Nu, es jau biju gatavojis šo ierakstu mans emuārs kādu laiku viņi man to ieteica DesdeLinuxun laika trūkuma dēļ viņš nebija varējis vai vēlējies. Ja esmu kaut cik slinka ????. Bet tagad viņi streiko, kā mēs sakām Kubā ...
0- Atjauniniet mūsu sistēmas ar jaunākajiem drošības atjauninājumiem.
0.1- Kritiski atjauninājumi adresātu sarakstos [Slackware drošības padomnieks, Debian drošības padomnieks, manā gadījumā]
1- Nulles fiziska piekļuve serveriem, kam nav pilnvarota personāla.
1.1- Lietot paroli BIOS no mūsu serveriem
1.2- Nav sāknēšanas ar CD / DVD
1.3- Parole GRUB / Lilo
2- Laba paroļu politika, burtciparu rakstzīmes un citi.
2.1- Paroļu novecošana [Password Aging] ar komandu “chage”, kā arī dienu skaits starp paroles maiņu un pēdējās maiņas datumu.
2.2- Izvairieties no iepriekšējo paroļu izmantošanas:
mapē /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Tas ir tas, kā jūs maināt paroli, un tas jums atgādina pēdējās 10 paroles, kuras lietotājam bija.
3- Laba mūsu tīkla [maršrutētāju, komutatoru, vlans] un ugunsmūra pārvaldības / segmentēšanas politika, kā arī filtrēšanas kārtulas INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Iespējojiet čaulu [/ etc / shells] izmantošanu. Lietotāji, kuriem nav jāpiesakās sistēmā, iegūst / bin / false vai / bin / nologin.
5- Bloķējiet lietotājus, kad neizdodas pieteikties [faillog], kā arī kontrolējiet sistēmas lietotāja kontu.
passwd -l pepe -> bloķēt lietotāja pepe passwd -v pepe -> atbloķēt lietotāja pepe
6- Iespējojiet "sudo" izmantošanu, NEKAD nepiesakieties kā root, izmantojot ssh, "NEKAD". Faktiski jums ir jārediģē ssh konfigurācija, lai sasniegtu šo mērķi. Izmantojiet publiskās / privātās atslēgas savos serveros, izmantojot sudo.
7- Mūsu sistēmās izmantojiet “Vismazākās privilēģijas princips".
8- Laiku pa laikam pārbaudiet mūsu pakalpojumus [netstat -lptun] katram mūsu serverim. Pievienojiet uzraudzības rīkus, kas mums var palīdzēt šajā uzdevumā [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Instalējiet IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap ir jūsu draugs, izmantojiet to, lai pārbaudītu savu apakštīklu / apakštīklus.
11- Laba drošības prakse OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [tie, kurus visvairāk lieto] un daži citi jūsu tīklā nepieciešamie pakalpojumi.
12- Šifrējiet visu saziņu pēc iespējas ilgāk mūsu sistēmās, SSL, gnuTLS, StarTTLS, digest, utt ... Un, ja jūs apstrādājat sensitīvu informāciju, šifrējiet cieto disku !!!
13- Atjauniniet mūsu pasta serverus ar jaunākajiem drošības, melnā saraksta un surogātpasta izplatīšanas noteikumiem.
14- Darbību reģistrēšana mūsu sistēmās ar logwatch un logcheck.
15- Zināšanas un tādu rīku izmantošana kā top, sar, vmstat, free, cita starpā.
sar -> sistēmas darbības pārskats vmstat -> procesi, atmiņa, sistēma, i / o, procesora darbība utt., iostat -> cpu i / o statuss mpstat -> daudzprocesora statuss un lietojums pmap -> atmiņas izmantošana brīvajos procesos -> iptraf atmiņa -> trafika reāllaikā mūsu tīkla statuss -> konsoles bāzes Ethernet statistikas monitora etherape -> grafiskā tīkla monitora ss -> ligzdas statuss [tcp ligzdas informācija, udp, neapstrādātās ligzdas, DCCP ligzdas] tcpdump -> detalizēta satiksmes vnstat analīze -> izvēlēto interfeisu tīkla trafika monitors -> diagnostikas rīks un pārslodzes tīklos analīze ethtool -> statistika par tīkla kartēm
Pagaidām tas ir viss. Es zinu, ka šāda veida vidē ir vēl tūkstoš un viens drošības ieteikums, taču tie ir tie, kas mani visvairāk pārsteidza vai ka kādā brīdī man nācās pielietot / vingrināties manis pārvaldītajā vidē .
