好吧,我一直在為此帖子做準備 我的博客 他們有一段時間向我建議 DesdeLinux,由於時間緊缺,他無法或想要。 如果我有點懶 ????。 但是,正如我們在古巴所說,現在他們正在罷工...
0- 使用最新的安全更新使我們的系統保持更新。
0.1- 關鍵更新郵件列表[Slackware安全顧問, Debian安全顧問,就我而言]
1- 未經授權的人員對服務器的零物理訪問。
1.1- 將密碼應用於 的BIOS 我們的服務器
1.2- 無法通過CD / DVD引導
1.3- GRUB / Lilo中的密碼
2- 良好的密碼政策,字母數字字符等。
2.1- 密碼的時效用“ chage”命令[Password Aging],以及密碼更改和上次更改日期之間的天數。
2.2- 避免使用以前的密碼:
在/etc/pam.d/common-password中
password sufficient pam_unix.so use_auth ok md5 shadow remember 10
這是您更改密碼的方式,它使您聯想到用戶擁有的最後10個密碼。
3- 我們的網絡[路由器,交換機,VLAN]和防火牆的良好管理/分段策略,以及過濾規則INPUT,OUTPUT,FORWARD [NAT,SNAT,DNAT]
4- 啟用外殼程序[/ etc / shells]。 無需登錄系統的用戶可以獲取/ bin / false或/ bin / nologin。
5- 登錄失敗時阻止用戶[失敗日誌],並控制系統用戶帳戶。
passwd -l pepe->阻止用戶pepe passwd -v pepe->取消阻止用戶pepe
6- 啟用“ sudo”的使用,永遠不要通過ssh“ NEVER”以root身份登錄。 實際上,您必須編輯ssh配置才能實現此目的。 使用sudo在服務器上使用公鑰/私鑰。
7- 在我們的系統中應用“最小特權原則“。
8- 不時檢查我們每台服務器的服務[netstat -lptun]。 添加可以幫助我們完成此任務的監視工具[Nagios,Cacti,Munin,Monit,Ntop,Zabbix]。
9- 安裝IDS,Snort / AcidBase,Snotby,Bar,OSSEC。
10- Nmap是您的朋友,使用它可以檢查您的一個或多個子網。
11- OpenSSH,Apache2,Nginx,MySQL,PostgreSQL,Postfix,Squid,Samba,LDAP(最常用的)和網絡中需要的其他一些服務中的良好安全性慣例。
12- 盡可能對我們系統中的所有通信進行加密,包括SSL,gnuTLS,StarTTLS,摘要等。如果您處理敏感信息,請對硬盤進行加密!
13- 使用最新的安全性,黑名單和反垃圾郵件規則更新我們的郵件服務器。
14- 使用logwatch和logcheck在我們的系統中記錄活動。
15- 了解和使用諸如top,sar,vmstat,free等工具。
sar->系統活動報告vmstat->進程,內存,系統,i / o,cpu活動等iostat-> cpu i / o狀態mpstat->多處理器狀態和使用率pmap->空閒進程的內存使用率- > iptraf內存->我們網絡的實時流量ethstatus->基於控制台的以太網統計信息監視etherape->圖形網絡監視器ss->套接字狀態[tcp套接字信息,udp,原始套接字,DCCP套接字] tcpdump->詳細分析de traffic vnstat->選定接口的網絡流量監控器mtr->診斷工具和網絡ethtool中的過載分析->有關網卡的統計信息
現在就這些了。 我知道在這種環境中還有XNUMX多個安全建議,但是這些建議最令我震驚的地方,或者有時我必須在自己管理的環境中應用/練習。
擁抱,希望能為您服務😀
我邀請您在評論中向我們介紹除已提及的規則以外已實施的其他一些規則,以增加讀者的知識😀
好吧,我會補充:
1.-應用sysctl規則以防止dmesg,/ proc,SysRQ訪問,將PID1分配給核心,啟用對硬符號鏈接和軟符號鏈接的保護,對IPv4和IPv6的TCP / IP堆棧的保護,激活完整的VDSO以實現最大程度的隨機化指針和內存空間分配,並提高緩衝區溢出強度。
2.-創建SPI(狀態包檢查)類型的防火牆,以防止未創建或先前不允許的連接訪問系統。
3.-如果您沒有服務可以保證從遠程位置以特權提升的連接,只需使用access.conf撤銷對它們的訪問,否則,僅啟用對特定用戶或組的訪問。
4.-使用硬性限制來防止對某些組或用戶的訪問破壞系統的穩定性。 在始終有真正的多用戶活動的環境中非常有用。
5.- TCPWrappers是您的朋友,如果您正在使用支持它的系統,那麼使用它不會受到傷害,因此,除非在系統中預先配置了它,否則您可以拒絕來自任何主機的訪問。
6.-使用至少2048個字符的字母數字密鑰創建至少4096位或16位以上的SSH RSA密鑰。
7.-您的世界可寫性如何? 檢查目錄的讀寫權限一點也不壞,這是避免在多用戶環境中進行未經授權的訪問的最佳方法,更不用說這會使某些未經授權的訪問更難於訪問您不希望它們訪問的信息。沒有人看到。
8.-使用noexec,nosuid,nodev選項掛載任何不應使用的外部分區。
9.-使用rkhunter和chkrootkit之類的工具定期檢查系統是否未安裝rootkit或惡意軟件。 如果您是從不安全的存儲庫,PPA或從不受信任的站點實時編譯代碼中進行安裝的人員之一,則應採取謹慎的措施。
嗯,好吃……很好的評論,伙計們……😀
在SElinux中應用強制訪問控制?
