نکات امنیتی در مورد سیستم های GNU / Linux

خوب ، من این پست را برای آماده کرده بودم وبلاگ من مدتی آنها آن را به من پیشنهاد دادند از لینوکس، و به دلیل کمبود وقت ، او قادر نبوده و مایل نبوده است. اگر تا حدودی تنبل هستم ؟؟؟؟. اما اکنون همانطور که در کوبا می گوییم اعتصاب می کنند ...

این مجموعه ای از قوانین اساسی امنیتی برای مدیران سیستم است ، در این مورد ، برای کسانی مانند من که شبکه ها / سیستم ها را بر اساس GNU / Linux مدیریت می کنند ... ممکن است موارد بیشتری وجود داشته باشد و در واقع موارد بیشتری نیز وجود داشته باشد ، این فقط نمونه ای از موارد من است گشت و گذار در سراسر جهان لینوکس ...

0- سیستم های ما را با آخرین به روزرسانی های امنیتی به روز کنید.

0.1- به روزرسانی های مهم لیست های پستی [Slackware مشاور امنیت, مشاور امنیت دبیان، در مورد من]

1- دسترسی فیزیکی صفر توسط پرسنل غیر مجاز به سرورها.

1.1- گذرواژه را به BIOS از سرورهای ما

1.2- بدون بارگیری توسط CD / DVD

1.3- رمز عبور در GRUB / Lilo

2- سیاست گذرواژه خوب، حروف الفبا و دیگران.

2.1- پیری رمزهای عبور [گذرواژه گذرواژه] با دستور "chage" و همچنین تعداد روزهای بین تغییر رمز عبور و آخرین تاریخ تغییر.

2.2- از استفاده از رمزهای عبور قبلی خودداری کنید:

در /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

بنابراین رمز عبور را تغییر می دهید و 10 رمز عبور گذشته را که کاربر داشته است به شما یادآوری می کند.

3- سیاست مدیریت / تقسیم بندی خوب شبکه [روترها ، سوئیچ ها ، vlan ها] و فایروال ، و همچنین قوانین فیلتر INPUT ، OUTPUT ، FORWARD [NAT ، SNAT ، DNAT]

4- استفاده از پوسته [/ etc / shells] را فعال کنید. کاربرانی که نیازی به ورود به سیستم ندارند / bin / false یا / bin / nologin دریافت می کنند.

5- هنگام ورود به سیستم [faillog] ، کاربران را مسدود کنید و همچنین حساب کاربری سیستم را کنترل کنید.

passwd -l pepe -> مسدود کردن کاربر pepe passwd -v pepe -> رفع انسداد کاربر pepe

6- استفاده از "sudo" را فعال کنید ، هرگز به عنوان root توسط ssh ، "هرگز" وارد شوید. در واقع برای دستیابی به این هدف باید پیکربندی ssh را ویرایش کنید. از کلیدهای عمومی / خصوصی در سرورهای خود با sudo استفاده کنید.

7- در سیستم های ما "اصل حداقل امتیاز".

8- سرویس های ما را هر از گاهی [netstat -lptun] ، برای هر یک از سرورهای ما بررسی کنید. ابزارهای نظارتی را اضافه کنید که می توانند در این کار به ما کمک کنند [Nagios، Cacti، Munin، Monit، Ntop، Zabbix].

9- IDS ها ، Snort / AcidBase ، Snotby ، Barnyard ، OSSEC را نصب کنید.

10- Nmap دوست شماست ، از آن برای بررسی زیرشبکه / زیرشبکه خود استفاده کنید.

11- روشهای امنیتی مناسب در OpenSSH ، Apache2 ، Nginx ، MySQL ، PostgreSQL ، Postfix ، Squid ، Samba ، LDAP [مواردی که بیشترین استفاده را می کنند] و برخی سرویس های دیگر که در شبکه خود نیاز دارید.

12- رمزگذاری تمام ارتباطات در حالی که ممکن است در سیستم های ما ، SSL ، gnuTLS ، StarTTLS ، هضم ، و غیره ... و اگر از اطلاعات حساس استفاده می کنید ، هارد دیسک خود را رمزگذاری کنید !!!

13- سرورهای نامه ما را با آخرین قوانین امنیتی ، لیست سیاه و ضد اسپم به روز کنید.

14- ورود به سیستم فعالیت در سیستم های ما با logwatch و logcheck.

15- دانش و استفاده از ابزارهایی مانند top ، sar ، vmstat ، free ، و غیره.

sar -> گزارش فعالیت سیستم vmstat -> فرایندها ، حافظه ، سیستم ، i / o ، فعالیت cpu و غیره iostat -> cpu i / o وضعیت mpstat -> وضعیت چند پردازنده و کاربرد pmap -> استفاده از حافظه توسط فرایندهای رایگان - > حافظه iptraf -> ترافیک در زمان واقعی شبکه ما -> مانیتور اترنت مبتنی بر کنسول etherape -> مانیتور شبکه گرافیکی ss -> وضعیت سوکت [اطلاعات سوکت tcp ، udp ، سوکت های خام ، سوکت های DCCP] tcpdump -> تحلیل دقیق de traffic vnstat -> مانیتور ترافیک شبکه از رابطهای انتخاب شده mtr -> ابزار تشخیصی و تجزیه و تحلیل میزان اضافه بار در شبکه ها -> آمار مربوط به کارتهای شبکه

در حال حاضر همه چیز است. من می دانم که هزار و یک پیشنهاد امنیتی بیشتر در این نوع محیط وجود دارد ، اما این مواردی هستند که بیشترین توجه مرا به خود جلب کرده اند ، یا اینکه در بعضی از مواقع مجبور شده ام در محیطی که اداره کرده ام درخواست / ورزش کنم.

