Политика | Домашен потребител | Сървър |
Деактивирайте SSH | ✔ | х |
Деактивирайте SSH коренния достъп | х | ✔ |
Променете SSH порта | х | ✔ |
Деактивирайте SSH паролата за вход | х | ✔ |
Iptables | ✔ | ✔ |
IDS (система за откриване на проникване) | х | ✔ |
Сигурност на BIOS | ✔ | ✔ |
Шифроване на диска | ✔ | x / ✔ |
Актуализация на системата | ✔ | ✔ |
VPN (виртуална частна мрежа) | ✔ | х |
Активирайте SELinux | ✔ | ✔ |
Чести практики | ✔ | ✔ |
- SSH достъп
- Защитна стена (iptables)
- Система за откриване на проникване (IDS)
- Сигурност на BIOS
- Криптиране на твърдия диск
- Актуализация на системата
- VPN (виртуална частна мрежа)
- Активиране на SELinux (Подобрена защита на Linux)
- Чести практики
SSH достъп
Домашни потребители:
Домашните потребители всъщност не използват ssh, динамичните IP адреси и NAT конфигурациите на рутера правят алтернативите с обратна връзка като TeamViewer по-привлекателни. Когато услугата не се използва, портът трябва да бъде затворен както чрез деактивиране или премахване на услугата, така и чрез прилагане на ограничителни правила на защитната стена.
Сървъри:
За разлика от домашните потребители, които имат достъп до различни сървъри, мрежовите администратори са чести ssh / sftp потребители. Ако трябва да поддържате вашата услуга ssh активирана, можете да предприемете следните мерки:
- Деактивирайте коренния достъп чрез SSH.
- Деактивирайте влизането с парола.
- Променете SSH порта.
Общи опции за конфигуриране на SSH Ubuntu
Iptables
Iptables е интерфейсът за управление на netfilter за определяне на правилата на защитната стена. Домашните потребители могат да се насочат към UFW (Некомплицирана защитна стена), която е интерфейс за iptables, за да улесни създаването на правила за защитната стена. Независимо от интерфейса, точката е веднага след настройката защитната стена е сред първите промени, които се прилагат. В зависимост от нуждите на вашия работен плот или сървър, най-препоръчваните от съображения за сигурност са ограничителни политики, позволяващи само това, от което се нуждаете, докато блокирате останалото. Iptables ще се използват за пренасочване на SSH порт 22 към друг, за блокиране на ненужни портове, филтриране на услуги и задаване на правила за известни атаки.
За повече информация относно iptables проверете: Iptables за начинаещи
Система за откриване на проникване (IDS)
Поради високите ресурси, които те изискват, IDS не се използват от домашните потребители, но те са задължителни за сървърите, изложени на атаки. IDS извежда защитата на следващото ниво, което позволява да се анализират пакетите. Най-известните IDS са Snort и OSSEC, и двете обяснени по-рано в LinuxHint. IDS анализира трафика по мрежата в търсене на злонамерени пакети или аномалии, това е инструмент за мрежово наблюдение, ориентиран към инциденти със сигурност. За инструкции за инсталиране и конфигуриране на най-популярните 2 IDS решения проверете: Конфигуриране на Snort IDS и Създаване на правила
Първи стъпки с OSSEC (система за откриване на проникване)
Сигурност на BIOS
Руткити, зловредни програми и сървър BIOS с отдалечен достъп представляват допълнителни уязвимости за сървъри и настолни компютри. BIOS може да бъде хакнат чрез код, изпълняван от операционната система, или чрез канали за актуализация, за да получите неоторизиран достъп или да забравите информация като резервни копия на сигурността.
Поддържайте актуализирани механизми за актуализиране на BIOS. Активирайте BIOS Integrity Protection.
