Na, aš ruošiau šį įrašą Mano tinklaraštis Jau kurį laiką man buvo pasiūlyta įsijungti DesdeLinux, ir dėl laiko stokos, ar noro stokos. Jei aš šiek tiek tingiu ????. Bet dabar jie streikuoja, kaip sakome Kuboje...
0- Atnaujinkite mūsų sistemas naudodami naujausius saugos naujinimus.
0.1- Svarbių atnaujinimų adresų sąrašai [Slackware saugumo patarėjas, Debian saugumo patarėjas, Mano atveju]
1- Nulinė fizinė neįgalioto personalo prieiga prie serverių.
1.1- Taikyti slaptažodį BIOS mūsų serverių
1.2- Nėra paleidimo iš CD / DVD
1.3- Slaptažodis GRUB/Lilo
2- Gera slaptažodžių politika, raidiniai ir skaitiniai simboliai ir kt.
2.1- Slaptažodžio senėjimas [Password Aging] su komanda „pakeitimas“, taip pat dienų skaičius nuo slaptažodžio keitimo iki paskutinės pakeitimo datos.
2.2- Venkite naudoti ankstesnius slaptažodžius:
aplanke /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Tokiu būdu pakeičiate slaptažodį ir jis primena 10 paskutinių slaptažodžių, kuriuos turėjo vartotojas.
3- Gera mūsų tinklo [maršrutizatoriai, jungikliai, VLAN] ir ugniasienės valdymo / segmentavimo politika, taip pat INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT] filtravimo taisyklės
4- Įgalinkite apvalkalų naudojimą[/etc/shells]. Vartotojai, kuriems nereikia prisijungti prie sistemos, turi /bin/false arba /bin/nologin.
5- Blokuoti vartotojus, kai nepavyksta prisijungti [faillog], taip pat valdyti sistemos vartotojo abonementą.
passwd -l pepe -> blokuoti naudotoją pepe passwd -v pepe -> atblokuoti vartotoją pepe
6- Įgalinkite „sudo“ naudojimą, NIEKADA neprisijunkite kaip root per ssh, „NIEKADA“. Tiesą sakant, norėdami pasiekti šį tikslą, turite redaguoti ssh konfigūraciją. Naudokite viešuosius / privačius raktus savo serveriuose su sudo.
7- Taikykite mūsų sistemose „Mažiausios privilegijos principas".
8- Kartkartėmis patikrinkite mūsų paslaugas kiekvienam mūsų serveriui [netstat -lptun]. Pridėkite stebėjimo įrankius, kurie gali mums padėti atlikti šią užduotį [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Įdiekite IDS, Snort/AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap yra jūsų draugas, naudokite jį, kad patikrintumėte savo potinklį / potinklius.
11- Gera OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [dažniausiai naudojamų] ir kai kurių kitų paslaugų, kurių jums reikia tinkle, saugos praktika.
12- Šifruokite visą ryšį kuo ilgiau mūsų sistemose, SSL, gnuTLS, StarTTLS, suvesti ir tt... O jei tvarkote jautrią informaciją, užšifruokite kietąjį diską!!!
13- Atnaujinkite mūsų pašto serverius naujausiomis saugos taisyklėmis, juodaisiais sąrašais ir apsauga nuo šiukšlių.
14- Registruoti veiklą mūsų sistemose su logwatch ir logcheck.
15- Žinios ir tokių įrankių kaip top, sar, vmstat, free ir kt. naudojimas.
sar -> sistemos veiklos ataskaita vmstat -> procesai, atmintis, sistema, i/o, procesoriaus veikla ir tt iostat -> procesoriaus i/o būsena mpstat -> kelių procesorių būsena ir naudojimas pmap -> atminties naudojimas pagal laisvus procesus -> iptraf atmintis -> realaus laiko srautas mūsų tinklo ethstatus -> konsolės pagrindu eterneto statistikos monitorius etherape -> grafinis tinklo monitorius ss -> lizdo būsena [tcp socket info, udp, raw sockets, DCCP Sockets] tcpdump -> Išsamios analizės srautas vnstat - > pasirinktų sąsajų tinklo srauto monitorius mtr -> diagnostikos įrankis ir perkrovos analizė tinklų ethtool -> tinklo plokščių statistika
Kol kas tai viskas. Žinau, kad tokio tipo aplinkoje yra dar tūkstantis ir vienas saugumo pasiūlymas, bet būtent šie mane labiausiai sužavėjo arba kažkada teko pritaikyti/mankštintis bet kokioje aplinkoje, kuriai pavyko.
