खैर, मैं इस पोस्ट के लिए तैयारी कर रहा था मेरा चिट्ठा कुछ समय के लिए उन्होंने मुझे इसमें सुझाव दिया DesdeLinux, और समय की कमी के कारण, वह सक्षम या इच्छुक नहीं था। अगर मैं कुछ आलसी हूँ ????। लेकिन अब वे हड़ताल पर हैं, जैसा कि हम क्यूबा में कहते हैं ...
0- हमारे सिस्टम को नवीनतम सुरक्षा अपडेट के साथ अपडेट रखें।
0.1 - महत्वपूर्ण अपडेट मेलिंग सूची [स्लैकवेयर सुरक्षा सलाहकार, डेबियन सुरक्षा सलाहकार, मेरे मामले में]
1- अनधिकृत कर्मियों द्वारा सर्वरों को शून्य भौतिक पहुंच।
1.1 - के लिए पासवर्ड लागू करें BIOS हमारे सर्वर के
1.2 - सीडी / डीवीडी द्वारा कोई बूट नहीं
1.3 - GRUB / Lilo में पासवर्ड
2- अच्छी पासवर्ड नीति, अल्फ़ान्यूमेरिक वर्ण और अन्य।
2.1 - पासवर्ड का युग [पासवर्ड एजिंग] "चेज" कमांड के साथ-साथ पासवर्ड बदलने और अंतिम परिवर्तन की तारीख के बीच दिनों की संख्या।
2.2 - पिछले पासवर्ड का उपयोग करने से बचें:
in /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
इसलिए आप पासवर्ड बदलते हैं और यह आपको पिछले 10 पासवर्डों की याद दिलाता है जो उपयोगकर्ता के पास थे।
3- हमारे नेटवर्क का अच्छा प्रबंधन / विभाजन नीति [राउटर, स्विच, vlans] और फ़ायरवॉल, साथ ही साथ फ़िल्टरिंग नियम INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- गोले [/ etc / गोले] के उपयोग को सक्षम करें। जिन उपयोगकर्ताओं को सिस्टम में लॉग इन नहीं करना है, उन्हें / बिन / गलत या / बिन / बोलोगिन मिलेगा।
5- लॉगिन विफल होने पर उपयोगकर्ताओं को ब्लॉक करें [faillog], साथ ही सिस्टम उपयोगकर्ता खाते को नियंत्रित करें।
passwd -l pepe -> ब्लॉक यूजर पेपे passwd -v पेपे -> यूजर पेपे अनब्लॉक करें
6- "Sudo" के उपयोग को सक्षम करें, कभी भी ssh, "NEVER" के रूप में लॉग इन न करें। वास्तव में आपको इस उद्देश्य को प्राप्त करने के लिए ssh कॉन्फ़िगरेशन को संपादित करना होगा। अपने सर्वर पर sudo के साथ सार्वजनिक / निजी कुंजियों का उपयोग करें।
7- हमारे सिस्टम में लागू करें "कम से कम विशेषाधिकार का सिद्धांत".
8- समय-समय पर हमारी सेवाओं की जाँच करें [netstat -lptun], हमारे प्रत्येक सर्वर के लिए। निगरानी उपकरण जोड़ें जो हमें इस कार्य में मदद कर सकते हैं [नागोइ, कैक्टि, मुनिन, मोनिट, नोटो, ज़ैबिक्स]।
9- IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC स्थापित करें।
10 - Nmap आपका मित्र है, इसका उपयोग अपने सबनेट / सबनेट को जांचने के लिए करें।
11 - OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, विद्रूप, सांबा, LDAP [जो सबसे अधिक उपयोग करते हैं] और कुछ अन्य सेवा जो आपको अपने नेटवर्क में चाहिए।
12 - जब तक संभव हो हमारे सिस्टम में सभी संचार एन्क्रिप्ट करें, एसएसएल, gnuTLS, StarTTLS, डाइजेस्ट, आदि ... और यदि आप संवेदनशील जानकारी को संभालते हैं, तो अपनी हार्ड ड्राइव को एन्क्रिप्ट करें !!!
