10 Linuxin kovettumisvinkkiä aloittelijoille SysAdmins

Linux-järjestelmät ovat rakenteeltaan turvallisia ja tarjoavat vankat hallintatyökalut. Mutta riippumatta siitä, kuinka hyvin järjestelmä on suunniteltu, sen turvallisuus riippuu käyttäjästä.

Aloittelijoille kestää usein vuosia löytää paras suojauskäytäntö koneilleen. Siksi jaamme nämä välttämättömät Linux-karkaisuvinkit uusille käyttäjille, kuten sinä. Kokeile heitä.

1. Pakota vahvat salasanakäytännöt

Salasanat ovat ensisijainen todennustapa useimmissa järjestelmissä. Ei ole väliä oletko kotikäyttäjä tai ammattilainen, vankan salasanan käyttöönotto on välttämätöntä. Poista ensin tyhjät salasanat käytöstä. Et usko, kuinka moni ihminen edelleen käyttää niitä.

awk -F: '($ 2 == "") {print}' / etc / shadow

Suorita yllä oleva komento juurena nähdäksesi, millä tileillä on tyhjät salasanat. Jos löydät jonkun, jolla on tyhjä salasana, lukitse käyttäjä heti. Voit tehdä tämän käyttämällä seuraavia.

passwd -l KÄYTTÄJÄNIMI

Voit myös asettaa salasanan ikääntymisen varmistaaksesi, että käyttäjät eivät voi käyttää vanhoja salasanoja. Käytä chage-komentoa tehdäksesi tämä päätelaitteestasi.

chage -l KÄYTTÄJÄNIMI

Tämä komento näyttää nykyisen viimeisen käyttöpäivän. Aseta salasanan vanhentuminen 30 päivän kuluttua käyttämällä alla olevaa komentoa. Käyttäjät voivat käytä Linux-salasananhallintaohjelmia verkkotilien suojaamiseen.

8 parasta Linux-salasananhallintaohjelmaa, jotka pysyvät turvassa

Tarvitsetko suojatun salasanojen hallinnan Linuxille? Näitä sovelluksia on helppo käyttää ja pitää online-salasanasi turvassa.

chage -M 30 KÄYTTÄJÄNIMI

2. Varmuuskopioi olennaiset tiedot

Jos olet tosissasi tietojesi suhteen, määritä säännölliset varmuuskopiot. Tällä tavalla, vaikka järjestelmä kaatuu, voit palauttaa tiedot nopeasti. Oikean varmuuskopiointimenetelmän valinta on kuitenkin välttämätöntä Linuxin kovettumiselle.

Jos olet kotikäyttäjä, tietojen kloonaaminen kiintolevylle voi riittää. Yritykset tarvitsevat kuitenkin kehittyneitä varmuuskopiointijärjestelmiä, jotka tarjoavat nopean palautumisen.

3. Vältä vanhoja viestintämenetelmiä

Linux tukee monia etäviestintämenetelmiä. Vanhat Unix-palvelut, kuten telnet, rlogin ja ftp, voivat kuitenkin aiheuttaa vakavia turvallisuusongelmia. Joten yritä välttää niitä. Voit poistaa ne kokonaan vähentääksesi niihin liittyviä turvallisuusongelmia.

apt-get --purge poista xinetd nis tftpd tftpd-hpa telnetd \
> rsh-palvelin rsh-uudelleen-palvelin

Tämä komento poistaa joitain laajalti käytettyjä, mutta vanhentuneita palveluita Ubuntu / Debian-koneista. Jos käytät RPM-pohjaista järjestelmää, käytä seuraavaa.

yum pyyhi xinetd ypserv tftp-palvelin telnet-palvelin rsh-palvelin

4. Suojattu OpenSSH

SSH-protokolla on suositeltava menetelmä etäyhteydelle Linuxille. Varmista, että suojaat OpenSSH-palvelimen (sshd) määritykset. Sinä pystyt Lue lisää SSH-palvelimen määrittämisestä täältä.

Muokkaa /etc/ssh/sshd_config tiedosto asettaa ssh: n suojauskäytännöt. Alla on joitain yleisiä turvallisuuskäytäntöjä, joita kuka tahansa voi käyttää.

PermitRootLogin no # poistaa root-kirjautumisen käytöstä
MaxAuthTries 3 # rajoittaa todennusyrityksiä
PasswordAuthentication no # poistaa salasanan todennuksen käytöstä
PermitEmptyPasswords no # poistaa tyhjät salasanat käytöstä
X11Forwarding no # poistaa GUI-lähetyksen käytöstä
DebianBanner no # ei poista sanallista banneria
AllowUsers *@XXX.X.XXX.0/24 # rajoittaa käyttäjät IP-alueelle

5. Rajoita CRON-käyttöä

CRON on vankka työn ajoitin Linuxille. Sen avulla järjestelmänvalvojat voivat ajoita tehtävät Linuxissa crontabin avulla. Siksi on ratkaisevan tärkeää rajoittaa sitä, kuka voi suorittaa CRON-töitä. Voit selvittää kaikki käyttäjän aktiiviset cronjobit seuraavan komennon avulla.

crontab -l -u KÄYTTÄJÄNIMI

Tarkista jokaisen käyttäjän työpaikat selvittääkseen, käyttääkö kukaan CRONia hyväkseen. Haluat ehkä estää kaikkia käyttäjiä käyttämästä crontabia paitsi sinä. Suorita seuraava komento tähän.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo KAIKKI >> /etc/cron.d/cron.deny

6. Pakota PAM-moduulit

Linux PAM (Pluggable Authentication Modules) tarjoaa tehokkaita todennusominaisuuksia sovelluksille ja palveluille. Voit käyttää erilaisia ​​PAM-käytäntöjä järjestelmän kirjautumisen suojaamiseen. Esimerkiksi alla olevat komennot rajoittavat salasanan uudelleenkäyttöä.

