Sigurnosni savjeti za GNU / Linux sisteme

Pa, pripremao sam ovaj post moj blog neko vrijeme su mi to predlagali FromLinux, a zbog nedostatka vremena nije mogao ili htio. Ako sam lijen ????. Ali sada štrajkuju, kao što kažemo na Kubi ...

Ovo je kompilacija osnovnih sigurnosnih pravila za sistemske administratore, u ovom slučaju, za one koji poput mene upravljaju mrežama / sistemima zasnovanim na GNU / Linuxu ... Možda ih ima više, a zapravo ih ima više, ovo je samo uzorak mojih avantura u linux svijetu ...

0- Redovno ažurirajte naše sisteme najnovijim sigurnosnim ispravkama.

0.1- Lista kritičnih ažuriranja [Slackware savjetnik za sigurnost, Debian savjetnik za sigurnost, u mom slučaju]

1- Ništa fizički pristup neovlaštenom osoblju poslužiteljima.

1.1- Primijeni lozinku za BIOS naših servera

1.2- Nema pokretanja sa CD-a / DVD-a

1.3- Lozinka u GRUB / Lilo

2- Dobra politika lozinke, alfanumerički znakovi i drugi.

2.1- Starenje lozinki [Starenje lozinke] pomoću naredbe "chage", kao i broj dana između promjene lozinke i datuma zadnje promjene.

2.2- Izbjegavajte upotrebu prethodnih lozinki:

u /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Na ovaj način mijenjate lozinku i ona vas podsjeća na zadnjih 10 lozinki koje je korisnik imao.

3- Dobra politika upravljanja / segmentacije naše mreže [usmjerivači, svičevi, vlans] i zaštitni zid, kao i pravila filtriranja ULAZ, IZLAZ, NAPRIJED [NAT, SNAT, DNAT]

4- Omogućite upotrebu školjki [/ etc / shells]. Korisnici koji se ne moraju prijaviti u sistem dobijaju / bin / false ili / bin / nologin.

5- Blokirajte korisnike kada prijava ne uspije [dnevnik pogrešaka], kao i kontrolirajte sistemski korisnički račun.

passwd -l pepe -> blokiraj korisnika pepe passwd -v pepe -> odblokiraj korisnika pepe

6- Omogućite upotrebu "sudo", NIKAD se ne prijavljujte kao root pomoću ssh, "NIKAD". Zapravo morate urediti ssh konfiguraciju da biste postigli ovu svrhu. Koristite javne / privatne ključeve na svojim serverima sa sudo.

7- Primijenite u našim sistemima „Načelo najmanjih privilegija".

8- S vremena na vrijeme provjeravajte naše usluge [netstat -lptun], za svaki od naših servera. Dodajte alate za praćenje koji nam mogu pomoći u ovom zadatku [Nagios, Kaktusi, Munin, Monit, Ntop, Zabbix].

9- Instalirajte IDS-ove, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap je vaš prijatelj, koristite ga za provjeru vaše podmreže / podmreža.

11- Dobra sigurnosna praksa u OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [one koje najviše koriste] i nekim drugim uslugama koje su vam potrebne u vašoj mreži.

12- Šifrirajte svu komunikaciju dok je to moguće u našim sistemima, SSL, gnuTLS, StarTTLS, sažetke itd. A ako rukujete osjetljivim informacijama, šifrirajte tvrdi disk !!!

13- Ažurirajte naše servere pošte najnovijim pravilima o sigurnosti, crnoj listi i antispamu.

14- Prijavljivanje aktivnosti u našim sistemima pomoću logwatch i logcheck.

15- Poznavanje i upotreba alata kao što su top, sar, vmstat, besplatni, između ostalih.

sar -> izvještaj o aktivnosti sistema vmstat -> procesi, memorija, sistem, i / o, aktivnost procesora, itd. iostat -> status ip / v cpu mpstat -> status i upotreba višeprocesora pmap -> korištenje memorije slobodnim procesima - > iptraf memorija -> promet u realnom vremenu našeg mrežnog etstata -> ethernet statistika zasnovana na konzoli etherape -> grafički mrežni monitor ss -> status utičnice [tcp informacije o utičnici, udp, neobrađene utičnice, DCCP utičnice] tcpdump -> Detaljna analiza de promet vnstat -> nadzor mrežnog prometa odabranih sučelja mtr -> dijagnostički alat i analiza preopterećenja u mrežama ethtool -> statistika o mrežnim karticama

Za sada je sve. Znam da u ovoj vrsti okruženja postoji hiljadu i još jedan prijedlog za sigurnost, ali oni su me najviše pogodili, ili da sam u nekom trenutku morao primijeniti / vježbati u okruženju koje sam upravljao .

