blocați serverul SSH, consultați postarea aici.
4. Instalați întotdeauna actualizări
Acesta pare a fi un punct evident, dar ați fi surprins să aflați câți operatori de servere Linux renunță la actualizările sistemului lor. Alegerea este de înțeles, deoarece fiecare actualizare are potențialul de a distruge aplicațiile care rulează, dar, alegând să evitați actualizările de sistem, pierdeți corecțiile de securitate care remediază exploatările și erorile pe care hackerii le folosesc pentru a distruge sistemele Linux.
Este adevărat că actualizarea pe un server Linux de producție este mult mai enervant că va fi vreodată pe Desktop. Simplul fapt este că nu puteți opri totul pentru a instala patch-uri. Pentru a ocoli acest lucru, luați în considerare configurarea unui program de actualizare planificat.
Pentru a fi clar, nu există nicio știință stabilită cu privire la programele de actualizare. Acestea pot varia în funcție de cazul dvs. de utilizare, dar cel mai bine este să instalați patch-uri săptămânal sau bi-săptămânal pentru securitate maximă.
6. Fără depozite de software terță parte
Lucrul minunat despre utilizarea Linux este că, dacă aveți nevoie de un program, atâta timp cât utilizați distribuția corectă, există un depozit de software terță parte disponibil. Problema este că multe dintre aceste repoziții de software au potențialul de a vă încurca sistemul, iar programele malware apar în mod regulat în ele. Adevărul este că, dacă rulați o instalare Linux dependentă de software care provine din surse terțe, neverificate, vor apărea probleme.
Dacă trebuie să aveți acces la software pe care sistemul dvs. de operare Linux nu îl distribuie în mod implicit, omiteți depozitele de software terță parte pentru pachetele Snap. Există zeci de aplicații de tip server în magazin. Cel mai bine, fiecare dintre aplicațiile din magazinul Snap primește în mod regulat audituri de securitate.
Doriți să aflați mai multe despre Snap? Consultați postarea noastră despre acest subiect pentru a afla cum îl puteți pune în funcțiune pe serverul dvs. Linux!
7. Folosiți un firewall
Pe un server, a avea un sistem Firewall eficient este totul. Dacă aveți una configurată, veți evita o mulțime de intrușii deranjanți cu care altfel ați intra în contact. Pe de altă parte, dacă nu reușiți să configurați un sistem Firewall eficient, serverul dvs. Linux va avea de suferit grav.
Există destul de multe soluții de firewall diferite pe Linux. Având în vedere asta, unele sunt mai ușor de înțeles decât altele. De departe, unul dintre cele mai simple (și mai eficiente) firewall-uri de pe Linux este FirewallD
Notă: pentru a utiliza FirewallD, trebuie să utilizați un sistem de operare server care are sistemul de inițializare SystemD.
Pentru a activa FirewallD, mai întâi va trebui să-l instalați. Lansați o fereastră de terminal și introduceți comenzile care corespund sistemului dvs. de operare Linux.
server Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS/Rhel
sudo yum install firewalld
Cu software-ul instalat pe sistem, activați-l cu Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
Concluzie
Problemele de securitate sunt din ce în ce mai frecvente pe serverele Linux. Din păcate, pe măsură ce Linux continuă să devină din ce în ce mai popular în spațiul întreprinderilor, aceste probleme vor fi doar mai răspândite. Dacă urmați sfaturile de securitate din această listă, veți putea preveni majoritatea acestor atacuri.