Па, припремао сам овај пост за мој блог неко време су ми то предлагали у DesdeLinux, а због недостатка времена није могао или хтео. Ако сам помало лењ ????. Али сада штрајкују, као што кажемо на Куби ...
0- Редовно ажурирајте наше системе најновијим безбедносним исправкама.
КСНУМКС- Листа критичних ажурирања [Слацкваре саветник за безбедност, Дебиан-ов саветник за безбедност, у мом случају]
1- Нулти физички приступ неовлашћеном особљу серверима.
КСНУМКС- Примени лозинку за БИОС наших сервера
КСНУМКС- Нема покретања са ЦД-а / ДВД-а
КСНУМКС- Лозинка у ГРУБ / Лило
2- Добра политика лозинке, алфанумерички знакови и други.
КСНУМКС- Старење лозинки [Старење лозинке] помоћу команде "цхаге", као и број дана између промене лозинке и датума последње промене.
КСНУМКС- Избегавајте употребу претходних лозинки:
у /етц/пам.д/цоммон-пассворд
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
На овај начин мењате лозинку и она вас подсећа на последњих 10 лозинки које је корисник имао.
3- Добра политика управљања / сегментације наше мреже [рутери, свичеви, вланс] и заштитни зид, као и правила филтрирања УЛАЗ, ИЗЛАЗ, НАПРЕД [НАТ, СНАТ, ДНАТ]
4- Омогућите употребу шкољки [/ етц / схеллс]. Корисници који не морају да се пријаве у систем добиће / бин / фалсе или / бин / нологин.
5- Блокирајте кориснике када пријава не успе [дневник заказа], као и контролишите системски кориснички налог.
пассвд -л пепе -> блокирај корисника пепе пассвд -в пепе -> одблокирај корисника пепе
6- Омогућите употребу „судо“, НИКАД се не пријављујте као роот помоћу ссх, „НИКАД“. Заправо морате уредити ссх конфигурацију да бисте постигли ову сврху. Користите јавне / приватне кључеве на својим серверима са судо.
7- Примените у нашим системима „Принцип најмање привилегија".
8- Повремено проверите наше услуге [нетстат -лптун], за сваки од наших сервера. Додајте алате за надзор који нам могу помоћи у овом задатку [Нагиос, Кактуси, Мунин, Монит, Нтоп, Заббик].
9- Инсталирајте ИДС-ове, Снорт / АцидБасе, Снотби, Барниард, ОССЕЦ.
КСНУМКС- Нмап је ваш пријатељ, користите га за проверу ваше подмреже / подмрежа.
КСНУМКС- Добра безбедносна пракса у ОпенССХ, Апацхе2, Нгинк, МиСКЛ, ПостгреСКЛ, Постфик, Скуид, Самба, ЛДАП [оне које највише користе] и неким другим услугама које су вам потребне у вашој мрежи.
КСНУМКС- Шифрујте сву комуникацију док је то могуће у нашим системима, ССЛ, гнуТЛС, СтарТТЛС, сажетке итд. А ако рукујете осетљивим информацијама, шифрујте свој чврсти диск !!!
КСНУМКС- Ажурирајте наше сервере поште најновијим правилима о безбедности, црној листи и антиспаму.
КСНУМКС- Пријављивање активности у нашим системима помоћу логватцх-а и логцхецк-а.
КСНУМКС- Знање и употреба алата као што су топ, сар, вмстат, фрее, између осталог.
сар -> извештај о системској активности вмстат -> процеси, меморија, систем, у / о, активност процесора итд. иостат -> статус и / о процесора мпстат -> статус и употреба вишепроцесора пмап -> коришћење меморије слободним процесима -> иптраф меморија -> саобраћај нашег мрежног етстата у реалном времену -> етхернет монитор етхернет статистике заснован на конзоли -> графички мрежни монитор сс -> статус сокета [информације о тцп сокету, удп, необрађене сокете, ДЦЦП утичнице] тцпдумп -> Детаљна анализа промета внстат -> надзор мрежног промета одабраних интерфејса мтр -> дијагностички алат и анализа преоптерећења у мрежним алатима -> статистика о мрежним картицама
За сада је све. Знам да у овој врсти окружења постоји хиљаду и још један предлог за безбедност, али они су ме највише погодили, или да сам у неком тренутку морао да се пријавим / вежбам у окружењу које сам администрирао .
Загрљај и надам се да ће вам послужити 😀
Позивам вас у коментарима да нам кажете о неким другим правилима која су примењена осим већ поменутих, како бисмо повећали знање наших читалаца 😀
Па додао бих:
1. - Примените сисцтл правила да бисте избегли дмесг, / проц, СисРК приступ, доделите ПИД1 језгру, омогућите заштиту за тврде и меке симболичке везе, заштиту за ТЦП / ИП стекове и за ИПв4 и ИПв6, активирајте пуни ВДСО за максималну рандомизацију показивачи и додељивање меморијског простора и побољшавају снагу против преливања бафера.
2.- Направите противпожарне зидове типа СПИ (Статефул Пацкаге Инспецт) како бисте спречили да везе које нису креиране или којима је претходно било дозвољено имају приступ систему.
