No, pripravljal sem to objavo moj blog nekaj časa so mi to predlagali v DesdeLinuxin zaradi pomanjkanja časa ni mogel ali hotel. Če sem nekoliko len ????. Zdaj pa stavkajo, kot pravimo na Kubi ...
0- Redno posodabljajte naše sisteme z najnovejšimi varnostnimi posodobitvami.
0.1- Kritične posodobitve poštni seznami [Svetovalec za varnost Slackware, Debianov svetovalec za varnost, v mojem primeru]
1- Nič fizičnega dostopa nepotrebnega osebja do strežnikov.
1.1- Uporabi geslo za BIOS naših strežnikov
1.2- Brez zagona s CD-ja / DVD-ja
1.3- Geslo v GRUB / Lilo
2- Dobra politika gesel, alfanumerični znaki in drugi.
2.1- Staranje gesel [Staranje gesel] z ukazom "chage", pa tudi število dni med spremembo gesla in datumom zadnje spremembe.
2.2- Izogibajte se uporabi prejšnjih gesel:
v /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Tako spremenite geslo in vas spomni na zadnjih 10 gesel, ki jih je imel uporabnik.
3- Dobra politika upravljanja / segmentacije našega omrežja [usmerjevalniki, stikala, vlans] in požarni zid ter pravila filtriranja INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Omogočite uporabo lupin [/ etc / lupine]. Uporabniki, ki se jim ni treba prijaviti v sistem, bodo dobili / bin / false ali / bin / nologin.
5- Blokirajte uporabnike, ko prijava ne uspe [dnevnik neuspelih], in nadzorujte sistemski uporabniški račun.
passwd -l pepe -> blokiraj uporabnika pepe passwd -v pepe -> odblokiraj uporabnika pepe
6- Omogočite uporabo "sudo", NIKOLI se ne prijavite kot root ssh, "NIKOLI". Pravzaprav morate za dosego tega cilja urediti konfiguracijo ssh. Uporabite javne / zasebne ključe na svojih strežnikih s sudo.
7- V naših sistemih uporabiteNačelo najmanjše privilegiranosti".
8- Občasno preverite naše storitve [netstat -lptun] za vsak naš strežnik. Dodajte orodja za spremljanje, ki nam lahko pomagajo pri tej nalogi [Nagios, Kaktusi, Munin, Monit, Ntop, Zabbix].
9- Namestite IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap je vaš prijatelj, z njim preverite svoje podomrežje / podomrežja.
11- Dobre varnostne prakse v OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [tiste, ki jih najbolj uporabljajo] in nekaterih drugih storitvah, ki jih potrebujete v svojem omrežju.
12- Šifrirajte vso komunikacijo, kolikor je to mogoče v naših sistemih, SSL, gnuTLS, StarTTLS, prebavljanje itd ... In če obdelujete občutljive podatke, šifrirajte svoj trdi disk !!!
13- Posodobite naše poštne strežnike z najnovejšimi pravili o varnosti, črnih seznamih in zaščiti pred neželeno pošto.
14- Beleženje dejavnosti v naših sistemih s pomočjo dnevnika in preverjanja dnevnika.
15- Poznavanje in uporaba orodij, kot so top, sar, vmstat, brezplačno, med drugim.
sar -> poročilo o sistemski aktivnosti vmstat -> procesi, pomnilnik, sistem, vhod / izhod, aktivnost procesorja itd. iostat -> status CPU i / o mpstat -> stanje in uporaba večprocesorja pmap -> uporaba pomnilnika s prostimi procesi -> pomnilnik iptraf -> promet v realnem času našega omrežnega etstata -> nadzor ethernet statistike na osnovi konzole etherape -> grafični nadzornik omrežja ss -> stanje vtičnice [informacije o vtičnici tcp, udp, neobdelane vtičnice, vtičnice DCCP] tcpdump -> Podrobna analiza prometa vnstat -> nadzor omrežnega prometa izbranih vmesnikov mtr -> diagnostično orodje in analiza preobremenitve v omrežju ethtool -> statistika o omrežnih karticah
Za zdaj je vse. Vem, da je v tej vrsti okolja še tisoč in en predlog za varnost, vendar so me ti najbolj prizadeli ali pa sem se moral v določenem trenutku prijaviti / vaditi v okolju, ki sem ga upravljal.
Objem in upam, da vam bo služil 😀
V komentarjih vas vabim, da nam poveste o nekaterih drugih pravilih, ki so bila uvedena poleg že omenjenih, da bi povečali znanje naših bralcev 😀
No, dodal bi:
1. - Uporabite pravila sysctl, da se izognete dmesg, / proc, dostopu do SysRQ, jedru dodelite PID1, omogočite zaščito za trde in mehke simbolne povezave, zaščite za sklade TCP / IP tako za IPv4 kot za IPv6, aktivirajte polni VDSO za maksimalno randomizacijo kazalcev in dodeljevanje pomnilniškega prostora ter izboljšajo moč pred prelivanjem medpomnilnika.
2.- Ustvarite požarne stene tipa SPI (Stateful Package Inspect), da preprečite dostop povezav, ki niso bile ustvarjene ali prej dovoljene do sistema.
3. - Če nimate storitev, ki bi zagotavljale povezave z visokimi privilegiji z oddaljene lokacije, preprosto prekličite dostop do njih z uporabo access.conf ali, če tega ne omogočite, omogočite dostop samo določenemu uporabniku ali skupini.
