Awọn imọran aabo lori awọn eto GNU / Linux

O dara, Mo ti ngbaradi ifiweranṣẹ yii fun bulọọgi mi fun igba diẹ wọn daba fun mi ni LatiLaini, ati nitori aini akoko, ko ti ni anfani tabi fẹ. Ti Mo ba ni itumo aisun ????. Ṣugbọn nisisiyi wọn wa lori idasesile, bi a ṣe sọ ni Kuba ...

Eyi jẹ akojọpọ awọn ofin aabo ipilẹ fun awọn alabojuto eto, ninu ọran yii, fun awọn bii temi ti n ṣakoso awọn nẹtiwọọki / awọn ọna ṣiṣe ti o da lori GNU / Linux ... O le wa diẹ sii ati ni otitọ awọn diẹ sii wa, eyi jẹ apẹẹrẹ kan ti lilọ kiri mi ni ayika agbaye Linux ...

0- Jẹ ki awọn eto wa ni imudojuiwọn pẹlu awọn imudojuiwọn aabo tuntun.

0.1- Awọn imudojuiwọn Lominu ni Awọn atokọ ifiweranṣẹ [Onimọnran Aabo Slackware, Onimọnran Aabo Debian, ninu ọran mi]

1- Wiwọle ti ara odo si awọn olupin nipasẹ oṣiṣẹ laigba aṣẹ.

1.1- Waye ọrọ igbaniwọle si BIOS ti awọn olupin wa

1.2- Ko si bata nipasẹ CD / DVD

1.3- Ọrọigbaniwọle ni GRUB / Lilo

2- Eto imulo ọrọ igbaniwọle to dara, awọn kikọ alphanumeric ati awọn miiran.

2.1- Ogbo ti awọn ọrọigbaniwọle [Ọrọ igbaniwọle Ọrọigbaniwọle] pẹlu aṣẹ “chage”, ati nọmba awọn ọjọ laarin iyipada ọrọ igbaniwọle ati ọjọ iyipada to kẹhin.

2.2- Yago fun lilo awọn ọrọ igbaniwọle iṣaaju:

ni /etc/pam.d/ common-password

password sufficient pam_unix.so use_auth ok md5 shadow remember 10

Eyi ni bi o ṣe yi ọrọ igbaniwọle pada ati pe o leti ọ ti awọn ọrọ igbaniwọle 10 ti o kẹhin ti olumulo ni.

3- Ilana iṣakoso / ilana ipin ti nẹtiwọọki wa to dara [awọn onimọ-ọna, awọn iyipada, vlans] ati ogiriina, ati awọn ofin sisẹ INPUT, OUTPUT, SIWAJU [NAT, SNAT, DNAT]

4- Jeki lilo awọn ibon nlanla [/ ati be be / awọn nlanla]. Awọn olumulo ti ko ni lati wọle sinu eto gba / bin / eke tabi / bin / nologin.

5- Dina awọn olumulo nigbati wiwọle ba kuna [faillog], bakanna bi iṣakoso akọọlẹ olumulo eto.

passwd -l pepe -> dènà pepe olumulo passwd -v pepe -> ṣii olumulo pepe olumulo

6- Jeki lilo ti "sudo", MAṣe wọle bi gbongbo nipasẹ ssh, "MASE". Ni otitọ o gbọdọ satunkọ iṣeto ssh lati ṣaṣeyọri idi yii. Lo awọn bọtini gbangba / ikọkọ lori awọn olupin rẹ pẹlu sudo.

7- Waye ninu awọn ọna ṣiṣe wa “Ilana ti o kere ju anfani".

8- Ṣayẹwo awọn iṣẹ wa lati igba de igba [netstat -lptun], fun ọkọọkan awọn olupin wa. Ṣafikun awọn irinṣẹ ibojuwo ti o le ṣe iranlọwọ fun wa ninu iṣẹ yii [Nagios, Cacti, Munin, Monit, Ntop, Zabbix].

9- Fi IDS sii, Snort / AcidBase, Snotby, Barnyard, OSSEC.

10- Nmap jẹ ọrẹ rẹ, lo lati ṣayẹwo subnet / subnets rẹ.

