Sekurecaj konsiloj pri GNU / Linukso-sistemoj

Nu, mi preparis ĉi tiun afiŝon por mia blogo dum kelka tempo ili sugestis ĝin al mi en De Linukso, kaj pro manko de tempo, li ne povis aŭ volis. Se mi iom pigras 😀. Sed nun ili strikas, kiel ni diras en Kubo ...

Ĉi tio estas kompilaĵo de bazaj sekurecaj reguloj por sistemaj administrantoj, ĉi-kaze, por tiuj, kiuj, kiel mi, administras retojn / sistemojn bazitajn sur GNU / Linukso ... Eble estas pli kaj fakte estas pli, ĉi tio estas nur specimeno de miaj aventuroj en la linuxa mondo ...

0- Tenu niajn sistemojn ĝisdatigitaj kun la plej novaj sekurecaj ĝisdatigoj.

0.1- Kritikaj Ĝisdatigoj Retpoŝtaj Listoj [Konsilisto pri Slackware Sekureco, Sekureca Konsilisto de Debian, en mia kazo]

1- Nula fizika aliro al la serviloj fare de neaŭtorizita dungitaro.

1.1- Apliki pasvorton al BIOS de niaj serviloj

1.2- Neniu ekkuro per KD / DVD

1.3- Pasvorto en GRUB / Lilo

2- Bona pasvorta politiko, alfanombraj signoj kaj aliaj.

2.1- Maljuniĝo de pasvortoj [Pasvorta Maljuniĝo] per la komando "chage", same kiel nombro da tagoj inter pasvorta ŝanĝo kaj lasta ŝanĝo-dato.

2.2- Evitu uzi antaŭajn pasvortojn:

en /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Do vi ŝanĝas la pasvorton kaj ĝi memorigas vin pri la lastaj 10 pasvortoj, kiujn havis la uzanto.

3- Bona mastrumado / segmentiga politiko de nia reto [enkursigiloj, ŝaltiloj, vlanoj] kaj fajromuro, kaj ankaŭ filtraj reguloj ENIGO, ELITO, ANTAWEN [NAT, SNAT, DNAT]

4- Ebligu la uzon de ŝeloj [/ etc / shells]. Uzantoj, kiuj ne devas ensaluti en la sistemon, ricevas / bin / false aŭ / bin / nologin.

5- Bloki uzantojn kiam ensaluto malsukcesas [faillog], same kiel regi la sisteman uzantan konton.

passwd -l pepe -> bloki uzanton pepe passwd -v pepe -> malbloki uzanton pepe

6- Ebligu la uzon de "sudo", NENIAM ensalutu kiel radiko per ssh, "NENIAM". Fakte vi devas redakti la ssh-agordon por atingi ĉi tiun celon. Uzu publikajn / privatajn ŝlosilojn en viaj serviloj per sudo.

7- Apliki en niaj sistemoj la "Principo de malplej privilegio".

8- Kontrolu niajn servojn de tempo al tempo [netstat -lptun], por ĉiu el niaj serviloj. Aldonu kontrolilojn, kiuj povas helpi nin en ĉi tiu tasko [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Instalu IDSojn, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap estas via amiko, uzu ĝin por kontroli viajn subretojn / subretojn.

11- Bonaj sekurecaj praktikoj en OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [la plej uzataj] kaj iu alia servo, kiun vi bezonas en via reto.

12- Ĉifru ĉian komunikadon dum eblas en niaj sistemoj, SSL, gnuTLS, StarTTLS, digest, ktp ... Kaj se vi traktas sentemajn informojn, ĉifru vian durdiskon !!!

13- Ĝisdatigu niajn retpoŝtajn servilojn kun la plej novaj reguloj pri sekureco, nigra listo kaj kontraŭspamo.

14- Agado ensalutanta en niaj sistemoj per logwatch kaj logcheck.

15- Scio kaj uzo de iloj kiel top, sar, vmstat, free, inter aliaj.

sar -> raporto pri agado de sistemo vmstat -> procezoj, memoro, sistemo, i / o, cpu-agado, ktp iostat -> stato de cpu-e / o mpstat -> stato kaj uzado de plurprocesoro pmap -> uzado de memoro per liberaj procezoj -> iptraf-memoro -> trafiko en reala tempo de nia reta etstato -> konzolaj ethernet-statistikoj monitoras etherape -> grafika reta monitoro ss -> socket status [tcp socket info, udp, raw sockets, DCCP Sockets] tcpdump -> Detala analizo de trafiko vnstat -> reta trafikmonitoro de elektitaj interfacoj mtr -> diagnoza ilo kaj analizo de troŝarĝo en retoj ethtool -> statistikoj pri retaj kartoj

Nuntempe ĉio estas. Mi scias, ke ekzistas mil kaj unu pliaj sekurecaj sugestoj en ĉi tiu speco de medio, sed ĉi tiuj estas tiuj, kiuj frapis min plej proksime, aŭ ke iam mi devis apliki / ekzerciĝi en medio, kiun mi administris. .