3.- Ако немате услуге које гарантују везе са повишеним привилегијама са удаљене локације, једноставно опозовите приступ њима користећи аццесс.цонф или, ако то не успе, омогућите приступ само одређеном кориснику или групи.
4. - Користите чврста ограничења да бисте спречили приступ одређеним групама или корисницима да дестабилизују ваш систем. Веома корисно у окружењима у којима је увек активан прави корисник.
5.- ТЦПВрапперс је ваш пријатељ, ако се налазите на систему који има подршку за њега, употреба га не би нашкодила, тако да можете одбити приступ било којем хосту уколико претходно није конфигурисан у систему.
6.- Створите ССХ РСА кључеве од најмање 2048 бита или боље од 4096 бита са алфанумеричким кључевима дужим од 16 знакова.
7.- Колико сте уписани у свет? Провера дозвола за читање и писање ваших директоријума уопште није лоша и најбољи је начин да се избегне неовлашћени приступ у вишекорисничким окружењима, а да се не спомиње да одређеним неовлашћеним приступима отежава приступ информацијама које радите не желе да их нико други не види.
8.- Монтирајте било коју спољну партицију која то не заслужује, са опцијама ноекец, носуид, нодев.
9. - Користите алате као што су ркхунтер и цхкрооткит да бисте повремено проверили да систем нема инсталиран рооткит или малвер. Разборита мера ако сте један од оних који инсталирају ствари из несигурних спремишта, из ППА-а или једноставно компајлирају код са непоузданих локација.
Ухммм, укусно ... Добар коментар, додајте момке ... 😀
Применити обавезну контролу приступа са СЕлинуком?
врло добар чланак
Хвала пријатељу 😀
Поздрав, а ако сам нормалан корисник, да ли да користим су или судо?
Користим су јер не волим судо, јер свако ко има моју корисничку лозинку може променити шта год жели на систему, уместо са су бр.
На вашем рачунару се не труди да користи су, можете га користити без проблема, на серверима је топло препоручити да онемогућите употребу су и користите судо, многи кажу да је то због чињенице ревизије ко је шта извршио цомманд и судо ради тај задатак ... Ја посебно на свом рачунару користим његов, баш као и ви ...
Наравно, заправо не знам како то функционише на серверима. Иако ми се чини да је судо имао предност у томе што можете дати привилегије кориснику другог рачунара, ако се не варам.
Занимљив чланак, шифрујем неке датотеке гну-гпг, као што је то и минимална привилегија, у случају да желите да извршите, на пример, бинарну датотеку непознатог порекла изгубљену у огромном мору информација на диску, како да уклоним приступ одређеним функцијама ?
Тај део дугујем вама, мада сматрам да програме који су поуздани, односно који потичу из вашег репо-а, треба да покрећете само као судо / роот.
Сећам се да сам прочитао да постоји начин да се у приручнику за ГНУ / Линук и УНИКС омогуће роот могућности, ако га нађем, ставићу га 😀
@андрев ево чланка који сам поменуо и још неке помоћи
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
а кавези са цховном да воде непознате бинарне датотеке?
Коришћење судо-а у сваком тренутку је много боље.
Или можете да користите судо, али ограничавајући време памћења лозинке.
Слични алати које користим за надгледање рачунара, „иотоп“ као замена за „иостат“, „хтоп“ одличан „менаџер задатака“, надгледање пропусности „ифтоп“.
многи ће помислити да је то претјерано, али већ сам видио нападе који укључују сервер на ботнет.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
пс: Кинески просјаци и њихови покушаји да хакују мој сервер.
нешто што је такође погодно је да се за услуге користе кавези од паприке, па ако их из неког разлога нападну, не би угрозили систем.
Коришћење пс наредбе је такође изврсно за надгледање и могло би бити део акција за проверу сигурносних недостатака. покретање пс -еф наводи све процесе, слично је врху, али показује неке разлике. инсталирање иптраф-а је још један алат који може функционисати.
Добар допринос.
Додао бих: СЕЛинук или Аппармор, у зависности од дистро-а, увек омогућени.
Из свог искуства схватио сам да је лоша пракса онемогућавати те компоненте. Готово увек то радимо када ћемо инсталирати или конфигурисати услугу, с изговором да она ради без проблема, када је заиста оно што треба да урадимо је да научимо да рукујемо њима да бисмо дозволили ту услугу.
Поздрав.
1.Како шифровати цео систем датотека? вредело је??
2. Да ли мора да се дешифрује сваки пут када се систем ажурира?
3. Да ли је шифровање целокупног система датотека на машини исто што и шифровање било које друге датотеке?
Како знате да знате о чему говорите?
Такође, можете ставити програме у кавез, па чак и више корисника. Иако је ово више посла, али ако се нешто догодило, а имали сте претходну копију те фасцикле, то је само ударање и певање.
Најбоља и најприкладнија безбедносна политика није да будете параноични.
Пробајте, непогрешиво је.
Користим цсф и приликом откључавања клијента који је погрешно ставио лозинку при неком приступу, то одлаже процес, али то чини. То је нормално?
Тражим команду за деблокаду ссх-а ... било који предлог