د GNU / لینکس سیسټمونو کې امنیتي لارښوونې

ښه ، زه د دې پوسټ چمتو کولو لپاره چمتو وم زما بلاګ د یو څه وخت لپاره دوی ماته دننه وړاندیز وکړ لینوکس څخه، او د وخت د کموالي له امله ، هغه وړ او راضي نه و. که زه یو څه سست یم 😀. مګر اوس دوی اعتصاب کوي ، لکه څنګه چې موږ وویل په کیوبا کې ...

دا د سیسټم مدیرانو لپاره د لومړني امنیتی مقرراتو تالیف دی ، پدې حالت کې ، د هغه چا لپاره چې ما د GNU / لینکس پراساس شبکې / سیسټمونه اداره کوي ... ممکن نور ډیر وي او په حقیقت کې نور هم شتون لري ، دا یوازې زما یوه نمونه ده لینوکس ...

0- زموږ سیسټمونه د وروستي امنیت تازه معلوماتو سره تازه وساتئ.

0.1- انتقالي تازه معلومات د لیک لیست لیست [د سلایکویر امنیت سلاکار, دبیان د امنیت مشاور، زما په قضیه کې]

1- د غیر رسمي کارمندانو لخوا سرورونو ته صفر فزیکي لاسرسی.

1.1- ته پټنوم وکاروه BIOS زموږ د سرورونو

1.2- د CD / DVD په واسطه هیڅ بوټ نلري

1.3- په GRUB / Lilo کې پټنوم

2- د ښه شفر تګلاره، الفبې شمیري حروف او نور.

2.1- د "چارج" کمانډ سره د پټنوم [پاسورډ اډینګ] لویدل ، او همدارنګه د پټنوم بدلولو او وروستي بدلون نیټې تر منځ د ورځو شمیر.

2.2- د پخوانیو رمزونو کارولو څخه مخنیوی وکړئ:

په /etc/pam.d/common-password کې

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

دا څنګه تاسو پاسورډ بدل کړئ او دا تاسو ته د وروستي 10 پاسورډونو یادونه کوي چې کارن یې درلود.

3- زموږ د شبکې ښه مدیریت / قطع کولو پالیسي [روټرونه ، سویچونه ، والینز] او د فیر وال ، او همدارنګه د فلټر کولو قواعد INPUT ، OUTPUT ، FORWARD [NAT ، SNAT ، DNAT]

4- د شیلونو کارول [/ etc / shells] فعال کړئ. هغه کارونکي چې سیسټم ته ننوتل نلري دوی به / بن / غلط یا / بن / نوولوین ترلاسه کړي.

5- د کاروونکو مخه ونیسئ کله چې ننوتل [faillog] ناکام شي ، په بیله بیا د سیسټم کارن حساب کنټرول کړئ.

د passwd -l pepe -> د کارونکي pepe passwd -v pepe بلاک کړئ -> د کارونکي نښې وتړئ

6- د "sudo" کارول فعال کړئ ، هیڅکله د ssh لخوا د ریښې په توګه ننوتل ، "هیڅکله". په حقیقت کې تاسو باید د دې هدف ترلاسه کولو لپاره د ssh کنفیګریشن کې ترمیم وکړئ. د sudo سره ستاسو په سرورونو کې عامه / شخصي کیلي وکاروئ.

7- زموږ په سیسټمونو کې پلي کول "د لږترلږه امتیاز اصل".

8- زموږ د هر سرور لپاره وخت په وخت [netstat -lptun] زموږ خدمات چیک کړئ. د نظارت وسیلې اضافه کړئ چې کولی شي پدې کار کې موږ سره مرسته وکړي [نګیوس ، کیټي ، منین ، مونیټ ، نوټپ ، زبیبکس].

9- د IDSs ، سنورټ / اسید بېس ، سټنوبي ، بار یارډ ، OSSEC نصب کړئ.

10- Nmap ستاسو ملګری دی ، د خپل subnet / subnets چیک کولو لپاره یې وکاروئ.

11- په اوپن ایس ایچ ، اپاچی 2 ، نګینیکس ، مای ایس کیو ایل ، پوسټګیر ایس کیو ایل ، پوسټ فکس ، سکویډ ، سمبا ، LDAP کې ښه امنیتي کړنې [هغه څه چې ډیری یې کاروي] او ځینې نور خدمتونه چې تاسو ورته په خپله شبکه کې اړتیا لرئ.