Brakumon kaj mi esperas, ke ĝi utilos al vi 😀


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

26 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Koratsuki diris

    Mi invitas vin en la komentoj rakonti al ni pri iuj aliaj reguloj efektivigitaj krom tiuj jam menciitaj, por pliigi la scion de niaj legantoj

    1.    yukiteru diris

      Nu mi aldonus:

      1.- Apliki sistemajn regulojn por malhelpi dmesg, / proc, SysRQ-aliron, atribui PID1 al la kerno, ebligi protektojn por malmolaj kaj molaj simbolaj ligoj, protektojn por TCP / IP-stakoj por IPv4 kaj IPv6, aktivigi plenan VDSO por maksimumaj randomigaj montriloj kaj memoraj spacaj atribuoj kaj plibonigi la forton kontraŭ bufraj superfluoj.

      2.- Kreu fajromurojn de la tipo SPI (Stateful Package Inspect) por malhelpi ligojn ne kreitajn aŭ antaŭe permesitajn havi aliron al la sistemo.

      3.- Se vi ne havas servojn, kiuj bezonas rilatojn kun altaj privilegioj de malproksima loko, simple nuligu aliron al ili per access.conf, aŭ, se mankas tio, ebligu aliron al nur specifa uzanto aŭ grupo.

      4.- Uzu malfacilajn limojn por malebligi aliron al iuj grupoj aŭ uzantoj malstabiligi vian sistemon. Tre utila en medioj, kie estas vera multuzanto aktiva ĉiam.

      5.- TCPWrappers estas via amiko, se vi estas en sistemo kun subteno por ĝi, uzi ĝin ne malutilus, do vi povas rifuzi aliron de iu ajn gastiganto krom se ĝi antaŭe estas agordita en la sistemo.

      6.- Kreu klavojn SSH RSA de almenaŭ 2048 bitoj aŭ pli bone de 4096 bitoj kun alfanombraj klavoj de pli ol 16 signoj.

      7.- Kiel mondskribebla vi estas? Kontroli la legad-skribajn permesojn de viaj adresaroj tute ne malbonas kaj estas la plej bona maniero malhelpi neaŭtorizitan aliron en pluruzantaj medioj, sen mencii, ke ĝi malfaciligas al iuj neaŭtorizitaj aliroj aliri al informoj, kiujn vi faras ne volas, ke neniu alia vidu.

      8.- Muntu iun ajn eksteran subdiskon, kiu ne meritas ĝin, kun la ebloj noexec, nosuid, nodev.

      9.- Uzu ilojn kiel rkhunter kaj chkrootkit por periode kontroli, ke la sistemo ne havas rootkit aŭ malware instalita. Prudenta mezuro se vi estas unu el tiuj, kiuj instalas aĵojn de ne-sekuraj deponejoj, de PPA-oj, aŭ simple vivas kompili kodon de nefidindaj retejoj.

      1.    Koratsuki diris

        Uhmmm, bongusta ... Bona komento, aldonu ulojn ... 😀

    2.    Vilhelmo Moreno-Reyes diris

      Ĉu apliki Devigan Alirkontrolon kun SElinux?

  2.   ArmandoF diris

    tre bona artikolo

    1.    Koratsuki diris

      Dankon amiko 😀

  3.   joaco diris

    Saluton kaj se mi estas normala uzanto, ĉu mi uzu su aŭ sudo?
    Mi uzas su, ĉar mi ne ŝatas sudon, ĉar iu ajn, kiu havas mian pasvorton de uzanto, povas ŝanĝi ĉion, kion ĝi volas en la sistemo, anstataŭ kun su no.

    1.    Koratsuki diris

      En via komputilo ne ĝenas uzi su, vi povas uzi ĝin senprobleme, sur la serviloj, estas tre rekomendinde malŝalti la uzon de su kaj uzi sudon, multaj diras, ke ĝi estas pro la fakto kontroli, kiu ekzekutis kia komando kaj sudo plenumas tiun taskon ... Mi precipe, en mia komputilo mi uzas lian, same kiel vi ...

