Baiklah, saya telah menyiapkan siaran ini untuk blog saya untuk beberapa lama mereka mencadangkannya kepada saya di DesdeLinux, dan kerana kekurangan masa, dia tidak mampu atau rela. Sekiranya saya agak malas ????. Tetapi sekarang mereka mogok, seperti yang kita katakan di Cuba ...
0- Pastikan sistem kami dikemas kini dengan kemas kini keselamatan terkini.
0.1- Senarai Surat Kemas Kini Kritikal [Penasihat Keselamatan Slackware, Penasihat Keselamatan Debian, dalam kes saya]
1- Akses fizikal sifar ke pelayan oleh kakitangan yang tidak dibenarkan.
1.1- Gunakan kata laluan ke BIOS pelayan kami
1.2- Tiada but dengan CD / DVD
1.3- Kata Laluan dalam GRUB / Lilo
2- Dasar kata laluan yang baik, watak alfanumerik dan lain-lain.
2.1- Penuaan kata laluan [Penuaan Kata Laluan] dengan perintah "chage", serta bilangan hari antara pertukaran kata laluan dan tarikh perubahan terakhir.
2.2- Elakkan menggunakan kata laluan sebelumnya:
dalam /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Oleh itu, anda menukar kata laluan dan ia mengingatkan anda tentang 10 kata laluan terakhir yang dimiliki pengguna.
3- Dasar pengurusan / segmentasi rangkaian [router, switch, vlans] dan firewall kami yang baik, serta peraturan penyaringan INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Dayakan penggunaan shell [/ etc / shells]. Pengguna yang tidak perlu masuk ke dalam sistem akan mendapat / bin / false atau / bin / nologin.
5- Sekat pengguna apabila log masuk gagal [faillog], dan juga mengawal akaun pengguna sistem.
passwd -l pepe -> blok pengguna pepe passwd -v pepe -> buka blokir pengguna pepe
6- Aktifkan penggunaan "sudo", JANGAN log masuk sebagai root oleh ssh, "TIDAK PERNAH". Sebenarnya anda mesti mengedit konfigurasi ssh untuk mencapai tujuan ini. Gunakan kunci awam / peribadi di pelayan anda dengan sudo.
7- Terapkan dalam sistem kami "Prinsip keistimewaan yang paling rendah".
8- Periksa perkhidmatan kami dari semasa ke semasa [netstat -lptun], untuk setiap pelayan kami. Tambahkan alat pemantauan yang dapat membantu kami dalam tugas ini [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Pasang IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap adalah rakan anda, gunakannya untuk memeriksa subnet / subnet anda.
11- Amalan keselamatan yang baik di OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [yang paling banyak digunakan] dan beberapa perkhidmatan lain yang anda perlukan dalam rangkaian anda.
12- Enkripsi semua komunikasi selagi boleh dilakukan dalam sistem kami, SSL, gnuTLS, StarTTLS, digest, dll ... Dan jika anda mengendalikan maklumat sensitif, enkripsi cakera keras anda !!!
13- Kemas kini pelayan mel kami dengan peraturan keselamatan, senarai hitam dan antispam terkini.
14- Aktiviti log masuk dalam sistem kami dengan logwatch dan logcheck.
15- Pengetahuan dan penggunaan alat seperti top, sar, vmstat, percuma, antara lain.
sar -> laporan aktiviti sistem vmstat -> proses, memori, sistem, i / o, aktiviti cpu, dll iostat -> status cpu i / o mpstat -> status multiprosesor dan penggunaan pmap -> penggunaan memori dengan proses percuma - > memori iptraf -> lalu lintas dalam masa nyata etstatus rangkaian kami -> statistik ethernet berasaskan konsol etherape monitor -> monitor rangkaian grafik ss -> status soket [tcp socket info, udp, soket mentah, DCCP Sockets] tcpdump -> Analisis terperinci de traffic vnstat -> monitor trafik rangkaian antara muka terpilih mtr -> alat diagnostik dan analisis kelebihan beban dalam ettool rangkaian -> statistik mengenai kad rangkaian
Buat masa ini semuanya. Saya tahu bahawa terdapat seribu satu cadangan keselamatan dalam jenis persekitaran ini, tetapi inilah yang paling menarik perhatian saya, atau pada suatu ketika saya terpaksa menggunakan / melakukan latihan di persekitaran yang saya tadbir.
