Epo, unë kam qenë duke përgatitur këtë post për të blogu im për ca kohë ma sugjeruan mua në DesdeLinux, dhe për shkak të mungesës së kohës, ai nuk kishte qenë në gjendje ose i gatshëm. Nëse jam disi dembel 😀. Por tani ata janë në grevë, siç themi në Kubë ...
0- Mbani sistemet tona të azhurnuara me azhurnimet më të fundit të sigurisë.
0.1- Përditësimet kritike Listat postare [Këshilltar i Sigurisë së Slackware, Këshilltar i Sigurisë së Debian, në rastin tim]
1- Zero qasje fizike në serverat nga personeli i paautorizuar.
1.1- Aplikoni fjalëkalimin në BIOS të serverave tanë
1.2- Asnjë boot nga CD / DVD
1.3- Fjalëkalimi në GRUB / Lilo
2- Politikë e mirë e fjalëkalimit, karakteret alfanumerike dhe të tjerët.
2.1- Plakja e fjalëkalimeve [Aging Password] me komandën "chage", si dhe numri i ditëve ndërmjet ndryshimit të fjalëkalimit dhe datës së fundit të ndryshimit.
2.2- Shmangni përdorimin e fjalëkalimeve të mëparshme:
në /etc/pam.d/common-password
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Kështu që ju ndryshoni fjalëkalimin dhe ju kujton 10 fjalëkalimet e fundit që kishte përdoruesi.
3- Menaxhimi i mirë / politika e segmentimit të rrjetit tonë [ruterat, çelsat, vlans] dhe firewall, si dhe rregullat e filtrimit INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]
4- Aktivizoni përdorimin e predhave [/ etj / predha]. Përdoruesit të cilët nuk kanë pse të hyjnë në sistem do të marrin / bin / false ose / bin / nologin.
5- Bllokoni përdoruesit kur hyrja dështon [faillog], si dhe kontrolloni llogarinë e përdoruesit të sistemit.
passwd -l pepe -> bllokoj përdoruesin pepe passwd -v pepe -> zhbllokoni përdoruesin pepe
6- Aktivizoni përdorimin e "sudo", ASNJEHERE mos hyni si root nga ssh, "ASNJEHERE". Në fakt ju duhet të modifikoni konfigurimin e ssh për të arritur këtë qëllim. Përdorni çelësat publikë / privatë në serverat tuaj me sudo.
7- Aplikoni në sistemet tona "Parimi i privilegjit më të vogël".
8- Kontrolloni herë pas here shërbimet tona [netstat -lptun], për secilin nga serverat tanë. Shtoni mjete monitorimi që mund të na ndihmojnë në këtë detyrë [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- Instaloni IDS, Snort / AcidBase, Snotby, Barnyard, OSSEC.
10- Nmap është shoku juaj, përdoreni atë për të kontrolluar nën-rrjetën / nën-rrjetën tuaj.
11- Praktikat e mira të sigurisë në OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [ato që përdorin më shumë] dhe ndonjë shërbim tjetër që ju nevojitet në rrjetin tuaj.
12- Kriptoni të gjithë komunikimin ndërsa është e mundur në sistemet tona, SSL, gnuTLS, StarTTLS, tretje, etj ... Dhe nëse administroni informacione të ndjeshme, kriptoni hard diskun tuaj !!!
13- Përditësoni serverat tanë të postës me rregullat më të fundit të sigurisë, listës së zezë dhe antispam.
14- Regjistrimi i aktivitetit në sistemet tona me logwatch dhe checkche.
15- Njohja dhe përdorimi i mjeteve të tilla si top, sar, vmstat, falas, ndër të tjera.
sar -> raporti i aktivitetit të sistemit vmstat -> proceset, kujtesa, sistemi, i / o, aktiviteti i CPU-së, etj > memoria iptraf -> trafiku në kohë reale i etstatusit të rrjetit tonë -> monitori statistikor i bazuar në tastierë etherape -> monitori grafik i rrjetit SS -> statusi i folesë [informacioni i folesë tcp, udp, bazat e papërpunuara, bazat DCCP] tcpdump -> Analiza e hollësishme trafiku vnstat -> monitor i trafikut të rrjetit të ndërfaqeve të zgjedhura mtr -> mjet diagnostikues dhe analizë e mbingarkesës në rrjete ethtool -> statistikat në lidhje me kartat e rrjetit
Tani për tani janë të gjitha. Unë e di që ka një mijë e një sugjerim më shumë të sigurisë në këtë lloj mjedisi, por këto janë ato që më kanë goditur më shumë, ose që në një moment më është dashur të aplikoj / ushtroj në një mjedis që kam administruar.
