نصائح أمنية حول أنظمة جنو / لينكس

حسنًا ، لقد كنت أعد هذا المنشور لـ مدونتي لبعض الوقت اقترحوا عليّ فيه من لينكس، وبسبب ضيق الوقت ، لم يكن قادرًا أو راغبًا. إذا كنت كسولًا إلى حد ما <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.2.1/svg/1f600.svg">. لكنهم الآن في إضراب كما نقول في كوبا ...

هذه مجموعة من قواعد الأمان الأساسية لمسؤولي النظام ، في هذه الحالة ، لأولئك مثلي الذين يديرون شبكات / أنظمة تعتمد على جنو / لينكس ... قد يكون هناك المزيد وفي الحقيقة هناك المزيد ، هذه مجرد عينة من مغامرات في عالم لينكس ...

0- حافظ على أنظمتنا مُحدثة بآخر تحديثات الأمان.

0.1- القوائم البريدية للتحديثات الهامة [مستشار أمان Slackware, مستشار أمان دبيان، في حالتي]

1- عدم الوصول المادي إلى الخوادم من قبل أفراد غير مصرح لهم.

1.1- تطبيق كلمة المرور على BIOS من خوادمنا

1.2- لا تمهيد عن طريق CD / DVD

1.3- كلمة المرور في GRUB / Lilo

2- سياسة كلمة المرور الجيدةوالشخصيات الأبجدية الرقمية وغيرها.

2.1- تقادم كلمات المرور [Password Aging] باستخدام الأمر "chage" ، بالإضافة إلى عدد الأيام بين تغيير كلمة المرور وتاريخ آخر تغيير.

2.2- تجنب استخدام كلمات المرور السابقة:

في /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

هذه هي الطريقة التي تغير بها كلمة المرور وتذكرك بآخر 10 كلمات مرور كان لدى المستخدم.

3- سياسة الإدارة / التجزئة الجيدة لشبكتنا [أجهزة التوجيه ، والمحولات ، وشبكات vlans] وجدار الحماية ، بالإضافة إلى قواعد التصفية INPUT ، OUTPUT ، FORWARD [NAT ، SNAT ، DNAT]

4- تفعيل استخدام القذائف [/ etc / shells]. سيحصل المستخدمون الذين لا يتعين عليهم تسجيل الدخول إلى النظام على / bin / false أو / bin / nologin.

5- منع المستخدمين عند فشل تسجيل الدخول [faillog] ، وكذلك التحكم في حساب مستخدم النظام.

passwd -l pepe -> حظر المستخدم pepe passwd -v pepe -> إلغاء حظر المستخدم

6- تفعيل استخدام "sudo" ، لا تسجّل الدخول مطلقًا كجذر بواسطة ssh ، "أبدًا". في الواقع ، يجب عليك تحرير تكوين ssh لتحقيق هذا الغرض. استخدم المفاتيح العامة / الخاصة على خوادمك مع sudo.

7- تطبيق في أنظمتنا "مبدأ الامتياز الأقل".

8- تحقق من خدماتنا من وقت لآخر [netstat -lptun] ، لكل خادم من خوادمنا. أضف أدوات المراقبة التي يمكن أن تساعدنا في هذه المهمة [Nagios ، Cacti ، Munin ، Monit ، Ntop ، Zabbix].

9- قم بتثبيت IDSs و Snort / AcidBase و Snotby و Barnyard و OSSEC.

10- Nmap هو صديقك ، استخدمه للتحقق من الشبكة الفرعية / الشبكات الفرعية.

11- ممارسات أمان جيدة في OpenSSH و Apache2 و Nginx و MySQL و PostgreSQL و Postfix و Squid و Samba و LDAP [أكثر التطبيقات استخدامًا] وبعض الخدمات الأخرى التي تحتاجها في شبكتك.

12- قم بتشفير جميع الاتصالات بينما يكون ذلك ممكنًا في أنظمتنا ، SSL ، gnuTLS ، StarTTLS ، الملخص ، إلخ ... وإذا كنت تتعامل مع معلومات حساسة ، فقم بتشفير محرك الأقراص الثابتة !!!

13- قم بتحديث خوادم البريد الخاصة بنا بأحدث قواعد الأمان والقائمة السوداء ومكافحة البريد العشوائي.

14- تسجيل النشاط في أنظمتنا باستخدام ساعة التسجيل والتحقق من السجل.