Pelukan dan saya harap ia melayani anda 😀
Saya menjemput anda dalam komen untuk memberitahu kami mengenai beberapa peraturan lain yang telah dilaksanakan selain daripada yang telah disebutkan, untuk meningkatkan pengetahuan pembaca kami 😀
Saya akan menambah:
1.- Terapkan peraturan sysctl untuk mengelakkan dmesg, / proc, akses SysRQ, tetapkan PID1 ke teras, aktifkan perlindungan untuk symlink keras dan lembut, perlindungan untuk timbunan TCP / IP untuk kedua-dua IPv4 dan IPv6, aktifkan VDSO penuh untuk pengacakan penunjuk maksimum dan peruntukan ruang memori dan meningkatkan kekuatan terhadap limpahan buffer.
2.- Buat tembok api jenis SPI (Stateful Package Inspect) untuk mengelakkan sambungan yang tidak dibuat atau sebelumnya dibenarkan masuk ke sistem.
3.- Sekiranya anda tidak mempunyai perkhidmatan yang menjamin sambungan dengan hak istimewa yang tinggi dari lokasi terpencil, cabut saja akses tersebut menggunakan access.conf, atau, jika gagal, izinkan akses kepada pengguna atau kumpulan tertentu sahaja.
4.- Gunakan had yang sukar untuk mengelakkan akses kepada kumpulan atau pengguna tertentu daripada tidak stabil sistem anda. Sangat berguna dalam persekitaran di mana terdapat banyak pengguna yang aktif setiap masa.
5.- TCPWrappers adalah rakan anda, jika anda menggunakan sistem yang menyokongnya, menggunakannya tidak akan menyakitkan, jadi anda boleh menolak akses dari mana-mana host kecuali jika ia dikonfigurasi sebelumnya dalam sistem.
6.- Buat kekunci SSH RSA sekurang-kurangnya 2048 bit atau lebih baik 4096 bit dengan kekunci alfanumerik lebih daripada 16 aksara.
7.- Bagaimana anda boleh menulis dunia? Memeriksa kebenaran baca-tulis dari direktori anda sama sekali tidak buruk dan merupakan kaedah terbaik untuk mengelakkan akses tanpa izin di persekitaran berbilang pengguna, apatah lagi ia menjadikannya lebih sukar bagi akses tanpa kebenaran tertentu untuk mendapatkan akses ke maklumat yang anda tidak mahukan. tidak ada orang lain yang melihat.
8.- Pasang partition luaran yang tidak layak, dengan pilihan noexec, nosuid, nodev.
9.- Gunakan alat seperti rkhunter dan chkrootkit untuk memeriksa secara berkala bahawa sistem tidak mempunyai rootkit atau malware yang dipasang. Langkah yang bijak jika anda adalah salah satu yang memasang barang dari repositori yang tidak selamat, dari PPA atau hanya menyusun kod langsung dari laman web yang tidak dipercayai.
Eh, sedap ... Komen yang bagus, tambah lelaki ... 😀
Gunakan Kawalan Akses Mandatori dengan SElinux?
artikel yang sangat bagus
Terima kasih kawan 😀
Halo dan sekiranya saya pengguna biasa, adakah saya harus menggunakan su atau sudo?
Saya menggunakan su kerana saya tidak suka sudo, kerana sesiapa yang mempunyai kata laluan pengguna saya dapat mengubah apa sahaja yang mereka inginkan pada sistem, bukan dengan su no.
Pada PC anda tidak ada masalah untuk menggunakan su, anda boleh menggunakannya tanpa masalah, di pelayan, sangat disarankan untuk melumpuhkan penggunaan su dan menggunakan sudo, banyak yang mengatakan bahawa ini disebabkan oleh fakta pengauditan yang melaksanakan apa perintah dan sudo melakukan tugas itu ... Saya khususnya, di komputer saya saya menggunakan dia, sama seperti anda ...