Zagrljaj i nadam se da će vam poslužiti 😀


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

26 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Koratsuki rekao je

    Pozivam vas u komentarima da nam kažete o nekim drugim pravilima koja su primijenjena, osim već spomenutih, kako bismo povećali znanje naših čitatelja 😀

    1.    Yukiteru rekao je

      Pa dodao bih:

      1. - Primijeniti sysctl pravila za sprječavanje pristupa dmesg, / proc, SysRQ, dodijeliti PID1 jezgri, omogućiti zaštitu za tvrde i meke simboličke veze, zaštitu za TCP / IP stekove i za IPv4 i IPv6, aktivirati puni VDSO za maksimalnu randomizaciju pokazivači i dodjela memorijskog prostora i poboljšavaju snagu protiv prekoračenja međuspremnika.

      2.- Stvorite protivpožarne zidove tipa SPI (Stateful Package Inspect) kako biste spriječili da veze koje nisu kreirane ili kojima je prethodno bilo dozvoljeno imaju pristup sistemu.

      3.- Ako nemate usluge koje zahtijevaju veze s povišenim privilegijama s udaljene lokacije, jednostavno opozovite pristup njima koristeći access.conf ili, u protivnom, omogućite pristup samo određenom korisniku ili grupi.

      4.- Koristite stroga ograničenja kako biste spriječili pristup određenim grupama ili korisnicima da destabilizuju vaš sistem. Vrlo korisno u okruženjima u kojima je u svakom trenutku aktivan pravi korisnik.

      5.- TCPWrappers je vaš prijatelj, ako ste na sistemu s podrškom za njega, njegovo korištenje ne bi naštetilo, tako da možete odbiti pristup bilo kojem hostu ako prethodno nije konfiguriran u sistemu.

      6.- Stvorite SSH RSA ključeve od najmanje 2048 bita ili bolje od 4096 bita s alfanumeričkim ključevima dužim od 16 znakova.

      7.- Koliko ste upisani u svijet? Provjera dozvola za čitanje i pisanje vaših direktorija uopće nije loša i najbolji je način za izbjegavanje neovlaštenog pristupa u višekorisničkim okruženjima, a da ne spominjemo da određenim neovlaštenim pristupima otežava pristup informacijama koje radite ne želim da to niko drugi ne vidi.

      8.- Montirajte bilo koju vanjsku particiju koja to ne zaslužuje, s opcijama noexec, nosuid, nodev.

      9. - Koristite alate kao što su rkhunter i chkrootkit da povremeno provjeravate da sistem nema instaliran rootkit ili malware. Razborita mjera ako ste jedan od onih koji instaliraju stvari iz nesigurnih spremišta, iz PPA-a ili jednostavno kompajliraju kod sa nepouzdanih web lokacija.

      1.    Koratsuki rekao je

        Uhmmm, ukusno ... Dobar komentar, dodajte momke ... 😀

    2.    William Moreno Reyes rekao je

      Primijeniti obaveznu kontrolu pristupa sa SElinuxom?

  2.   ArmandoF rekao je

    vrlo dobar članak

    1.    Koratsuki rekao je

      Hvala prijatelju 😀

  3.   joaco rekao je

    Pozdrav, a ako sam normalan korisnik, trebam li koristiti su ili sudo?
    Koristim su jer ne volim sudo, jer svako ko ima moju korisničku lozinku može promijeniti sve što želi na sistemu, umjesto toga sa su ne.

