No, na tento príspevok som sa pripravoval môj blog nejaký čas mi to navrhovali v DesdeLinux, a pre nedostatok času nebol schopný alebo ochotný. Ak som trochu lenivý 😀. Teraz však štrajkujú, ako hovoríme na Kube ...
0- Udržujte naše systémy aktualizované pomocou najnovších bezpečnostných aktualizácií.
0.1- Kritické aktualizácie zoznamov adresátov [Poradca pre bezpečnosť Slackware, Bezpečnostný poradca Debianu, v mojom prípade]
1- Nulový fyzický prístup neoprávnených pracovníkov k serverom.
1.1- Použiť heslo pre BIOS našich serverov
1.2- Žiadne bootovanie z CD / DVD
1.3- Heslo v GRUBe / Lilo
2- Dobrá politika hesiel, alfanumerické znaky a ďalšie.
2.1- Starnutie hesiel [Password Aging] pomocou príkazu „chage“, ako aj počet dní medzi zmenou hesla a dátumom poslednej zmeny.
2.2- Nepoužívajte predchádzajúce heslá:
v /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Takže zmeníte heslo a pripomenie vám posledných 10 hesiel, ktoré používateľ mal.
3- Dobrá politika správy / segmentácie našej siete [smerovače, prepínače, vlans] a firewall, ako aj pravidlá filtrovania INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Povoliť použitie škrupín [/ etc / shells]. Používatelia, ktorí sa nemusia prihlásiť do systému, dostanú / bin / false alebo / bin / nologin.
5- Blokujte používateľov pri zlyhaní prihlásenia [faillog] a tiež ovládajte užívateľský účet systému.
passwd -l pepe -> blokovať používateľa pepe passwd -v pepe -> odblokovať používateľa pepe
6- Povoľte použitie "sudo", NIKDY sa neprihlasujte ako root pomocou ssh, "NIKDY". V skutočnosti musíte na dosiahnutie tohto účelu upraviť konfiguráciu ssh. Používajte verejné / súkromné kľúče na svojich serveroch pomocou sudo.
7- Aplikujte v našich systémoch „Zásada najmenších privilégií".
8- Z času na čas skontrolujte naše služby [netstat -lptun] pre každý z našich serverov. Pridajte monitorovacie nástroje, ktoré nám môžu pri tejto úlohe pomôcť [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Nainštalujte IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap je váš priateľ, použite ho na kontrolu svojej podsiete / podsietí.
11- Dobré bezpečnostné postupy v OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [tie, ktoré najviac využívajú] a niektoré ďalšie služby, ktoré vo svojej sieti potrebujete.
12- Šifrujte všetku komunikáciu čo najdlhšie v našich systémoch, SSL, gnuTLS, StarTTLS, digest atď ... A ak pracujete s citlivými informáciami, zašifrujte svoj pevný disk !!!
13- Aktualizujte naše poštové servery najnovšími pravidlami zabezpečenia, čiernej listiny a antispamu.
14- Prihlasovanie aktivít do našich systémov pomocou logwatch a logcheck.
15- Znalosti a použitie nástrojov, ako sú top, sar, vmstat, free, medzi ostatnými.
sar -> správa o činnosti systému vmstat -> procesy, pamäť, systém, I / O, aktivita procesora atď. iostat -> stav I / O CPU mpstat -> stav a využitie multiprocesora pmap -> využitie pamäte voľnými procesmi -> pamäť iptraf -> prenos v reálnom čase nášho sieťového etstatu -> štatistika ethernetu založená na konzole monitoruje etherape -> grafický monitor siete ss -> stav soketu [tcp soketové informácie, udp, raw sokety, sokety DCCP] tcpdump -> podrobná analýza prenosu vnstat -> monitor sieťového prenosu vybraných rozhraní mtr -> diagnostický nástroj a analýza preťaženia v sieťach ettool -> štatistiky sieťových kariet
Zatiaľ je to všetko. Viem, že v tomto type prostredia existuje ďalších tisíc ďalších bezpečnostných návrhov, ale práve tie ma najviac zasiahli, alebo že som niekedy musel aplikovať / cvičiť v prostredí, ktoré som spravoval. .
Objatie a dúfam, že ti slúži 😀
Pozývam vás do komentárov, aby ste nám povedali o niektorých ďalších pravidlách, ktoré boli implementované okrem tých, ktoré už boli spomenuté, aby sa zvýšili vedomosti našich čitateľov 😀
No pridal by som:
1. - Použite pravidlá sysctl, aby ste zabránili prístupu dmesg, / proc, SysRQ, priradili PID1 k jadru, povolili ochranu pre tvrdé a mäkké symbolické odkazy, ochrany pre zásobníky TCP / IP pre IPv4 aj IPv6, aktivovali úplné VDSO pre maximálne ukazovatele náhodnosti a pridelenie pamäťového priestoru a zvýšiť odolnosť proti pretečeniu medzipamäte.
2.- Vytvorte protipožiarne steny typu SPI (Stateful Package Inspect), aby ste zabránili prístupu do systému nevytvoreným alebo predtým povoleným spojeniam.
3.- Ak nemáte služby, ktoré by zaručovali pripojenie so zvýšenými oprávneniami zo vzdialeného umiestnenia, jednoducho im odvolajte prístup pomocou access.conf, alebo ak to nie je možné, povoľte prístup iba konkrétnemu používateľovi alebo skupine.
4. - Používajte tvrdé limity, aby ste zabránili prístupu k určitým skupinám alebo používateľom v destabilizácii vášho systému. Veľmi užitočné v prostrediach, kde je neustále aktívny skutočný používateľ.
