Pa, pripremao sam ovaj post moj blog neko vrijeme su mi to predlagali DesdeLinux, a zbog nedostatka vremena nije mogao ili htio. Ako sam lijen ????. Ali sada štrajkuju, kao što kažemo na Kubi ...
0- Redovno ažurirajte naše sisteme najnovijim sigurnosnim ispravkama.
0.1- Lista kritičnih ažuriranja [Slackware savjetnik za sigurnost, Debian savjetnik za sigurnost, u mom slučaju]
1- Ništa fizički pristup neovlaštenom osoblju poslužiteljima.
1.1- Primijeni lozinku za BIOS naših servera
1.2- Nema pokretanja sa CD-a / DVD-a
1.3- Lozinka u GRUB / Lilo
2- Dobra politika lozinke, alfanumerički znakovi i drugi.
2.1- Starenje lozinki [Starenje lozinke] pomoću naredbe "chage", kao i broj dana između promjene lozinke i datuma zadnje promjene.
2.2- Izbjegavajte upotrebu prethodnih lozinki:
u /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Na ovaj način mijenjate lozinku i ona vas podsjeća na zadnjih 10 lozinki koje je korisnik imao.
3- Dobra politika upravljanja / segmentacije naše mreže [usmjerivači, svičevi, vlans] i zaštitni zid, kao i pravila filtriranja ULAZ, IZLAZ, NAPRIJED [NAT, SNAT, DNAT]
4- Omogućite upotrebu školjki [/ etc / shells]. Korisnici koji se ne moraju prijaviti u sistem dobijaju / bin / false ili / bin / nologin.
5- Blokirajte korisnike kada prijava ne uspije [dnevnik pogrešaka], kao i kontrolirajte sistemski korisnički račun.
passwd -l pepe -> blokiraj korisnika pepe passwd -v pepe -> odblokiraj korisnika pepe
6- Omogućite upotrebu "sudo", NIKAD se ne prijavljujte kao root pomoću ssh, "NIKAD". Zapravo morate urediti ssh konfiguraciju da biste postigli ovu svrhu. Koristite javne / privatne ključeve na svojim serverima sa sudo.
7- Primijenite u našim sistemima „Načelo najmanjih privilegija".
8- S vremena na vrijeme provjeravajte naše usluge [netstat -lptun], za svaki od naših servera. Dodajte alate za praćenje koji nam mogu pomoći u ovom zadatku [Nagios, Kaktusi, Munin, Monit, Ntop, Zabbix].
9- Instalirajte IDS-ove, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap je vaš prijatelj, koristite ga za provjeru vaše podmreže / podmreža.
11- Dobra sigurnosna praksa u OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [one koje najviše koriste] i nekim drugim uslugama koje su vam potrebne u vašoj mreži.
12- Šifrirajte svu komunikaciju dok je to moguće u našim sistemima, SSL, gnuTLS, StarTTLS, sažetke itd. A ako rukujete osjetljivim informacijama, šifrirajte tvrdi disk !!!
13- Ažurirajte naše servere pošte najnovijim pravilima o sigurnosti, crnoj listi i antispamu.
14- Prijavljivanje aktivnosti u našim sistemima pomoću logwatch i logcheck.
15- Poznavanje i upotreba alata kao što su top, sar, vmstat, besplatni, između ostalih.
sar -> izvještaj o aktivnosti sistema vmstat -> procesi, memorija, sistem, i / o, aktivnost procesora, itd. iostat -> status ip / v cpu mpstat -> status i upotreba višeprocesora pmap -> korištenje memorije slobodnim procesima - > iptraf memorija -> promet u realnom vremenu našeg mrežnog etstata -> ethernet statistika zasnovana na konzoli etherape -> grafički mrežni monitor ss -> status utičnice [tcp informacije o utičnici, udp, neobrađene utičnice, DCCP utičnice] tcpdump -> Detaljna analiza de promet vnstat -> nadzor mrežnog prometa odabranih sučelja mtr -> dijagnostički alat i analiza preopterećenja u mrežama ethtool -> statistika o mrežnim karticama
Za sada je sve. Znam da u ovoj vrsti okruženja postoji hiljadu i još jedan prijedlog za sigurnost, ali oni su me najviše pogodili, ili da sam u nekom trenutku morao primijeniti / vježbati u okruženju koje sam upravljao .
Zagrljaj i nadam se da će vam poslužiti 😀
Pozivam vas u komentarima da nam kažete o nekim drugim pravilima koja su primijenjena, osim već spomenutih, kako bismo povećali znanje naših čitatelja 😀
Pa dodao bih:
1. - Primijeniti sysctl pravila za sprječavanje pristupa dmesg, / proc, SysRQ, dodijeliti PID1 jezgri, omogućiti zaštitu za tvrde i meke simboličke veze, zaštitu za TCP / IP stekove i za IPv4 i IPv6, aktivirati puni VDSO za maksimalnu randomizaciju pokazivači i dodjela memorijskog prostora i poboljšavaju snagu protiv prekoračenja međuspremnika.
2.- Stvorite protivpožarne zidove tipa SPI (Stateful Package Inspect) kako biste spriječili da veze koje nisu kreirane ili kojima je prethodno bilo dozvoljeno imaju pristup sistemu.
3.- Ako nemate usluge koje zahtijevaju veze s povišenim privilegijama s udaljene lokacije, jednostavno opozovite pristup njima koristeći access.conf ili, u protivnom, omogućite pristup samo određenom korisniku ili grupi.
