Leideanna slándála ar chórais GNU / Linux

Bhuel, bhí mé ag ullmhú an phoist seo do mo bhlag ar feadh tamaill mhol siad dom é i ÓLinux, agus mar gheall ar easpa ama, ní raibh sé ábalta nó toilteanach. Má tá mé leisciúil éigin ????. Ach anois tá siad ar stailc, mar a deirimid i gCúba ...

Is tiomsú é seo de bhunrialacha slándála do riarthóirí córais, sa chás seo, dóibh siúd a bhainistíonn, cosúil liomsa, líonraí / córais atá bunaithe ar GNU / Linux ... D’fhéadfadh go mbeadh níos mó ann agus i ndáiríre tá níos mó ann, níl anseo ach a sampla de mo chuid fánaíochta ar fud an domhain Linux ...

0- Coinnigh ár gcórais cothrom le dáta leis na nuashonruithe slándála is déanaí.

0.1- Liostaí Ríomhphoist Nuashonruithe Criticiúla [Comhairleoir Slándála Slackware, Comhairleoir Slándála Debian, i mo chás]

1- Rochtain fhisiciúil nialasach ar na freastalaithe ag pearsanra neamhúdaraithe.

1.1- Cuir pasfhocal i bhfeidhm ar BIOS dár bhfreastalaithe

1.2- Gan tosaithe le CD / DVD

1.3- Pasfhocal i GRUB / Lilo

2- Beartas maith pasfhocal, carachtair alfa-uimhriúla agus eile.

2.1- Aosú pasfhocail [Aosú Pasfhocal] leis an ordú “chage”, chomh maith le líon na laethanta idir athrú pasfhocail agus an dáta deireanach athraithe.

2.2- Seachain pasfhocail roimhe seo a úsáid:

in /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Mar sin athraíonn tú an focal faire agus meabhraíonn sé duit na 10 bhfocal faire deireanacha a bhí ag an úsáideoir.

3- Beartas bainistíochta / deighilte maith dár líonra [ródairí, lasca, vlans] agus balla dóiteáin, chomh maith le rialacha scagtha INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]

4- Cumasaigh úsáid sliogán [/ srl / sliogán]. Faigheann úsáideoirí nach gá dóibh logáil isteach sa chóras / bin / bréagach nó / bin / nologin.

5- Cuir bac ar úsáideoirí nuair a theipeann ar logáil isteach [faillog], chomh maith le cuntas úsáideora an chórais a rialú.

passwd -l pepe -> bloc úsáideora pepe passwd -v pepe -> dícheangail pepe úsáideora

6- Cumasaigh "sudo" a úsáid, NÁ logáil isteach riamh mar fhréamh le ssh, "NÁ". Go deimhin ní mór duit an chumraíocht ssh a chur in eagar chun an aidhm seo a bhaint amach. Úsáid eochracha poiblí / príobháideacha ar do fhreastalaithe le sudo.

7- Cuir an córas “Prionsabal na pribhléide is lú".

8- Seiceáil ár seirbhísí ó am go ham [netstat -lptun], do gach ceann dár bhfreastalaithe. Cuir uirlisí monatóireachta leis a chabhróidh linn sa tasc seo [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Suiteáil IDSanna, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Is é Nmap do chara, bain úsáid as chun do subnet / subnets a sheiceáil.

11- Dea-chleachtais slándála in OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [na cinn is mó a úsáideann] agus seirbhís éigin eile a theastaíonn uait i do líonra.

12- Criptigh gach cumarsáid agus is féidir inár gcórais, SSL, gnuTLS, StarTTLS, díolama, srl ... Agus má láimhseáil tú faisnéis íogair, criptigh do thiomáint crua !!!

13- Déan ár bhfreastalaithe ríomhphoist a nuashonrú leis na rialacha slándála, liosta dubh agus antispam is déanaí.

14- Logáil gníomhaíochta inár gcórais le logwatch agus logcheck.

15- Eolas agus úsáid uirlisí cosúil le barr, sar, vmstat, saor in aisce, i measc nithe eile.

sar -> tuarascáil ar ghníomhaíocht chórais vmstat -> próisis, cuimhne, córas, i / o, gníomhaíocht cpu, srl iostat -> stádas cpu i / o mpstat -> stádas agus úsáid ilphróiseálaí pmap -> úsáid cuimhne trí phróisis in aisce -> cuimhne iptraf -> trácht i bhfíor-am ár n-eitstatus líonra -> déanann staitisticí ethernet consól-bhunaithe monatóireacht ar eitseáil -> monatóir líonra grafach ss -> stádas soicéad [eolas soicéad tcp, udp, soicéid amha, Soicéid DCCP] tcpdump -> Anailís mhionsonraithe de traffic vnstat -> monatóir tráchta líonra ar chomhéadain roghnaithe mtr -> uirlis dhiagnóiseach agus anailís ar ró-ualach i líonraí ethtool -> stats faoi chártaí líonra

Chun anois tá sé ar fad. Tá a fhios agam go bhfuil míle agus ceann eile de mholtaí sábháilteachta sa chineál seo timpeallachta, ach seo iad na cinn is mó a chuaigh i gcion orm, nó go raibh orm cur i bhfeidhm / aclaíocht a dhéanamh i dtimpeallacht a rinne mé a riaradh ag pointe éigin. .

