GNU / Linux системүүдийн аюулгүй байдлын зөвлөмжүүд

Би энэ бичлэгийг бэлтгэж байсан миний блог хэсэг хугацааны дараа тэд надад үүнийг санал болгосон Линуксээс, мөн цаг хугацааны хомсдолоос болж тэр чадаагүй эсвэл хүссэн юм. Хэрэв би зарим талаар залхуу байвал 😀. Харин одоо тэд Кубад бидний хэлдгээр ажил хаялт зарлаж байна ...

Энэ бол системийн администраторуудад зориулсан аюулгүй байдлын үндсэн дүрмүүдийн эмхэтгэл юм. Энэ тохиолдолд над шиг GNU / Linux дээр суурилсан сүлжээ / систем удирддаг хүмүүст зориулсан болно ... Илүү их байж магадгүй, үнэндээ үүнээс ч их байдаг, энэ бол миний жишээ юм. Линуксийн ертөнцөөр тэнүүчлэх ...

0- Аюулгүй байдлын хамгийн сүүлийн үеийн шинэчлэлтүүдээр манай системийг байнга шинэчлээрэй.

0.1- Шуудангийн жагсаалтын чухал шинэчлэлтүүд [Slackware аюулгүй байдлын зөвлөх, Debian аюулгүй байдлын зөвлөх, Миний хувьд]

1- Зөвшөөрөгдөөгүй ажилтнууд серверүүд рүү физик байдлаар нэвтрэх.

1.1- Нууц үгээ оруулна уу BIOS манай серверүүдийн

1.2- CD / DVD-ээр ачаалах шаардлагагүй

1.3- GRUB / Lilo дахь нууц үг

2- Нууц үгийн сайн бодлого, үсэг, тоон тэмдэгтүүд болон бусад.

2.1- "Chage" командын тусламжтайгаар нууц үгнүүдийн хөгшрөлт [Нууц үгний хөгшрөлт], түүнчлэн нууц үгийн өөрчлөлт болон сүүлчийн өөрчлөлтийн хоорондох хоногийн тоо.

2.2- Өмнөх нууц үгээ ашиглахаас зайлсхий:

/etc/pam.d/common-password дотор

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Энэ бол та нууц үгээ хэрхэн өөрчлөх бөгөөд хэрэглэгчийн хамгийн сүүлийн 10 нууц үгийг сануулах болно.

3- Манай сүлжээ [чиглүүлэгчид, унтраалга, vlans] болон галт ханын менежмент / сегментчлэлийн сайн бодлого, түүнчлэн INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT] шүүлтүүрийн дүрмүүд

4- Бүрхүүл [/ etc / бүрхүүл] ашиглахыг идэвхжүүл. Системд нэвтрэх шаардлагагүй хэрэглэгчид / bin / false эсвэл / bin / nologin-г авдаг.

5- Нэвтрэлт амжилтгүй болох үед хэрэглэгчдийг хориглох [faillog], түүнчлэн системийн хэрэглэгчийн дансыг хянах.

passwd -l pepe -> user pepe-ийг хаах passwd -v pepe -> user pepe-г хориглох

6- "Sudo" ашиглалтыг идэвхжүүлж, ХЭЗЭЭ ч ssh, "ХЭЗЭЭГҮЙ" гэж root-р нэвтрэх ҮҮ. Үнэндээ та энэ зорилгод хүрэхийн тулд ssh тохиргоог засах хэрэгтэй. Сервер дээрээ олон нийтийн / хувийн түлхүүрүүдийг sudo ашиглан ашиглаарай.

7- Манай системд "Хамгийн бага давуу эрхийн зарчим".

8- Манай сервер тус бүрт зориулж үйлчилгээгээ үе үе шалгаж байгаарай [netstat -lptun]. Энэ ажилд бидэнд тус болох хяналтын хэрэгслүүдийг нэмж оруулаарай [Нагиос, Какти, Мунин, Монит, Нтоп, Заббикс].

9- IDSs, Snort / AcidBase, Snotby, Barnyard, OSSEC-ийг суулгана уу.

10- Nmap бол таны найз, үүнийг ашиглан дэд сүлжээ / дэд сүлжээгээ шалгана уу.

11- OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [хамгийн их ашигладаг] болон бусад сүлжээнд шаардлагатай бусад үйлчилгээний аюулгүй байдлын сайн туршлагууд.

12- Манай системүүд болох SSL, gnuTLS, StarTTLS, дайжинг гэх мэт бүх харилцаа холбоог аль болох урт хугацаанд шифрлээрэй ... Хэрэв та эмзэг мэдээллээр ажилладаг бол хатуу дискээ шифрлээрэй !!!

13- Манай мэйлийн серверүүдийг хамгийн сүүлийн үеийн аюулгүй байдал, хар жагсаалт, antispam дүрмээр шинэчлээрэй.

14- Logwatch болон logcheck ашиглан манай систем дэх үйл ажиллагааны бүртгэл.

15- Top, sar, vmstat, free гэх мэт хэрэгслүүдийн мэдлэг, хэрэглээ.

sar -> системийн үйл ажиллагааны тайлан vmstat -> процессууд, санах ой, систем, i / o, CPU-ийн үйл ажиллагаа, гэх мэт. > iptraf санах ой -> манай сүлжээний эстатусын бодит цагийн ачаалал -> консол дээр суурилсан ethernet статистикийн монитор эфир -> график сүлжээний монитор ss -> сокет статус [tcp сокет мэдээлэл, udp, түүхий залгуур, DCCP залгуурууд] tcpdump -> дэлгэрэнгүй шинжилгээ de traffic vnstat -> сонгосон интерфэйсүүдийн сүлжээний траффикийн монитор mtr -> оношилгооны хэрэгсэл ба сүлжээн дэх хэт ачааллын шинжилгээ ethtool -> сүлжээний картуудын статистик.

Одоохондоо энэ бүгд байна. Энэ төрлийн орчинд аюулгүй байдлын талаархи нэг мянга нэг өөр зөвлөмж байдгийг би мэднэ, гэхдээ эдгээр нь намайг хамгийн ихээр гайхшруулсан, эсвэл хэзээ нэгэн цагт миний удирдаж байсан орчинд хэрэглэх / дасгал хийх шаардлагатай болсон.

Тэврээд, танд үйлчилнэ гэж найдаж байна 😀


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

26 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   Корацуки гэж хэлэв

    Уншигчдынхаа мэдлэгийг дээшлүүлэхийн тулд урьд өмнө дурьдсан бусад журмуудаас бусад хэрэгжүүлсэн дүрмийнхээ талаар ярихыг санал сэтгэгдлээр би урьж байна.

    1.    Юкитеру гэж хэлэв

      Би нэмж хэлье:

      1.- dmesg, / proc, SysRQ хандалтаас урьдчилан сэргийлэх sysctl дүрмийг хэрэгжүүлж, цөмд PID1-ийг оноож, хатуу ба зөөлөн тэмдгийн хамгаалалт, IPv4 ба IPv6-ийн TCP / IP стекийн хамгаалалтыг идэвхжүүлж, хамгийн их санамсаргүй байдлаар бүрэн VDSO-г идэвхжүүлнэ. заагч ба санах ойн зайг хуваарилах, буферийн халих чадварыг сайжруулах.

      2.- Системд нэвтрэхгүй байх, эсвэл өмнө нь зөвшөөрөгдөөгүй холболтоос урьдчилан сэргийлэх зорилгоор SPI (Stateful Package Inspect) төрлийн галын ханыг бий болгоно.

      3.- Хэрэв танд алслагдсан газраас өндөр давуу эрх бүхий холболт шаарддаг үйлчилгээ байхгүй бол access.conf ашиглан тэдгээрт хандах хандалтыг цуцлах, эс бөгөөс зөвхөн тодорхой хэрэглэгч эсвэл бүлэгт хандах боломжийг идэвхжүүлэх хэрэгтэй.

      4.- Тодорхой бүлгүүд эсвэл хэрэглэгчдэд хандах хандалтаас таны системийг тогтворгүйжүүлэхээс урьдчилан сэргийлэхийн тулд хатуу хязгаарлалтыг ашигла. Бодит олон хэрэглэгч үргэлж идэвхтэй байдаг орчинд маш их хэрэгтэй байдаг.

      5.- TCPWrappers бол таны найз, хэрэв та үүнийг дэмждэг систем дээр байгаа бол үүнийг ашиглах нь гэмтээхгүй тул та өмнө нь системд тохируулагдаагүй бол ямар ч хостоос хандахаас татгалзаж болно.

