Linux sistēmas pēc konstrukcijas ir drošas un nodrošina stabilus administrēšanas rīkus. Tomēr neatkarīgi no tā, cik labi izveidota sistēma, tās drošība ir atkarīga no lietotāja.

Iesācējiem bieži nepieciešami gadi, lai atrastu vislabāko drošības politiku savām mašīnām. Tāpēc mēs dalāmies ar šiem būtiskajiem Linux rūdīšanas padomiem tādiem jauniem lietotājiem kā jūs. Izmēģiniet viņiem.

1. Ieviesiet stingru paroļu politiku

Paroles ir primārā autentifikācijas metode lielākajai daļai sistēmu. Neatkarīgi no tā, vai esat mājas lietotājs vai profesionālis, stingru paroļu ieviešana ir obligāta. Pirmkārt, atspējojiet tukšas paroles. Jūs neticēsiet, cik daudz cilvēku tos joprojām lieto. 

awk -F: '($ 2 == "") {print}' / etc / shadow

Palaidiet iepriekš minēto komandu kā sakni, lai skatītu, kuriem kontiem ir tukšas paroles. Ja atrodat kādu ar tukšu paroli, nekavējoties bloķējiet lietotāju. To var izdarīt, izmantojot sekojošo. 

passwd -l LIETOTĀJVĀRDS

Varat arī iestatīt paroles novecošanu, lai nodrošinātu, ka lietotāji nevar izmantot vecās paroles. Izmantojiet komandu chage, lai to izdarītu no sava termināla.

instagram viewer 

burvība -l USERNAME

Šī komanda parāda pašreizējo derīguma termiņu. Lai iestatītu paroles derīguma termiņu pēc 30 dienām, izmantojiet zemāk esošo komandu. Lietotāji drīkst izmantojiet Linux paroļu pārvaldniekus, lai saglabātu tiešsaistes kontu drošību.

8 labākie Linux paroļu pārvaldnieki, lai saglabātu drošību

Nepieciešams drošs paroļu pārvaldnieks operētājsistēmai Linux? Šīs lietotnes ir ērti lietojamas un jūsu tiešsaistes paroles tiek aizsargātas.

vaiga -M 30 LIETOTĀJVĀRDS

2. Būtisko datu dublēšana

Ja nopietni domājat par saviem datiem, iestatiet regulāras dublējumkopijas. Tādā veidā, pat ja jūsu sistēma avarē, jūs varat ātri atjaunot datus. Bet Linux cietēšanai ir ļoti svarīgi izvēlēties pareizo dublēšanas metodi.

Ja esat mājas lietotājs, datu klonēšana cietajā diskā varētu pietikt. Uzņēmumiem tomēr nepieciešamas sarežģītas rezerves sistēmas, kas nodrošina ātru atkopšanu.

3. Izvairieties no mantotajām saziņas metodēm

Linux atbalsta daudzas attālās saziņas metodes. Bet mantotie Unix pakalpojumi, piemēram, telnet, rlogin un ftp, var radīt nopietnas drošības problēmas. Tātad, mēģiniet no tiem izvairīties. Jūs varat tos pilnībā noņemt, lai samazinātu ar tiem saistītās drošības problēmas. 

apt-get --purge noņemt xinetd nis tftpd tftpd-hpa telnetd \
> rsh-serveris rsh-pārtaisīt-serveris

Šī komanda noņem dažus plaši lietotus, bet novecojušus pakalpojumus no Ubuntu / Debian mašīnām. Ja izmantojat uz RPM balstītu sistēmu, tā vietā izmantojiet šo. 

yum dzēst xinetd ypserv tftp-serveris telnet-serveris rsh-serveris

4. Droša OpenSSH

SSH protokols ir ieteicamā Linux attālās komunikācijas metode. Pārliecinieties, vai esat nodrošinājis OpenSSH servera (sshd) konfigurāciju. Jūs varat Uzziniet vairāk par SSH servera iestatīšanu šeit.