5. - TCPWrappers je váš priateľ, ak ste v systéme s jeho podporou, jeho použitie by neublížilo, takže môžete odmietnuť prístup z ktoréhokoľvek hostiteľa, pokiaľ nie je predtým v systéme nakonfigurovaný.
6. - Pomocou alfanumerických kľúčov s viac ako 2048 znakmi vytvorte kľúče SSH RSA s najmenej 4096 16 bitmi alebo lepšie z XNUMX XNUMX bitov.
7. - Aká si svetovo známa? Kontrola povolení na čítanie a zápis do vašich adresárov nie je vôbec zlá a predstavuje najlepší spôsob, ako zabrániť neoprávnenému prístupu v prostrediach viacerých používateľov. Nehovoriac o tom, že niektorým neoprávneným prístupom sťažuje prístup k informáciám, ktoré robíte. nechcem, aby to nikto iný nevidel.
8. - Pripojte akýkoľvek externý oddiel, ktorý si to nezaslúži, s možnosťami noexec, nosuid, nodev.
9. - Pomocou nástrojov ako rkhunter a chkrootkit pravidelne kontrolujte, či v systéme nie je nainštalovaný rootkit alebo malware. Prezieravé opatrenie, ak patríte k tým, ktorí inštalujú veci z nezabezpečených úložísk, z PPA alebo jednoducho naživo kompilujú kód z nedôveryhodných stránok.
Uhmmm, vynikajúce ... Dobrý komentár, pridajte ľudí ...…
Použiť povinnú kontrolu prístupu v systéme SElinux?
velmi dobry clanok
Ďakujem kamarát 😀
Ahojte a ak som normálny užívateľ, mám použiť su alebo sudo?
Používam su, pretože sa mi nepáči sudo, pretože každý, kto má moje používateľské heslo, si môže v systéme zmeniť, čo chce, namiesto toho pomocou su no.
Na vašom PC sa neobťažuje používať su, môžete ich bez problémov používať, na serveroch sa dôrazne odporúča zakázať používanie su a používať sudo, mnohí tvrdia, že je to dané tým, že auditujete, kto čo vykonal príkaz a sudo robí túto úlohu ... ja konkrétne na svojom počítači používam jeho, rovnako ako vy ...
Iste, naozaj neviem, ako to funguje na serveroch. Aj keď sa mi zdá, že sudo malo tú výhodu, že môžeš dať privilégiá používateľovi iného počítača, ak sa nemýlim.
Zaujímavý článok, zašifrujem niektoré súbory pomocou gnu-gpg, napríklad minimálne privilégium, pre prípad, že by ste chceli spustiť napríklad binárny súbor neznámeho pôvodu stratený v obrovskom množstve informácií na disku, ako odstránim prístup k určité funkcie?
Za túto časť vďačím vám, aj keď si myslím, že by ste mali bežať iba ako sudo / root, programy, ktoré sú spoľahlivé, to znamená, že pochádzajú z vášho repo ...
Pamätám si, že som čítal, že v nejakej príručke pre GNU / Linux a UNIX existuje spôsob, ako povoliť možnosti root, ak ich nájdem, vložím ich 😀
@andrew tu je článok, ktorý som spomínal a ešte nejaká pomoc
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
a klietky chown na spustenie neznámych binárnych súborov?
Používanie sudo za každých okolností je oveľa lepšie.
Alebo môžete použiť sudo, ale čas, ktorý si zapamätáte, môžete obmedziť.
Podobné nástroje, ktoré používam na sledovanie počítačov, používajú „iotop“ ako náhradu za „iostat“, „htop“ vynikajúci „správca úloh“, „iftop“ sledovanie šírky pásma.
mnohí si budú myslieť, že je to prehnané, ale už som videl útoky na zahrnutie servera do botnetu.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Čínski žobráci a ich pokusy nabúrať môj server.
pohodlné je tiež použiť klietky chown pre služby, takže ak budú z nejakého dôvodu napadnuté, systém by to neohrozilo.
Používanie príkazu ps je tiež vynikajúce na monitorovanie a môže byť súčasťou akcií na kontrolu bezpečnostných chýb. beží ps -ef vypíše všetky procesy, je to podobné ako v top, avšak ukazuje určité rozdiely. inštalácia iptraf je ďalší nástroj, ktorý môže fungovať.
Dobrý príspevok.
Pridal by som: SELinux alebo Apparmor, v závislosti od distribúcie, vždy povolené.
Z vlastnej skúsenosti som si uvedomil, že je zlé praktizovať tieto komponenty deaktivovať. Takmer vždy to robíme, keď sa chystáme nainštalovať alebo nakonfigurovať službu, s ospravedlnením, že beží bez problémov, keď sa skutočne musíme naučiť, ako s nimi túto službu povoliť.
Pozdrav.
1. Ako zašifrovať celý súborový systém? stálo to za to??
2. Musí sa dešifrovať pri každej aktualizácii systému?
3. Je šifrovanie celého súborového systému stroja rovnaké ako šifrovanie iného súboru?
Ako viete, že viete, o čom hovoríte?
Môžete tiež umiestniť programy do klietky a dokonca aj viacerých používateľov. Aj keď to robiť je viac práce, ale ak sa niečo stalo a vy ste mali predchádzajúcu kópiu tohto priečinka, je to len udieranie a spev.
Najlepšia a najpohodlnejšia bezpečnostná politika nesmie byť paranoidná.
Vyskúšajte, je to neomylné.
Používam CSF a pri odomykaní klienta, ktorý pri niektorom prístupe stratil svoje heslo, sa proces oneskorí, ale robí to. To je normálne?
Hľadám príkaz na odblokovanie zo ssh ... akýkoľvek návrh