      6.- Хамгийн багадаа 2048 бит буюу 4096 битээс илүү SSH RSA товчлууруудыг 16-аас дээш тэмдэгттэй үсэг, тоон товчлуураар бүтээх.

      7.- Та дэлхийн зохиол бичих чадвартай хүн үү? Лавлах жагсаалтаа унших, бичих зөвшөөрлийг шалгах нь тийм ч муу биш бөгөөд олон хэрэглэгчийн орчинд зөвшөөрөлгүй нэвтрэхээс зайлсхийх хамгийн сайн арга юм. өөр хэн ч хардаггүй.

      8. - Шаардлагагүй гадны хуваалтыг noexec, nosuid, nodev гэсэн сонголттой холбоно уу.

      9.- rkhunter, chkrootkit гэх мэт хэрэгслүүдийг ашиглан системд rootkit эсвэл хортой програм суулгаагүй эсэхийг үе үе шалгаж байгаарай. Хэрэв та аюулгүй бус сангаас, PPA-аас юм суулгаж, эсвэл итгэлгүй сайтуудаас шууд код цуглуулж амьдардаг хүмүүсийн нэг бол ухаалаг арга хэмжээ юм.

      1.    Корацуки гэж хэлэв

        Хммм, амттай ... Сайхан сэтгэгдэл байна, залуусаа нэмээрэй ... 😀

    2.    Уильям Морено Рейес гэж хэлэв

      SElinux ашиглан заавал хандах хяналтыг хэрэгжүүлэх үү?

  2.   АрмандоФ гэж хэлэв

    маш сайн нийтлэл

    1.    Корацуки гэж хэлэв

      Баярлалаа найзаа 😀

  3.   Жоако гэж хэлэв

    Сайн байна уу, хэрэв би энгийн хэрэглэгч бол su эсвэл sudo ашиглах уу?
    Sudo-д дургүй учраас би su ашигладаг, яагаад гэвэл миний хэрэглэгчийн нууц үгийг мэддэг хүн систем дээрээ хүссэн зүйлээ сольж болно.

    1.    Корацуки гэж хэлэв

      Таны компьютер дээр su ашиглахад төвөгтэй байдаггүй, та үүнийг серверүүддээ асуудалгүй ашиглаж болно, su-г ашиглахаа больж, sudo-г ашиглахыг зөвлөж байна. тушаал ба sudo нь тэр даалгаврыг гүйцэтгэдэг ... Би ялангуяа, өөрийн компьютер дээрээ би түүнтэй адилхан ашигладаг ...

      1.    Жоако гэж хэлэв

        Мэдээжийн хэрэг, энэ нь сервер дээр хэрхэн ажилладагийг би сайн мэдэхгүй байна. Гэсэн хэдий ч, sudo нь бусад компьютерын хэрэглэгчид давуу эрх олгож болох давуу талтай юм шиг санагдаж байна.

    2.    Эндрю гэж хэлэв

      Сонирхолтой нийтлэл, би gnu-gpg-тэй зарим файлуудыг шифрлэдэг, жишээлбэл, диск дээрх мэдээллийн далайд алдагдсан гарал үүсэл нь тодорхойгүй файлыг гүйцэтгэхийг хүсч байгаа бол зарим функцэд нэвтрэх эрхийг хэрхэн хасах вэ? ?

      1.    Корацуки гэж хэлэв

        Энэ хэсэгт би танд өртэй, гэхдээ та зөвхөн sudo / root хэлбэрээр ажилладаг, найдвартай програмууд, өөрөөр хэлбэл таны репогоос гардаг гэж бодож байна ...

      2.    Юкитеру гэж хэлэв

        GNU / Linux ба UNIX дээрх гарын авлагад root чадамжийг идэвхжүүлэх арга байдаг гэж би уншиж байснаа санаж байна.

      3.    Юкитеру гэж хэлэв

        @andrew бол миний дурдсан нийтлэл, зарим нэмэлт мэдээллийг энд оруулав

        http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf

        http://linux.die.net/man/7/capabilities

        https://wiki.archlinux.org/index.php/Capabilities

      4.    алиалагч гэж хэлэв

        мөн үл мэдэгдэх хоёртын файлыг ажиллуулахын тулд торонд хийсэн уу?