13 - नवीनतम सुरक्षा, ब्लैकलिस्ट और एंटीस्पैम नियमों के साथ हमारे मेल सर्वर को अपडेट करें।
14 - लॉगवॉच और लॉगचेक के साथ हमारे सिस्टम में गतिविधि लॉगिंग।
15 - अन्य लोगों के बीच शीर्ष, सर, vmstat, मुक्त जैसे उपकरणों का ज्ञान और उपयोग।
sar -> सिस्टम गतिविधि रिपोर्ट vmstat -> प्रक्रियाएँ, मेमोरी, सिस्टम, i / o, cpu गतिविधि, आदि iostat -> cpu i / o स्थिति mpstat -> मल्टीप्रोसेसर स्थिति और उपयोग pmap -> मुक्त प्रक्रियाओं के लिए मेमोरी उपयोग -> iptraf memory -> हमारे नेटवर्क एथस्टाटस के वास्तविक समय में ट्रैफ़िक -> कंसोल-आधारित ईथरनेट आँकड़े मॉनिटर ईथरेर -> ग्राफिकल नेटवर्क मॉनिटर ss -> सॉकेट स्थिति [tcp सॉकेट की जानकारी, udp, कच्चे सॉकेट, DCCP पॉकेट्स] tcpdump -> विस्तृत विश्लेषण डे ट्रैफ़िक vnstatat -> चयनित इंटरफेस का नेटवर्क ट्रैफिक मॉनीटर -> डायग्नोस्टिक टूल और नेटवर्क एथोल में ओवरलोड का विश्लेषण -> नेटवर्क कार्ड के बारे में आंकड़े
अभी के लिए यह सब है। मुझे पता है कि इस प्रकार के वातावरण में एक हजार और एक और सुरक्षा सुझाव हैं, लेकिन ये वे हैं जिन्होंने मुझे सबसे अधिक निकटता से मारा है, या कि कुछ बिंदु पर मुझे ऐसे वातावरण में आवेदन / व्यायाम करना पड़ा है जिसे मैंने प्रशासित किया है ।
एक आलिंगन और मुझे आशा है कि यह आपकी सेवा करेगा hope
मैं आपको टिप्पणियों में आमंत्रित करता हूं, हमारे पाठकों के ज्ञान को बढ़ाने के लिए कुछ अन्य नियमों के बारे में बताने के लिए जो पहले से ही उल्लिखित किए गए हैं।
वैसे मैं जोड़ूंगा:
1.- dmesg, / proc, SysRQ एक्सेस को रोकने के लिए sysctl नियम लागू करें, PID1 को कोर में असाइन करें, हार्ड और सॉफ्ट सिम्लिंक के लिए प्रोटेक्शन को सक्षम करें, IPv4 और IPv6 के लिए TCP / IP स्टैक के लिए प्रोटेक्शन, अधिकतम यादृच्छिकरण बिंदुओं के लिए पूर्ण VDSO को सक्रिय करें। मेमोरी स्पेस आवंटन और बफर ओवरफ्लो के खिलाफ ताकत में सुधार।
2.- सिस्टम तक पहुंच न होने या पहले अनुमति नहीं दिए गए कनेक्शन को रोकने के लिए टाइप SPI (स्टेटफुल पैकेज इंस्पेक्ट) की अग्नि दीवार बनाएं।
3.- यदि आपके पास ऐसी सेवाएँ नहीं हैं, जो दूरस्थ स्थान से उन्नत विशेषाधिकार के साथ वारंट कनेक्शन हैं, तो बस एक्सेस का उपयोग करके उन्हें रद्द कर दें। या, असफल होकर, केवल किसी विशिष्ट उपयोगकर्ता या समूह तक पहुँच को सक्षम करें।
4.- अपने सिस्टम को अस्थिर करने से कुछ समूहों या उपयोगकर्ताओं तक पहुंच को रोकने के लिए कठिन सीमाओं का उपयोग करें। वातावरण में बहुत उपयोगी है जहां हर समय एक वास्तविक बहु-उपयोगकर्ता सक्रिय है।
5.- TCPWrappers आपका मित्र है, यदि आप इसके लिए समर्थन वाले सिस्टम पर हैं, तो इसका उपयोग करने से कोई नुकसान नहीं होगा, इसलिए आप किसी भी होस्ट से एक्सेस से इनकार कर सकते हैं जब तक कि यह सिस्टम में पहले से कॉन्फ़िगर नहीं किया गया हो।
