Drošības padomi par GNU / Linux sistēmām

Nu, es jau biju gatavojis šo ierakstu mans emuārs kādu laiku viņi man to ieteica FromLinuxun laika trūkuma dēļ viņš nebija varējis vai vēlējies. Ja esmu kaut cik slinka ????. Bet tagad viņi streiko, kā mēs sakām Kubā ...

Šis ir pamata drošības noteikumu apkopojums sistēmu administratoriem, šajā gadījumā tiem, kā es, kuri pārvalda tīklus / sistēmas, kuru pamatā ir GNU / Linux ... Var būt vairāk un patiesībā ir vairāk, tas ir tikai mana parauga paraugs piedzīvojumi Linux pasaulē ...

0- Atjauniniet mūsu sistēmas ar jaunākajiem drošības atjauninājumiem.

0.1- Kritiski atjauninājumi adresātu sarakstos [Slackware drošības padomnieks, Debian drošības padomnieks, manā gadījumā]

1- Nulles fiziska piekļuve serveriem, kam nav pilnvarota personāla.

1.1- Lietot paroli BIOS no mūsu serveriem

1.2- Nav sāknēšanas ar CD / DVD

1.3- Parole GRUB / Lilo

2- Laba paroļu politika, burtciparu rakstzīmes un citi.

2.1- Paroļu novecošana [Password Aging] ar komandu “chage”, kā arī dienu skaits starp paroles maiņu un pēdējās maiņas datumu.

2.2- Izvairieties no iepriekšējo paroļu izmantošanas:

mapē /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Tas ir tas, kā jūs maināt paroli, un tas jums atgādina pēdējās 10 paroles, kuras lietotājam bija.

3- Laba mūsu tīkla [maršrutētāju, komutatoru, vlans] un ugunsmūra pārvaldības / segmentēšanas politika, kā arī filtrēšanas kārtulas INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]

4- Iespējojiet čaulu [/ etc / shells] izmantošanu. Lietotāji, kuriem nav jāpiesakās sistēmā, iegūst / bin / false vai / bin / nologin.

5- Bloķējiet lietotājus, kad neizdodas pieteikties [faillog], kā arī kontrolējiet sistēmas lietotāja kontu.

passwd -l pepe -> bloķēt lietotāja pepe passwd -v pepe -> atbloķēt lietotāja pepe

6- Iespējojiet "sudo" izmantošanu, NEKAD nepiesakieties kā root, izmantojot ssh, "NEKAD". Faktiski jums ir jārediģē ssh konfigurācija, lai sasniegtu šo mērķi. Izmantojiet publiskās / privātās atslēgas savos serveros, izmantojot sudo.

7- Mūsu sistēmās izmantojiet “Vismazākās privilēģijas princips".

8- Laiku pa laikam pārbaudiet mūsu pakalpojumus [netstat -lptun] katram mūsu serverim. Pievienojiet uzraudzības rīkus, kas mums var palīdzēt šajā uzdevumā [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Instalējiet IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap ir jūsu draugs, izmantojiet to, lai pārbaudītu savu apakštīklu / apakštīklus.

11- Laba drošības prakse OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [tie, kurus visvairāk lieto] un daži citi jūsu tīklā nepieciešamie pakalpojumi.

12- Šifrējiet visu saziņu pēc iespējas ilgāk mūsu sistēmās, SSL, gnuTLS, StarTTLS, digest, utt ... Un, ja jūs apstrādājat sensitīvu informāciju, šifrējiet cieto disku !!!

13- Atjauniniet mūsu pasta serverus ar jaunākajiem drošības, melnā saraksta un surogātpasta izplatīšanas noteikumiem.

14- Darbību reģistrēšana mūsu sistēmās ar logwatch un logcheck.

15- Zināšanas un tādu rīku izmantošana kā top, sar, vmstat, free, cita starpā.

sar -> sistēmas darbības pārskats vmstat -> procesi, atmiņa, sistēma, i / o, procesora darbība utt., iostat -> cpu i / o statuss mpstat -> daudzprocesora statuss un lietojums pmap -> atmiņas izmantošana brīvajos procesos -> iptraf atmiņa -> trafika reāllaikā mūsu tīkla statuss -> konsoles bāzes Ethernet statistikas monitora etherape -> grafiskā tīkla monitora ss -> ligzdas statuss [tcp ligzdas informācija, udp, neapstrādātās ligzdas, DCCP ligzdas] tcpdump -> detalizēta satiksmes vnstat analīze -> izvēlēto interfeisu tīkla trafika monitors -> diagnostikas rīks un pārslodzes tīklos analīze ethtool -> statistika par tīkla kartēm

Pagaidām tas ir viss. Es zinu, ka šāda veida vidē ir vēl tūkstoš un viens drošības ieteikums, taču tie ir tie, kas mani visvairāk pārsteidza vai ka kādā brīdī man nācās pielietot / vingrināties manis pārvaldītajā vidē .