# CentOS / RHEL
echo 'riittävä salasana pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'riittävä salasana pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

Ne rajoittavat salasanojen käyttöä, joita on käytetty viimeisten viiden viikon aikana. On paljon enemmän PAM-käytäntöjä, jotka tarjoavat ylimääräisiä suojaustasoja.

7. Poista käyttämättömät paketit

Käyttämättömien pakettien poistaminen vähentää koneesi hyökkäyspintaa. Joten suosittelemme poistamaan harvoin käytetyt paketit. Voit tarkastella kaikkia tällä hetkellä asennettuja paketteja alla olevien komentojen avulla.

yum-luettelo asennettu # CentOS / RHEL 
apt list - asennettu # Ubuntu / Debian

Oletetaan, että haluat poistaa käyttämättömän paketin vlc. Voit tehdä tämän suorittamalla seuraavat komennot pääkäyttäjänä.

poista vlc # CentOS / RHEL
apt poista vlc # Ubuntu / Debian

8. Suojatut ytimen parametrit

Toinen tehokas tapa Linuxin kovettumiseen on ydinparametrien suojaaminen. Voit määrittää nämä parametrit käyttämällä sysctl tai muokkaamalla kokoonpanotiedostoa. Alla on joitain yleisiä kokoonpanoja.

kernel.randomize_va_space = 2 # satunnaistettava osoitekanta mmapille, kasalle ja pinolle
kernel.panic = 10 # uudelleenkäynnistys 10 sekunnin kuluttua ytimen paniikin seurauksena
net.ipv4.icmp_ignore_bogus_error_responses # suojaa virheelliset virheilmoitukset
net.ipv4.ip_forward = 0 # poistaa IP-edelleenlähetyksen käytöstä
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ohittaa ICP-virheet

Nämä ovat vain joitain perusmäärityksiä. Opit erilaisia ​​tapoja ytimen kokoonpanoon kokemuksen avulla.

9. Määritä iptables

Linux-ytimet tarjoavat vankat suodatusmenetelmät verkkopaketeille Netfilter-sovellusliittymänsä kautta. Voit käyttää iptablesia vuorovaikutuksessa tämän sovellusliittymän kanssa ja määrittää mukautettuja suodattimia verkkopyyntöjä varten. Alla on joitain iptables-perussääntöjä tietoturvakeskeisille käyttäjille.

-A INPUT -j REJECT # hylkää kaikki saapuvat pyynnöt
-EVIEN -j Hylkää # hylkää liikenteen edelleenlähetys
-A SYÖTTÖ ​​-i lo -j HYVÄKSY
-A LÄHTÖ -o lo -j HYVÄKSY # salli liikenne paikallishostilla
# salli ping-pyyntöjä
-A OUTPUT -p icmp -j HYVÄKSY # salli lähtevät pingit
# salli vakiintuneet / liittyvät yhteydet
-A TULO -m-tila - valtio PERUSTETTU, LIITTYVÄ -j HYVÄKSY
-LÄHTÖ -m-tila - valtio PERUSTETTU, LIITTYVÄ -j HYVÄKSY
# salli DNS-haun
-A LÄHTÖ -p udp -m udp --portti 53 -j HYVÄKSY
# salli http / https-pyynnöt
-A LÄHTÖ -p tcp -m tcp --portti 80 -m tila --tila UUSI -j HYVÄKSY
-A LÄHTÖ -p tcp -m tcp --port 443 -m-tila - tila UUSI -j HYVÄKSY
# salli SSH-yhteys
-A SYÖTTÖ ​​-p tcp -m tcp --portti 22 -j HYVÄKSY
-A LÄHTÖ -p tcp -m tcp --port 22 -j HYVÄKSY

10. Monitorilokit

Voit hyödyntää lokeja Linux-koneesi ymmärtämiseksi paremmin. Järjestelmä tallentaa useita lokitiedostoja sovelluksille ja palveluille. Esittelemme tässä olennaiset.

• /var/log/auth.log kirjaa valtuutusyritykset
• /var/log/daemon.log kirjaa taustasovellukset
• / var / log / debug kirjaa virheenkorjaustiedot
• /var/log/kern.log kirjaa ytimen tiedot
• / var / log / syslog kirjaa järjestelmätiedot
• / var / log / faillog lokit epäonnistuneet kirjautumiset

Parhaat Linux-kovettumisvinkit aloittelijoille

Linux-järjestelmän suojaaminen ei ole niin vaikeaa kuin luulet. Voit parantaa tietoturvaa noudattamalla joitain tässä oppaassa mainittuja vinkkejä. Opit lisää tapoja turvata Linux, kun saat kokemusta.

7 olennaiset tietosuoja-asetukset Chrome-käyttöjärjestelmälle ja Google Chromelle

Käytätkö Chromebookia, mutta oletko huolissasi yksityisyydestä? Mukauta näitä 7 asetusta Chrome-käyttöjärjestelmän Chrome-selaimessa, jotta pysyt turvassa verkossa.

Kirjailijasta