Noh, ma olin seda postitust ette valmistanud minu blogi mõnda aega soovitasid nad mulle seda aastal DesdeLinuxja ajapuudusel polnud ta suutnud ega tahtnud. Kui ma olen kuidagi laisk ????. Kuid nüüd nad streigivad, nagu me Kuubal ütleme ...
0- Hoidke meie süsteeme värskeimate turbevärskendustega.
0.1- Kriitilised värskendused meililistid [Slackware turvanõustaja, Debiani turvanõustaja, minu puhul]
1- Null füüsiline juurdepääs serveritele volitamata personali poolt.
1.1- Rakenda parool aadressile BIOS meie serveritest
1.2- CD / DVD kaudu ei käivitata
1.3- Parool GRUB / Lilo
2- Hea paroolipoliitika, tähtnumbrilised tähemärgid ja teised.
2.1- Paroolide vananemine [Password Aging] käsuga “chage”, samuti päevade arv parooli muutmise ja viimase muutmise kuupäeva vahel.
2.2- Vältige eelmiste paroolide kasutamist:
jaotises /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Nii et muudate parooli ja see tuletab teile meelde viimased 10 parooli, mis kasutajal olid.
3- Meie võrgu [ruuterid, lülitid, vlans] ja tulemüüri hea haldus- / segmenteerimispoliitika ning filtreerimisreeglid INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Luba kestade [/ etc / shellid] kasutamine. Kasutajad, kes ei pea süsteemi sisse logima, saavad / bin / false või / bin / nologin.
5- Blokeerige kasutajad, kui sisselogimine ebaõnnestub [faillog], ja kontrollige süsteemi kasutajakontot.
passwd -l pepe -> blokeeri kasutaja pepe passwd -v pepe -> deblokeerib kasutaja pepe
6- Lubage "sudo" kasutamine, ÄRGE KUNAGI logige sisse ssh-i juurena, "NEVER". Tegelikult peate selle eesmärgi saavutamiseks muutma ssh-konfiguratsiooni. Kasutage sudoga oma serverite avalikke / privaatvõtmeid.
7- Rakendage meie süsteemidesVähima privileegi põhimõte".
8- Kontrollige aeg-ajalt meie teenuseid [netstat -lptun] iga meie serveri kohta. Lisage jälgimistööriistad, mis võivad meid selles ülesandes aidata [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Installige IDS-id, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap on teie sõber, kasutage seda oma alamvõrgu / alamvõrkude kontrollimiseks.
11- Head turvatavad OpenSSH-s, Apache2-s, Nginxis, MySQL-is, PostgreSQL-is, Postfixis, Squidis, Sambas, LDAP-is [kõige enam kasutatavates] ja mõnes muus teenuses, mida vajate oma võrgus.
12- Krüpteerige kogu süsteem, SSL, gnuTLS, StarTTLS, kokkuvõte jne.
13- Värskendage meie meiliservereid uusimate turva-, musta nimekirja- ja rämpspostitõrjereeglitega.
14- Tegevuste logimine meie süsteemides koos logwatchi ja logcheckiga.
15- Teadmised ja selliste tööriistade kasutamine nagu näiteks top, sar, vmstat, free.
sar -> süsteemi tegevuse aruanne vmstat -> protsessid, mälu, süsteem, i / o, protsessori aktiivsus jne iostat -> cpu i / o olek mpstat -> mitme protsessori olek ja kasutus pmap -> mälukasutus vabade protsesside järgi -> iptrafi mälu -> meie võrgu staatuse liiklus reaalajas -> konsoolipõhine Ethernet-statistika monitor etherape -> graafiline võrgumonitor ss -> sokli olek [tcp-sokli teave, udp, toored pistikupesad, DCCP-soklid] tcpdump -> liikluse üksikasjalik analüüs -> valitud liideste võrguliikluse jälgija mtr -> diagnostikavahend ja võrkude ülekoormuse analüüs ethtool -> statistika võrgukaartide kohta
Praegu on see kõik. Ma tean, et seda tüüpi keskkonnas on veel tuhat ja üks turvasoovitusi, kuid need on mind kõige rohkem tabanud või et ma olen mingil hetkel pidanud rakendama / harjutama keskkonnas, mida ma olen haldanud .
Kallistus ja loodan, et see teenib teid 😀
Kutsun teid kommentaarides rääkima mõnest teisest reeglist, mille olete peale juba mainitud rakendanud, et suurendada meie lugejate teadmisi 😀
Noh, ma lisan:
1.- Rakendage sysctl-reeglid, et vältida dmesg, / proc, SysRQ juurdepääsu, määrake südamikule PID1, lubage kaitsed kõvade ja pehmete linkide jaoks, TCP / IP-virnade kaitsed nii IPv4 kui ka IPv6 jaoks, aktiveerige täielik VDSO maksimaalsete juhuslikkusnäitajate jaoks ja mäluruumi eraldamine ja parandab puhvri ülevoolu tugevust.
2.- Looge SPI (Stateful Package Inspect) tüüpi tuletõkkeseinad, et vältida ühendustele, mis pole loodud või varem lubatud, juurdepääsu süsteemile.
3.- Kui teil pole teenuseid, mis nõuaksid kaugemast kohast kõrgema privileegiga ühendusi, tühistage lihtsalt juurdepääs neile, kasutades access.conf, või kui see pole võimalik, lubage juurdepääs ainult konkreetsele kasutajale või rühmale.
4.- Kasutage kindlaid piire, et takistada juurdepääsu teatud gruppidele või kasutajatele teie süsteemi destabiliseerimast. Väga kasulik keskkondades, kus kogu aeg on aktiivne tõeline mitme kasutaja funktsioon.