Apskāviens, un es ceru, ka tas jums kalpo 😀


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

26 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   koratsuki teica

    Aicinu jūs komentāros pastāstīt par dažiem citiem noteikumiem, kas ir ieviesti, izņemot jau minētos, lai palielinātu mūsu lasītāju zināšanas 😀

    1.    Jukiteru teica

      Nu es vēlētos piebilst:

      1.- Pielietojiet sysctl kārtulas, lai novērstu piekļuvi dmesg, / proc, SysRQ, piešķirtu kodam PID1, iespējotu cieto un mīksto saišu aizsardzību, TCP / IP skursteņu aizsardzību gan IPv4, gan IPv6, aktivizētu pilnu VDSO maksimālās nejaušības rādītāju rādīšanai un atmiņas vietas piešķiršanu un uzlabo izturību pret bufera pārpildēm.

      2.- Izveidojiet SPI (Stateful Package Inspect) tipa ugunsdrošās sienas, lai nepieļautu, ka savienojumiem, kas nav izveidoti vai iepriekš atļauti, ir piekļuve sistēmai.

      3.- Ja jums nav pakalpojumu, kuriem nepieciešami savienojumi ar paaugstinātām privilēģijām no attālās vietas, vienkārši atsauciet piekļuvi tiem, izmantojot access.conf, vai, ja tas nav iespējams, iespējojiet piekļuvi tikai konkrētam lietotājam vai grupai.

      4.- Izmantojiet stingros ierobežojumus, lai neļautu piekļuvei noteiktām grupām vai lietotājiem destabilizēt jūsu sistēmu. Ļoti noderīgi vidēs, kur pastāvīgi darbojas reāls vairāku lietotāju lietotājs.

      5. - TCPWrappers ir jūsu draugs, ja jūs izmantojat sistēmu ar tās atbalstu, tās izmantošana nekaitētu, tāpēc jūs varat atteikt piekļuvi jebkuram resursdatoram, ja vien tas iepriekš nav konfigurēts sistēmā.

      6. - Izveidojiet SSH RSA atslēgas, kuru garums ir vismaz 2048 biti vai labāks par 4096 bitiem, ar burtciparu atslēgām, kurās ir vairāk nekā 16 rakstzīmes.

      7. - Cik tu esi uzrakstāms pasaulē? Katalogu lasīšanas un rakstīšanas atļauju pārbaude nemaz nav slikta, un tas ir labākais veids, kā izvairīties no nesankcionētas piekļuves daudzlietotāju vidēs, nemaz nerunājot par to, ka dažām nesankcionētām piekļuvēm ir grūtāk piekļūt informācijai, kuru jūs nevēlaties. neviens cits neredz.

      8.- Uzstādiet jebkuru ārējo nodalījumu, kas to nav pelnījis, ar opcijām noexec, nosuid, nodev.

      9.- Izmantojiet tādus rīkus kā rkhunter un chkrootkit, lai periodiski pārbaudītu, vai sistēmā nav instalēts rootkit vai ļaunprātīga programmatūra. Piesardzīgs pasākums, ja jūs esat viens no tiem, kas instalē lietas no nedrošiem krātuvēm, no EPL vai vienkārši dzīvo, apkopojot kodu no neuzticamām vietnēm.

      1.    koratsuki teica

        Hmmm, garšīgi ... Labs komentārs, pievienojiet puišus ... 😀

    2.    Viljams Moreno Rejess teica

      Vai lietot SElinux obligātu piekļuves kontroli?

  2.   ArmandoF teica

    ļoti labs raksts

    1.    koratsuki teica

      Paldies draugs 😀

  3.   joako teica

    Sveiki, un, ja esmu parasts lietotājs, vai man vajadzētu izmantot su vai sudo?
    Es izmantoju su, jo man nepatīk sudo, jo ikviens, kam ir mana lietotāja parole, sistēmā var mainīt visu, ko vēlas, tā vietā ar su nē.

    1.    koratsuki teica

      Datorā tas netraucē izmantot su, jūs varat to izmantot bez problēmām, serveros, ir ļoti ieteicams atspējot su lietošanu un izmantot sudo, daudzi saka, ka tas ir saistīts ar revīzijas faktu, kurš ko izpildīja komanda un sudo veic šo uzdevumu ... Es jo īpaši uz sava datora izmantoju viņu, tāpat kā jūs ...