Një përqafim dhe shpresoj të të shërbejë
Unë ju ftoj në komente të na tregoni për disa rregulla të tjera që janë zbatuar përveç atyre që janë përmendur tashmë, për të rritur njohuritë e lexuesve tanë
Epo do të shtoja:
1. - Zbatoni rregullat e sysctl për të parandaluar hyrjen në dmesg, / proc, SysRQ, caktimin e PID1 në bërthamë, mundësimin e mbrojtjeve për linjat e forta dhe të buta, mbrojtjen për pirjet TCP / IP si për IPv4 ashtu edhe për IPv6, aktivizimin e plotë të VDSO për randomizimin maksimal treguesit dhe caktimet e hapësirës së kujtesës dhe për të përmirësuar fuqinë kundër tejmbushjes së buffer-it.
2.- Krijoni mure zjarri të tipit SPI (Stateful Package Inspect) për të parandaluar lidhjet që nuk janë krijuar ose nuk lejohen më parë të kenë qasje në sistem.
3.- Nëse nuk keni shërbime që garantojnë lidhje me privilegje të ngritura nga një vend i largët, thjesht shfuqizoni hyrjen në to duke përdorur access.conf, ose, duke dështuar, mundësoni hyrjen vetëm te një përdorues ose grup specifik.
4.- Përdorni kufij të fortë për të parandaluar hyrjen në grupe ose përdorues të caktuar nga destabilizimi i sistemit tuaj. Shumë i dobishëm në mjedise ku ka një përdorues të vërtetë shumë përdorues në çdo kohë.
5.- TCPWrappers është shoku juaj, nëse jeni në një sistem me mbështetje për të, përdorimi i tij nuk do të dëmtonte, kështu që mund të mohoni hyrjen nga çdo host nëse nuk është konfiguruar më parë në sistem.
6.- Krijoni çelësa SSH RSA me të paktën 2048 bit ose më mirë se 4096 bit me çelësa alfanumerikë me më shumë se 16 karaktere.
7.- Sa i shkruar në botë jeni? Kontrollimi i lejeve të leximit-shkrimit të direktorive tuaja nuk është aspak e keqe dhe është mënyra më e mirë për të shmangur hyrjen e paautorizuar në mjedise me shumë përdorues, për të mos përmendur që e bën më të vështirë për disa hyrje të paautorizuara të fitojnë qasje në informacione që ju nuk dëshironi askush tjetër nuk e sheh.
8.- Montoni çdo ndarje të jashtme që nuk e meriton atë, me opsionet noexec, nosuid, nodev.
9.- Përdorni mjete të tilla si rkhunter dhe chkrootkit për të kontrolluar në mënyrë periodike që sistemi nuk ka të instaluar një rootkit ose malware. Një masë e kujdesshme nëse jeni një nga ata që instalojnë gjëra nga depot jo të sigurta, nga PPA-të ose thjesht duke hartuar drejtpërdrejt kodin nga faqet e pasigurta.
Uhmmm, e shijshme comment Koment i mirë, shtoni djem… 😀
Të zbatohet një Kontroll i Detyrueshëm i Hyrjes me SElinux?
artikull shume i mire
Faleminderit mik
Përshëndetje dhe nëse jam një përdorues normal, duhet të përdor su apo sudo?
Unë përdor su sepse nuk më pëlqen sudo, sepse kushdo që ka fjalëkalimin tim të përdoruesit mund të ndryshojë çfarë të dojë në sistem, në vend të kësaj me su nr.