Apkabinkite ir tikiuosi, kad tai jums padės 😀
Kviečiu komentaruose papasakoti apie keletą kitų taisyklių, kurias įgyvendinote be jau minėtų, kad padidintumėte mūsų skaitytojų žinias 😀
Na, aš pridėčiau:
1.- Taikykite sysctl taisykles, kad išvengtumėte prieigos prie dmesg, /proc, SysRQ, priskirkite PID1 pagrindiniam ryšiui, įgalinkite kietųjų ir minkštųjų simbolių nuorodų apsaugą, TCP/IP paketų apsaugą tiek IPv4, tiek IPv6, aktyvuokite visą VDSO, kad maksimaliai atsitiktinai suskirstytumėte rodykles. ir atminties vietos paskirstymą bei pagerinti atsparumą buferio perpildymui.
2.- Sukurkite SPI (Stateful Package Inspect) tipo ugniasienes, kad anksčiau nesukurtos ar nesuteiktos jungtys negalėtų pasiekti sistemos.
3.- Jei neturite paslaugų, kurioms reikia nuotolinio ryšio su padidintomis privilegijomis, tiesiog atšaukite prieigą prie jų naudodami access.conf arba įgalinkite prieigą tik tam tikram vartotojui ar grupei.
4.- Naudokite griežtus apribojimus, kad išvengtumėte prieigos prie tam tikrų grupių ar vartotojų, kurie gali destabilizuoti jūsų sistemą. Labai naudinga aplinkoje, kurioje visą laiką yra aktyvūs keli vartotojai.
5.- TCPWrappers yra jūsų draugas. Jei naudojate sistemą, kurioje ji palaikoma, tai nepakenktų, todėl galite uždrausti prieigą iš bet kurio pagrindinio kompiuterio, nebent jis jau anksčiau sukonfigūruotas sistemoje.
6. – Sukurkite bent 2048 bitų arba geresnius nei 4096 bitų SSH RSA raktus su daugiau nei 16 simbolių raidiniais ir skaitiniais raktais.
7.- Koks esate pasaulinis rašymas? Katalogų skaitymo ir rašymo leidimų peržiūra nėra bloga ir yra geriausias būdas išvengti neteisėtos prieigos kelių vartotojų aplinkoje, jau nekalbant apie tai, kad dėl to tam tikroms neteisėtoms prieigoms tampa sunkiau gauti prieigą prie informacijos, kurią darote. nenoriu.niekas kitas nemato.
8.- Sumontuokite bet kokį išorinį skaidinį, kuris to negarantuoja, su noexec, nosuid, nodev parinktimis.
9.- Naudokite tokius įrankius kaip rkhunter ir chkrootkit, kad periodiškai patikrintumėte, ar sistemoje nėra įdiegta rootkit ar kenkėjiškų programų. Protinga priemonė, jei esate vienas iš tų, kurie diegia daiktus iš nesaugių saugyklų, iš EEPS arba tiesiog kompiliuoja kodą iš nepatikimų svetainių.
Ummm, skanu... Geras komentaras, pridėkite vaikinų... 😀
Taikyti privalomą prieigos valdymą su SElinux?
labai geras straipsnis
Aciu drauge 😀
Sveiki, o jei esu paprastas vartotojas, ar turėčiau naudoti su ar sudo?
Aš naudoju su, nes nemėgstu sudo, nes kiekvienas, turintis mano vartotojo slaptažodį, gali pakeisti sistemoje ką nori, vietoj to su su nr.