    3.    Юкитеру гэж хэлэв

      Судог ашиглах нь илүү дээр юм.

    4.    элав гэж хэлэв

      Эсвэл та sudo ашиглаж болох боловч нууц үгээ санах хугацааг хязгаарлаж болно.

  4.   Кевин Родригес гэж хэлэв

    Компьютерийг хянахад ашигладаг ижил төстэй хэрэгслүүд, "iotop" -ийг "iostat", "htop" маш сайн "даалгаврын менежер", "iftop" зурвасын өргөнийг хянах боломжтой.

  5.   монитолинукс гэж хэлэв

    Олон хүн үүнийг хэтрүүлсэн гэж бодож магадгүй, гэхдээ серверийг ботнетэд оруулах халдлагыг би аль хэдийн харсан.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: Хятад гуйлгачид болон миний серверийг хакердах оролдлогууд.

  6.   алиалагч гэж хэлэв

    Энэ нь бас тохиромжтой зүйл бол үйлчилгээнд зориулж жижиглэсэн тор ашиглах явдал юм, тиймээс ямар нэгэн шалтгаанаар тэд халдлагад өртсөн тохиолдолд системийг буулгахгүй байх болно.

  7.   Диаб гэж хэлэв

    Ps тушаалыг ашиглах нь хяналт тавихад маш сайн бөгөөд аюулгүй байдлын алдааг шалгах үйл ажиллагааны нэг хэсэг байж болох юм. ps -ef-ийг ажиллуулах нь бүх процессыг жагсаах бөгөөд энэ нь дээд хэсэгтэй төстэй боловч зарим ялгааг харуулдаг. iptraf суулгах нь ажиллах боломжтой өөр нэг хэрэгсэл юм.

  8.   Клаудио Ж. Консепционы гэрчилгээ гэж хэлэв

    Сайн хувь нэмэр.

    Би нэмэх болно: SELinux эсвэл Apparmor, хуваарилалтаас хамааран үргэлж идэвхждэг.

    Эдгээр бүрэлдэхүүн хэсгүүдийг идэвхгүй болгох нь буруу практик гэдгийг би өөрийн туршлагаас ойлгосон. Бид үйлчилгээгээ суулгах эсвэл тохируулах гэж байгаа үед үүнийг бараг үргэлж хийдэг бөгөөд энэ нь асуудалгүй ажилладаг гэсэн шалтгаанаар, хийх ёстой зүйл бол тэр үйлчилгээг зөвшөөрөхийн тулд тэдгээрийг удирдаж сурах явдал юм.

    Баярлалаа.

  9.   GnuLinux ?? гэж хэлэв

    1. Файлын системийг бүхэлд нь хэрхэн шифрлэх вэ? үнэ цэнэтэй??
    2. Систем шинэчлэгдэх болгонд үүнийг тайлах шаардлагатай юу?
    3. Машины файлын системийг бүхэлд нь шифрлэх нь бусад файлуудыг шифрлэхтэй адил юу?

    1.    Юкитеру гэж хэлэв

      Юу ярьж байгаагаа мэддэг гэдгээ хэрхэн харуулах вэ?

  10.   NauTiluS гэж хэлэв

    Түүнчлэн, та програмууд, тэр ч байтугай олон хэрэглэгчдийг торлох боломжтой. Хэдийгээр үүнийг хийх нь илүү их ажил боловч хэрэв танд ямар нэгэн зүйл тохиолдвол тэр хавтасны өмнөх хуулбар байсан бол энэ нь зүгээр л цохиж дуулж байна.

  11.   аялгуу гэж хэлэв

    Хамгийн сайн бөгөөд хамгийн тохиромжтой аюулгүй байдлын бодлого бол гаж донтон биш байх явдал юм.
    Үүнийг туршаад үзээрэй, энэ нь алдаагүй юм.

  12.   Angelbenites гэж хэлэв

    Би csf ашиглаж байгаа бөгөөд нууц үгээ буруу оруулсан клиентийн түгжээг тайлах үед энэ нь процессыг хойшлуулдаг боловч ингэдэг. Энэ бол хэвийн?

    Би ssh-ээс хаах тушаалыг хайж байна ... ямар ч санал