Pasti, saya tidak begitu tahu cara kerjanya di pelayan. Walaupun, menurut saya sudo mempunyai kelebihan bahawa anda dapat memberikan hak istimewa kepada pengguna komputer lain, jika saya tidak salah.
Artikel yang menarik, saya menyulitkan beberapa fail dengan gnu-gpg, seperti hak istimewa minimum, sekiranya anda ingin melaksanakan, sebagai contoh, binari asal tidak diketahui hilang di lautan maklumat yang besar di cakera, bagaimana cara membuang akses ke tertentu fungsi?
Saya berhutang kepada anda, walaupun saya rasa anda hanya boleh dijalankan sebagai sudo / root, program yang boleh dipercayai, iaitu, ia berasal dari repo anda ...
Saya teringat membaca bahawa ada cara untuk mengaktifkan keupayaan root dalam manual pada GNU / Linux dan UNIX, jika saya menjumpainya, saya akan meletakkannya 😀
@andrew inilah artikel yang saya nyatakan dan beberapa bantuan lagi
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
dan sangkar chown untuk menjalankan binari yang tidak diketahui?
Menggunakan sudo setiap masa jauh lebih baik.
Atau anda boleh menggunakan sudo, tetapi mengehadkan masa kata laluan diingat.
Alat serupa yang saya gunakan untuk memantau pc, "iotop" sebagai pengganti pemantauan lebar jalur "iostat", "htop" sangat baik "pengurus tugas", "iftop".
banyak yang akan menganggapnya berlebihan, tetapi saya telah melihat serangan untuk memasukkan pelayan ke botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: pengemis Cina dan percubaan mereka untuk menggodam pelayan saya.
sesuatu yang juga mudah adalah menggunakan sangkar chown untuk perkhidmatan tersebut, jadi jika atas sebab tertentu mereka diserang, mereka tidak akan menjejaskan sistem.
Menggunakan perintah ps juga sangat baik untuk pemantauan dan boleh menjadi sebahagian daripada tindakan untuk memeriksa kekurangan keselamatan. menjalankan ps -ef menyenaraikan semua proses, ia serupa dengan bahagian atas namun ia menunjukkan beberapa perbezaan. memasang iptraf adalah alat lain yang mungkin berfungsi.
Sumbangan yang baik.
Saya akan menambah: SELinux atau Apparmor, bergantung pada distro, sentiasa diaktifkan.
Dari pengalaman saya sendiri, saya menyedari bahawa adalah salah amalan untuk mematikan komponen tersebut. Kami hampir selalu melakukannya ketika hendak memasang atau mengkonfigurasi perkhidmatan, dengan alasan ia berjalan tanpa masalah, sedangkan sebenarnya yang harus kita lakukan adalah belajar mengendalikannya untuk membenarkan perkhidmatan tersebut.
Sesuatu ucapan.
1. Bagaimana menyulitkan keseluruhan sistem fail? berbaloi??
2. Adakah ia mesti didekripsi setiap kali sistem akan dikemas kini?
3. Adakah menyulitkan keseluruhan sistem fail mesin sama dengan menyulitkan fail lain?
Bagaimana anda tahu bahawa anda tahu apa yang anda bicarakan?
Anda juga boleh membuat sangkar program dan juga banyak pengguna. Walaupun melakukan ini lebih banyak kerja, tetapi jika sesuatu berlaku, dan anda mempunyai salinan folder sebelumnya, itu hanya memukul dan menyanyi.
Dasar keselamatan yang terbaik dan paling mudah adalah tidak paranoid.
Cubalah, itu tidak salah.
Saya menggunakan csf dan ketika membuka kunci pelanggan yang salah memasukkan kata laluannya dalam beberapa akses, ini melambatkan proses tetapi ia berlaku. Adakah perkara biasa?
Saya mencari arahan untuk menyahsekat dari ssh ... sebarang cadangan