15- المعرفة واستخدام الأدوات مثل top ، sar ، vmstat ، مجاني ، من بين أمور أخرى.

sar -> تقرير نشاط النظام vmstat -> العمليات ، الذاكرة ، النظام ، الإدخال / الإخراج ، نشاط وحدة المعالجة المركزية ، إلخ iostat -> حالة وحدة المعالجة المركزية i / o mpstat -> حالة المعالجات المتعددة والاستخدام pmap -> استخدام الذاكرة بواسطة العمليات المجانية - > ذاكرة iptraf -> حركة المرور في الوقت الفعلي لشبكتنا ethstatus -> مراقبة إحصاءات إيثرنت القائمة على وحدة التحكم -> مراقبة الشبكة الرسومية ss -> حالة المقبس [معلومات مقبس tcp ، udp ، مآخذ خام ، مقابس DCCP] tcpdump -> تحليل مفصل de traffic vnstat -> مراقبة حركة مرور الشبكة للواجهات المحددة mtr -> أداة التشخيص وتحليل التحميل الزائد في الشبكات ethtool -> إحصائيات حول بطاقات الشبكة

الآن كل شيء. أعلم أن هناك ألفًا وواحدًا من الاقتراحات الأمنية في هذا النوع من البيئة ، ولكن هذه هي أكثر ما أدهشني ، أو أنه في مرحلة ما كان علي التقديم / التدرب في بيئة قمت بإدارتها.

عناق ونأمل أن يخدمك 😀


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

26 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   كوراتسوكي قال

    أدعوك في التعليقات لتخبرنا عن بعض القواعد الأخرى التي تم تنفيذها بصرف النظر عن تلك التي سبق ذكرها ، لزيادة معرفة قرائنا 😀

    1.    يوكيتيرو قال

      حسنًا ، أود أن أضيف:

      1.- تطبيق قواعد sysctl لمنع dmesg ، / proc ، وصول SysRQ ، وتعيين PID1 إلى النواة ، وتمكين الحماية للروابط الرمزية الصلبة والناعمة ، وحماية حزم TCP / IP لكل من IPv4 و IPv6 ، وتفعيل VDSO الكامل لتحقيق أقصى قدر من العشوائية تخصيصات مساحة المؤشر والذاكرة وتحسين قوة تجاوز المخزن المؤقت.

      2.- إنشاء جدران حريق من النوع SPI (فحص الحزمة ذات الحالة) لمنع الاتصالات التي لم يتم إنشاؤها أو المسموح بها مسبقًا من الوصول إلى النظام.

      3.- إذا لم يكن لديك خدمات تتطلب اتصالات بامتيازات مرتفعة من موقع بعيد ، فما عليك سوى إلغاء الوصول إليها باستخدام access.conf ، أو في حالة فشل ذلك ، قم بتمكين الوصول إلى مستخدم أو مجموعة معينة فقط.

      4.- استخدم حدودًا صارمة لمنع الوصول إلى مجموعات معينة أو مستخدمين من زعزعة استقرار نظامك. مفيد جدًا في البيئات التي يوجد فيها مستخدمون متعددون حقيقيون نشطون في جميع الأوقات.

      5.- TCPWrappers هو صديقك ، إذا كنت تستخدم نظامًا يدعمه ، فلن يضر استخدامه ، لذا يمكنك رفض الوصول من أي مضيف ما لم يتم تكوينه مسبقًا في النظام.

      6.- إنشاء مفاتيح SSH RSA لا تقل عن 2048 بت أو أفضل من 4096 بت بمفاتيح أبجدية رقمية تزيد عن 16 حرفًا.

      7.- إلى أي مدى أنت عالمي الكتابة؟ التحقق من أذونات القراءة والكتابة لأدلةك ليس سيئًا على الإطلاق وهو أفضل طريقة لتجنب الوصول غير المصرح به في بيئات متعددة المستخدمين ، ناهيك عن أنه يجعل الأمر أكثر صعوبة بالنسبة لبعض عمليات الوصول غير المصرح بها للوصول إلى المعلومات التي تقوم بها لا تريدهم. لا أحد يراها.

      8.- قم بتركيب أي قسم خارجي لا يستحقه ، مع الخيارات noexec ، nosuid ، nodev.

      9.- استخدم أدوات مثل rkhunter و chkrootkit للتحقق بشكل دوري من أن النظام لا يحتوي على rootkit أو برامج ضارة مثبتة. إجراء حكيم إذا كنت أحد أولئك الذين يقومون بتثبيت أشياء من مستودعات غير آمنة ، أو من PPA أو ببساطة رمز تجميع مباشر من مواقع غير موثوق بها.

      1.    كوراتسوكي قال

        امممم ، لذيذ ... تعليق جيد ، أضف شباب ... 😀

    2.    وليام مورينو رييس قال

      تطبيق التحكم في الوصول الإلزامي مع SElinux؟

  2.   أرماندوف قال

    مقال جيد جدا

    1.    كوراتسوكي قال

      شكرا يا صديقي 😀

  3.   joaco قال

    مرحبًا ، وإذا كنت مستخدمًا عاديًا ، فهل يجب علي استخدام su أو sudo؟
    أستخدم su لأنني لا أحب sudo ، لأن أي شخص لديه كلمة مرور المستخدم الخاصة بي يمكنه تغيير ما يريده على النظام ، بدلاً من su no.

    1.    كوراتسوكي قال

      على جهاز الكمبيوتر الخاص بك ، لا يكلف نفسه عناء استخدام su ، يمكنك استخدامه دون مشاكل ، على الخوادم ، يوصى بشدة بتعطيل استخدام su واستخدام sudo ، ويقول الكثيرون أن ذلك يرجع إلى حقيقة أن التدقيق الذي نفذ الأمر و sudo يقوم بهذه المهمة ... خاصة ، على جهاز الكمبيوتر الخاص بي أستخدمه ، مثلك تمامًا ...