Apskāviens, un es ceru, ka tas jums kalpo 😀
Aicinu jūs komentāros pastāstīt par dažiem citiem noteikumiem, kas ir ieviesti, izņemot jau minētos, lai palielinātu mūsu lasītāju zināšanas 😀
Nu es vēlētos piebilst:
1.- Pielietojiet sysctl kārtulas, lai novērstu piekļuvi dmesg, / proc, SysRQ, piešķirtu kodam PID1, iespējotu cieto un mīksto saišu aizsardzību, TCP / IP skursteņu aizsardzību gan IPv4, gan IPv6, aktivizētu pilnu VDSO maksimālās nejaušības rādītāju rādīšanai un atmiņas vietas piešķiršanu un uzlabo izturību pret bufera pārpildēm.
2.- Izveidojiet SPI (Stateful Package Inspect) tipa ugunsdrošās sienas, lai nepieļautu, ka savienojumiem, kas nav izveidoti vai iepriekš atļauti, ir piekļuve sistēmai.
3.- Ja jums nav pakalpojumu, kuriem nepieciešami savienojumi ar paaugstinātām privilēģijām no attālās vietas, vienkārši atsauciet piekļuvi tiem, izmantojot access.conf, vai, ja tas nav iespējams, iespējojiet piekļuvi tikai konkrētam lietotājam vai grupai.
4.- Izmantojiet stingros ierobežojumus, lai neļautu piekļuvei noteiktām grupām vai lietotājiem destabilizēt jūsu sistēmu. Ļoti noderīgi vidēs, kur pastāvīgi darbojas reāls vairāku lietotāju lietotājs.
5. - TCPWrappers ir jūsu draugs, ja jūs izmantojat sistēmu ar tās atbalstu, tās izmantošana nekaitētu, tāpēc jūs varat atteikt piekļuvi jebkuram resursdatoram, ja vien tas iepriekš nav konfigurēts sistēmā.
6. - Izveidojiet SSH RSA atslēgas, kuru garums ir vismaz 2048 biti vai labāks par 4096 bitiem, ar burtciparu atslēgām, kurās ir vairāk nekā 16 rakstzīmes.
7. - Cik tu esi uzrakstāms pasaulē? Katalogu lasīšanas un rakstīšanas atļauju pārbaude nemaz nav slikta, un tas ir labākais veids, kā izvairīties no nesankcionētas piekļuves daudzlietotāju vidēs, nemaz nerunājot par to, ka dažām nesankcionētām piekļuvēm ir grūtāk piekļūt informācijai, kuru jūs nevēlaties. neviens cits neredz.
8.- Uzstādiet jebkuru ārējo nodalījumu, kas to nav pelnījis, ar opcijām noexec, nosuid, nodev.
9.- Izmantojiet tādus rīkus kā rkhunter un chkrootkit, lai periodiski pārbaudītu, vai sistēmā nav instalēts rootkit vai ļaunprātīga programmatūra. Piesardzīgs pasākums, ja jūs esat viens no tiem, kas instalē lietas no nedrošiem krātuvēm, no EPL vai vienkārši dzīvo, apkopojot kodu no neuzticamām vietnēm.
Hmmm, garšīgi ... Labs komentārs, pievienojiet puišus ... 😀
Vai lietot SElinux obligātu piekļuves kontroli?
ļoti labs raksts
Paldies draugs 😀
Sveiki, un, ja esmu parasts lietotājs, vai man vajadzētu izmantot su vai sudo?
Es izmantoju su, jo man nepatīk sudo, jo ikviens, kam ir mana lietotāja parole, sistēmā var mainīt visu, ko vēlas, tā vietā ar su nē.