Le barróg agus tá súil agam go bhfreastalaíonn sé ort 😀


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

26 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Coratsuki a dúirt

    Tugaim cuireadh duit sna tráchtanna insint dúinn faoi roinnt rialacha eile a cuireadh i bhfeidhm seachas na rialacha a luadh cheana, chun eolas ár léitheoirí a mhéadú 😀

    1.    Yukitru a dúirt

      Bhuel chuirfinn:

      1.- Rialacha sysctl a chur i bhfeidhm chun dmesg, / proc, rochtain SysRQ a chosc, PID1 a shannadh don chroí, cosaintí a chumasú le haghaidh nasc crua agus bog, cosaintí do chruacha TCP / IP do IPv4 agus IPv6 araon, VDSO iomlán a ghníomhachtú le haghaidh leideanna randamaithe uasta agus leithdháiltí spáis cuimhne agus an neart i gcoinne ró-shreabhadh maolánach a fheabhsú.

      2.- Cruthaigh ballaí dóiteáin den chineál SPI (Cigireacht Pacáiste Státmhar) chun cosc ​​a chur ar naisc nár cruthaíodh nó nár ceadaíodh roimhe seo rochtain a bheith acu ar an gcóras.

      3.- Mura bhfuil seirbhísí agat a éilíonn naisc le pribhléidí ardaithe ó áit iargúlta, déan rochtain orthu a chúlghairm ag baint úsáide as access.conf, nó, mura ndéanann tú sin, rochtain ar úsáideoir nó grúpa ar leith amháin a chumasú.

      4.- Úsáid teorainneacha crua chun rochtain ar ghrúpaí nó úsáideoirí áirithe a chosc ó do chóras a dhíchobhsú. An-úsáideach i dtimpeallachtaí ina mbíonn fíor-úsáideoir il i gcónaí gníomhach.

      5.- Is é TCPWrappers do chara, má tá tú ar chóras le tacaíocht dó, ní ghortódh sé é, ionas gur féidir leat rochtain a dhiúltú ó óstach ar bith mura bhfuil sé cumraithe sa chóras roimhe seo.

      6.- Cruthaigh eochracha SSH RSA de 2048 giotán ar a laghad nó níos fearr de 4096 giotán le heochracha alfa-uimhriúla níos mó ná 16 carachtar.

      7.- Cé chomh domhanda is féidir a scríobh? Níl sé dona ar chor ar bith ceadanna inléite do eolairí a sheiceáil agus is é an bealach is fearr chun rochtain neamhúdaraithe a chosc i dtimpeallachtaí ilúsáideoirí, gan trácht go ndéanann sé níos deacra do rochtana neamhúdaraithe áirithe rochtain a fháil ar fhaisnéis a dhéanann tú. gan a bheith ag iarraidh go bhfeicfeadh aon duine eile.

      8.- Cuir isteach aon dheighilt sheachtrach nach bhfuil tuillte aici, leis na roghanna noexec, nosuid, nodev.

      9.- Úsáid uirlisí mar rkhunter agus chkrootkit chun a sheiceáil go tréimhsiúil nach bhfuil fréamh-phacáiste nó malware suiteáilte sa chóras. Beart críonna má tá tú ar dhuine díobh siúd a shuiteáil rudaí ó stórtha neamhshábháilte, ó PPAnna, nó a chónaíonn go simplí cód tiomsaithe ó shuíomhanna neamhiontaofa.

      1.    Coratsuki a dúirt

        Uhmmm, delicious ... Trácht maith, cuir guys ... 😀

    2.    William Moreno-Reyes a dúirt

      Cuir Rialú Rochtana Éigeantach i bhfeidhm le SElinux?

  2.   ArmandoF a dúirt

    alt an-mhaith

    1.    Coratsuki a dúirt

      Go raibh maith agat cara 😀

  3.   seacó a dúirt

    Dia duit agus más gnáth-úsáideoir mé, ar cheart dom su nó sudo a úsáid?
    Úsáidim su mar ní maith liom sudo, mar is féidir le duine ar bith a bhfuil mo phasfhocal úsáideora acu gach rud a theastaíonn uathu ar an gcóras a athrú, in ionad su no.

    1.    Coratsuki a dúirt

      Ar do ríomhaire ní bhacann sé le su a úsáid, is féidir leat é a úsáid gan fadhbanna, ar fhreastalaithe, moltar go mór úsáid su agus a úsáid a dhíchumasú, deir go leor go bhfuil sé mar gheall ar iniúchadh a dhéanamh ar cé a rinne an rud déanann command and sudo an tasc sin ... go háirithe, ar mo ríomhaire úsáidim a chuid, díreach cosúil leatsa ...

