Nah, saya telah mempersiapkan posting ini untuk blog saya untuk beberapa waktu mereka menyarankannya kepada saya DesdeLinux, dan karena kurangnya waktu, dia tidak mampu atau mau. Jika saya agak malas ????. Tapi sekarang mereka melakukan pemogokan, seperti yang kami katakan di Kuba ...
0- Selalu perbarui sistem kami dengan pembaruan keamanan terkini.
0.1- Milis Pembaruan Penting [Penasihat Keamanan Slackware, Penasihat Keamanan Debian, dalam hal ini]
1- Nol akses fisik ke server oleh personel yang tidak berwenang.
1.1- Terapkan kata sandi ke BIOS server kami
1.2- Tidak ada boot dengan CD / DVD
1.3- Kata sandi di GRUB / Lilo
2- Kebijakan kata sandi yang baik, karakter alfanumerik, dan lainnya.
2.1- Penuaan kata sandi [Penuaan Kata Sandi] dengan perintah "chage", serta jumlah hari antara perubahan kata sandi dan tanggal perubahan terakhir.
2.2- Hindari menggunakan kata sandi sebelumnya:
di /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Jadi Anda mengubah kata sandi dan itu mengingatkan Anda tentang 10 kata sandi terakhir yang dimiliki pengguna.
3- Kebijakan manajemen / segmentasi yang baik dari jaringan kami [router, switch, vlans] dan firewall, serta aturan pemfilteran INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Aktifkan penggunaan shell [/ etc / shells]. Pengguna yang tidak harus masuk ke sistem akan mendapatkan / bin / false atau / bin / nologin.
5- Blokir pengguna saat login gagal [faillog], serta kontrol akun pengguna sistem.
passwd -l pepe -> blokir pengguna pepe passwd -v pepe -> buka blokir pengguna pepe
6- Aktifkan penggunaan "sudo", JANGAN PERNAH login sebagai root dengan ssh, "NEVER". Sebenarnya Anda harus mengedit konfigurasi ssh untuk mencapai tujuan ini. Gunakan kunci publik / pribadi di server Anda dengan sudo.
7- Terapkan di sistem kami "Prinsip hak istimewa paling rendah".
8- Periksa layanan kami dari waktu ke waktu [netstat -lptun], untuk setiap server kami. Tambahkan alat pemantauan yang dapat membantu kita dalam tugas ini [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Instal IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap adalah teman Anda, gunakan untuk memeriksa subnet / subnet Anda.
11- Praktik keamanan yang baik di OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [yang paling banyak digunakan] dan beberapa layanan lain yang Anda butuhkan di jaringan Anda.
12- Enkripsi semua komunikasi selama mungkin di sistem kami, SSL, gnuTLS, StarTTLS, digest, dll ... Dan jika Anda menangani informasi sensitif, enkripsi hard drive Anda !!!
13- Perbarui server email kami dengan aturan keamanan, daftar hitam, dan antispam terbaru.
14- Aktivitas login di sistem kami dengan logwatch dan logcheck.
15- Pengetahuan dan penggunaan alat-alat seperti top, sar, vmstat, gratis, antara lain.
sar -> laporan aktivitas sistem vmstat -> proses, memori, sistem, i / o, aktivitas cpu, dll iostat -> status i / o cpu mpstat -> status multiprosesor dan penggunaan pmap -> penggunaan memori oleh proses bebas - > memori iptraf -> lalu lintas secara real time dari status jaringan kami -> statistik ethernet monitor etherape berbasis konsol -> monitor jaringan grafis ss -> status soket [info soket tcp, udp, soket mentah, Soket DCCP] tcpdump -> Analisis terperinci de traffic vnstat -> monitor lalu lintas jaringan dari antarmuka yang dipilih mtr -> alat diagnostik dan analisis kelebihan beban di jaringan ethtool -> statistik tentang kartu jaringan
Untuk saat ini semuanya. Saya tahu bahwa ada seribu satu lagi saran keamanan di lingkungan jenis ini, tetapi ini adalah yang paling mengejutkan saya, atau bahwa pada titik tertentu saya harus menerapkan / berlatih di lingkungan yang telah saya kelola .