12- زموږ په سیسټمونو کې د امکان په صورت کې ټولې اړیکې کوډ کړئ ، SSL ، gnuTLS ، StarTTLS ، هضم ، او داسې نور ... او که تاسو حساس معلومات اداره کړئ نو خپل هارډ ډرایو کوډ کړئ !!!

13- زموږ د میل سرورونه د وروستي امنیت ، تور لیست او انټي سپام قواعدو سره تازه کړئ.

14- زموږ سیسټمونو کې د لوګ واچ او لاګ چیک سره د فعالیت ننوتل.

15- د نورو وسیلو تر مینځ پوهه او وسیله لکه ټاپ ، سر ، ویمسټات ، وړیا ،.

سار -> د سیسټم فعالیت راپور vmstat -> پروسې ، حافظه ، سیسټم ، i / o ، cpu فعالیت ، نور iostat -> cpu i / o حیثیت mpstat -> ملټي پروسیسر حالت او د کارونې pmap -> د وړیا پروسو لخوا د حافظې کارول - > iptraf حافظه -> زموږ د شبکې ایتیسټاس په ریښتیني وخت کې ترافیک -> د کنسول پراساس ایترنیټ احصائیې اتیتراپي -> د ګرافیکي شبکې څارونکي ss -> د ساکټ وضعیت [tcp ساکټ معلومات ، udp ، خام ساکټونه ، DCCP ساکټ] tcpdump -> تفصيلي تحلیل د ترافیک vnstat -> د ټاکل شوي انٹرفیس mtr -> د تشخیصي وسیلې او د شبکې کارتونو په اړه د اتلوډ تحلیل -> د شبکې کارتونو په اړه احصایې د شبکې ترافیک نظارت

د اوس لپاره دا ټول دي. زه پوهیږم چې پدې ډول چاپیریال کې زر او یو بل امنیت وړاندیزونه شتون لري ، مګر دا هغه څه دي چې ماته یې خورا نږدې زیان رسولی ، یا دا چې په یو وخت کې ما باید په چاپیریال کې پلي / تمرین کړی وي چې ما اداره کړی.

یو غېږ او زه امید لرم چې دا تاسو ته خدمت وکړي 😀


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

26 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   کوراتسوکي dijo

    زه تاسو ته په نظرونو کې بلنه درکوم چې موږ ته د نورو قواعدو په اړه ووایاست چې دمخه د ذکر شوي شرایطو سربیره پلي شوي ، ترڅو زموږ د لوستونکو پوهه زیاته کړي 😀

    1.    یوکیټورو dijo

      ښه زه به اضافه کړم:

      1.- د ډیسیمګ ، / پروک ، سیس آر کیو لاسرسي څخه مخنیوي لپاره د سیسټل قواعد پلي کړئ ، کور ته PID1 وټاکئ ، د سخت او نرم سیملینکس لپاره محافظت فعال کړئ ، د IPv4 او IPv6 دواړو لپاره د TCP / IP سټیکونو لپاره محافظت کول ، د اعظمي بې نظمي کولو لپاره بشپړ VDSO فعال کړئ نښې او د حافظې ځای مختص کول او د بفر اوور فلو په مقابل کې ځواک ته وده ورکول.

      2.- د SPI ډول ډول دیوال دیوالونه رامینځته کړئ (د محصول بسته بندی معاینه) ترڅو داسې اړیکې رامینځته نشي چې نه رامینځته شوي یا دمخه ورته سیستم ته د لاسرسي اجازه نلري.

      3.- که تاسو داسې خدمات ونه لرئ چې د لیرې موقعیت څخه لوړ امتیازاتو سره اړیکې تضمین کړي ، په ساده ډول دوی ته د لاسرسي وړ کول د لاسرسي.

      - ځانګړو ډلو یا کاروونکو ته د لاسرسي مخنیوي لپاره سخت محدودیتونه وکاروئ ستاسو سیسټم بې ثباته کړئ. په چاپیریال کې خورا ګټور چیرې چې هلته په هر وخت کې ریښتینی څو کارن فعال وي.

