حسنًا ، لقد كنت أعد هذا المنشور لـ مدونتي لبعض الوقت اقترحوا عليّ فيه DesdeLinux، وبسبب ضيق الوقت ، لم يكن قادرًا أو راغبًا. إذا كنت كسولًا إلى حد ما <img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.2.1/svg/1f600.svg">. لكنهم الآن في إضراب كما نقول في كوبا ...
0- حافظ على أنظمتنا مُحدثة بآخر تحديثات الأمان.
0.1- القوائم البريدية للتحديثات الهامة [مستشار أمان Slackware, مستشار أمان دبيان، في حالتي]
1- عدم الوصول المادي إلى الخوادم من قبل أفراد غير مصرح لهم.
1.1- تطبيق كلمة المرور على BIOS من خوادمنا
1.2- لا تمهيد عن طريق CD / DVD
1.3- كلمة المرور في GRUB / Lilo
2- سياسة كلمة المرور الجيدةوالشخصيات الأبجدية الرقمية وغيرها.
2.1- تقادم كلمات المرور [Password Aging] باستخدام الأمر "chage" ، بالإضافة إلى عدد الأيام بين تغيير كلمة المرور وتاريخ آخر تغيير.
2.2- تجنب استخدام كلمات المرور السابقة:
في /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
هذه هي الطريقة التي تغير بها كلمة المرور وتذكرك بآخر 10 كلمات مرور كان لدى المستخدم.
3- سياسة الإدارة / التجزئة الجيدة لشبكتنا [أجهزة التوجيه ، والمحولات ، وشبكات vlans] وجدار الحماية ، بالإضافة إلى قواعد التصفية INPUT ، OUTPUT ، FORWARD [NAT ، SNAT ، DNAT]
4- تفعيل استخدام القذائف [/ etc / shells]. سيحصل المستخدمون الذين لا يتعين عليهم تسجيل الدخول إلى النظام على / bin / false أو / bin / nologin.
5- منع المستخدمين عند فشل تسجيل الدخول [faillog] ، وكذلك التحكم في حساب مستخدم النظام.
passwd -l pepe -> حظر المستخدم pepe passwd -v pepe -> إلغاء حظر المستخدم
6- تفعيل استخدام "sudo" ، لا تسجّل الدخول مطلقًا كجذر بواسطة ssh ، "أبدًا". في الواقع ، يجب عليك تحرير تكوين ssh لتحقيق هذا الغرض. استخدم المفاتيح العامة / الخاصة على خوادمك مع sudo.
7- تطبيق في أنظمتنا "مبدأ الامتياز الأقل".
8- تحقق من خدماتنا من وقت لآخر [netstat -lptun] ، لكل خادم من خوادمنا. أضف أدوات المراقبة التي يمكن أن تساعدنا في هذه المهمة [Nagios ، Cacti ، Munin ، Monit ، Ntop ، Zabbix].
9- قم بتثبيت IDSs و Snort / AcidBase و Snotby و Barnyard و OSSEC.
10- Nmap هو صديقك ، استخدمه للتحقق من الشبكة الفرعية / الشبكات الفرعية.
11- ممارسات أمان جيدة في OpenSSH و Apache2 و Nginx و MySQL و PostgreSQL و Postfix و Squid و Samba و LDAP [أكثر التطبيقات استخدامًا] وبعض الخدمات الأخرى التي تحتاجها في شبكتك.
12- قم بتشفير جميع الاتصالات بينما يكون ذلك ممكنًا في أنظمتنا ، SSL ، gnuTLS ، StarTTLS ، الملخص ، إلخ ... وإذا كنت تتعامل مع معلومات حساسة ، فقم بتشفير محرك الأقراص الثابتة !!!
13- قم بتحديث خوادم البريد الخاصة بنا بأحدث قواعد الأمان والقائمة السوداء ومكافحة البريد العشوائي.
14- تسجيل النشاط في أنظمتنا باستخدام ساعة التسجيل والتحقق من السجل.