Pelukan dan semoga bermanfaat untukmu 😀
Saya mengundang Anda di kolom komentar untuk memberi tahu kami tentang beberapa aturan lain yang telah Anda terapkan selain yang telah disebutkan, untuk menambah pengetahuan pembaca kami 😀
Baiklah saya akan menambahkan:
1.- Terapkan aturan sysctl untuk mencegah akses dmesg, / proc, SysRQ, tetapkan PID1 ke inti, aktifkan perlindungan untuk symlink keras dan lunak, perlindungan untuk tumpukan TCP / IP untuk IPv4 dan IPv6, aktifkan VDSO penuh untuk pengacakan maksimum pointer dan alokasi ruang memori serta meningkatkan kekuatan terhadap buffer overflows.
2.- Buat dinding api jenis SPI (Stateful Package Inspect) untuk mencegah koneksi yang tidak dibuat atau sebelumnya diizinkan memiliki akses ke sistem.
3.- Jika Anda tidak memiliki layanan yang menjamin koneksi dengan hak yang lebih tinggi dari lokasi yang jauh, cukup cabut akses ke layanan tersebut menggunakan access.conf, atau, jika tidak, aktifkan akses hanya ke pengguna atau grup tertentu.
4.- Gunakan batasan yang tegas untuk mencegah akses ke grup atau pengguna tertentu dari ketidakstabilan sistem Anda. Sangat berguna di lingkungan di mana ada multi-pengguna nyata yang aktif setiap saat.
5.- TCPWrappers adalah teman Anda, jika Anda menggunakan sistem dengan dukungan untuk itu, menggunakannya tidak akan merugikan, sehingga Anda dapat menolak akses dari sembarang host kecuali jika sebelumnya dikonfigurasi dalam sistem.
6.- Buat kunci SSH RSA minimal 2048 bit atau lebih baik dari 4096 bit dengan kunci alfanumerik lebih dari 16 karakter.
7.- Seberapa dapat Anda tulis di dunia? Memeriksa izin baca-tulis direktori Anda sama sekali tidak buruk dan merupakan cara terbaik untuk menghindari akses tidak sah di lingkungan multi-pengguna, belum lagi itu mempersulit akses tidak sah tertentu untuk mendapatkan akses ke informasi yang tidak Anda inginkan. tidak ada orang lain yang melihat.
8.- Pasang partisi eksternal yang tidak layak mendapatkannya, dengan opsi noexec, nosuid, nodev.
9.- Gunakan alat seperti rkhunter dan chkrootkit untuk memeriksa secara berkala bahwa sistem tidak memiliki rootkit atau malware yang diinstal. Tindakan yang bijaksana jika Anda adalah salah satu dari mereka yang menginstal sesuatu dari repositori yang tidak aman, dari PPA, atau hanya tinggal mengompilasi kode dari situs yang tidak tepercaya.
Uhmmm, enak… Komentar bagus, tambah teman-teman… 😀
Terapkan Kontrol Akses Wajib dengan SElinux?
artikel yang sangat bagus
Terima kasih teman 😀
Halo dan jika saya adalah pengguna biasa, haruskah saya menggunakan su atau sudo?
Saya menggunakan su karena saya tidak suka sudo, karena siapa pun yang memiliki kata sandi pengguna saya dapat mengubah apa pun yang mereka inginkan di sistem, alih-alih dengan su no.
Di PC Anda tidak perlu repot menggunakan su, Anda dapat menggunakannya tanpa masalah, di server, sangat disarankan untuk menonaktifkan penggunaan su dan menggunakan sudo, banyak yang mengatakan bahwa itu karena fakta audit yang mengeksekusi perintah apa dan sudo melakukan tugas itu ... Khususnya, di pc saya saya menggunakan miliknya, sama seperti Anda ...
