Савети о безбедности на ГНУ / Линук системима

Па, припремао сам овај пост за мој блог неко време су ми то предлагали у DesdeLinux, а због недостатка времена није могао или хтео. Ако сам помало лењ ????. Али сада штрајкују, као што кажемо на Куби ...

0- Редовно ажурирајте наше системе најновијим безбедносним исправкама.

КСНУМКС- Листа критичних ажурирања [Слацкваре саветник за безбедност, Дебиан-ов саветник за безбедност, у мом случају]

1- Нулти физички приступ неовлашћеном особљу серверима.

КСНУМКС- Примени лозинку за БИОС наших сервера

КСНУМКС- Нема покретања са ЦД-а / ДВД-а

КСНУМКС- Лозинка у ГРУБ / Лило

2- Добра политика лозинке, алфанумерички знакови и други.

КСНУМКС- Старење лозинки [Старење лозинке] помоћу команде "цхаге", као и број дана између промене лозинке и датума последње промене.

КСНУМКС- Избегавајте употребу претходних лозинки:

у /етц/пам.д/цоммон-пассворд

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

На овај начин мењате лозинку и она вас подсећа на последњих 10 лозинки које је корисник имао.

3- Добра политика управљања / сегментације наше мреже [рутери, свичеви, вланс] и заштитни зид, као и правила филтрирања УЛАЗ, ИЗЛАЗ, НАПРЕД [НАТ, СНАТ, ДНАТ]

4- Омогућите употребу шкољки [/ етц / схеллс]. Корисници који не морају да се пријаве у систем добиће / бин / фалсе или / бин / нологин.

5- Блокирајте кориснике када пријава не успе [дневник заказа], као и контролишите системски кориснички налог.

пассвд -л пепе -> блокирај корисника пепе пассвд -в пепе -> одблокирај корисника пепе

6- Омогућите употребу „судо“, НИКАД се не пријављујте као роот помоћу ссх, „НИКАД“. Заправо морате уредити ссх конфигурацију да бисте постигли ову сврху. Користите јавне / приватне кључеве на својим серверима са судо.

7- Примените у нашим системима „Принцип најмање привилегија".

8- Повремено проверите наше услуге [нетстат -лптун], за сваки од наших сервера. Додајте алате за надзор који нам могу помоћи у овом задатку [Нагиос, Кактуси, Мунин, Монит, Нтоп, Заббик].

9- Инсталирајте ИДС-ове, Снорт / АцидБасе, Снотби, Барниард, ОССЕЦ.

КСНУМКС- Нмап је ваш пријатељ, користите га за проверу ваше подмреже / подмрежа.

КСНУМКС- Добра безбедносна пракса у ОпенССХ, Апацхе2, Нгинк, МиСКЛ, ПостгреСКЛ, Постфик, Скуид, Самба, ЛДАП [оне које највише користе] и неким другим услугама које су вам потребне у вашој мрежи.

КСНУМКС- Шифрујте сву комуникацију док је то могуће у нашим системима, ССЛ, гнуТЛС, СтарТТЛС, сажетке итд. А ако рукујете осетљивим информацијама, шифрујте свој чврсти диск !!!

КСНУМКС- Ажурирајте наше сервере поште најновијим правилима о безбедности, црној листи и антиспаму.

КСНУМКС- Пријављивање активности у нашим системима помоћу логватцх-а и логцхецк-а.

КСНУМКС- Знање и употреба алата као што су топ, сар, вмстат, фрее, између осталог.

сар -> извештај о системској активности вмстат -> процеси, меморија, систем, у / о, активност процесора итд. иостат -> статус и / о процесора мпстат -> статус и употреба вишепроцесора пмап -> коришћење меморије слободним процесима -> иптраф меморија -> саобраћај нашег мрежног етстата у реалном времену -> етхернет монитор етхернет статистике заснован на конзоли -> графички мрежни монитор сс -> статус сокета [информације о тцп сокету, удп, необрађене сокете, ДЦЦП утичнице] тцпдумп -> Детаљна анализа промета внстат -> надзор мрежног промета одабраних интерфејса мтр -> дијагностички алат и анализа преоптерећења у мрежним алатима -> статистика о мрежним картицама

За сада је све. Знам да у овој врсти окружења постоји хиљаду и још један предлог за безбедност, али они су ме највише погодили, или да сам у неком тренутку морао да се пријавим / вежбам у окружењу које сам администрирао .

Загрљај и надам се да ће вам послужити 😀