15- المعرفة واستخدام الأدوات مثل top ، sar ، vmstat ، مجاني ، من بين أمور أخرى.
sar -> تقرير نشاط النظام vmstat -> العمليات ، الذاكرة ، النظام ، الإدخال / الإخراج ، نشاط وحدة المعالجة المركزية ، إلخ iostat -> حالة وحدة المعالجة المركزية i / o mpstat -> حالة المعالجات المتعددة والاستخدام pmap -> استخدام الذاكرة بواسطة العمليات المجانية - > ذاكرة iptraf -> حركة المرور في الوقت الفعلي لشبكتنا ethstatus -> مراقبة إحصاءات إيثرنت القائمة على وحدة التحكم -> مراقبة الشبكة الرسومية ss -> حالة المقبس [معلومات مقبس tcp ، udp ، مآخذ خام ، مقابس DCCP] tcpdump -> تحليل مفصل de traffic vnstat -> مراقبة حركة مرور الشبكة للواجهات المحددة mtr -> أداة التشخيص وتحليل التحميل الزائد في الشبكات ethtool -> إحصائيات حول بطاقات الشبكة
الآن كل شيء. أعلم أن هناك ألفًا وواحدًا من الاقتراحات الأمنية في هذا النوع من البيئة ، ولكن هذه هي أكثر ما أدهشني ، أو أنه في مرحلة ما كان علي التقديم / التدرب في بيئة قمت بإدارتها.
عناق ونأمل أن يخدمك 😀
أدعوك لتخبرنا في التعليقات عن بعض القواعد الأخرى التي قمت بتنفيذها بخلاف تلك التي سبق ذكرها ، لزيادة معرفة قرائنا 😀
حسنًا ، أود أن أضيف:
1.- تطبيق قواعد sysctl لمنع dmesg ، / proc ، وصول SysRQ ، وتعيين PID1 إلى النواة ، وتمكين الحماية للروابط الرمزية الصلبة والناعمة ، وحماية مكدسات TCP / IP لكل من IPv4 و IPv6 ، وتنشيط VDSO الكامل للحصول على أقصى قدر من التوزيع العشوائي للمؤشرات وتخصيصات مساحة الذاكرة وتحسين القوة ضد فائض المخزن المؤقت.
2.- إنشاء جدران حريق من نوع SPI (Stateful Package Inspect) لمنع الاتصالات التي لم يتم إنشاؤها مسبقًا أو المسموح بها من الوصول إلى النظام.
3.- إذا لم يكن لديك خدمات تتطلب اتصالات بامتيازات مرتفعة من جهاز بعيد ، فما عليك سوى إلغاء الوصول إليها باستخدام access.conf ، أو في حالة فشل ذلك ، قم بتمكين الوصول إلى مستخدم أو مجموعة معينة فقط.
4.- استخدم حدودًا صارمة لمنع الوصول إلى مجموعات معينة أو مستخدمين يمكن أن يزعزعوا استقرار نظامك. مفيد جدًا في البيئات التي يوجد فيها نشط متعدد المستخدمين في جميع الأوقات.
5.- TCPWrappers هو صديقك ، إذا كنت في نظام يدعمه ، فلن يؤذيك استخدامه ، لذا يمكنك رفض الوصول من أي مضيف ما لم يكن قد تم تكوينه بالفعل في النظام.
6.- أنشئ مفاتيح RSA SSH بما لا يقل عن 2048 بت أو أفضل من 4096 بت بمفاتيح أبجدية رقمية تزيد عن 16 حرفًا.
7.- إلى أي مدى أنت عالمي الكتابة؟ التحقق من أذونات القراءة والكتابة لأدلةك ليس سيئًا على الإطلاق وهو أفضل طريقة لمنع الوصول غير المصرح به في بيئات متعددة المستخدمين ، ناهيك عن أنه يجعل الأمر أكثر صعوبة بالنسبة لبعض الوصول غير المصرح به للوصول إلى المعلومات التي لا تريد أن يراها أي شخص آخر.
8.- قم بتركيب أي قسم خارجي لا يتطلب ذلك ، مع خيارات noexec و nosuid و nodev.
9.- استخدم أدوات مثل rkhunter و chkrootkit للتحقق بشكل دوري من أن النظام لا يحتوي على rootkit أو برامج ضارة مثبتة. إجراء حكيم إذا كنت أحد أولئك الذين يقومون بتثبيت الأشياء من مستودعات غير آمنة ، أو من PPA أو ببساطة تجميع التعليمات البرمجية الحية من مواقع غير موثوقة.
امممم ، لذيذ ... تعليق جميل ، أضف رفاق ... 😀
تطبيق التحكم في الوصول الإلزامي مع SElinux؟
مقال جيد جدا
شكرا يا صديقي 😀
مرحبًا ، وإذا كنت مستخدمًا عاديًا ، فهل يجب علي استخدام su أو sudo؟
أستخدم su لأنني لا أحب sudo ، نظرًا لحقيقة أن أي شخص لديه كلمة مرور المستخدم الخاصة بي يمكنه تغيير ما يريده في النظام ، بدلاً من ذلك باستخدام su no.