Tentu, saya tidak begitu tahu cara kerjanya di server. Meskipun, menurut saya sudo memiliki keuntungan bahwa Anda dapat memberikan hak istimewa kepada pengguna komputer lain, jika saya tidak salah.
Artikel menarik, saya mengenkripsi beberapa file dengan gnu-gpg, seperti hak istimewa minimum, jika Anda ingin mengeksekusi, misalnya, biner yang tidak diketahui asalnya hilang di lautan informasi yang sangat besar di disk, bagaimana cara menghapus akses ke fungsi tertentu ?
Saya berhutang bagian itu kepada Anda, meskipun saya pikir Anda seharusnya hanya menjalankan sudo / root, program yang dapat diandalkan, yaitu, mereka datang dari repo ...
Saya ingat pernah membaca bahwa ada cara untuk mengaktifkan kemampuan root di beberapa manual di GNU / Linux dan UNIX, jika saya menemukannya, saya akan menaruhnya 😀
@andrew di sini adalah artikel yang saya sebutkan dan beberapa bantuan lainnya
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
dan kandang chown untuk menjalankan binari yang tidak diketahui?
Menggunakan sudo setiap saat jauh lebih baik.
Atau Anda dapat menggunakan sudo, tetapi membatasi waktu untuk mengingat kata sandi.
Alat serupa yang saya gunakan untuk memonitor pc, "iotop" sebagai pengganti "iostat", "htop" luar biasa "task manager", "iftop" pemantauan bandwidth.
banyak yang akan berpikir itu berlebihan, tetapi saya telah melihat serangan untuk memasukkan server ke botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Pengemis Cina dan upaya mereka untuk meretas server saya.
sesuatu yang juga nyaman adalah menggunakan chown cages untuk layanan tersebut, jadi jika karena alasan tertentu mereka diserang, mereka tidak akan membahayakan sistem.
Menggunakan perintah ps juga sangat baik untuk memantau dan bisa menjadi bagian dari tindakan untuk memeriksa kelemahan keamanan. menjalankan ps -ef mencantumkan semua proses, ini mirip dengan top namun menunjukkan beberapa perbedaan. instalasi iptraf adalah alat lain yang dapat bekerja.
Kontribusi yang baik.
Saya akan menambahkan: SELinux atau Apparmor, tergantung pada distro, selalu aktif.
Dari pengalaman saya sendiri, saya menyadari bahwa menonaktifkan komponen tersebut adalah praktik yang buruk. Kami hampir selalu melakukannya ketika kami akan menginstal atau mengkonfigurasi layanan, dengan alasan layanan berjalan tanpa masalah, padahal yang harus kami lakukan adalah belajar menanganinya untuk mengizinkan layanan itu.
Sebuah ucapan.
1.Bagaimana cara mengenkripsi seluruh sistem file? setimpal??
2. Apakah harus didekripsi setiap kali sistem akan diperbarui?
3. Apakah mengenkripsi seluruh sistem file mesin sama dengan mengenkripsi file lainnya?
Bagaimana Anda tahu bahwa Anda tahu apa yang Anda bicarakan?
Selain itu, Anda dapat mengurung program dan bahkan banyak pengguna. Meskipun melakukan ini lebih banyak pekerjaan, tetapi jika sesuatu terjadi, dan Anda memiliki salinan sebelumnya dari folder itu, itu hanya memukul dan bernyanyi.
Kebijakan keamanan terbaik dan paling nyaman bukanlah menjadi paranoid.
Cobalah, itu sempurna.
Saya menggunakan csf dan ketika membuka kunci klien yang salah menempatkan kata sandinya di beberapa akses, itu menunda proses tetapi itu terjadi. Apakah itu normal?
Saya mencari perintah untuk membuka blokir dari ssh ... ada saran