      5.- د TCPWrappers ستاسو ملګری دی ، که تاسو د دې ملاتړ لپاره په سیسټم کې یاست ، د دې کارول به زیان ونه رسوي ، نو تاسو کولی شئ د هر کوربه څخه لاسرسی رد کړئ پرته لدې چې دا په سیسټم کې مخکې تنظیم شوی وي.

      - د لږترلږه b 6 بټونو یا له 2048 4096 b ټوټو څخه د better 16 حرفونو څخه د الف څخه ډیر د حرفونو د SSH RSA کیجونه جوړ کړئ.

      7.- تاسو د نړۍ لیکلو وړ څومره یاست؟ ستاسو د لارښوونو د لوستلو لیکلو چیک کول هیڅکله بد ندي او په څو کاروونکي چاپیریال کې د غیر مجاز لاسرسي څخه مخنیوي غوره لاره ده ، یادونه یې مه کوئ چې دا د ځینې غیرمجاز لاسرسیونو لپاره ستونزمن کوي ​​ترڅو معلوماتو ته لاسرسی ومومي کوم چې تاسو یې کوئ. نه یې غواړو بل څوک یې ونه ګوري.

      8.- هر ډول بهرنۍ برخې ولګوئ چې د دې وړ ندي ، د اختیارونو نویکسیک ، نوسوډ ، نوډیو سره.

      9.- د وخت په وخت چیک کولو لپاره وسیلې لکه rkhunter او chkrootkit وکاروئ چې سیسټم د روټ کټ یا مالویر نصب نه کوي. یو احتیاطي اقدام که تاسو یو له هغه څوک څخه وي چې د غیر خوندي ذخیرو څخه شیان نصب کړئ ، د PPAs څخه یا په ساده ډول د بې باوره سایټونو څخه ژوندۍ تالیف کوډ.

      1.    کوراتسوکي dijo

        امه ، خوندور… ښه څرګندونه ، هلکان اضافه کړئ… 😀

    2.    ولیم مورینو رییس dijo

      د SElinux سره لازمي لاسرسي کنټرول پلي کړئ؟

  2.   آرمانډو ایف dijo

    ډیره ښه مقاله

    1.    کوراتسوکي dijo

      مننه ملګري 😀

  3.   جوکو dijo

    سلام او که زه یو عادي کارونکی یم ، ایا زه باید su یا sudo وکاروم؟
    زه su کاروم ځکه چې زه sudo نه خوښوم ، ځکه چې هرڅوک چې زما د کارونکي رمز لري کولی شي هغه څه چې دوی یې په سیسټم کې بدلولی شي بدل کړي ، پرځای یې د su نه.

    1.    کوراتسوکي dijo

      ستاسو په کمپیوټر کې دا د su کارولو ته زحمت نه کوي ، تاسو کولی شئ دا پرته له ستونزو څخه وکاروئ ، په سرورونو کې ، دا خورا مناسب دی چې د su او کارولو sudo کارول غیر فعال کړئ ، ډیری وایی چې دا د پلټنې حقیقت له امله دی چې کوم حکم یې اجرا کړی او sudo هغه دنده ترسره کوي ... زه په په ځانګړي ډول ، زما په کمپیوټر کې زه د هغه په ​​څیر کاروم ، لکه ستاسو په څیر ...

      1.    جوکو dijo

        ډاډه یم ، زه واقعیا نه پوهیږم چې دا په سرورونو کې څنګه کار کوي. که څه هم ، دا ماته ښکاري چې sudo دا ګټه درلوده چې تاسو کولی شئ د بل کمپیوټر کارونکي ته امتیازات ورکړئ ، که زه غلط نه شم.

    2.    اندریو dijo

      په زړه پورې مقاله ، زه ځینې فایلونه د gnu-gpg سره کوډ کړئ ، لکه څنګه چې د لږترلږه امتیازاتو څخه دی ، که تاسو اعدام غواړئ ، د بیلګې په توګه ، د ډیسک په ډیرو برخو کې د معلوماتو ناڅرګنده سرچینې له لاسه ورکړې ، زه څنګه ځانګړو دندو ته لاسرسی لرې کولی شم؟ ؟

      1.    کوراتسوکي dijo

        زه هغه برخه تاسو ته مقید کوم ، که څه هم زه فکر کوم چې تاسو باید یوازې د sudo / root په توګه پرمخ بوځي ، برنامه چې معتبر دي ، دا ، دا ستاسو له ریپو څخه راځي ...

