Cunsiglii di securità nantu à i sistemi GNU / Linux

Beh, aviu preparatu questu postu per u mo blog per qualchì tempu mi anu suggeritu in FromLinux, è per mancanza di tempu ùn era statu capace, o vulia. Se sò un pocu pigru 😀. Ma avà sò in greva, cume dicemu in Cuba ...

Questa hè una recopilazione di reguli di sicurità basica per l'amministratori di sistema, in questu casu, per quelli cum'è mè chì gestiscenu reti / sistemi basati nantu à GNU / Linux ... Ci pò esse di più è in realtà ci sò di più, questu hè solu un campione di u mo avventure in u mondu Linux ...

0- Mantene i nostri sistemi aggiornati cù l'ultimi aggiornamenti di sicurezza.

0.1- Aggiornamenti critichi Liste di mailing [Cunsiglieru di Sicurezza Slackware, Cunsiglieru di sicurezza Debian, in u mo casu]

1- Zero accessu fisicu à i servitori da persunale micca autorizatu.

1.1- Applica a password à Siacci di i nostri servori

1.2- Nisun boot da CD / DVD

1.3- Password in GRUB / Lilo

2- Bona pulitica di password, caratteri alfanumerici è altri.

2.1- Invechjamentu di e password [Invechjamentu di e Parolle Chjave] cù u cumandimu "chage", è ancu u numeru di ghjorni trà u cambiamentu di password è a data di l'ultimu cambiamentu.

2.2- Evite aduprà password precedenti:

in /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Hè cusì chì cambiate a password è vi ramenta l'ultimi 10 password chì l'utente avia.

3- Bona pulitica di gestione / segmentazione di a nostra rete [router, switch, vlans] è firewall, è regule di filtrazione INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]

4- Attivate l'usu di cunchiglie [/ etc / shells]. L'utilizatori chì ùn anu micca da accede à u sistema ottenenu / bin / false o / bin / nologin.

5- Bluccà l'utilizatori quandu u login falla [faillog], è cuntrolla u contu d'utilizatore di u sistema.

passwd -l pepe -> bluccà l'utilizatore pepe passwd -v pepe -> sbloccà l'utilizatore pepe

6- Attivate l'usu di "sudo", MAI cunnettatevi cum'è root da ssh, "MAI". In fatti duvete edità a cunfigurazione ssh per uttene stu scopu. Aduprate chjave publiche / private in i vostri servitori cù sudo.

7- Applica in i nostri sistemi u "Principiu di u minimu privilegiu".

8- Verificate i nostri servizii di tantu in tantu [netstat -lptun], per ognunu di i nostri servitori. Aghjunghjite strumenti di surviglianza chì ci ponu aiutà in questu compitu [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Installa IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap hè u vostru amicu, adupratelu per verificà a vostra rete / sotturete.

11- Pratiche di bona securità in OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [quelli chì più usanu] è qualchì altru serviziu chì avete bisognu in a vostra rete.

12- Criptate tutte e cumunicazioni u più longu pussibule in i nostri sistemi, SSL, gnuTLS, StarTTLS, digeriscenu, ecc ... È se gestite informazioni sensibili, crittografate u vostru discu duru !!!

13- Aghjurnà i nostri servitori di mail cù l'ultime reguli di securità, lista nera è antispam.

14- Logging di l'attività in i nostri sistemi cù logwatch è logcheck.

15- Cunuscenza è usu di strumenti cum'è top, sar, vmstat, free, frà altri.

sar -> rapportu di l'attività di u sistema vmstat -> prucessi, memoria, sistema, i / o, attività di cpu, ecc iostat -> statutu di cpu i / o mpstat -> statutu di multiprocessore è usu pmap -> utilizzu di memoria da prucessi liberi -> memoria iptraf -> traffic in real time of our network ethstatus -> console-based ethernet statistics monitor etherape -> monitor graphical network ss -> socket status [tcp socket info, udp, sockets raw, DCCP Sockets] tcpdump -> Analisi dettagliata di traffic vnstat -> monitoru di u trafficu di rete di l'interfacce selezziunate mtr -> strumentu di diagnosticu è analisi di sovraccaricu in rete ethtool -> statistiche nantu à e carte di rete

Per avà hè tuttu. Sò chì ci sò mille è unu di più suggerimenti di securità in stu tippu di ambiente, ma sò quelli chì m'anu colpitu u più da vicinu, o chì à un certu puntu aghju avutu à applicà / esercità in un ambiente chì aghju amministratu.