آغوش و امیدوارم در خدمت شما باشد


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

26 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد.

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   کوراتسوکی dijo

    من در نظرات شما را دعوت می کنم تا در مورد برخی دیگر از قوانین که جدا از آنچه قبلاً ذکر شد ، برای افزایش دانش خوانندگان ما به ما بگویید ...

    1.    یوکیترو dijo

      خوب من اضافه می کنم:

      1-- از قوانین sysctl برای جلوگیری از دسترسی dmesg ، / proc ، SysRQ ، اختصاص PID1 به هسته ، فعال کردن محافظت برای لینک های سخت و نرم ، محافظت برای پشته های TCP / IP برای IPv4 و IPv6 استفاده کنید ، VDSO کامل را برای حداکثر تصادفی سازی فعال کنید تخصیص فضای اشاره گر و حافظه و بهبود قدرت سرریز بافر.

      2.- دیوارهای آتش نشانی از نوع SPI (Stateful Package Inspect) ایجاد کنید تا اتصالات ایجاد نشده یا قبلاً اجازه دسترسی به سیستم را نداشته باشند.

      3.- اگر خدماتی ندارید که اتصال با امتیازات بالاتر را از یک مکان از راه دور تضمین می کند ، کافی است با استفاده از access.conf دسترسی به آنها را لغو کنید ، یا در صورت عدم دسترسی ، فقط دسترسی به یک کاربر یا گروه خاص را فعال کنید.

      4- از محدودیت های سخت استفاده کنید تا مانع از بی ثبات شدن دسترسی سیستم به دسترسی به گروه های خاص یا کاربران شود. در محیط هایی که همیشه یک کاربر چند کاربره واقعی فعال است بسیار مفید است.

      5.- TCPWrappers دوست شما است ، اگر در سیستمی هستید که از آن پشتیبانی می کنید ، استفاده از آن صدمه ای نخواهد دید ، بنابراین می توانید دسترسی هر میزبان را رد کنید مگر اینکه قبلاً در سیستم پیکربندی نشده باشد.

      6.- کلیدهای SSH RSA حداقل 2048 بیت یا بهتر از 4096 بیت با کلیدهای عددی بیش از 16 کاراکتر ایجاد کنید.

      7.- چقدر قابل نوشتن در جهان هستید؟ بررسی مجوز خواندن و نوشتن دایرکتوری ها به هیچ وجه بد نیست و بهترین راه برای جلوگیری از دسترسی غیرمجاز در محیط های چند کاربره است ، نیازی به گفتن نیست که دسترسی به برخی دسترسی های غیرمجاز را برای دسترسی به اطلاعاتی که شما نمی خواهید دشوارتر می کند. هیچ کس نمی بیند

      8.- هر پارتیشن خارجی را که شایسته آن نباشد ، با گزینه های noexec، nosuid، nodev نصب کنید.

      9.- از ابزارهایی مانند rkhunter و chkrootkit استفاده کنید تا به صورت دوره ای بررسی کنید که آیا سیستم روت کیت یا بدافزار نصب نشده است. اگر یکی از کسانی هستید که چیزهایی را از مخازن غیر ایمن ، PPA ها یا فقط تدوین مستقیم کد از سایت های غیر معتبر نصب می کنید ، یک اقدام محتاطانه است.

      1.    کوراتسوکی dijo

        اوم ، خوشمزه comment نظر خوب ، بچه ها رو اضافه کن

    2.    ویلیام مورنو ریس dijo

      کنترل دسترسی اجباری را با SElinux اعمال کنید؟

  2.   آرماندوف dijo

    مقاله بسیار خوبی

    1.    کوراتسوکی dijo

      ممنون دوست

  3.   جواکو dijo

    سلام و اگر کاربر عادی هستم باید از su یا sudo استفاده کنم؟
    من از su استفاده می کنم زیرا sudo را دوست ندارم ، زیرا هرکسی که رمز ورود کاربر من را داشته باشد می تواند هر آنچه را که می خواهد در سیستم تغییر دهد ، به جای su no.

    1.    کوراتسوکی dijo

      در رایانه شخصی شما استفاده از su به زحمت نمی افتد ، می توانید از آن بدون مشکل استفاده کنید ، در سرورها توصیه می شود که استفاده از su را غیرفعال کنید و از sudo استفاده کنید ، بسیاری می گویند این به دلیل ممیزی است که چه فرمان و sudo را انجام داده است ... من در خاص ، در رایانه من از او استفاده می کنم ، دقیقاً مثل شما ...

