Politika | Mājas lietotājs | Serveris |
Atspējot SSH | ✔ | x |
Atspējot SSH saknes piekļuvi | x | ✔ |
Mainīt SSH portu | x | ✔ |
Atspējojiet SSH paroles pieteikšanos | x | ✔ |
Iptables | ✔ | ✔ |
IDS (ielaušanās detektēšanas sistēma) | x | ✔ |
BIOS drošība | ✔ | ✔ |
Diska šifrēšana | ✔ | x / ✔ |
Sistēmas atjaunināšana | ✔ | ✔ |
VPN (virtuālais privātais tīkls) | ✔ | x |
Iespējot SELinux | ✔ | ✔ |
Kopējā prakse | ✔ | ✔ |
- SSH piekļuve
- Ugunsmūris (iptables)
- Ielaušanās atklāšanas sistēma (IDS)
- BIOS drošība
- Cietā diska šifrēšana
- Sistēmas atjaunināšana
- VPN (virtuālais privātais tīkls)
- Iespējot SELinux (uzlabota drošība Linux)
- Kopējā prakse
SSH piekļuve
Mājas lietotāji:
Mājas lietotāji to īsti neizmanto ssh, dinamiskās IP adreses un maršrutētāja NAT konfigurācijas padarīja alternatīvas ar reverso savienojumu, piemēram, TeamViewer, pievilcīgākas. Kad pakalpojums netiek izmantots, ports ir jāaizver, atspējojot vai noņemot pakalpojumu, kā arī piemērojot ierobežojošus ugunsmūra noteikumus.
Serveri:
Pretstatā vietējiem lietotājiem, kuri piekļūst dažādiem serveriem, tīkla administratori bieži izmanto ssh / sftp. Ja jums jāuztur iespējots ssh pakalpojums, varat veikt šādus pasākumus:
- Atspējot piekļuvi saknēm, izmantojot SSH.
- Atspējot pieteikšanos ar paroli.
- Mainiet SSH portu.
Parastās SSH konfigurācijas opcijas Ubuntu
Iptables
Iptables ir interfeiss, lai pārvaldītu netfilter, lai definētu ugunsmūra kārtulas. Mājas lietotāji var kļūt par UFW (nekomplicētu ugunsmūri), kas ir iptables priekšgals, lai atvieglotu ugunsmūra noteikumu izveidi. Neatkarīgi no saskarnes punkts ir uzreiz pēc iestatīšanas, ugunsmūris ir viena no pirmajām izmaiņām, kas jāpiemēro. Atkarībā no darbvirsmas vai servera vajadzībām drošības apsvērumu dēļ visvairāk tiek ieteiktas ierobežojošas politikas, kas atļauj tikai to, kas jums nepieciešams, bloķējot pārējo. Iptables tiks izmantoti, lai novirzītu SSH 22. portu uz citu, bloķētu nevajadzīgas ostas, filtrētu pakalpojumus un izveidotu noteikumus zināmiem uzbrukumiem.
Lai iegūtu papildinformāciju par iptables, pārbaudiet: Iptables iesācējiem
Ielaušanās atklāšanas sistēma (IDS)
Sakarā ar lielajiem resursiem, kas viņiem nepieciešami, mājas lietotāji neizmanto IDS, taču tiem jābūt obligātiem serveros, kas pakļauti uzbrukumiem. IDS paaugstina drošību nākamajā līmenī, ļaujot analizēt paketes. Vispazīstamākās IDS ir Snort un OSSEC, kuras abas iepriekš tika skaidrotas vietnē LinuxHint. IDS analizē datplūsmu tīklā, meklējot ļaunprātīgas paketes vai anomālijas, tas ir tīkla uzraudzības rīks, kas orientēts uz drošības incidentiem. Norādījumus par populārāko IDS risinājumu instalēšanu un konfigurēšanu skatiet šeit: Konfigurējiet snort IDS un izveidojiet kārtulas
Darba sākšana ar OSSEC (ielaušanās detektēšanas sistēma)
BIOS drošība
Rootkit, ļaunprātīgas programmatūras un serveru BIOS ar attālo piekļuvi ir papildu ievainojamība serveriem un galddatoriem. BIOS var uzlauzt, izmantojot kodu, kas izpildīts no OS, vai izmantojot atjaunināšanas kanālus, lai iegūtu nesankcionētu piekļuvi vai aizmirstu informāciju, piemēram, drošības dublējumus.