很好的文章
謝謝朋友😀
您好,如果我是普通用戶,應該使用su還是sudo?
我使用su是因為我不喜歡sudo,因為擁有我的用戶密碼的任何人都可以在系統上更改他們想要的任何內容,而不必使用su no。
在您的PC上,使用su並不麻煩,您可以在服務器上使用它而不會出現問題,強烈建議您禁用su並使用sudo,許多人說這是由於審計了誰執行了什麼命令,而sudo才完成了該任務。特別是,在我的電腦上,我像您一樣使用他的...
當然,我真的不知道它如何在服務器上工作。 雖然,在我看來sudo的優勢在於,如果我沒有記錯的話,您可以將特權授予另一台計算機的用戶。
有趣的文章是,我使用gnu-gpg加密了一些文件,這是最低特權的加密,如果您要執行例如在磁盤上大量信息中丟失的未知來源的二進製文件,該如何刪除對某些功能的訪問?
我應該歸功於您,儘管我認為您只能以sudo / root的身份運行可靠的程序,也就是說,它們來自您的回購程序。
我記得讀過有關GNU / Linux和UNIX的手冊中有一種啟用根功能的方法,如果我找到了,我會把它放😀
@andrew這是我提到的文章和更多幫助
http://www.cis.syr.edu/~wedu/seed/Labs/Capability_Exploration/Capability_Exploration.pdf
http://linux.die.net/man/7/capabilities
https://wiki.archlinux.org/index.php/Capabilities
和籠子運行未知的二進製文件?
始終使用sudo更好。
或者,您可以使用sudo,但限制記住密碼的時間。
我使用類似的工具來監視PC,用“ iotop”代替“ iostat”,“ htop”出色的“任務管理器”,“ iftop”帶寬監視。
許多人會認為這是誇張的,但我已經看到攻擊將殭屍網絡包含在服務器中。
https://twitter.com/monitolinux/status/594235592260636672/photo/1
ps:中國的乞be及其企圖入侵我的服務器。
也很方便的方法是使用籠式籠進行服務,因此,如果由於某種原因而受到攻擊,則不會損害系統。
使用ps命令也非常適合監視,並且可以作為檢查安全漏洞的措施的一部分。 運行ps -ef會列出所有進程,它與top相似,但是顯示出一些區別。 iptraf安裝是另一個可能起作用的工具。
貢獻良多。
我會添加:SELinux或Apparmor,取決於發行版,始終處於啟用狀態。
根據我自己的經驗,我意識到禁用這些組件是一種不好的做法。 當我們要安裝或配置服務時,我們幾乎總是這樣做,其藉口是沒有問題,而實際上我們應該做的就是學會處理它們以允許該服務。
問候。
1.如何加密整個文件系統? 值得??
2.每次系統更新時都必須解密嗎?
3.加密計算機的整個文件系統是否與加密任何其他文件相同?
您如何表明您知道自己在說什麼?
此外,您可以保留程序,甚至可以容納多個用戶。 儘管這樣做是更多的工作,但是如果發生了某些事情,並且您擁有該文件夾的先前副本,那麼它只是敲打和唱歌。
最好,最方便的安全策略是不要偏執。
試試吧,它是絕對可靠的。
我正在使用csf,並且在解鎖某個在某個訪問權限中放錯了密碼的客戶端時,它會延遲該過程,但確實會延遲。 這是正常的?
我正在尋找從ssh解鎖的命令...任何建議