11- Awọn iṣe aabo to dara ni OpenSSH, Apache2, Nginx, MySQL, PostgreSQL, Postfix, Squid, Samba, LDAP [awọn ti o nlo julọ] ati diẹ ninu iṣẹ miiran ti o nilo ninu nẹtiwọọki rẹ.

12- Ṣe encrypt gbogbo ibaraẹnisọrọ lakoko ti o ṣee ṣe ninu awọn ọna ṣiṣe wa, SSL, gnuTLS, StarTTLS, digest, ati bẹbẹ lọ ... Ati pe ti o ba mu alaye ti o ni ifura, encrypt dirafu lile rẹ !!!

13- Ṣe imudojuiwọn awọn olupin apamọ wa pẹlu aabo tuntun, atokọ dudu ati awọn ofin antispam.

14- Wiwọle iṣẹ-ṣiṣe ninu awọn eto wa pẹlu logwatch ati logcheck.

15- Imọ ati lilo awọn irinṣẹ bii oke, sar, vmstat, ọfẹ, laarin awọn miiran.

sar -> Iroyin iṣẹ ṣiṣe vmstat -> awọn ilana, iranti, eto, i / o, iṣẹ cpu, ati bẹbẹ lọ iostat -> cpu i / o ipo mpstat -> ipo-ilana pupọ ati pmap lilo -> lilo iranti nipasẹ awọn ilana ọfẹ -> iranti iptraf -> ijabọ ni akoko gidi ti ethstatus nẹtiwọọki wa -> atẹle atẹle ethernet statistiki etherape -> olutọju nẹtiwọọki ayaworan ss -> ipo iho [alaye soketti tcp, udp, sockets aise, Awọn DCCP Sockets] tcpdump -> Itupalẹ alaye vnstat -> atẹle ijabọ ọja nẹtiwọọki ti awọn atọkun ti a yan mtr -> ọpa iwadii ati itupalẹ apọju ni awọn nẹtiwọki ethtool -> awọn iṣiro nipa awọn kaadi nẹtiwọọki

Fun bayi o ti pari. Mo mọ pe awọn didaba ẹgbẹrun ati ọkan diẹ sii ni awọn aba aabo ni iru ayika yii, ṣugbọn iwọnyi ni awọn ti o kọlu mi ni pẹkipẹki, tabi pe ni aaye kan Mo ni lati lo / adaṣe ni agbegbe ti Mo ti ṣakoso .

Famọra kan ati pe Mo nireti pe o yoo ṣiṣẹ fun ọ 😀


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Awọn asọye 26, fi tirẹ silẹ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade.

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.

  1.   koratsuki wi

    Mo pe ọ ninu awọn asọye lati sọ fun wa nipa ofin miiran ti o ti gbekalẹ yato si awọn ti a mẹnuba tẹlẹ, lati mu imo ti awọn onkawe wa pọ si 😀

    1.    yukiteru wi

      O dara Emi yoo ṣafikun:

      1.- Lo awọn ofin sysctl lati ṣe idiwọ dmesg, / proc, SysRQ, fi PID1 si ori, jẹ ki awọn aabo fun awọn asopọ lile ati rirọ, awọn aabo fun awọn akopọ TCP / IP fun mejeeji IPv4 ati IPv6, mu ṣiṣẹ VDSO ni kikun fun awọn itọkasi atọka apọju ati awọn ipin aaye iranti ati imudarasi agbara lodi si awọn iṣan fifa.

      2.- Ṣẹda awọn odi ina ti iru SPI (Ṣayẹwo Package ti Ipinle) lati yago fun awọn isopọ ti ko ṣẹda tabi gba laaye tẹlẹ lati ni iraye si eto naa.

      3.- Ti o ko ba ni awọn iṣẹ ti o ṣe atilẹyin awọn isopọ pẹlu awọn anfani giga lati ipo latọna jijin, jiroro ni fagile wiwọle si wọn nipa lilo access.conf, tabi, kuna pe, jẹ ki iraye si olumulo tabi ẹgbẹ kan pato.

      4.- Lo awọn aala lile lati yago fun iraye si awọn ẹgbẹ kan tabi awọn olumulo lati ṣe iparun eto rẹ. O wulo pupọ ni awọn agbegbe nibiti ọpọlọpọ olumulo pupọ n ṣiṣẹ ni gbogbo igba.