Jūsų asmeniniame kompiuteryje nesivargina naudoti su, galite naudoti be problemų, serveriuose labai rekomenduojama išjungti su naudojimą ir naudoti sudo, daugelis sako, kad tai dėl audito fakto kas įvykdė komandą ir sudo atlieka tą užduotį... Aš konkrečiame dalyke savo kompiuteryje naudoju su, kaip ir jūs...
Žinoma, aš nežinau, kaip tai veikia serveriuose. Nors man atrodo, kad sudo turėjo pranašumą, kad galima duoti privilegijas kito kompiuterio vartotojui, jei neklystu.
Įdomus straipsnis, aš užšifruoju kai kuriuos failus su gnu-gpg, kaip tai yra mažiausia privilegija, jei norėčiau paleisti, pavyzdžiui, nežinomos kilmės dvejetainį failą, prarastą didžiulėje informacijos jūroje diske, kaip panaikinti prieigą tam tikroms funkcijoms??
Aš jums skolingas už šią dalį, nors manau, kad turėtumėte paleisti tik kaip sudo / root programas, kurios yra patikimos, tai yra, kurios ateina iš jūsų repo...
Prisimenu, skaičiau, kad kai kuriuose GNU/Linux ir UNIX vadove yra būdas nepaisyti root galimybių, jei rasiu, paskelbsiu 😀
@andrew čia yra mano minėtas straipsnis ir dar daugiau pagalbos
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
ir griauti narvus, kad paleistumėte nežinomus dvejetainius failus?
Naudoti sudo visada yra daug geriau.
Arba galite naudoti sudo, tačiau apribodami slaptažodžio įsimenimo laiką.
Panašūs įrankiai, kuriuos naudoju asmeniniam kompiuteriui stebėti, "iotop" kaip "iostat" pakaitalas, "htop" puikus "užduočių tvarkyklė", "iftop" pralaidumo stebėjimas.
Daugelis manys, kad tai perdėta, bet aš jau mačiau atakas, kuriomis siekiama įtraukti serverį į robotų tinklą.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
PS: Kinijos elgetos ir jų bandymai nulaužti mano serverį.
Patogu ir paslaugoms naudoti chown narvus, todėl jei dėl kokių nors priežasčių jos būtų užpultos, jos nepakenktų sistemai.
Komandos ps naudojimas taip pat puikiai tinka stebėjimui ir gali būti saugumo trūkumų peržiūros veiksmų dalis. veikiant ps -ef pateikiami visi procesai, jis panašus į top, tačiau rodo tam tikrus skirtumus. „Iptraf“ diegimas yra dar vienas įrankis, kuris gali veikti.
Geras indėlis.
Pridurčiau: SELinux arba Apparmor, priklausomai nuo distro, visada įjungtas.
Iš savo patirties supratau, kad išjungti šiuos komponentus yra bloga praktika. Beveik visada tai darome, kai ketiname įdiegti ar konfigūruoti paslaugą, pasiteisindami, kad ji veikia be problemų, kai iš tikrųjų turėtume išmokti juos valdyti, kad leistų tą paslaugą.
Pasisveikinimas.
1.Kaip užšifruoti visą failų sistemą?? Tai verta??
2. Ar ji turi būti iššifruota kiekvieną kartą, kai sistema bus atnaujinta?
3. Ar šifruoti visą failų sistemą mašinoje yra tas pats, kas šifruoti bet kurį kitą failą?
Kaip tu gali pasakyti, kad žinai apie ką kalbi?
Be to, galite įtraukti programas ir net kelis vartotojus. Nors tai padaryti yra daugiau darbo, bet jei kažkas atsitiks ir turėjote ankstesnę to aplanko kopiją, tiesiog įklijuokite ir paleiskite.
Geriausia ir patogiausia saugumo politika – nebūti paranojui.
Pabandykite, tai neklysta.
Naudoju csf ir kai atblokuoju klientą, kuris kai kuriose prieigose neteisingai įvedė slaptažodį, procesas užtrunka, bet tai daroma. Tai yra normalu?
Ieškau komandos atrakinti iš ssh... bet kokių pasiūlymų