    1.    Koratsuki rekao je

      Na vašem računalu se ne trudi koristiti su, možete ga koristiti bez problema, na serverima je toplo preporučiti da onemogućite upotrebu su i koristite sudo, mnogi kažu da je to zbog činjenice revizije tko je što izvršio command i sudo radi taj zadatak ... Ja posebno na svom računalu koristim njegov, baš kao i vi ...

      1.    joaco rekao je

        Naravno, zapravo ne znam kako to funkcionira na serverima. Iako mi se čini da je sudo imao prednost što možete dati privilegije korisniku drugog računara, ako se ne varam.

    2.    Andrija rekao je

      Zanimljiv članak, šifriram neke datoteke gnu-gpg, kao što je to i minimalna privilegija, u slučaju da želite izvršiti, na primjer, binarnu datoteku nepoznatog porijekla izgubljenu u ogromnom moru informacija na disku, kako da uklonim pristup određenim funkcijama?

      1.    Koratsuki rekao je

        Taj dio dugujem vama, iako smatram da programe koji su pouzdani, odnosno koji potiču iz vašeg repo-a, treba pokretati samo kao sudo / root.

      2.    Yukiteru rekao je

        Sjećam se da sam pročitao da postoji način da se omoguće root mogućnosti u nekim priručnicima o GNU / Linuxu i UNIX-u, ako ga nađem, stavit ću ga 😀

      3.    klaun rekao je

        i kavezi za chown za pokretanje nepoznatih binarnih datoteka?

    3.    Yukiteru rekao je

      Korištenje suda u svakom trenutku je mnogo bolje.

    4.    elav rekao je

      Ili možete koristiti sudo, ali ograničavajući vrijeme pamćenja lozinke.

  4.   Kevin Rodriguez rekao je

    Slični alati koje koristim za nadgledanje računara, "iotop" kao zamjena za "iostat", "htop" odličan "task manager", "iftop" nadgledanje propusnosti.

  5.   monitolinux rekao je

    mnogi će vjerovati da je ovo pretjerano, ali već sam vidio napade koji uključuju server na botnet.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: Kineski prosjaci i njihovi pokušaji hakiranja mog servera.

  6.   klaun rekao je

    Nešto što je također prikladno je koristiti kaveze za chown za usluge, pa ako iz nekog razloga budu napadnuti, ne bi ugrozili sistem.

  7.   diab rekao je

    Korištenje ps naredbe također je izvrsno za nadgledanje i moglo bi biti dio akcija za provjeru sigurnosnih nedostataka. izvođenje ps -ef navodi sve procese, slično je vrhu, ali pokazuje neke razlike. instaliranje iptrafa je još jedan alat koji može raditi.

  8.   Claudio J. Concepción Certad rekao je

    Dobar doprinos.

    Dodao bih: SELinux ili Apparmor, ovisno o distro-u, uvijek omogućeni.

    Iz vlastitog iskustva shvatio sam da je loša praksa onemogućavati te komponente. Gotovo uvijek to radimo kada ćemo instalirati ili konfigurirati uslugu, s izgovorom da se ona pokreće bez problema, kad je zaista ono što bismo trebali učiniti je naučiti rukovati njima kako bi omogućili tu uslugu.

    A pozdrav.

  9.   GnuLinux ?? rekao je

    1.Kako šifrirati čitav sistem datoteka? vrijedi??
    2. Mora li se dešifrirati svaki put kada će se sistem ažurirati?
    3. Da li je šifriranje cijelog sistema datoteka na računaru isto što i šifriranje bilo koje druge datoteke?

    1.    Yukiteru rekao je

      Kako znate da znate o čemu govorite?

  10.   NauTiluS rekao je

    Takođe, možete staviti programe u kavez, pa čak i više korisnika. Iako je ovo više posla, ali ako se nešto dogodilo, a imali ste prethodnu kopiju te mape, to je samo udaranje i pjevanje.

  11.   ton rekao je

    Najbolja i najprikladnija sigurnosna politika nije biti paranoičan.
    Pokušajte, nepogrešivo je.

  12.   angelbeniti rekao je

    Koristim csf i kada otključavam klijenta koji je zagubio lozinku u nekom pristupu, to odgađa postupak, ali to čini. To je normalno?

    Tražim naredbu za deblokadu ssh-a ... bilo koji prijedlog