      1.    جواکو dijo

        مطمئناً ، من واقعا نمی دانم که چگونه روی سرورها کار می کند. اگرچه به نظر من sudo این مزیت را دارد که اگر اشتباه نکنم می توانید به کاربر یک رایانه دیگر امتیاز دهید.

    2.    اندرو dijo

      مقاله جالب ، من برخی از پرونده ها را با حداقل gnu-gpg رمزگذاری می کنم ، درصورتی که بخواهید مثلاً یک باینری با منشا ناشناخته را در دریاهای عظیم اطلاعات روی دیسک گم کنید ، چگونه می توان دسترسی به برخی توابع را از بین برد ؟

      1.    کوراتسوکی dijo

        من این قسمت را مدیون شما هستم ، گرچه فکر می کنم شما فقط باید به عنوان sudo / root اجرا کنید ، برنامه هایی قابل اعتماد ، یعنی از repo شما می آیند ...

      2.    یوکیترو dijo

        به یاد می آورم که می خواندم که راهی برای فعال کردن قابلیت های ریشه در برخی از کتابچه های راهنما در GNU / Linux و UNIX وجود دارد ، اگر پیدا کنم آن را قرار می دهم ...

      3.    یوکیترو dijo

        @ andrew در اینجا مقاله ای است که من ذکر کردم و برخی دیگر به شما کمک می کنند

        http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf

        http://linux.die.net/man/7/capabilities

        https://wiki.archlinux.org/index.php/Capabilities

      4.    مسخره dijo

        و قفس های چوبی برای اجرای باینری های ناشناخته؟

    3.    یوکیترو dijo

      استفاده از سودو در هر زمان بسیار بهتر است.

    4.    ایلاو dijo

      یا می توانید از سودو استفاده کنید ، اما محدود کردن زمان به خاطر سپردن رمز عبور.

  4.   کوین رودریگز dijo

    از ابزارهای مشابهی برای نظارت بر رایانه استفاده می کنم ، «iotop» به عنوان جایگزین «iostat» ، «htop» عالی «مدیر وظیفه» ، نظارت بر پهنای باند «iftop».

  5.   مانیتورینوکس dijo

    بسیاری فکر خواهند کرد که اغراق آمیز است ، اما من قبلاً حملاتی را برای گنجاندن سرور به یک بات نت دیده ام.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: متکدیان چینی و تلاش آنها برای هک سرور من.

  6.   دلقک شدن dijo

    موردی که همچنین مناسب است استفاده از قفس های کوچک برای خدمات است ، بنابراین اگر به هر دلیلی به آنها حمله شود ، سیستم را به خطر نمی اندازند.

  7.   دیاب dijo

    استفاده از دستور ps همچنین برای نظارت عالی است و می تواند بخشی از اقدامات برای بررسی نقص امنیتی باشد. در حال اجرا ps -ef تمام فرآیندها را لیست می کند ، مانند بالا است اما تفاوت هایی را نشان می دهد. نصب iptraf ابزار دیگری است که ممکن است کارساز باشد.

  8.   کلودیو جی. یقین کانسپسیون dijo

    سهم خوب

    اضافه می کنم: SELinux یا Apparmor ، بسته به توزیع ، همیشه فعال است.

    از تجربه خودم فهمیدم که غیرفعال کردن این م componentsلفه ها کار بدی است. تقریباً همیشه وقتی می خواهیم سرویسی را نصب یا پیکربندی کنیم ، به بهانه اینکه بدون مشکل اجرا می شود ، این کار را انجام می دهیم ، در حالی که واقعاً کاری که باید انجام دهیم این است که یاد بگیریم که از عهده آنها برآییم تا آن سرویس را مجاز کنند.

    تبریک.

  9.   GnuLinux ؟؟ dijo

    1. چگونه می توان کل سیستم فایل را رمزگذاری کرد؟ ارزشش رو داره ؟؟
    2. آیا هر بار که سیستم به روز می شود ، باید رمزگشایی شود؟
    3. آیا رمزگذاری کل سیستم فایل دستگاه همان رمزگذاری هر پرونده دیگری است؟

    1.    یوکیترو dijo

      از کجا می دانید که می دانید در مورد چه چیزی صحبت می کنید؟

  10.   NauTiluS dijo

    همچنین ، می توانید برنامه ها و حتی چندین کاربر را قفس کنید. اگرچه انجام این کار کار بیشتری است ، اما اگر اتفاقی افتاده باشد و شما یک نسخه قبلی از آن پوشه داشته باشید ، این فقط ضربه زدن و آواز خواندن است.

  11.   لحن dijo

    بهترین و راحت ترین سیاست امنیتی این است که خیال پردازی نکنید.
    امتحان کنید ، خطا ناپذیر است.

  12.   آنجل بنیت dijo

    من از csf استفاده می کنم و هنگام باز کردن قفل مشتری که رمز عبور خود را در برخی از دسترسی ها اشتباه قرار داده است ، این روند را به تأخیر می اندازد اما باعث می شود. طبیعی است؟

    من به دنبال دستور برای رفع انسداد ssh هستم ... هر پیشنهادی