Un abbracciu è spergu chì ti serve 😀


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

26 cumenti, lasciate i toi

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   koratsuki dijo

    Vi invitu in i cumenti per parlà di alcune altre regule chì sò state implementate fora di quelle già menzionate, per aumentà a cunniscenza di i nostri lettori

    1.    yukiteru dijo

      Beh, aghju da aghjunghje:

      1.- Applica e regule sysctl per prevene dmesg, / proc, accessu SysRQ, assigna PID1 à u core, permette prutezioni per i ligami simuli duri è soft, prutezioni per stack TCP / IP per IPv4 è IPv6, attivà VDSO cumpletu per a randomizazione massima puntatore è allocazione di spaziu di memoria è migliurà a forza di buffer overflow.

      2.- Creà pareti antincendiu di u tipu SPI (Stateful Package Inspect) per impedisce e cunnessioni micca create o permesse prima d'avè accessu à u sistema.

      3.- Se ùn avete micca servizii chì meritanu cunnessioni cù privilegi elevati da un locu luntanu, basta à revucà l'accessu per elli cù access.conf, o, in mancanza, abilita l'accessu solu à un utilizatore o gruppu specificu.

      4.- Aduprate limiti duri per impedisce l'accessu à certi gruppi o utilizatori da destabilizà u vostru sistema. Assai utile in ambienti induve ci hè un veru multi-utilizatori attivu in ogni momentu.

      5.- TCPWrappers hè u vostru amicu, sè site nantu à un sistema cù supportu per ellu, aduprà ùn li feria micca, cusì pudete rifiutà l'accessu da qualsiasi host se ùn hè micca cunfiguratu prima in u sistema.

      6.- Creà chjave SSH RSA di almenu 2048 bit o megliu di 4096 bit cù chjavi alfanumerichi di più di 16 caratteri.

      7.- Quantu site scrittu in u mondu? Verificà i permessi di lettura-scrittura di i vostri cartulari ùn hè mancu male è hè u megliu modu per evità l'accessu micca autorizatu in ambienti multi-utilizatori, senza cuntà chì rende più difficiule per certi accessi micca autorizati l'accessu à l'infurmazioni chì ùn li vulete micca. nimu altru vede.

      8.- Monta una partizione esterna chì ùn la merita micca, cù l'opzioni noexec, nosuid, nodev.

      9.- Aduprate strumenti cum'è rkhunter è chkrootkit per verificà periodicamente chì u sistema ùn abbia micca installatu un rootkit o malware. Una misura prudente sì site unu di quelli chì stallanu e cose da repositori micca sicuri, da PPA, o solu cumpilendu codice in diretta da siti micca affidati.

      1.    koratsuki dijo

        Uhmmm, deliziosu ... Bon cummentariu, aghjunghjite ragazzi ... 😀

    2.    William Moreno-Reyes dijo

      Applicà un Cuntrollu d'Accessu Mandatoriu cù SElinux?

  2.   Armandu F dijo

    articulu assai bonu

    1.    koratsuki dijo

      Grazie amicu 😀

  3.   ghjovanu dijo

    Salutu è se sò un utilizatore normale, devu aduprà su o sudo?
    Usu su perchè ùn mi piace micca sudo, perchè qualchissia chì hà a mo password d'utente pò cambià tuttu ciò chì vole in u sistema, invece cù su no.

    1.    koratsuki dijo

      In u vostru PC ùn si preoccupa micca di aduprà su, pudete aduprà senza prublemi, nantu à i servitori, hè altamente raccomandatu di disattivà l'usu di su è aduprà sudo, parechji dicenu chì hè dovutu à u fattu di verificà chì hà eseguitu chì cumandamentu è sudo face quellu compitu ... Eiu in particulare, nantu à u mo pc adupru u so, cum'è voi ...