على جهاز الكمبيوتر الخاص بك ، لا يزعجك استخدام su ، يمكنك استخدامه دون مشاكل ، على الخوادم ، يوصى بشدة بتعطيل استخدام su واستخدام sudo ، ويقول الكثيرون إنه بسبب تدقيق من نفذ الأمر و sudo يقوم بهذه المهمة ... على وجه الخصوص ، على جهاز الكمبيوتر الخاص بي أستخدم su ، مثلك تمامًا ...
بالطبع ، لا أعرف كيف يعمل على الخوادم. على الرغم من أنه يبدو لي أن sudo يتمتع بميزة أنه يمكنك منح امتيازات للمستخدم من جهاز كمبيوتر آخر ، إذا لم أكن مخطئًا.
مقال مثير للاهتمام ، لقد قمت بتشفير بعض الملفات باستخدام gnu-gpg ، كيف يتم ذلك الأقل امتيازًا ، في حال أردت تنفيذ ، على سبيل المثال ، ملف ثنائي مجهول الأصل مفقود في البحار الهائلة للمعلومات الموجودة على القرص ، كيف يمكنني إزالة الوصول إلى وظائف معينة؟
أنا مدين لك بهذا الجزء ، على الرغم من أنني أعتقد أنه يجب عليك فقط تشغيل برامج sudo / root التي يمكن الاعتماد عليها ، أي أنها تأتي من الريبو الخاص بك ...
أتذكر أنني قرأت أن هناك طريقة لتعطيل قدرات الجذر في دليل حول GNU / Linux و UNIX ، إذا وجدت ذلك فسأرسله 😀
andrew هنا هو المقال الذي ذكرته وبعض المساعدة الإضافية
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
و chown السجون لتشغيل ثنائيات غير معروفة؟
استخدام sudo في جميع الأوقات أفضل بكثير.
أو يمكنك استخدام sudo ، لكن ضع حدًا للوقت الذي يتم فيه تذكر كلمة المرور.
أدوات مماثلة أستخدمها لمراقبة الكمبيوتر ، "iotop" كبديل لـ "iostat" ، "htop" ممتاز "مدير المهام" ، مراقبة النطاق الترددي "iftop".
سيعتقد الكثيرون أن هذا مبالغ فيه ، لكنني رأيت بالفعل هجمات لتضمين خادم في شبكة الروبوتات.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ملاحظة: المتسولون الصينيون ومحاولاتهم لاختراق الخادم الخاص بي.
الشيء المناسب أيضًا هو استخدام السجون المظلمة للخدمات ، لذلك إذا تعرضوا للهجوم لسبب ما ، فلن يعرضوا النظام للخطر.
يعد استخدام الأمر ps ممتازًا أيضًا للمراقبة ويمكن أن يكون جزءًا من الإجراءات لمراجعة الثغرات الأمنية. يسرد تشغيل ps -ef جميع العمليات ، وهو مشابه لأعلى ولكنه يظهر بعض الاختلافات. تثبيت Iptraf هو أداة أخرى قد تعمل.
مساهمة جيدة.
أود أن أضيف: SELinux أو Apparmor ، اعتمادًا على التوزيعات ، ممكّن دائمًا.
من تجربتي الخاصة أدركت أنه من الممارسات السيئة تعطيل هذه المكونات. نحن نقوم بذلك دائمًا تقريبًا عندما نقوم بتثبيت خدمة أو تكوينها ، بحجة أنها تعمل بدون مشاكل ، في حين أن ما يجب علينا فعله حقًا هو تعلم كيفية إدارتها بحيث تتيح هذه الخدمة.
تحية.
1. كيفية تشفير نظام الملفات بأكمله؟ يستحق العناء؟؟
2. هل يجب عليك فك تشفير كل مرة يتم فيها تحديث النظام؟
3. هل تشفير نظام الملفات بالكامل بالجهاز مثل تشفير أي ملف آخر ؟؟
كيف تعرف أنك تعرف ما الذي تتحدث عنه؟
أيضًا ، يمكنك سجن البرامج وحتى عدة مستخدمين. على الرغم من أن القيام بذلك يتطلب المزيد من العمل ، ولكن إذا حدث شيء ما ، وكان لديك نسخة سابقة من هذا المجلد ، فهو مجرد لصق وغناء.
السياسة الأمنية الأفضل والأكثر ملاءمة هي عدم الشعور بجنون العظمة.
جربها ، إنها معصومة من الخطأ.
أنا أستخدم csf وعند إلغاء قفل العميل الذي وضع كلمة مروره في غير مكانها في بعض عمليات الوصول ، يستغرق الأمر بعض الوقت في العملية ولكنه يحدث. هذا طبيعي؟
أنا أبحث عن الأمر لإلغاء القفل من ssh ... أي اقتراحات