Разбиране на процеса на зареждане - BIOS срещу UEFI
Шифроване на твърдия диск
Това е мярка, по-подходяща за потребителите на настолни компютри, които могат да загубят компютъра си или да станат жертва на кражба, особено полезно е за потребителите на лаптопи. Днес почти всяка операционна система поддържа криптиране на диска и дялове, дистрибуции като Debian позволяват да се криптира твърдия диск по време на инсталационния процес. За инструкции за проверка на дисково криптиране: Как да шифровам устройство на Ubuntu 18.04
Актуализация на системата
Както потребителите на настолни компютри, така и sysadmin трябва да поддържат системата актуализирана, за да попречат на уязвимите версии да предлагат неоторизиран достъп или изпълнение. В допълнение към използването на предоставената от ОС диспечер на пакети за проверка за налични актуализации, изпълняващи сканирания за уязвимост, може да помогне за откриване на уязвим софтуер, който не е актуализиран в официални хранилища или уязвим код, който трябва да бъде пренаписан. По-долу някои уроци за актуализации:
- Как да запазите Ubuntu 17.10 до дата
- Linux Mint Как да актуализирам системата
- Как да актуализирам всички пакети на елементарна ОС
VPN (виртуална частна мрежа)
Потребителите на интернет трябва да са наясно, че доставчиците на интернет услуги наблюдават целия им трафик и единственият начин да си позволят това е използването на VPN услуга. ISP може да наблюдава трафика към VPN сървъра, но не и от VPN към дестинациите. Проблемите с дължимата скорост са най-препоръчителните платени услуги, но има безплатни добри алтернативи като https: // protonvpn.com /.
- Най-добрата Ubuntu VPN
- Как да инсталирате и конфигурирате OpenVPN на Debian 9
Активиране на SELinux (Подобрена защита на Linux)
SELinux е набор от модификации на ядрото на Linux, фокусирани върху управлението на аспектите на сигурността, свързани с политиките за сигурност, чрез добавяне на MAC (механизъм за контрол на достъпа), RBAC (контрол на достъпа на основата), MLS (многостепенна защита) и много категория сигурност (MCS). Когато SELinux е активиран, приложението може да осъществява достъп само до необходимите му ресурси, посочени в политиката за сигурност на приложението. Достъпът до портове, процеси, файлове и директории се контролира чрез правила, дефинирани в SELinux, които позволяват или отказват операции въз основа на политиките за сигурност. Ubuntu използва AppArmor като алтернатива.
- SELinux за урок за Ubuntu
Чести практики
Почти винаги неизправностите в сигурността се дължат на небрежност на потребителя. В допълнение към всички точки, номерирани преди това, следвайте следните практики:
- Не използвайте root, освен ако не е необходимо.
- Никога не използвайте X Windows или браузъри като root.
- Използвайте мениджъри на пароли като LastPass.
- Използвайте само силни и уникални пароли.
- Опитайте да не инсталирате несвободни пакети или пакети, недостъпни в официалните хранилища.
- Деактивирайте неизползваните модули.
- На сървърите налагат силни пароли и не позволяват на потребителите да използват стари пароли.
- Деинсталирайте неизползвания софтуер.
- Не използвайте еднакви пароли за различен достъп.
- Променете всички потребителски имена по подразбиране.
Политика | Домашен потребител | Сървър |
Деактивирайте SSH | ✔ | х |
Деактивирайте SSH коренния достъп | х | ✔ |
Променете SSH порта | х | ✔ |
Деактивирайте SSH паролата за вход | х | ✔ |
Iptables | ✔ | ✔ |
IDS (система за откриване на проникване) | х | ✔ |
Сигурност на BIOS | ✔ | ✔ |
Шифроване на диска | ✔ | x / ✔ |
Актуализация на системата | ✔ | ✔ |
VPN (виртуална частна мрежа) | ✔ | х |
Активирайте SELinux | ✔ | ✔ |
Чести практики | ✔ | ✔ |
Надявам се, че тази статия ви е била полезна за повишаване на сигурността ви. Продължавайте да следвате LinuxHint за още съвети и актуализации за Linux и мрежи.