      1.    ghjovanu dijo

        Benintesa, ùn sò micca veramente cumu funziona nantu à i servitori. Ancu, mi pare chì sudo hà avutu u vantaghju chì pudete dà privilegi à l'utilizatore di un altru urdinatore, se ùn mi sbagliu.

    2.    franchize dijo

      Articulu interessante, criptu alcuni fugliali cù gnu-gpg, cum'è u privilegiu minimu, in casu chì vulete eseguisce, per esempiu, un binariu d'origine scunnisciuta persu in l'immensi mari d'infurmazioni nantu à u discu, cumu rimuò l'accessu à certi funzioni?

      1.    koratsuki dijo

        Ti devu quella parte, ancu se pensu chì duvete corre solu cum'è sudo / root, prugrammi chì sò affidabili, vale à dì, venenu da u vostru repo ...

      2.    yukiteru dijo

        Mi ricordu di avè lettu chì ci hè un modu per attivà e capacità di root in qualchì manuale nantu à GNU / Linux è UNIX, se u trovu u metteraghju 😀

      3.    Clown dijo

        è e gabbie chown per eseguisce binari scunnisciuti?

    3.    yukiteru dijo

      Aduprà sudo in ogni momentu hè assai megliu.

    4.    elav dijo

      O pudete aduprà sudo, ma limitendu u tempu chì a password hè ricurdata.

  4.   Kevin Rodriguez dijo

    Strumenti simili adupru per monitorà u pc, "iotop" cum'è sustitutu per "iostat", "htop" eccellente "task manager", "iftop" monitorizazione di a larghezza di banda.

  5.   monitolinux dijo

    parechji penseranu chì hè esageratu, ma aghju dighjà vistu attacchi per include un servitore à una botnet.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: mendicanti cinesi è e so prove di pirate u mo servitore.

  6.   Clown dijo

    qualcosa chì hè ancu cunveniente hè di aduprà gabbie chown per i servizii, allora sì per qualchì ragione sò attaccati ùn comprometterebanu micca u sistema.

  7.   Diabbe dijo

    Utilizà u cumandimu ps hè ancu eccellente per u monitoru è puderia esse parte di l'azzioni per verificà i difetti di sicurezza. in esecuzione ps -ef elenca tutti i prucessi, hè simile à a cima tuttavia mostra alcune differenze. installà iptraf hè un altru strumentu chì pò travaglià.

  8.   Claudio J. Cuncepzione Certad dijo

    Bona cuntribuzione.

    Aghjustassi: SELinux o Apparmor, secondu a distro, sempre attivatu.

    Da a mo sperienza, aghju capitu chì hè cattiva pratica di disattivà questi cumpunenti. A femu guasi sempre quandu avemu da installà o cunfigurà un serviziu, cù a scusa chì funziona senza prublemi, quandu veramente ciò chì duvemu fà hè amparà à gestì li per permette quellu serviziu.

    A salutazione.

  9.   GnuLinux ?? dijo

    1. Cume cifrà tuttu u sistema di fugliale? vale a pena??
    2. Deve esse decifratu ogni volta chì u sistema serà aggiornatu?
    3. Hè a crittografia di tuttu u sistema di fugliale di a macchina cum'è a crittografia di qualsiasi altru fugliale?

    1.    yukiteru dijo

      Cumu sapete chì sapete di chì parli?

  10.   NautiluS dijo

    Inoltre, pudete mette in gabbia prugrammi è ancu parechji utilizatori. Ancu se fà questu hè più travagliu, ma se qualcosa hè accadutu, è avete avutu una copia precedente di quellu cartulare, hè solu colpisce è cantà.

  11.   tonu dijo

    A pulitica di sicurità a più bona è a più còmuda ùn hè micca esse paranoica.
    Pruvate, hè infallibile.

  12.   angelbeniti dijo

    Adupru csf è quandu sbloccate un cliente chì hà spiazzatu a so password in qualchì accessu, ritarda u prucessu ma u faci. Hè nurmale?

    Cercu u cumandamentu per sbloccà da ssh ... qualsiasi suggerimentu