      5.- TCPWrappers jẹ ọrẹ rẹ, ti o ba wa lori eto pẹlu atilẹyin fun rẹ, lilo rẹ kii yoo ni ipalara, nitorinaa o le sẹ iwọle lati ọdọ eyikeyi alejo ayafi ti o ba tunto tẹlẹ ninu eto naa.

      6.- Ṣẹda awọn bọtini SSH RSA ti o kere ju awọn idinku 2048 tabi dara julọ ti awọn idinku 4096 pẹlu awọn bọtini alphanumeric ti o ju awọn ohun kikọ 16 lọ.

      7.- Bawo ni agbaye ṣe kọwe si ọ? Ṣiṣayẹwo awọn igbanilaaye kika-ka ti awọn ilana rẹ ko buru rara o jẹ ọna ti o dara julọ lati yago fun iraye laigba aṣẹ ni awọn agbegbe ti ọpọlọpọ olumulo, kii ṣe darukọ pe o jẹ ki o nira sii fun awọn iraye si laigba aṣẹ lati ni iraye si alaye ti o ṣe ko fe ki won ma ri enikankan ri.

      8.- Gbe eyikeyi ipin ita ti ko yẹ fun, pẹlu awọn aṣayan noexec, nosuid, nodev.

      9.- Lo awọn irinṣẹ bii rkhunter ati chkrootkit lati ṣayẹwo lorekore pe eto ko ni rootkit tabi malware ti a fi sii. Iwọn wiwọn ti o ba jẹ ọkan ninu awọn ti o fi awọn ohun sii lati awọn ibi ipamọ ti ko ni aabo, lati awọn PPA, tabi koodu ikojọpọ laaye lati awọn aaye ti ko gbẹkẹle.

      1.    koratsuki wi

        Uhmmm, ti nhu comment Ọrọ ti o dara, ṣafikun awọn eniyan… 😀

    2.    William Moreno-Reyes wi

      Ṣe Iṣakoso Iṣakoso Wiwọle Dandan pẹlu SElinux?

  2.   ArmandoF wi

    gan ti o dara article

    1.    koratsuki wi

      O ṣeun ọrẹ 😀

  3.   joaco wi

    Kaabo ati pe ti Mo ba jẹ olumulo deede, o yẹ ki n lo su tabi sudo?
    Mo lo su nitori Emi ko fẹ sudo, nitori ẹnikẹni ti o ni ọrọ igbaniwọle olumulo mi le yi ohunkohun ti wọn fẹ lori eto pada, dipo pẹlu su ko si.

    1.    koratsuki wi

      Lori PC rẹ ko ni wahala lati lo su, o le lo laisi awọn iṣoro, lori awọn olupin, o ni iṣeduro niyanju lati mu lilo su ati lilo sudo, ọpọlọpọ sọ pe o jẹ nitori otitọ ti iṣatunwo ti o ṣe ohun ti pipaṣẹ ati sudo ṣe iṣẹ yẹn ... Mo ni pataki, lori kọnputa mi Mo lo tirẹ, gẹgẹ bi iwọ ...

      1.    joaco wi

        Daju, Emi ko mọ bi o ṣe n ṣiṣẹ lori awọn olupin naa. Botilẹjẹpe, o dabi fun mi pe sudo ni anfani ti o le fun awọn anfani si olumulo ti kọmputa miiran, ti Emi ko ba ṣe aṣiṣe.

    2.    Andrew wi

      Nkan ti o nifẹ si, Mo encrypt diẹ ninu awọn faili pẹlu gnu-gpg, bi o ṣe jẹ ti anfaani ti o kere julọ, ni ọran ti o fẹ ṣe, fun apẹẹrẹ, alakomeji ti orisun ti a ko mọ ti sọnu ni awọn okun nla ti alaye lori disiki naa, bawo ni Mo ṣe yọ iraye si awọn iṣẹ kan?

      1.    koratsuki wi

        Mo jẹ apakan naa si ọ, botilẹjẹpe Mo ro pe o yẹ ki o ṣiṣẹ nikan bi sudo / root, awọn eto ti o gbẹkẹle, iyẹn ni pe, wọn wa lati ibi repo rẹ ...