5. - TCPWrappers on teie sõber, kui kasutate seda toetavat süsteemi, ei kahjustaks selle kasutamine seda, nii et saate keelata juurdepääsu mis tahes hostile, kui see pole süsteemis varem konfigureeritud.
6.- Looge SSH RSA võtmed vähemalt 2048 või 4096 bitist, kui tähtnumbrilised võtmed on rohkem kui 16 tähemärki.
7.- Kui maailmakirjutatav sa oled? Kataloogide lugemis-kirjutamisõiguste kontrollimine pole üldse halb ja see on parim viis vältida volitamata juurdepääsu mitme kasutaja keskkondades, rääkimata sellest, et see muudab teatud volitamata juurdepääsude jaoks juurdepääsu teie tehtud teabele raskeks ei taha, et keegi teine ei näeks.
8.- Paigaldage välised sektsioonid, mis seda ei vääri, valikutega noexec, nosuid, nodev.
9.- Kasutage tööriistu nagu rkhunter ja chkrootkit, et regulaarselt kontrollida, kas süsteemis pole juurkomplekti ega pahavara installitud. Mõistlik meede, kui olete üks neist, kes installib asju ebaturvalistest hoidlatest, elektrienergia ostulepingutest või lihtsalt koostab ebausaldusväärsetelt saitidelt koodi.
Ahjaa, maitsev ... Hea kommentaar, lisage tüüpe ... 😀
Kas rakendada SElinuxiga kohustuslikku juurdepääsukontrolli?
väga hea artikkel
Aitäh sõber 😀
Tere ja kui ma olen tavakasutaja, kas peaksin kasutama su või sudo?
Ma kasutan su, sest mulle ei meeldi sudo, sest igaüks, kellel on minu kasutaja parool, saab süsteemis muuta mida iganes soovib, selle asemel su no-ga.
Teie arvutis ei viitsi su-d kasutada, saate seda kasutada probleemideta, serverites, on väga soovitatav su keelamine ja sudo kasutamine, paljud ütlevad, et see on tingitud auditeerimisest, kes mis käsu käivitas ja sudo täidab seda ülesannet ... Täpsemalt, mina kasutan oma arvutis tema, täpselt nagu teie ...
Muidugi, ma ei tea tegelikult, kuidas see serverites töötab. Ehkki mulle tundub, et sudo eeliseks oli see, et kui ma ei eksi, võite anda privileege ka teise arvuti kasutajale.
Huvitav artikkel, krüpteerin mõned failid gnu-gpg-ga, nagu ka minimaalsete õigustega, juhul kui soovite käivitada näiteks tundmatu päritoluga binaarkaardi, mis on kadunud ketta tohutu teabe meredes, kuidas ma saan seda juurdepääs teatud funktsioonidele?
See osa, mis ma teile võlgnen, kuigi arvan, et peaksite käima ainult sudo / root, usaldusväärsete programmidena, see tähendab, et need pärinevad teie repost ...
Mäletan, et lugesin, et GNU / Linuxi ja UNIXi juhendis on võimalus juurvõimalusi lubada, kui leian, siis panen selle 😀
@andrew siin on artikkel, mida mainisin ja veel natuke abi
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
ja chown puurid tundmatute binaaride käitamiseks?
Sudo kasutamine kogu aeg on palju parem.
Või võite kasutada sudot, kuid parooli mäletamise aja piiramine.
Sarnased tööriistad, mida kasutan arvuti jälgimiseks, «iostat» asendusena «iostat», «htop» suurepärane «task manager», «iftop» ribalaiuse jälgimine.
paljud arvavad, et see on liialdatud, kuid ma olen juba näinud rünnakuid serveri lisamiseks robotivõrku.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Hiina kerjused ja nende katsed minu serverit häkkida.
Mugav on kasutada teenuste jaoks ka puurpuure, nii et kui neid mingil põhjusel rünnatakse, ei kahjustaks see süsteemi.
PS-käsu kasutamine sobib suurepäraselt ka jälgimiseks ja võib olla osa toimingutest, et kontrollida turvavigu. käivitades ps -ef loetleb kõik protsessid, on see sarnane topiga, kuid näitab mõningaid erinevusi. iptrafi installimine on veel üks tööriist, mis võib töötada.
Hea panus.
Lisan: SELinux või Apparmor, sõltuvalt levikust, on alati lubatud.
Oma kogemustest mõistsin, et nende komponentide keelamine on halb tava. Peaaegu alati teeme seda siis, kui kavatseme teenust installida või konfigureerida, vabanduseks, et see töötab probleemideta, kui tegelikult peaksime õppima neid teenuse lubamiseks haldama.
Tervitus.
1. Kuidas kogu failisüsteemi krüptida? seda väärt??
2. Kas seda tuleb dekrüpteerida iga kord, kui süsteemi värskendatakse?
3. Kas masina kogu failisüsteemi krüptimine on sama mis mis tahes muu faili krüptimine?
Kuidas sa tead, et tead, millest räägid?
Samuti saate paigutada puuri programme ja isegi mitu kasutajat. Kuigi selle tegemine on rohkem tööd, aga kui midagi juhtus ja teil oli selle kausta eelmine eksemplar, siis see lihtsalt lööb ja laulab.
Parim ja mugavam julgeolekupoliitika pole paranoiline.
Proovige seda, see on eksimatu.
Ma kasutan csf-i ja kui avan kliendi, kes on oma parooli mõnel juurdepääsul valesti paigaldanud, siis see viivitab protsessiga, kuid siiski. See on normaalne?
Otsin käsku ssh-i blokeerimiseks ... mis tahes ettepanekutest