      1.    joaco قال

        بالتأكيد ، أنا لا أعرف حقًا كيف يعمل على الخوادم. على الرغم من أنه يبدو لي أن sudo يتمتع بميزة أنه يمكنك منح امتيازات لمستخدم كمبيوتر آخر ، إذا لم أكن مخطئًا.

    2.    أندرو قال

      مقال مثير للاهتمام ، قمت بتشفير بعض الملفات باستخدام gnu-gpg ، مثل الحد الأدنى من الامتياز ، في حالة رغبتك في تنفيذ ، على سبيل المثال ، ملف ثنائي من أصل غير معروف مفقود في البحار الهائلة للمعلومات الموجودة على القرص ، كيف يمكنني إزالة الوصول إلى وظائف معينة ؟

      1.    كوراتسوكي قال

        أنا مدين لك بهذا الجزء ، على الرغم من أنني أعتقد أنه يجب عليك فقط تشغيل برامج sudo / root ، وهي برامج موثوقة ، أي أنها تأتي من الريبو الخاص بك ...

      2.    يوكيتيرو قال

        أتذكر أنني قرأت أن هناك طريقة لتمكين إمكانيات الجذر في دليل على GNU / Linux و UNIX ، إذا وجدت ذلك فسأضعه

      3.    مهرج قال

        وأقفاص تشون لتشغيل ثنائيات غير معروفة؟

    3.    يوكيتيرو قال

      استخدام sudo في جميع الأوقات أفضل بكثير.

    4.    إيلاف قال

      أو يمكنك استخدام sudo ، مع تحديد الوقت الذي يتم فيه تذكر كلمة المرور.

  4.   كيفين رودريغيز قال

    أدوات مماثلة أستخدمها لمراقبة الكمبيوتر ، «iotop» كبديل لـ «iostat» ، «htop» ممتاز «مدير المهام» ، «iftop» لمراقبة عرض النطاق الترددي.

  5.   monitolinux قال

    يعتقد الكثيرون أن هذا مبالغ فيه ، لكنني رأيت بالفعل هجمات لتشمل خادمًا إلى شبكة بوت نت.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ملاحظة: المتسولون الصينيون ومحاولاتهم اختراق الخادم الخاص بي.

  6.   مهرج قال

    الشيء الملائم أيضًا هو استخدام أقفاص الظلال للخدمات ، لذلك إذا تعرضوا للهجوم لسبب ما ، فلن يعرضوا النظام للخطر.

  7.   دياب قال

    يعد استخدام الأمر ps ممتازًا أيضًا للمراقبة ويمكن أن يكون جزءًا من إجراءات للتحقق من العيوب الأمنية. يسرد تشغيل ps -ef جميع العمليات ، وهو مشابه للجزء العلوي ولكنه يظهر بعض الاختلافات. تثبيت iptraf هو أداة أخرى قد تعمل.

  8.   كلوديو جيه كونسبسيون سيرتاد قال

    مساهمة جيدة.

    أود أن أضيف: SELinux أو Apparmor ، اعتمادًا على التوزيعات ، ممكّن دائمًا.

    من تجربتي الخاصة أدركت أنه من الممارسات السيئة تعطيل هذه المكونات. نحن نفعل ذلك دائمًا تقريبًا عندما نقوم بتثبيت أو تكوين خدمة ، بحجة أنها تعمل دون مشاكل ، في حين أن ما يجب علينا فعله حقًا هو تعلم كيفية إدارتها للسماح بهذه الخدمة.

    تحية.

  9.   GnuLinux ؟؟ قال

    1.كيف يتم تشفير نظام الملفات بأكمله؟ يستحق العناء؟؟
    2- هل يجب فك تشفيره في كل مرة يتم فيها تحديث النظام؟
    3. هل تشفير نظام الملفات بالكامل للجهاز هو نفسه تشفير أي ملف آخر؟

    1.    يوكيتيرو قال

      كيف تظهر أنك تعرف ما الذي تتحدث عنه؟

  10.   NauTiluS قال

    أيضًا ، يمكنك تخزين البرامج وحتى العديد من المستخدمين. على الرغم من أن القيام بهذا يتطلب المزيد من العمل ، ولكن إذا حدث شيء ما ، وكان لديك نسخة سابقة من هذا المجلد ، فهو مجرد ضرب وغناء.

  11.   تونو قال

    السياسة الأمنية الأفضل والأكثر ملاءمة هي عدم الشعور بجنون العظمة.
    جربه ، إنه معصوم من الخطأ.

  12.   انجلبينيتس قال

    أنا أستخدم csf وعند إلغاء قفل عميل وضع كلمة مروره في غير مكانها في بعض عمليات الوصول ، فإن هذا يؤخر العملية ولكنه يحدث. هذا طبيعي؟

    أنا أبحث عن أمر إلغاء الحظر من ssh ... أي اقتراح