      2.    yukiteru wi

        Mo ranti kika pe ọna kan wa lati jẹki awọn agbara gbongbo ni diẹ ninu itọnisọna lori GNU / Linux ati UNIX, ti Mo ba ri i Emi yoo fi sii 😀

      3.    apanilerin wi

        ati awọn ẹyẹ gige lati ṣiṣe awọn binaries aimọ?

    3.    yukiteru wi

      Lilo sudo ni gbogbo igba dara julọ.

    4.    elav wi

      Tabi o le lo sudo, ṣugbọn diwọn akoko ti a ranti ọrọ igbaniwọle.

  4.   Kevin Rodriguez wi

    Iru awọn irinṣẹ ti Mo lo lati ṣe atẹle pc, «iotop» bi aropo fun «iostat», «htop» o tayọ «oluṣakoso iṣẹ-ṣiṣe», «iftop» ibojuwo bandwidth.

  5.   monitolinux wi

    ọpọlọpọ yoo ro pe o jẹ abumọ, ṣugbọn Mo ti rii awọn ikọlu tẹlẹ lati ṣafikun olupin si botnet kan.

    https://twitter.com/monitolinux/status/594235592260636672/photo/1

    ps: Awọn alagbe alagbe China ati awọn igbiyanju wọn lati gige olupin mi.

  6.   apanilerin wi

    ohunkan ti o tun rọrun ni lati lo awọn ẹyẹ gige fun awọn iṣẹ naa, nitorinaa fun idi diẹ ti wọn ba kọlu wọn kii yoo fi eto naa bale.

  7.   bìlísì wi

    Lilo pipaṣẹ ps tun dara julọ fun ibojuwo ati pe o le jẹ apakan awọn iṣe lati ṣayẹwo fun awọn abawọn aabo. nṣiṣẹ ps -ef ṣe atokọ gbogbo awọn ilana, o jọra si oke sibẹsibẹ o fihan diẹ ninu awọn iyatọ. fifi sori iptraf jẹ ọpa miiran ti o le ṣiṣẹ.

  8.   Claudio J. Concepcion idaniloju wi

    Ilowosi to dara.

    Emi yoo ṣafikun: SELinux tabi Apparmor, da lori distro, nigbagbogbo muu ṣiṣẹ.

    Lati iriri ti ara mi Mo rii pe o jẹ iṣe buburu lati mu awọn paati wọnyẹn mu. O fẹrẹ to igbagbogbo a ṣe nigba ti a yoo fi sori ẹrọ tabi tunto iṣẹ kan, pẹlu ikewo ti o nṣiṣẹ laisi awọn iṣoro, nigbati o jẹ pe ohun ti o yẹ ki a ṣe ni kọ ẹkọ lati ṣakoso wọn lati gba iṣẹ yẹn laaye.

    A ikini.

  9.   GnuLinux ?? wi

    1.Bawo ni lati ṣe encrypt gbogbo eto faili? o tọ si??
    2. Ṣe o ni lati ṣe igbasilẹ ni gbogbo igba ti eto yoo wa ni imudojuiwọn?
    3. Njẹ fifi paroko gbogbo eto faili ti ẹrọ jẹ kanna bii fifi ẹnọ kọ nkan eyikeyi faili miiran?

    1.    yukiteru wi

      Bawo ni o ṣe mọ pe o mọ ohun ti o n sọ?

  10.   NauTiluS wi

    Pẹlupẹlu, o le ṣe awọn eto ẹyẹ ati paapaa awọn olumulo lọpọlọpọ. Botilẹjẹpe ṣiṣe eyi jẹ iṣẹ diẹ sii, ṣugbọn ti nkan ba ṣẹlẹ, ati pe o ni ẹda ti tẹlẹ ti folda yẹn, o kan kọlu ati orin.

  11.   ohun orin wi

    Eto imulo aabo ti o dara julọ ati irọrun julọ kii ṣe lati jẹ ẹlẹtan.
    Gbiyanju o, o jẹ aṣiṣe.

  12.   awọn angẹli wi

    Mo n lo csf ati nigbati ṣiṣi alabara kan ti o fi ọrọ igbaniwọle rẹ si aaye diẹ ninu wiwọle, o ṣe idaduro ilana ṣugbọn o ṣe. O jẹ deede?

    Mo n wa aṣẹ lati sina lati ssh ... eyikeyi aba