6.- कम से कम 2048 बिट्स की SSH RSA कुंजियाँ बनाएँ या 4096 से अधिक वर्णों की अल्फ़ान्यूमेरिक कुंजियों के साथ 16 बिट्स की बेहतर।
7.- आप कितने विश्व-योग्य हैं? अपनी निर्देशिकाओं की पठन-लेखन अनुमतियों की जाँच करना बिल्कुल भी बुरा नहीं है और बहु-उपयोगकर्ता वातावरण में अनधिकृत पहुँच से बचने का सबसे अच्छा तरीका है, यह उल्लेख नहीं करना कि यह कुछ अनधिकृत पहुँचों के लिए और अधिक कठिन हो जाता है ताकि वे सूचना तक पहुँच बना सकें। उन्हें नहीं चाहिए। कोई और नहीं देखता।
8.- किसी भी बाहरी विभाजन को माउंट करें जो इसके लायक नहीं है, विकल्प noexec, nosuid, नोडव के साथ।
9.- समय-समय पर जांच करने के लिए रूखंटर और चकरोटकिट जैसे टूल का उपयोग करें कि सिस्टम में रूटकिट या मैलवेयर स्थापित नहीं है। एक विवेकपूर्ण उपाय यदि आप उन लोगों में से एक हैं जो पीपीए से गैर-सुरक्षित रिपॉजिटरी से चीजें स्थापित करते हैं या अविश्वसनीय साइटों से बस संकलन कोड रहते हैं।
उम्म्म्म, स्वादिष्ट ... अच्छी टिप्पणी है, लोगों को जोड़ें ... delicious
सेलाइनक्स के साथ अनिवार्य अभिगम नियंत्रण लागू करें?
बहुत अच्छा लेख
धन्यवाद मित्र 😀
हैलो और अगर मैं एक सामान्य उपयोगकर्ता हूं, तो क्या मुझे su या sudo का उपयोग करना चाहिए?
मैं su का उपयोग करता हूं क्योंकि मुझे sudo पसंद नहीं है, क्योंकि जिस किसी के पास भी मेरा उपयोगकर्ता पासवर्ड है, वह सिस्टम पर जो चाहे कर सकता है, बदले में su no।
अपने पीसी पर यह su का उपयोग करने की जहमत नहीं उठाता है, आप इसे बिना किसी समस्या के उपयोग कर सकते हैं, सर्वर पर, su के उपयोग को अक्षम करने और sudo का उपयोग करने के लिए अत्यधिक अनुशंसा की जाती है, बहुत से लोग कहते हैं कि यह ऑडिटिंग के तथ्य के कारण है जिसे निष्पादित किया गया है क्या कार्य और sudo उस कार्य को करता है ... मैं विशेष रूप से, अपने पीसी पर मैं उसका उपयोग करता हूं, जैसे आप ...
ज़रूर, मैं वास्तव में नहीं जानता कि यह सर्वर पर कैसे काम करता है। हालाँकि, यह मुझे लगता है कि सूडो को यह फायदा था कि आप किसी दूसरे कंप्यूटर के उपयोगकर्ता को विशेषाधिकार दे सकते हैं, अगर मैं गलत नहीं हूँ।
दिलचस्प लेख, मैं ग्नू-जीपीजी के साथ कुछ फाइलों को एन्क्रिप्ट करता हूं, जैसा कि न्यूनतम विशेषाधिकार है, उदाहरण के लिए आप डिस्क पर जानकारी के अपार समुद्र में खो जाने वाले अज्ञात मूल के एक द्विआधारी को निष्पादित करना चाहते हैं, मैं कैसे पहुंच को दूर करता हूं कुछ कार्य?
मैं उस हिस्से का आपके ऊपर एहसान करता हूं, हालांकि मुझे लगता है कि आपको केवल sudo / root के रूप में चलना चाहिए, जो प्रोग्राम विश्वसनीय हैं, यानी वे आपके रेपो से आते हैं ...