Rediģēt /etc/ssh/sshd_config failu, lai iestatītu drošības politikas ssh. Tālāk ir norādītas dažas izplatītas drošības politikas, kuras ikviens var izmantot. 

PermitRootLogin no # atspējo root pieteikšanos
MaxAuthTries 3 # ierobežo autentifikācijas mēģinājumus
PasswordAuthentification no # atspējo paroles autentifikāciju
PermitEmptyPasswords no # atspējo tukšas paroles
X11Forwarding no # atspējo GUI pārsūtīšanu
DebianBanner Nr. # Nedibalizē daudzbalsīgu reklāmkarogu
AllowUsers *@XXX.X.XXX.0/24 # ierobežo lietotāju IP diapazonu

5. Ierobežot CRON lietošanu

CRON ir spēcīgs Linux darba plānotājs. Tas ļauj administratoriem ieplānojiet uzdevumus Linux, izmantojot crontab. Tādējādi ir svarīgi ierobežot, kas var vadīt CRON darbus. Izmantojot šo komandu, varat uzzināt visus lietotāja aktīvos cronjobs. 

crontab -l -u LIETOTĀJVĀRDS

Pārbaudiet katra lietotāja darbus, lai uzzinātu, vai kāds izmanto CRON. Iespējams, vēlēsities bloķēt visus lietotājus, izņemot jūs, crontab izmantošanu. Palaidiet šo komandu. 

echo $ (whoami) >> /etc/cron.d/cron.allow
# atbalss VISI >> /etc/cron.d/cron.deny

6. Izpildīt PAM moduļus

Linux PAM (Pluggable Authentication Modules) piedāvā jaudīgas lietotņu un pakalpojumu autentifikācijas funkcijas. Lai aizsargātu sistēmas pieteikšanos, varat izmantot dažādas PAM politikas. Piemēram, tālāk norādītās komandas ierobežo paroles atkārtotu izmantošanu. 

# CentOS / RHEL
echo 'pietiek ar paroli pam_unix.so use_authtok md5 shadow atcerieties = 5' >> \
> /etc/pam.d/sistēma-auth
# Ubuntu / Debian
echo 'pietiek ar paroli pam_unix.so use_authtok md5 shadow atcerieties = 5' >> \
> /etc/pam.d/common-password

Tie ierobežo paroļu izmantošanu, kuras ir izmantotas pēdējo piecu nedēļu laikā. Ir daudz vairāk PAM politikas, kas nodrošina papildu drošības slāņus.

7. Noņemiet neizmantotās paketes

Noņemot neizmantotus iepakojumus, tiek samazināta jūsu datora uzbrukuma virsma. Tātad, mēs iesakām izdzēst reti izmantotās paketes. Visas pašreiz instalētās paketes var apskatīt, izmantojot tālāk norādītās komandas. 

yum saraksts ir instalēts # CentOS / RHEL 
apt saraksts - instalēts # Ubuntu / Debian

Pieņemsim, ka vēlaties noņemt neizmantoto paketi vlc. To var izdarīt, izpildot šādas komandas kā root. 

yum noņemt vlc # CentOS / RHEL
apt noņemt vlc # Ubuntu / Debian

8. Drošie kodola parametri

Vēl viens efektīvs Linux cietēšanas veids ir kodola parametru nodrošināšana. Šos parametrus varat konfigurēt, izmantojot sysctl vai modificējot konfigurācijas failu. Tālāk ir norādītas dažas izplatītas konfigurācijas. 

kernel.randomize_va_space = 2 # randomizze adreses bāze mmap, kaudzei un kaudzei
kernel.panic = 10 # atsāknēšana pēc 10 sekundēm pēc kodola panikas
net.ipv4.icmp_ignore_bogus_error_responses # aizsargā sliktos kļūdu ziņojumus
net.ipv4.ip_forward = 0 # atspējo IP pārsūtīšanu
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignorē ICP kļūdas

Šīs ir tikai dažas pamata konfigurācijas. Jūs uzzināsiet dažādus kodola konfigurēšanas veidus ar pieredzi.