      1.    joako teica

        Protams, es īsti nezinu, kā tas darbojas serveros. Lai gan, man šķiet, ka sudo bija tā priekšrocība, ka jūs varat piešķirt privilēģijas cita datora lietotājam, ja nemaldos.

    2.    andrew teica

      Interesants raksts. Es šifrēju dažus failus ar gnu-gpg, tāpat kā ar minimālo privilēģiju, ja vēlaties izpildīt, piemēram, nezināmas izcelsmes bināru failu, kas pazudis diskā esošajās milzīgajās informācijas jūrās, kā es varu noņemt piekļuve noteiktām funkcijām?

      1.    koratsuki teica

        Es jums esmu parādā šo daļu, lai gan es domāju, ka jums vajadzētu darboties tikai kā sudo / root, programmas, kas ir uzticamas, tas ir, tās nāk no jūsu repo ...

      2.    Jukiteru teica

        Es atceros, ka esmu lasījis, ka kādā no GNU / Linux un UNIX rokasgrāmatām ir iespējams iespējot saknes iespējas, ja es to atradīšu, es to ievietošu 😀

      3.    klauns teica

        un chown būrīšus, lai palaistu nezināmus bināros failus?

    3.    Jukiteru teica

      Sudo lietošana vienmēr ir daudz labāka.

    4.    elav teica

      Vai arī varat izmantot sudo, bet ierobežojot paroles atcerēšanās laiku.

  4.   Kevins Rodrigess teica

    Līdzīgus rīkus, kurus izmantoju datora uzraudzībai, «iotop» kā «iostat» aizstājēju, «htop» izcilu «uzdevumu pārvaldnieku», «iftop» joslas platuma uzraudzību.

  5.   monitolinukss teica

    daudzi uzskatīs, ka tas ir pārspīlēts, bet es jau esmu redzējis uzbrukumus, lai robotu tīklā iekļautu serveri.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: ķīniešu ubagi un viņu mēģinājumi uzlauzt manu serveri.

  6.   klauns teica

    Ērts ir arī dienestiem izmantot sprostu būrus, tāpēc, ja kādu iemeslu dēļ viņiem tiek uzbrukts, tie neapdraudētu sistēmu.

  7.   velns teica

    Komandas ps izmantošana ir arī lieliska uzraudzībai, un tā var būt daļa no darbībām, lai pārbaudītu drošības trūkumus. palaižot ps -ef, tiek uzskaitīti visi procesi, tas ir līdzīgs augšējam, tomēr tajā ir dažas atšķirības. iptraf instalēšana ir vēl viens rīks, kas var darboties.

  8.   Klaudio Dž. Konsepsjons Noteiktība teica

    Labs ieguldījums.

    Es gribētu piebilst: SELinux vai Apparmor, atkarībā no izplatīšanas, vienmēr ir iespējoti.

    Pēc savas pieredzes es sapratu, ka ir slikta prakse atspējot šos komponentus. Mēs gandrīz vienmēr to darām, kad gatavojamies instalēt vai konfigurēt pakalpojumu, aizbildinoties ar to, ka tas darbojas bez problēmām, kad mums patiešām ir jāmācās rīkoties ar viņiem, lai atļautu šo pakalpojumu.

    Sveiciens.

  9.   GnuLinux ?? teica

    1. Kā šifrēt visu failu sistēmu? ir vērts??
    2. Vai tas ir jāatšifrē katru reizi, kad sistēma tiks atjaunināta?
    3. Vai visas mašīnas failu sistēmas šifrēšana ir tāda pati kā jebkura cita faila šifrēšana?

    1.    Jukiteru teica

      Kā jūs varat parādīt, ka zināt, par ko runājat?

  10.   NauTiluS teica

    Varat arī ievietot būrī programmas un pat vairākus lietotājus. Lai gan tas ir vairāk darbs, bet, ja kaut kas notika, un jums bija iepriekšēja šīs mapes kopija, tas vienkārši sit un dzied.

  11.   tonis teica

    Vislabākā un ērtākā drošības politika nedrīkst būt paranoja.
    Izmēģiniet to, tas ir nekļūdīgs.

  12.   eņģeļu benīti teica

    Es izmantoju csf un, atbloķējot klientu, kurš kādā piekļuvē nepareizi ievietoja paroli, tas aizkavē procesu, bet tas notiek. Tas ir normāli?

    Es meklēju komandu atbloķēt no ssh ... jebkurš ieteikums