Në PC tuaj nuk shqetësohet të përdorni su, ju mund ta përdorni atë pa probleme, në servera, rekomandohet shumë të çaktivizoni përdorimin e su dhe të përdorni sudo, shumë thonë se kjo është për shkak të faktit të auditimit që ekzekutoi atë komandë dhe sudo bën atë detyrë ... e veçantë, në kompjuterin tim unë përdor të tijin, ashtu si ju ...
Sigurisht, nuk e di me të vërtetë se si funksionon në servera. Megjithëse, më duket se sudo kishte avantazhin se mund t'i jepni privilegje përdoruesit të një kompjuteri tjetër, nëse nuk gaboj.
Artikull interesant, unë kriptoj disa skedarë me gnu-gpg, siç është ai i privilegjit minimal, në rast se doni të ekzekutoni, për shembull, një binar me origjinë të panjohur të humbur në detet e pamasë të informacionit në disk, si ta heq aksesin në funksione të caktuara ?
Unë ja detyrohem asaj pjese ty, megjithëse mendoj se duhet të ekzekutosh vetëm si sudo / root, programe që janë të besueshme, domethënë vijnë nga repoja juaj ...
Mbaj mend që kam lexuar se ekziston një mënyrë për të mundësuar aftësitë root në një manual në GNU / Linux dhe UNIX, nëse e gjej do ta vendos put
@ andrew këtu është artikulli që përmenda dhe ca më shumë ndihmë
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
dhe kafazet për të drejtuar binare të panjohura?
Përdorimi i sudos në çdo kohë është shumë më i mirë.
Ose mund të përdorni sudo, por duke kufizuar kohën kur mbahet mend fjalëkalimi.
Mjete të ngjashme përdor për të monitoruar pc, "iotop" si një zëvendësim për "iostat", "htop" shkëlqyeshëm "detyrë menaxher", "iftop" monitorimin e gjerësisë së bandës.
shumë do të mendojnë se është e ekzagjeruar, por unë kam parë tashmë sulme për të përfshirë një server në një botnet.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Lypësit kinezë dhe përpjekjet e tyre për të hakuar serverin tim.
diçka që është gjithashtu e përshtatshme është përdorimi i kafazeve për shërbime, kështu që nëse për ndonjë arsye ata sulmohen ata nuk do të kompromentojnë sistemin.
Përdorimi i komandës ps është gjithashtu i shkëlqyeshëm për monitorimin dhe mund të jetë pjesë e veprimeve për të kontrolluar të metat e sigurisë. ekzekutimi i ps -ef rendit të gjitha proceset, është i ngjashëm me topin megjithatë tregon disa ndryshime. instalimi i iptraf është një mjet tjetër që mund të funksionojë.
Kontribut i mirë.
Unë do të shtoja: SELinux ose Apparmor, në varësi të distro, gjithmonë i aktivizuar.
Nga përvoja ime personale e kuptova që është praktikë e keqe t'i çaktivizosh ata përbërës. Ne pothuajse gjithmonë e bëjmë atë kur do të instalojmë ose konfigurojmë një shërbim, me arsyetimin se ai funksionon pa probleme, kur në të vërtetë ajo që duhet të bëjmë është të mësojmë t'i trajtojmë ata për të lejuar atë shërbim.
Një përshëndetje.
1. Si të kriptoni të gjithë sistemin e skedarëve? ia vlen??
2. A duhet të deshifrohet çdo herë që sistemi do të azhurnohet?
3. A është e njëjtë kriptimi i gjithë sistemit të skedarëve të makinës si kriptimi i ndonjë skedari tjetër?
Si e dini se e dini për çfarë po flisni?
Gjithashtu, ju mund të instaloni programe në kafaz, madje edhe përdorues të shumtë. Edhe pse bërja e kësaj është më shumë punë, por nëse diçka ka ndodhur, dhe keni pasur një kopje të mëparshme të asaj dosjeje, thjesht goditni dhe këndoni.
Politika më e mirë dhe më e përshtatshme e sigurisë është të mos jesh paranojak.
Provojeni, është e pagabueshme.
Unë jam duke përdorur CSF dhe kur zhbllokuar një klient i cili gabimisht vendosi fjalëkalimin e tij në disa qasje, kjo vonon procesin, por ajo bën. Eshte normale?
Unë jam duke kërkuar për komandën për të zhbllokuar nga ssh ... çdo sugjerim