      1.    joaco diris

        Certe, mi ne vere scias kiel ĝi funkcias en la serviloj. Kvankam ŝajnas al mi, ke sudo havis la avantaĝon, ke vi povas doni privilegiojn al la uzanto de alia komputilo, se mi ne eraras.

    2.    andrew diris

      Interesa artikolo, mi ĉifras iujn dosierojn per gnu-gpg, same kiel tiu de la minimuma privilegio, se vi volas ekzekuti, ekzemple, binaron de nekonata origino perdita en la grandegaj maroj de informo sur la disko, kiel mi forigas aliro al iuj funkcioj?

      1.    Koratsuki diris

        Mi ŝuldas tiun parton al vi, kvankam mi pensas, ke vi devas funkcii nur kiel sudo / root, programoj fidindaj, tio estas, ili venas de via repo ...

      2.    yukiteru diris

        Mi memoras legi, ke estas maniero ebligi radikajn kapablojn en iu manlibro pri GNU / Linukso kaj UNIX, se mi trovos ĝin, mi metos ĝin 😀

      3.    klaŭno diris

        kaj ŝovitaj kaĝoj por funkciigi nekonatajn ciferecaĵojn?

    3.    yukiteru diris

      Uzi sudon ĉiam estas multe pli bone.

    4.    elav diris

      Aŭ vi povas uzi sudon, sed limigante la tempon memorantan la pasvorton.

  4.   Kevin Rodriguez diris

    Similajn ilojn mi uzas por kontroli la komputilon, «iotop» kiel anstataŭanto de «iostat», «htop» bonega «taskadministrilo», kontrolado de larĝa bando «iftop».

  5.   monitorolinux diris

    multaj pensos, ke tio estas troigita, sed mi jam vidis atakojn por inkluzivi servilon al bot-reto.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: ĉinaj almozuloj kaj iliaj provoj haki mian servilon.

  6.   pajaco diris

    io ankaŭ konvena estas uzi ŝovitajn kaĝojn por la servoj, do se ial ili estas atakitaj, ili ne kompromitus la sistemon.

  7.   diablo diris

    Uzi la komandon ps estas ankaŭ bonega por kontroli kaj povus esti parto de la agoj por kontroli sekurecajn mankojn. rulante ps -ef listigas ĉiujn procezojn, ĝi similas al supro tamen ĝi montras iujn diferencojn. la iptraf-instalado estas alia ilo, kiu eble funkcios.

  8.   Claudio J. Concepcion Certeco diris

    Bona kontribuo.

    Mi aldonus: SELinux aŭ Apparmor, laŭ la distro, ĉiam ebligitaj.

    Laŭ mia propra sperto mi konstatis, ke estas malbona praktiko malŝalti tiujn erojn. Ni preskaŭ ĉiam faras ĝin, kiam ni instalos aŭ agordos servon, kun la ekskuzo, ke ĝi funkcias senprobleme, kiam vere ni devas lerni trakti ilin por permesi tiun servon.

    Un saluto.

  9.   GnuLinux ?? diris

    1. Kiel ĉifri la tutan dosiersistemon? indas ??
    2. Ĉu ĝi devas esti deĉifrita ĉiufoje kiam la sistemo estos ĝisdatigita?
    3. Ĉu ĉifri la tutan dosiersistemon de la maŝino estas same kiel ĉifri iun alian dosieron?

    1.    yukiteru diris

      Kiel vi montras, ke vi scias, pri kio vi parolas?

  10.   NauTiluS diris

    Ankaŭ vi povas enkaĝigi programojn kaj eĉ plurajn uzantojn. Kvankam fari tion estas pli da laboro, sed se io okazis, kaj vi havis antaŭan kopion de tiu dosierujo, ĝi nur trafas kaj kantas.

  11.   tono diris

    La plej bona kaj plej oportuna sekureca politiko ne estas paranoja.
    Provu ĝin, ĝi estas senerara.

  12.   anĝelbenitoj diris

    Mi uzas CSF kaj kiam vi malŝlosas klienton, kiu mislokigis sian pasvorton en iu aliro, ĝi prokrastas la procezon, sed ĝi okazas. Estas normale?

    Mi serĉas la ordonon malbloki de ssh ... ajnan sugeston