Şey, bu gönderiyi bloğum bir süredir bana önerdiler DesdeLinuxve zaman yetersizliğinden dolayı bunu yapamamıştı ya da istemiyordu. Biraz tembelsem 😀. Ama şimdi Küba'da dediğimiz gibi greve gidiyorlar ...
0- Sistemlerimizi en son güvenlik güncellemeleriyle güncel tutun.
0.1- Kritik Güncellemeler Posta Listeleri [Slackware Güvenlik Danışmanı, Debian Güvenlik Danışmanı, benim durumumda]
1- Yetkisiz personel tarafından sunuculara sıfır fiziksel erişim.
1.1- Şifreyi şuraya uygula: BIOS sunucularımızın
1.2- CD / DVD ile önyükleme yok
1.3- GRUB / Lilo'da şifre
2- İyi şifre politikası, alfanümerik karakterler ve diğerleri.
2.1- "Chage" komutuyla parolaların eskimesi [Parola Yaşlandırma] ve ayrıca parola değişikliği ile son değişiklik tarihi arasındaki gün sayısı.
2.2- Önceki şifreleri kullanmaktan kaçının:
/etc/pam.d/common-password içinde
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
Böylece parolayı değiştirirsiniz ve size kullanıcının sahip olduğu son 10 parolayı hatırlatır.
3- Ağımızın [yönlendiriciler, anahtarlar, vlanlar] ve güvenlik duvarının yanı sıra INPUT, OUTPUT, FORWARD [NAT, SNAT, DNAT] filtreleme kuralları için iyi yönetim / segmentasyon politikası
4- Kabukların [/ etc / shells] kullanımını etkinleştirin. Sisteme giriş yapmak zorunda olmayan kullanıcılar / bin / false veya / bin / nologin alırlar.
5- Oturum açma başarısız olduğunda kullanıcıları engelleyin [faillog] ve sistem kullanıcı hesabını kontrol edin.
passwd -l pepe -> kullanıcıyı engelle pepe passwd -v pepe -> kullanıcı pepe engelini kaldır
6- "Sudo" kullanımını etkinleştirin, ASLA ssh tarafından "ASLA" root olarak oturum açmayın. Aslında bu amaca ulaşmak için ssh yapılandırmasını düzenlemelisiniz. Sudo ile sunucularınızda genel / özel anahtarları kullanın.
7- Sistemlerimizde "En az ayrıcalık ilkesi".
8- Sunucularımızın her biri için zaman zaman [netstat -lptun] hizmetlerimizi kontrol edin. Bu görevde bize yardımcı olabilecek izleme araçlarını ekleyin [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].
9- IDS'ler, Snort / AcidBase, Snotby, Barnyard, OSSEC yükleyin.
10- Nmap senin arkadaşın, alt ağınızı / alt ağlarınızı kontrol etmek için kullanın.
11- OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [en çok kullanılanlar] ve ağınızda ihtiyaç duyduğunuz diğer bazı hizmetlerde iyi güvenlik uygulamaları.
12- Sistemlerimizde, SSL, gnuTLS, StarTTLS, özet, vb. Mümkün olduğu sürece tüm iletişimi şifreleyin ... Ve hassas bilgilerle uğraşıyorsanız, sabit sürücünüzü şifreleyin !!!
13- Posta sunucularımızı en son güvenlik, kara liste ve antispam kuralları ile güncelleyin.
14- Logwatch ve logcheck ile sistemlerimizde etkinlik kaydı.
15- Diğerlerinin yanı sıra top, sar, vmstat, free gibi araçların bilgisi ve kullanımı.
sar -> sistem etkinliği raporu vmstat -> işlemler, bellek, sistem, i / o, cpu etkinliği, vb. iostat -> cpu i / o durumu mpstat -> çoklu işlemci durumu ve kullanımı pmap -> ücretsiz işlemlerle bellek kullanımı -> iptraf bellek -> ağ ethstatus'umuzun gerçek zamanlı trafiği -> konsol tabanlı ethernet istatistikleri etherape'i izler -> grafiksel ağ monitörü ss -> soket durumu [tcp soket bilgisi, udp, ham soketler, DCCP Soketleri] tcpdump -> Ayrıntılı analiz de trafik vnstat -> seçilen arayüzlerin ağ trafiğini izleme mtr -> tanılama aracı ve ağlardaki aşırı yük analizi ethtool -> ağ kartlarıyla ilgili istatistikler
Şimdilik hepsi bu. Bu tür bir ortamda bin bir güvenlik önerisi daha olduğunu biliyorum, ancak bunlar beni en çok etkileyenler veya bir noktada yönettiğim bir ortamda uygulamak / egzersiz yapmak zorunda kaldım. .