      2.    یوکیټورو dijo

        زه په لوستلو یادونه کوم چې په GNU / لینکس او UNIX کې په لارښود کې د روټ ظرفیتونو وړلو لپاره یوه لاره شتون لري ، که زه یې وموم نو زه به یې وساتم 😀

      3.    یوکیټورو dijo
      4.    خالی dijo

        او چیون پنجرې د نامعلومه لاریونونو د چلولو لپاره؟

    3.    یوکیټورو dijo

      هر وخت د سوډو کارول خورا ښه دي.

    4.    elav dijo

      یا تاسو کولی شئ sudo وکاروئ ، مګر د پاسورډ یاد ساتلو وخت محدودول.

  4.   کیون روډریګز dijo

    ورته وسیلې چې زه یې د کمپیوټر څارلو لپاره کاروم ، "iotop" د "iostat" ، "htop" غوره "ټاسک مینیجر" ، "iftop" بینڈوتھ نظارت لپاره د بدیل په توګه.

  5.   مونیټولینیکس dijo

    ډیری به فکر وکړي چې دا مبالغه ده ، مګر ما لا دمخه بریدونه لیدلي چې بوټنیټ ته سرور پکې شامل کړم.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    PS: چینايي سوالګر او د دوی سرور زما سرور هیک کولو هڅې.

  6.   دلقک dijo

    یو څه چې اسانه هم وي د خدماتو لپاره د کونډو پنجرو کارول دي ، نو که چیرې د کوم دلیل لپاره دوی تر برید لاندې راځي نو دوی به سیستم سره جوړجاړی ونکړي.

  7.   دیاب dijo

    د PS کمانډ کارول د نظارت لپاره هم عالي دي او د امنیت نیمګړتیاو لپاره د چک کولو لپاره د کړنو برخه کیدی شي. د PS -ef چلول ټول پروسې لیست کوي ، دا پورته سره ورته دی که څه هم دا یو څه توپیرونه ښیې. د iptraf نصب کول یو بل وسیله ده چې ممکن کار وکړي.

  8.   کلاډیو ج. کونسیپسیین سیرتاد dijo

    ښه ونډه.

    زه به اضافه کړم: SELinux یا اپارمر ، د ډیسټرو پراساس ، تل فعال.

    زما د خپل تجربې څخه ما احساس وکړ چې د دې برخو غیر فعال کول بد عمل دی. موږ تقریبا تل دا کوو کله چې موږ د خدماتو نصب یا تنظیم کولو ته ځو ، په عذر سره چې دا پرته له کومې ستونزې سره پرمخ ځي ، کله چې واقعیا څه باید وکړو نو د دې اداره کولو لپاره د دوی اداره کول زده کړه.

    مننه.

  9.   GnuLinux ؟؟ dijo

    1. د ټول فایل سیسټم کوډ کولو څرنګوالی؟ په ارزي؟؟
    2.Do ایا دا باید هرکله چې سیسټم نوي شي د شاتړ شي؟
    .3 ایا د ماشین ټولې فایل سیسټم کوډ کول ورته ورته دي لکه د کوم بل فایل کوډ کولو؟

    1.    یوکیټورو dijo

      تاسو څنګه پوهیږئ چې تاسو پوهیږئ چې د څه په اړه خبرې کوئ؟

  10.   NauTilus dijo

    همچنان ، تاسو کولی شئ برنامه او حتی ډیری کاروونکي پنجره وکړئ. که څه هم دا کار کول ډیر کار دی ، مګر که څه پیښ شوي ، او تاسو د دې فولډر پخوانی کاپي درلوده ، دا یوازې وهل او سندرې ویل دي.

  11.   سر dijo

    ترټولو غوره او خورا مناسب امنیتي تګلاره پارونکی نه ده.
    هڅه وکړئ ، دا عجيبه ده.

  12.   پرینزبنیتونه dijo

    زه csf کاروم او کله چې د پیرودونکي خلاص کړم چې په ځینې لاسرسي کې یې د هغه رمز غلط معرفي کړی ، دا پروسه ځنډوي مګر دا یې کوي. دا عادي ده؟

    زه د ssh څخه مخنیوی لپاره د قوماندې په لټه کې یم ... کوم وړاندیز