      1.    seacó a dúirt

        Cinnte, níl a fhios agam i ndáiríre conas a oibríonn sé ar na freastalaithe. Mar sin féin, feictear dom go raibh an buntáiste ag sudo gur féidir leat pribhléidí a thabhairt d’úsáideoir ríomhaire eile, mura bhfuil dul amú orm.

    2.    andrew a dúirt

      Alt spéisiúil, criptím roinnt comhad le gnu-gpg, mar atá an phribhléid íosta, ar eagla go mbeadh tú ag iarraidh dénártha de bhunadh anaithnid a chailltear sna farraigí ollmhóra faisnéise ar an diosca a fhorghníomhú, conas a bhainfidh mé rochtain ar feidhmeanna áirithe?

      1.    Coratsuki a dúirt

        Tá an chuid sin dlite duit, cé gur dóigh liom nár cheart duit rith ach mar chláir sudo / root, atá iontaofa, is é sin, tagann siad ó do repo ...

      2.    Yukitru a dúirt

        Is cuimhin liom a léamh go bhfuil bealach ann chun fréamhchumais a chumasú i lámhleabhar éigin ar GNU / Linux agus UNIX, má fhaighim é cuirfidh mé 😀 é

      3.    clown a dúirt

        agus na cages chown chun binaries anaithnid a reáchtáil?

    3.    Yukitru a dúirt

      Tá sé i bhfad níos fearr sudo a úsáid i gcónaí.

    4.    elav a dúirt

      Nó is féidir leat sudo a úsáid, ach an t-am a mheabhraítear an focal faire a theorannú.

  4.   Caoimhín Rodriguez a dúirt

    Uirlisí comhchosúla a úsáidim chun monatóireacht a dhéanamh ar ríomhaire, "iotop" mar ionadach ar "iostat", "htop" bainisteoir tasc "den scoth", monatóireacht bandaleithid "iftop".

  5.   monailinux a dúirt

    ceapfaidh go leor go bhfuil sé sin áibhéalacha, ach chonaic mé ionsaithe cheana féin chun freastalaí chuig botnet a áireamh.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: beggars na Síne agus a n-iarrachtaí mo fhreastalaí a hackáil.

  6.   clown a dúirt

    rud atá áisiúil freisin ná cages chown a úsáid le haghaidh na seirbhísí, mar sin má dhéantar ionsaí orthu ar chúis éigin ní chuirfidís an córas i gcontúirt.

  7.   Diab a dúirt

    Tá úsáid an ordaithe ps den scoth le haghaidh monatóireachta agus d’fhéadfadh sé a bheith mar chuid de na gníomhartha chun lochtanna slándála a sheiceáil. liostaíonn ps -ef gach próiseas, tá sé cosúil leis an mbarr ach léiríonn sé roinnt difríochtaí. is uirlis eile í an tsuiteáil iptraf a d’fhéadfadh a bheith ag obair.

  8.   Claudio J. Concepción Certad a dúirt

    Ranníocaíocht mhaith.

    Chuirfinn leis: cumasaíodh SELinux nó Apparmor i gcónaí, ag brath ar an distro.

    Ó mo thaithí féin thuig mé gur droch-chleachtas na comhpháirteanna sin a dhíchumasú. Déanaimid beagnach i gcónaí é agus muid chun seirbhís a shuiteáil nó a chumrú, leis an leithscéal go ritheann sí gan fadhbanna, nuair is é an rud ba cheart dúinn a dhéanamh i ndáiríre ná iad a láimhseáil chun an tseirbhís sin a cheadú.

    A Beannacht.

  9.   GnuLinux ?? a dúirt

    1. Conas an córas comhaid ar fad a chriptiú? is fiú é ??
    2.An gá é a dhíchriptiú gach uair a dhéanfar an córas a nuashonrú?
    3. An bhfuil criptiú chóras comhad iomlán an mheaisín mar an gcéanna le haon chomhad eile a chriptiú?

    1.    Yukitru a dúirt

      Conas a thaispeánann tú go bhfuil a fhios agat cad atá tú ag caint faoi?

  10.   NauTiluS a dúirt

    Chomh maith leis sin, is féidir leat cláir cage agus fiú ilúsáideoirí. Cé gur níos mó oibre é seo a dhéanamh, ach má tharla rud éigin, agus má bhí cóip den fhillteán sin agat roimhe seo, níl ann ach bualadh agus canadh.

  11.   ton a dúirt

    Níl an beartas slándála is fearr agus is áisiúla le bheith paranóideach.
    Bain triail as, tá sé infallible.

  12.   aingilíní a dúirt

    Tá csf á úsáid agam agus nuair a dhíghlasálann mé cliant a chuir a phasfhocal amú i roinnt rochtana, cuireann sé moill ar an bpróiseas ach déanann sé amhlaidh. Is gnáth?

    Táim ag lorg an ordaithe díbhlocáil ó ssh ... aon mholadh