4.- Koristite stroga ograničenja kako biste spriječili pristup određenim grupama ili korisnicima da destabilizuju vaš sistem. Vrlo korisno u okruženjima u kojima je u svakom trenutku aktivan pravi korisnik.
5.- TCPWrappers je vaš prijatelj, ako ste na sistemu s podrškom za njega, njegovo korištenje ne bi naštetilo, tako da možete odbiti pristup bilo kojem hostu ako prethodno nije konfiguriran u sistemu.
6.- Stvorite SSH RSA ključeve od najmanje 2048 bita ili bolje od 4096 bita s alfanumeričkim ključevima dužim od 16 znakova.
7.- Koliko ste upisani u svijet? Provjera dozvola za čitanje i pisanje vaših direktorija uopće nije loša i najbolji je način za izbjegavanje neovlaštenog pristupa u višekorisničkim okruženjima, a da ne spominjemo da određenim neovlaštenim pristupima otežava pristup informacijama koje radite ne želim da to niko drugi ne vidi.
8.- Montirajte bilo koju vanjsku particiju koja to ne zaslužuje, s opcijama noexec, nosuid, nodev.
9. - Koristite alate kao što su rkhunter i chkrootkit da povremeno provjeravate da sistem nema instaliran rootkit ili malware. Razborita mjera ako ste jedan od onih koji instaliraju stvari iz nesigurnih spremišta, iz PPA-a ili jednostavno kompajliraju kod sa nepouzdanih web lokacija.
Uhmmm, ukusno ... Dobar komentar, dodajte momke ... 😀
Primijeniti obaveznu kontrolu pristupa sa SElinuxom?
vrlo dobar članak
Hvala prijatelju 😀
Pozdrav, a ako sam normalan korisnik, trebam li koristiti su ili sudo?
Koristim su jer ne volim sudo, jer svako ko ima moju korisničku lozinku može promijeniti sve što želi na sistemu, umjesto toga sa su ne.
Na vašem računalu se ne trudi koristiti su, možete ga koristiti bez problema, na serverima je toplo preporučiti da onemogućite upotrebu su i koristite sudo, mnogi kažu da je to zbog činjenice revizije tko je što izvršio command i sudo radi taj zadatak ... Ja posebno na svom računalu koristim njegov, baš kao i vi ...
Naravno, zapravo ne znam kako to funkcionira na serverima. Iako mi se čini da je sudo imao prednost što možete dati privilegije korisniku drugog računara, ako se ne varam.
Zanimljiv članak, šifriram neke datoteke gnu-gpg, kao što je to i minimalna privilegija, u slučaju da želite izvršiti, na primjer, binarnu datoteku nepoznatog porijekla izgubljenu u ogromnom moru informacija na disku, kako da uklonim pristup određenim funkcijama?
Taj dio dugujem vama, iako smatram da programe koji su pouzdani, odnosno koji potiču iz vašeg repo-a, treba pokretati samo kao sudo / root.
Sjećam se da sam pročitao da postoji način da se omoguće root mogućnosti u nekim priručnicima o GNU / Linuxu i UNIX-u, ako ga nađem, stavit ću ga 😀
@andrew evo članka koji sam spomenula i još neke pomoći
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
i kavezi za chown za pokretanje nepoznatih binarnih datoteka?
Korištenje suda u svakom trenutku je mnogo bolje.
Ili možete koristiti sudo, ali ograničavajući vrijeme pamćenja lozinke.
Slični alati koje koristim za nadgledanje računara, "iotop" kao zamjena za "iostat", "htop" odličan "task manager", "iftop" nadgledanje propusnosti.
mnogi će vjerovati da je ovo pretjerano, ali već sam vidio napade koji uključuju server na botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Kineski prosjaci i njihovi pokušaji hakiranja mog servera.
Nešto što je također prikladno je koristiti kaveze za chown za usluge, pa ako iz nekog razloga budu napadnuti, ne bi ugrozili sistem.
Korištenje ps naredbe također je izvrsno za nadgledanje i moglo bi biti dio akcija za provjeru sigurnosnih nedostataka. izvođenje ps -ef navodi sve procese, slično je vrhu, ali pokazuje neke razlike. instaliranje iptrafa je još jedan alat koji može raditi.
Dobar doprinos.
Dodao bih: SELinux ili Apparmor, ovisno o distro-u, uvijek omogućeni.
Iz vlastitog iskustva shvatio sam da je loša praksa onemogućavati te komponente. Gotovo uvijek to radimo kada ćemo instalirati ili konfigurirati uslugu, s izgovorom da se ona pokreće bez problema, kad je zaista ono što bismo trebali učiniti je naučiti rukovati njima kako bi omogućili tu uslugu.
A pozdrav.
1.Kako šifrirati čitav sistem datoteka? vrijedi??
2. Mora li se dešifrirati svaki put kada će se sistem ažurirati?
3. Da li je šifriranje cijelog sistema datoteka na računaru isto što i šifriranje bilo koje druge datoteke?
Kako znate da znate o čemu govorite?
Takođe, možete staviti programe u kavez, pa čak i više korisnika. Iako je ovo više posla, ali ako se nešto dogodilo, a imali ste prethodnu kopiju te mape, to je samo udaranje i pjevanje.
Najbolja i najprikladnija sigurnosna politika nije biti paranoičan.
Pokušajte, nepogrešivo je.
Koristim csf i kada otključavam klijenta koji je zagubio lozinku u nekom pristupu, to odgađa postupak, ali to čini. To je normalno?
Tražim naredbu za deblokadu ssh-a ... bilo koji prijedlog