4. - Uporabite stroge omejitve, da preprečite dostop nekaterih skupin ali uporabnikov do destabilizacije vašega sistema. Zelo uporabno v okoljih, kjer je ves čas dejansko aktiven več uporabnik.
5. - TCPWrappers je vaš prijatelj, če uporabljate sistem s podporo zanj, uporaba ne bi škodila, zato lahko zavrnete dostop s katerega koli gostitelja, razen če je v sistemu prej konfiguriran.
6. - Ustvarite ključe SSH RSA z najmanj 2048 bitov ali bolje 4096 bitov z alfanumeričnimi ključi z več kot 16 znaki.
7. - Kako si zapisljiv po vsem svetu? Preverjanje dovoljenj za branje in pisanje v imenikih sploh ni slabo in je najboljši način, da se izognete nepooblaščenemu dostopu v več uporabniških okoljih, da ne omenjam, da nekaterim nepooblaščenim dostopom otežuje dostop do informacij, ki jih počnete nihče drug ne vidi.
8. - Namestite katero koli zunanjo particijo, ki si tega ne zasluži, z možnostmi noexec, nosuid, nodev.
9. - Z orodji, kot sta rkhunter in chkrootkit, redno preverjajte, ali sistem nima nameščenega rootkita ali zlonamerne programske opreme. Previden ukrep, če ste eden tistih, ki stvari namesti iz nezaščitenih repozitorijev, iz PPA-jev ali preprosto zbira kodo z nezaupanja vrednih spletnih mest.
Uhmmm, okusno ... Dober komentar, dodajte fantje ... 😀
Ali želite uporabiti obvezen nadzor dostopa s SElinuxom?
zelo dober članek
Hvala prijatelj 😀
Pozdravljeni in če sem običajen uporabnik, ali naj uporabljam su ali sudo?
Su uporabljam, ker ne maram sudo, ker lahko vsak, ki ima moje uporabniško geslo, v sistemu spremeni, kar hoče, namesto s su ne.
Na vašem računalniku se ne trudi uporabljati su, lahko ga uporabljate brez težav, na strežnikih je zelo priporočljivo, da onemogočite uporabo su in uporabite sudo, mnogi pravijo, da je to posledica dejstva, da je revizija izvedla kakšen ukaz in sudo naredi to nalogo ... še posebej jaz na svojem računalniku uporabljam njegovega, tako kot ti ...
Seveda v resnici ne vem, kako to deluje na strežnikih. Čeprav se mi zdi, da je imel sudo to prednost, da lahko daješ privilegije uporabniku drugega računalnika, če se ne motim.
Zanimiv članek. Nekaj datotek šifriram z gnu-gpg, tako kot minimalni privilegij, če želite na primer zagnati binarno datoteko neznanega izvora, izgubljeno v neizmernih morjih informacij na disku, kako odstranim dostop do nekaterih funkcij ?
Ta del dolgujem vam, čeprav mislim, da bi smeli izvajati samo programe sudo / root, ki so zanesljivi, torej prihajajo iz vašega repoja ...
Spominjam se, da sem prebral, da obstaja način za omogočanje korenskih zmožnosti v priročniku za GNU / Linux in UNIX, če ga najdem, ga dam 😀
@andrew tukaj je članek, ki sem ga omenil, in še nekaj pomoči
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
in kletke za chown za vodenje neznanih binarnih datotek?
Ves čas je uporaba sudo veliko boljša.
Lahko pa uporabite sudo, vendar z omejevanjem časa zapomnitve gesla.
Podobna orodja uporabljam za nadzor računalnika, «iotop» kot nadomestek za «iostat», «htop» odličen «upravitelj opravil», nadzor pasovne širine «iftop».
mnogi bodo mislili, da je to pretirano, vendar sem že videl napade, ki vključujejo strežnik v botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: kitajski berači in njihovi poskusi vdora v moj strežnik.
nekaj, kar je prav tako priročno, je, da za storitve uporabite kletke s čoki, tako da če jih iz nekega razloga napadejo, ne bi ogrozili sistema.
Uporaba ukaza ps je odlična tudi za spremljanje in bi lahko bila del ukrepov za preverjanje varnostnih napak. zagon ps -ef našteva vse procese, je podoben vrhu, vendar kaže nekaj razlik. namestitev iptraf je drugo orodje, ki lahko deluje.
Dober prispevek.
Dodal bi: SELinux ali Apparmor, odvisno od distro, vedno omogočen.
Iz lastnih izkušenj sem ugotovil, da je onemogočanje teh komponent slaba praksa. Skoraj vedno to storimo, ko bomo storitev namestili ali konfigurirali, z izgovorom, da deluje brez težav, ko pa bi se v resnici morali naučiti ravnati z njimi, da bi omogočili to storitev.
Pozdrav.
1. Kako šifrirati celoten datotečni sistem? vredno??
2. Ali ga je treba dešifrirati vsakič, ko bo sistem posodobljen?
3. Ali je šifriranje celotnega datotečnega sistema naprave enako kot šifriranje katere koli druge datoteke?
Kako veste, da veste, o čem govorite?
Prav tako lahko zaprete programe v kletke in celo več uporabnikov. Čeprav to početje pomeni več dela, če pa se je kaj zgodilo in ste imeli prejšnjo kopijo te mape, je to samo udarjanje in petje.
Najboljša in najprimernejša varnostna politika ni biti paranoičen.
Poskusi, nezmotljivo je.
Uporabljam csf in pri odklepanju stranke, ki je pri določenem dostopu zgrešil geslo, postopek zavleče, vendar se. Je normalno?
Iščem ukaz za odblokiranje ssh ... kakršen koli predlog