मुझे यह याद है कि GNU / Linux और UNIX पर मैनुअल में रूट क्षमताओं को सक्षम करने का एक तरीका है, अगर मुझे लगता है कि मैं इसे is डालूँगा
@andrew यहाँ लेख है जिसका मैंने उल्लेख किया और कुछ और मदद की
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
और अज्ञात पिंजरों को चलाने के लिए कैसेट पिंजरे?
हर समय सूडो का उपयोग करना ज्यादा बेहतर होता है।
या आप sudo का उपयोग कर सकते हैं, लेकिन पासवर्ड याद रखने के समय को सीमित करना।
इसी तरह के उपकरण मैं पीसी की निगरानी के लिए उपयोग करता हूं, «iotop» «iostat», «htop» उत्कृष्ट «कार्य प्रबंधक», «iftop» बैंडविड्थ की निगरानी के लिए।
कई सोचेंगे कि अतिरंजित है, लेकिन मैंने पहले से ही एक बोटनेट में एक सर्वर को शामिल करने के लिए हमले देखे हैं।
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: चीनी भिखारियों और उनके सर्वर को हैक करने की उनकी कोशिश।
कुछ ऐसा जो सुविधाजनक भी है, सेवाओं के लिए चेज पिंजरों का उपयोग करना है, इसलिए यदि किसी कारण से उन पर हमला किया जाता है तो वे सिस्टम से समझौता नहीं करेंगे।
पीएस कमांड का उपयोग करना निगरानी के लिए भी उत्कृष्ट है और सुरक्षा खामियों की जांच करने के लिए कार्रवाई का हिस्सा हो सकता है। पीएसई-एफई सभी प्रक्रियाओं को सूचीबद्ध करता है, यह शीर्ष के समान है लेकिन यह कुछ अंतर दिखाता है। iptraf इंस्टॉल करना एक और टूल है जो काम कर सकता है।
अच्छा योगदान.
मैं जोड़ूंगा: SELinux या Apparmor, डिस्ट्रो के आधार पर, हमेशा सक्षम होता है।
अपने स्वयं के अनुभव से मैंने महसूस किया कि उन घटकों को निष्क्रिय करना बुरा है। हम लगभग हमेशा ऐसा करते हैं जब हम किसी सेवा को स्थापित या कॉन्फ़िगर करने जा रहे हैं, इस बहाने के साथ कि यह बिना किसी समस्या के चलता है, जब वास्तव में हमें क्या करना चाहिए तो उस सेवा की अनुमति देने के लिए उन्हें संभालना सीखें।
एक ग्रीटिंग.
1. पूरे फाइल सिस्टम को एन्क्रिप्ट कैसे करें? इसके लायक??
2.क्या इसे हर बार डिक्रिप्ट किया जाना है, जब सिस्टम अपडेट होने वाला है?
3. क्या मशीन की पूरी फाइल प्रणाली को किसी अन्य फाइल को एन्क्रिप्ट करने के समान है?
आप कैसे जानते हैं कि आप जानते हैं कि आप किस बारे में बात कर रहे हैं?
इसके अलावा, आप प्रोग्राम और यहां तक कि कई उपयोगकर्ताओं को भी पिंजरे में रख सकते हैं। हालांकि ऐसा करना अधिक काम है, लेकिन अगर कुछ हुआ, और आपके पास उस फ़ोल्डर की एक पिछली प्रति थी, तो यह सिर्फ मारना और गाना है।
सबसे अच्छी और सबसे सुविधाजनक सुरक्षा नीति पैरानॉयड नहीं होना है।
यह कोशिश करो, यह अचूक है।
मैं csf का उपयोग कर रहा हूं और जब एक क्लाइंट को अनलॉक किया जाता है जो अपने पासवर्ड को कुछ एक्सेस में गलत कर देता है, तो यह प्रक्रिया में देरी करता है लेकिन यह करता है। यह सामान्य है?
मैं ssh ... किसी भी सुझाव से अनब्लॉक करने के लिए कमांड ढूंढ रहा हूं