Bir kucak ve umarım sana hizmet eder 😀
Sizleri yorumlarda, okuyucularımızın bilgisini artırmak için daha önce bahsedilenlerin dışında uygulanan diğer bazı kuralları da anlatmaya davet ediyorum 😀
Ben ekleyeceğim:
1.- dmesg, / proc, SysRQ erişimini engellemek için sysctl kurallarını uygulayın, çekirdeğe PID1 atayın, sert ve yumuşak sembolik bağlar için korumaları etkinleştirin, hem IPv4 hem de IPv6 için TCP / IP yığınları için korumaları etkinleştirin, maksimum rasgele işaretçiler için tam VDSO'yu etkinleştirin ve bellek alanı ayırmaları ve arabellek taşmalarına karşı gücü iyileştirir.
2.- Oluşturulmamış veya önceden sisteme erişmesine izin verilmeyen bağlantıların önlenmesi için SPI (Stateful Package Inspect) tipi yangın duvarları oluşturun.
3.- Uzak bir konumdan yükseltilmiş ayrıcalıklara sahip bağlantılar gerektiren hizmetleriniz yoksa, access.conf kullanarak bunlara erişimi iptal edin veya başarısız olursa, yalnızca belirli bir kullanıcı veya gruba erişimi etkinleştirin.
4.- Belirli gruplara veya kullanıcılara erişimin sisteminizin dengesini bozmasını önlemek için kesin sınırlar kullanın. Her zaman gerçek bir çok kullanıcının aktif olduğu ortamlarda çok kullanışlıdır.
5.- TCPWrappers sizin dostunuzdur, eğer onu destekleyen bir sistemdeyseniz, onu kullanmak zarar vermez, böylece sistemde önceden yapılandırılmamışsa herhangi bir ana bilgisayardan erişimi reddedebilirsiniz.
6.- 2048 karakterden fazla alfanümerik anahtarlarla en az 4096 bit veya daha iyi 16 bitlik SSH RSA anahtarları oluşturun.
7.- Ne kadar herkes tarafından yazılabilirsin? Dizinlerinizin okuma-yazma izinlerini kontrol etmek hiç de fena değildir ve çok kullanıcılı ortamlarda yetkisiz erişimi önlemenin en iyi yoludur, bazı yetkisiz erişimlerin sizin yaptığınız bilgilere erişimini zorlaştırdığından bahsetmiyorum bile. istemiyorum. kimse görmüyor.
8.- Noexec, nosuid, nodev seçenekleriyle bunu hak etmeyen herhangi bir harici bölümü monte edin.
9.- Sistemde bir rootkit veya kötü amaçlı yazılımın kurulu olup olmadığını düzenli aralıklarla kontrol etmek için rkhunter ve chkrootkit gibi araçlar kullanın. Güvenli olmayan depolardan, PPA'lardan veya güvenilmeyen sitelerden canlı derleme kodlarından bir şeyler yükleyenlerden biriyseniz, ihtiyatlı bir önlem.
Uhmmm, lezzetli… Güzel yorum, arkadaşlar ekleyin… 😀
SElinux ile Zorunlu Erişim Kontrolü uyguluyor musunuz?
çok güzel makale
Teşekkürler arkadaşım 😀
Merhaba ve eğer normal bir kullanıcıysam, su mu yoksa sudo mu kullanmalıyım?
Su kullanıyorum çünkü sudo'yu sevmiyorum, çünkü kullanıcı parolama sahip olan herhangi biri su no ile sistemde istediklerini değiştirebilir.