9. Konfigurējiet iptables

Linux kodoli nodrošina spēcīgas tīkla pakešu filtrēšanas metodes, izmantojot Netfilter API. Varat izmantot iptables, lai mijiedarbotos ar šo API, un tīkla pieprasījumiem varat iestatīt pielāgotus filtrus. Tālāk ir sniegti daži pamata iptables noteikumi lietotājiem, kas orientēti uz drošību. 

-A INPUT -j REJECT # noraidīt visus ienākošos pieprasījumus
-PIRMS -j REJECT # noraidīt trafika pārsūtīšanu
-A IEVADS -i lo -j PIEŅEMT
-A REZULTĀTS -o lo -j ACCEPT # atļaut satiksmi localhost
# atļaut ping pieprasījumus
-A OUTPUT -p icmp -j ACCEPT # atļaut izejošos pingus
# atļaut izveidotus / saistītus savienojumus
-A IEVADS -m stāvoklis - VALSTS Dibināta, SAISTĪTA -j PIEŅEMT
-A REZULTĀTS -m stāvoklis - VALSTS Dibināts, SAISTĪTS -j PIEŅEMT
# atļaut DNS meklēšanu
-A IZVADE -p udp -m udp -dport 53 -j PIEŅEMT
# atļaut http / https pieprasījumus
-A REZULTĀTS -p tcp -m tcp -Dport 80 -m stāvoklis -valsts JAUNS -j ACCEPT
-A IZVADE -p tcp -m tcp -port 443 -m stāvoklis -valsts JAUNS -j PIEŅEMT
# atļaut SSH piekļuvi
-A IEVADE -p tcp -m tcp - 22.divs -j PIEŅEMT
-A REZULTĀTS -p tcp -m tcp - 22.noteikums -j PIEŅEMT

10. Monitoru žurnāli

Lai labāk izprastu savu Linux mašīnu, varat izmantot žurnālus. Jūsu sistēma saglabā vairākus žurnālu failus lietotnēm un pakalpojumiem. Šeit mēs izklāstām būtiskākos.

  • /var/log/auth.log reģistrē autorizācijas mēģinājumus
  • /var/log/daemon.log reģistrē fona lietotnes
  • / var / log / debug reģistrē datu atkļūdošanu
  • /var/log/kern.log reģistrē kodola datus
  • / var / log / syslog reģistrē sistēmas datus
  • / var / log / faillog žurnāli neizdevās pieteikties

Labākie Linux cietēšanas padomi iesācējiem

Nodrošināt Linux sistēmu nav tik grūti, kā jūs domājat. Varat uzlabot drošību, ievērojot dažus šajā rokasgrāmatā minētos padomus. Uzkrājot pieredzi, jūs apgūsiet vairāk veidu, kā nodrošināt Linux.

E-pasts
7 būtiskākie Chrome OS un Google Chrome konfidencialitātes iestatījumi

Vai izmantojat Chromebook datoru, bet vai esat noraizējies par privātumu? Lai saglabātu drošību tiešsaistē, pielāgojiet šos 7 iestatījumus Chrome OS pārlūkprogrammā Chrome.

Saistītās tēmas
  • Linux
  • Datoru drošība
  • Linux
  • SSH
Par autoru
Rubaiat Hossain (Publicēti 5 raksti)

Rubaiat ir CS grāds ar lielu aizraušanos ar atvērtā koda. Papildus tam, ka viņš ir Unix veterāns, viņš nodarbojas arī ar tīkla drošību, kriptogrāfiju un funkcionālu programmēšanu. Viņš ir dedzīgs lietotu grāmatu kolekcionārs un nebeidzami apbrīno klasisko roku.

Vairāk no Rubaiat Hossain

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!

Vēl viens solis !!!

Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.

.