เคล็ดลับความปลอดภัยในระบบ GNU / Linux

ฉันได้เตรียมโพสต์นี้สำหรับ บล็อคของฉัน บางครั้งพวกเขาแนะนำให้ฉันเข้ามา DesdeLinuxและเนื่องจากไม่มีเวลาเขาจึงไม่สามารถหรือเต็มใจได้ ถ้าฉันค่อนข้างขี้เกียจ ????. แต่ตอนนี้พวกเขาถูกนัดหยุดงานอย่างที่เราพูดในคิวบา ...

0- อัปเดตระบบของเราอยู่เสมอด้วยการอัปเดตความปลอดภัยล่าสุด

0.1- การอัปเดตที่สำคัญรายการส่งเมล [ที่ปรึกษาด้านความปลอดภัย Slackware, ที่ปรึกษาด้านความปลอดภัย Debianในกรณีของฉัน]

1- การเข้าถึงเซิร์ฟเวอร์เป็นศูนย์โดยบุคลากรที่ไม่ได้รับอนุญาต

1.1- ใช้รหัสผ่านกับ ไบออส ของเซิร์ฟเวอร์ของเรา

1.2- ไม่ต้องบูตด้วยซีดี / ดีวีดี

1.3- รหัสผ่านใน GRUB / Lilo

2- นโยบายรหัสผ่านที่ดีอักขระที่เป็นตัวเลขและตัวอักษรและอื่น ๆ

2.1- อายุของรหัสผ่าน [Password Aging] ด้วยคำสั่ง“ chage” ตลอดจนจำนวนวันระหว่างการเปลี่ยนรหัสผ่านและวันที่เปลี่ยนล่าสุด

2.2- หลีกเลี่ยงการใช้รหัสผ่านก่อนหน้านี้:

ใน /etc/pam.d/common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

นี่คือวิธีที่คุณเปลี่ยนรหัสผ่านและจะเตือนคุณถึง 10 รหัสผ่านล่าสุดที่ผู้ใช้มี

3- นโยบายการจัดการ / การแบ่งกลุ่มที่ดีของเครือข่ายของเรา [เราเตอร์สวิตช์ vlans] และไฟร์วอลล์ตลอดจนการกรองกฎ INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT]

4- เปิดใช้งานการใช้เชลล์ [/ etc /hells] ผู้ใช้ที่ไม่ต้องล็อกอินเข้าสู่ระบบ get / bin / false หรือ / bin / nologin

5- บล็อกผู้ใช้เมื่อการเข้าสู่ระบบล้มเหลว [faillog] รวมทั้งควบคุมบัญชีผู้ใช้ระบบ

passwd -l pepe -> บล็อกผู้ใช้ pepe passwd -v pepe -> ปลดบล็อกผู้ใช้ pepe

6- เปิดใช้งานการใช้ "sudo" ไม่เคยเข้าสู่ระบบในฐานะรูทโดย ssh "ไม่เคย" ในความเป็นจริงคุณต้องแก้ไขการกำหนดค่า ssh เพื่อให้บรรลุวัตถุประสงค์นี้ ใช้คีย์สาธารณะ / ส่วนตัวบนเซิร์ฟเวอร์ของคุณด้วย sudo

7- สมัครในระบบของเราหลักการของสิทธิพิเศษน้อยที่สุด"

8- ตรวจสอบบริการของเราเป็นครั้งคราว [netstat -lptun] สำหรับเซิร์ฟเวอร์แต่ละเครื่องของเรา เพิ่มเครื่องมือตรวจสอบที่สามารถช่วยเราในงานนี้ [Nagios, Cacti, Munin, Monit, Ntop, Zabbix]

9- ติดตั้ง IDSs, Snort / AcidBase, Snotby, Barnyard, OSSEC

10- Nmap เป็นเพื่อนของคุณใช้เพื่อตรวจสอบเครือข่ายย่อย / เครือข่ายย่อยของคุณ

11- แนวทางปฏิบัติด้านความปลอดภัยที่ดีใน OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [สิ่งที่ใช้กันมากที่สุด] และบริการอื่น ๆ ที่คุณต้องการในเครือข่ายของคุณ

12- เข้ารหัสการสื่อสารทั้งหมดในขณะที่เป็นไปได้ในระบบของเรา SSL, gnuTLS, StarTTLS, Digest ฯลฯ ... และหากคุณจัดการข้อมูลที่ละเอียดอ่อนให้เข้ารหัสฮาร์ดไดรฟ์ของคุณ !!!

13- อัปเดตเซิร์ฟเวอร์อีเมลของเราด้วยกฎความปลอดภัยบัญชีดำและการป้องกันสแปมล่าสุด

14- การบันทึกกิจกรรมในระบบของเราด้วยนาฬิกาบันทึกและการตรวจสอบการบันทึก

15- ความรู้และการใช้เครื่องมือเช่น top, sar, vmstat, ฟรีและอื่น ๆ

sar -> รายงานกิจกรรมของระบบ vmstat -> กระบวนการหน่วยความจำระบบ i / o กิจกรรม cpu ฯลฯ iostat -> cpu i / o status mpstat -> สถานะหลายโปรเซสเซอร์และ pmap การใช้งาน -> การใช้หน่วยความจำโดยกระบวนการฟรี - > หน่วยความจำ iptraf -> การรับส่งข้อมูลแบบเรียลไทม์ของ ethstatus เครือข่ายของเรา -> ตรวจสอบสถิติอีเธอร์เน็ตบนคอนโซล -> การตรวจสอบเครือข่ายกราฟิก ss -> สถานะซ็อกเก็ต [ข้อมูลซ็อกเก็ต tcp, udp, ซ็อกเก็ตดิบ, ซ็อกเก็ต DCCP] tcpdump -> การวิเคราะห์โดยละเอียด de Traffic vnstat -> การตรวจสอบการรับส่งข้อมูลเครือข่ายของอินเทอร์เฟซที่เลือก mtr -> เครื่องมือวินิจฉัยและการวิเคราะห์การโอเวอร์โหลดในเครือข่าย ethtool -> สถิติเกี่ยวกับการ์ดเครือข่าย

สำหรับตอนนี้มันคือทั้งหมด ฉันรู้ว่ามีคำแนะนำด้านความปลอดภัยอีกหนึ่งพันข้อในสภาพแวดล้อมประเภทนี้ แต่สิ่งเหล่านี้เป็นคำแนะนำที่ทำให้ฉันรู้สึกใกล้ชิดที่สุดหรือในบางครั้งฉันต้องใช้ / ออกกำลังกายในสภาพแวดล้อมที่ฉันดูแล

กอดและฉันหวังว่ามันจะให้บริการคุณ😀