जीएनयू / लिनक्स सिस्टमवरील सुरक्षा टीपा

बरं, मी हे पोस्ट यासाठी तयार करत होतो माझा ब्लॉग काही काळ त्यांनी ते मला सुचवले DesdeLinux, आणि वेळेअभावी तो सक्षम किंवा इच्छुक नव्हता. मी काहीसे आळशी असल्यास 😀. परंतु आता ते संपावर आहेत, जसे आम्ही क्युबामध्ये म्हणतो ...

0- नवीनतम सुरक्षा अद्यतनांसह आमच्या सिस्टम अद्यतनित ठेवा.

0.1- गंभीर अद्यतने मेलिंग याद्या [स्लॅकवेअर सुरक्षा सल्लागार, डेबियन सुरक्षा सल्लागार, माझ्या बाबतीत]

1- अनधिकृत कर्मचार्‍यांकडून सर्व्हरवर शून्य भौतिक प्रवेश.

1.1- वर संकेतशब्द लागू करा BIOS आमच्या सर्व्हरचा

1.2- सीडी / डीव्हीडी द्वारे बूट नाही

1.3- GRUB / Lilo मधील संकेतशब्द

2- चांगले संकेतशब्द धोरण, अल्फान्यूमेरिक अक्षरे आणि इतर.

2.1- संकेतशब्दांचे एजिंग [पासवर्ड एजिंग] "चागे" कमांडसह, तसेच संकेतशब्द बदलणे आणि शेवटच्या बदलाच्या तारखे दरम्यान किती दिवस आहेत.

2.2- मागील संकेतशब्द वापरणे टाळा:

/etc/pam.d/common-password मध्ये

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

तर आपण संकेतशब्द बदलता आणि वापरकर्त्याने आपल्याकडे गेल्या 10 संकेतशब्दांची आठवण करून दिली.

3- आमच्या नेटवर्कचे चांगले व्यवस्थापन / विभाजन धोरण [राउटर, स्विचेस, व्हॅलेन्स] आणि फायरवॉल तसेच फिल्टरिंग नियम इनपुट, आउटपुट, फॉरवर्ड [नेट, एसएनएटी, डीएनएटी]

4- शेलचा वापर सक्षम करा [/ etc / shells]. ज्या वापरकर्त्यांना सिस्टममध्ये लॉग इन करण्याची आवश्यकता नाही त्यांना / बिन / खोटे किंवा / बिन / नोलोगिन मिळतील.

5- लॉगिन अयशस्वी झाल्यास वापरकर्त्यांना अवरोधित करा [फॉइलॉग], तसेच सिस्टम वापरकर्ता खाते नियंत्रित करा.

passwd -l pepe -> ब्लॉक यूजर पेप पासडब्ल्यूडी - पी पेप -> यूजर पेप अनलॉक करा

6- "Sudo" चा वापर सक्षम करा, ssh द्वारे रूट म्हणून कधीही लॉग इन करू नका, "कधीही नाही". वास्तविक हा हेतू साध्य करण्यासाठी आपण ssh कॉन्फिगरेशन संपादित करणे आवश्यक आहे. Sudo सह आपल्या सर्व्हरवर सार्वजनिक / खाजगी की वापरा.

7- आमच्या सिस्टम मध्ये लागू करा “किमान विशेषाधिकार तत्त्व".

8- आमच्या प्रत्येक सर्व्हरसाठी आमच्या सेवा वेळोवेळी [नेटस्टेट -ल्गुन] तपासा. या कार्यात आम्हाला मदत करू शकणारी देखरेख साधने जोडा [नागीओस, कॅक्टि, मुनिन, मोनिट, नॉटॉप, झब्बिक्स].

9- आयडी, स्नॉर्ट / idसिडबेस, स्नॉटबी, बार्नयार्ड, ओएसएससी स्थापित करा.

10- एनएमएपी आपला मित्र आहे, आपला सबनेट / सबनेट तपासण्यासाठी त्याचा वापर करा.

11- ओपनएसएच, अपाचे 2, एनजीन्क्स, मायएसक्यूएल, पोस्टग्रेएसक्यूएल, पोस्टफिक्स, स्क्विड, साम्बा, एलडीएपी [आपल्याला सर्वाधिक वापरत असलेल्या] आणि आपल्या नेटवर्कमध्ये आपल्याला आवश्यक असलेल्या काही अन्य सेवांमध्ये चांगल्या सुरक्षा पद्धती आहेत.

12- आमच्या सिस्टम, एसएसएल, जीएनटीएलएलएस, स्टारटीटीएलएस, डायजेस्ट इ. मध्ये शक्य तितक्या सर्व संप्रेषण एन्क्रिप्ट करा ... आणि आपण संवेदनशील माहिती हाताळल्यास, आपल्या हार्ड ड्राइव्हला कूटबद्ध करा !!!

13- नवीनतम सुरक्षा, ब्लॅकलिस्ट आणि अँटिस्पाम नियमांसह आमचे मेल सर्व्हर अद्यतनित करा.

14- लॉगवॉच आणि लॉगचेकसह आमच्या सिस्टममध्ये क्रियाकलाप लॉगिंग.

15- इतरांमधले टॉप, सार, व्हीएमस्टॅट, फ्रि, यासारख्या साधनांचे ज्ञान आणि वापर.

sar -> सिस्टम अ‍ॅक्टिव्हिटी रिपोर्ट vmstat -> प्रक्रिया, मेमरी, सिस्टम, i / o, cpu अ‍ॅक्टिव्हिटी इ. iostat -> cpu i / o स्टेटस mpstat -> मल्टीप्रोसेसर स्टेटस आणि युजेशन पीएमएपी -> मेमरी वापर फ्री प्रोसेसद्वारे - > iptraf मेमरी -> आमच्या नेटवर्क एथॅस्टसच्या रिअल टाइममध्ये रहदारी -> कन्सोल-आधारित ईथरनेट आकडेवारी मॉनिटर etherape -> ग्राफिकल नेटवर्क मॉनिटर ss -> सॉकेट स्थिती [tcp सॉकेट माहिती, udp, रॉ सॉकेट, डीसीसीपी सॉकेट] tcpdump -> तपशीलवार विश्लेषण डी ट्रॅफिक व्न्स्टाट -> निवडलेल्या इंटरफेसचे नेटवर्क ट्रॅफिक मॉनिटर -> निदान साधन आणि नेटवर्क इथोल मधील ओव्हरलोडचे विश्लेषण -> नेटवर्क कार्डबद्दल आकडेवारी

आत्ता हे सर्व आहे. मला माहित आहे की या प्रकारच्या वातावरणामध्ये एक हजार आणि आणखी एक सुरक्षा सूचना आहेत, परंतु या गोष्टी ज्याने मला सर्वात जवळून प्रभावित केले आहे किंवा काहीवेळा मला प्रशासित केलेल्या वातावरणात मला व्यायाम / व्यायाम करावे लागले.

आलिंगन आणि मला आशा आहे की ती तुमची सेवा करेल 😀