Datorā tas netraucē izmantot su, jūs varat to izmantot bez problēmām, serveros, ir ļoti ieteicams atspējot su lietošanu un izmantot sudo, daudzi saka, ka tas ir saistīts ar revīzijas faktu, kurš ko izpildīja komanda un sudo veic šo uzdevumu ... Es jo īpaši uz sava datora izmantoju viņu, tāpat kā jūs ...
Protams, es īsti nezinu, kā tas darbojas serveros. Lai gan, man šķiet, ka sudo bija tā priekšrocība, ka jūs varat piešķirt privilēģijas cita datora lietotājam, ja nemaldos.
Interesants raksts. Es šifrēju dažus failus ar gnu-gpg, tāpat kā ar minimālo privilēģiju, ja vēlaties izpildīt, piemēram, nezināmas izcelsmes bināru failu, kas pazudis diskā esošajās milzīgajās informācijas jūrās, kā es varu noņemt piekļuve noteiktām funkcijām?
Es jums esmu parādā šo daļu, lai gan es domāju, ka jums vajadzētu darboties tikai kā sudo / root, programmas, kas ir uzticamas, tas ir, tās nāk no jūsu repo ...
Es atceros, ka esmu lasījis, ka kādā no GNU / Linux un UNIX rokasgrāmatām ir iespējams iespējot saknes iespējas, ja es to atradīšu, es to ievietošu 😀
@andrew šeit ir manis pieminētais raksts un vēl kāda palīdzība
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
un chown būrīšus, lai palaistu nezināmus bināros failus?
Sudo lietošana vienmēr ir daudz labāka.
Vai arī varat izmantot sudo, bet ierobežojot paroles atcerēšanās laiku.
Līdzīgus rīkus, kurus izmantoju datora uzraudzībai, «iotop» kā «iostat» aizstājēju, «htop» izcilu «uzdevumu pārvaldnieku», «iftop» joslas platuma uzraudzību.
daudzi uzskatīs, ka tas ir pārspīlēts, bet es jau esmu redzējis uzbrukumus, lai robotu tīklā iekļautu serveri.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: ķīniešu ubagi un viņu mēģinājumi uzlauzt manu serveri.
Ērts ir arī dienestiem izmantot sprostu būrus, tāpēc, ja kādu iemeslu dēļ viņiem tiek uzbrukts, tie neapdraudētu sistēmu.
Komandas ps izmantošana ir arī lieliska uzraudzībai, un tā var būt daļa no darbībām, lai pārbaudītu drošības trūkumus. palaižot ps -ef, tiek uzskaitīti visi procesi, tas ir līdzīgs augšējam, tomēr tajā ir dažas atšķirības. iptraf instalēšana ir vēl viens rīks, kas var darboties.
Labs ieguldījums.
Es gribētu piebilst: SELinux vai Apparmor, atkarībā no izplatīšanas, vienmēr ir iespējoti.
Pēc savas pieredzes es sapratu, ka ir slikta prakse atspējot šos komponentus. Mēs gandrīz vienmēr to darām, kad gatavojamies instalēt vai konfigurēt pakalpojumu, aizbildinoties ar to, ka tas darbojas bez problēmām, kad mums patiešām ir jāmācās rīkoties ar viņiem, lai atļautu šo pakalpojumu.
Sveiciens.
1. Kā šifrēt visu failu sistēmu? ir vērts??
2. Vai tas ir jāatšifrē katru reizi, kad sistēma tiks atjaunināta?
3. Vai visas mašīnas failu sistēmas šifrēšana ir tāda pati kā jebkura cita faila šifrēšana?
Kā jūs varat parādīt, ka zināt, par ko runājat?
Varat arī ievietot būrī programmas un pat vairākus lietotājus. Lai gan tas ir vairāk darbs, bet, ja kaut kas notika, un jums bija iepriekšēja šīs mapes kopija, tas vienkārši sit un dzied.
Vislabākā un ērtākā drošības politika nedrīkst būt paranoja.
Izmēģiniet to, tas ir nekļūdīgs.
Es izmantoju csf un, atbloķējot klientu, kurš kādā piekļuvē nepareizi ievietoja paroli, tas aizkavē procesu, bet tas notiek. Tas ir normāli?
Es meklēju komandu atbloķēt no ssh ... jebkurš ieteikums