PC'nizde su kullanmak zahmet etmez, sorunsuz kullanabilirsiniz, sunucularda su kullanımını devre dışı bırakmanız ve sudo kullanmanız şiddetle tavsiye edilir, çoğu kişi hangi komutu çalıştıranın denetlemesinden kaynaklandığını söylüyor ve sudo bu görevi yapıyor ... Özellikle ben, bilgisayarımda onunkini kullanıyorum, tıpkı senin gibi ...
Elbette, sunucularda nasıl çalıştığını gerçekten bilmiyorum. Yine de bana öyle geliyor ki sudo, yanılmıyorsam başka bir bilgisayarın kullanıcısına ayrıcalıklar verebilme avantajına sahipti.
İlginç bir makale, minimum ayrıcalık gibi bazı dosyaları gnu-gpg ile şifreliyorum, örneğin diskteki uçsuz bucaksız bilgi denizlerinde kaybolan bilinmeyen kaynaklı bir ikiliyi çalıştırmak istemeniz durumunda, bazılarına erişimi nasıl kaldırabilirim fonksiyonlar?
Bu kısmı size borçluyum, bence sadece sudo / root olarak çalıştırmalısınız, güvenilir programlar, yani sizin deponuzdan geliyorlar ...
GNU / Linux ve UNIX üzerinde bazı kılavuzlarda kök yeteneklerini etkinleştirmenin bir yolu olduğunu okuduğumu hatırlıyorum, bulursam koyacağım 😀
@andrew burada bahsettiğim makale ve biraz daha yardım
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
ve bilinmeyen ikili dosyaları çalıştırmak için chown kafesleri?
Sudo'yu her zaman kullanmak çok daha iyidir.
Ya da sudo kullanabilirsiniz, ancak şifrenin hatırlanma süresini sınırlandırabilirsiniz.
Bilgisayarı izlemek için kullandığım benzer araçlar, «iostat» yerine «iotop», «htop» mükemmel «görev yöneticisi», «iftop» bant genişliği izleme.
birçoğu bunun abartılı olduğunu düşünecek, ancak bir sunucuyu bir botnet'e dahil etmeye yönelik saldırılar görmüştüm.
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps: Çinli dilenciler ve sunucumu hackleme girişimleri.
aynı zamanda uygun olan bir şey de servisler için chown kafesleri kullanmaktır, bu nedenle herhangi bir nedenle saldırıya uğrarlarsa sistemi tehlikeye atmazlar.
Ps komutunu kullanmak ayrıca izleme için mükemmeldir ve güvenlik açıklarını kontrol etmek için eylemlerin bir parçası olabilir. ps -ef çalıştırmak tüm süreçleri listeler, top ile benzerdir ancak bazı farklılıklar gösterir. iptraf kurulumu işe yarayabilecek başka bir araçtır.
İyi katkı.
Ekleyeceğim: SELinux veya Apparmor, dağıtıma bağlı olarak her zaman etkindir.
Kendi deneyimlerime göre, bu bileşenleri devre dışı bırakmanın kötü bir uygulama olduğunu anladım. Neredeyse her zaman, bir hizmeti kuracağımız veya yapılandıracağımız zaman, sorunsuz çalışması bahanesiyle, gerçekten yapmamız gereken şey, bu hizmete izin vermek için onları yönetmeyi öğrenmek olduğunda yaparız.
Bir tebrik.
1. Tüm dosya sistemi nasıl şifrelenir? buna değer??
2. Sistem her güncellenirken şifresinin çözülmesi gerekir mi?
3. Makinenin tüm dosya sistemini şifrelemek, başka herhangi bir dosyayı şifrelemekle aynı mı?
Neden bahsettiğini bildiğini nasıl gösterirsin?
Ayrıca, programları ve hatta birden fazla kullanıcıyı kafesleyebilirsiniz. Bunu yapmak daha fazla iş olsa da, ancak bir şey olursa ve bu klasörün bir önceki kopyasına sahipseniz, bu sadece vurmak ve şarkı söylemektir.
En iyi ve en uygun güvenlik politikası paranoyak olmamaktır.
Deneyin, yanılmaz.
Ben csf kullanıyorum ve şifresini bir miktar erişimde kaybeden bir istemcinin kilidini açarken işlemi geciktiriyor ama oluyor. Bu normal?
Ssh engelini kaldırmak için komut arıyorum ... herhangi bir öneri