Atjauniniet BIOS atjaunināšanas mehānismus. Iespējot BIOS integritātes aizsardzību.
Izpratne par sāknēšanas procesu - BIOS vs UEFI
Cietā diska šifrēšana
Tas ir pasākums, kas vairāk attiecas uz darbvirsmas lietotājiem, kuri var pazaudēt datoru vai kļūt par zādzības upuri, un tas ir īpaši noderīgi klēpjdatoru lietotājiem. Šodien gandrīz katra OS atbalsta diska un nodalījuma šifrēšanu, izplatīšana, piemēram, Debian, ļauj instalēšanas laikā šifrēt cieto disku. Norādījumus par diska šifrēšanu pārbaudiet: Kā šifrēt disku Ubuntu 18.04
Sistēmas atjaunināšana
Gan darbvirsmas lietotājiem, gan sysadmin ir jāatjaunina sistēma, lai neaizsargātās versijas nepiedāvātu nesankcionētu piekļuvi vai izpildi. Papildus operētājsistēmas nodrošinātajam pakotņu pārvaldniekam, lai pārbaudītu pieejamos atjauninājumus, kuros tiek veikta ievainojamības skenēšana, var palīdzēt atklāt neaizsargātu programmatūru, kas nav atjaunināta oficiālajos krātuvēs, vai ievainojamu kodu, kas jāpārraksta. Zemāk dažas apmācības par atjauninājumiem:
- Kā saglabāt Ubuntu 17.10 līdz dienai
- Kā atjaunināt sistēmu
- Kā atjaunināt visas pakotnes pamata OS
VPN (virtuālais privātais tīkls)
Interneta lietotājiem ir jāapzinās, ka interneta pakalpojumu sniedzēji pārrauga visu viņu trafiku un vienīgais veids, kā to atļauties, ir VPN pakalpojuma izmantošana. ISP spēj uzraudzīt trafiku uz VPN serveri, bet ne no VPN uz galamērķiem. Ātruma problēmu dēļ ieteicamākie ir maksas pakalpojumi, taču ir bezmaksas bezmaksas alternatīvas, piemēram, https: // protonvpn.com /.
- Labākais Ubuntu VPN
- Kā instalēt un konfigurēt OpenVPN uz Debian 9
Iespējot SELinux (uzlabota drošība Linux)
SELinux ir Linux kodola modifikāciju kopums, kas koncentrēts uz drošības aspektu pārvaldību saistībā ar drošības politikām, pievienojot MAC (Piekļuves mehānisma mehānisms), RBAC (Role Based Access Control), MLS (Daudzlīmeņu drošība) un Daudzkategoriju drošība (MCS). Kad SELinux ir iespējots, lietojumprogramma var piekļūt tikai tiem resursiem, kas tai nepieciešami lietojumprogrammas drošības politikā. Piekļuve ostām, procesiem, failiem un direktorijiem tiek kontrolēta, izmantojot SELinux definētus noteikumus, kas ļauj vai liedz operācijas, pamatojoties uz drošības politikām. Ubuntu kā alternatīvu izmanto AppArmor.
- SELinux Ubuntu apmācībā
Kopējā prakse
Gandrīz vienmēr drošības kļūmes rodas lietotāju nolaidības dēļ. Papildus visiem iepriekš numurētajiem punktiem ievērojiet nākamo praksi:
- Nelietojiet saknes, ja vien tas nav nepieciešams.
- Nekad neizmantojiet X Windows vai pārlūkprogrammas kā saknes.
- Izmantojiet paroļu pārvaldniekus, piemēram, LastPass.
- Izmantojiet tikai spēcīgas un unikālas paroles.
- Mēģiniet nē, lai instalētu bezmaksas pakas vai pakas, kas nav pieejamas oficiālajos krātuvēs.
- Atspējot neizmantotos moduļus.
- Serveros izpildiet stingras paroles un neļaujiet lietotājiem izmantot vecās paroles.
- Atinstalējiet neizmantoto programmatūru.
- Nelietojiet vienas un tās pašas paroles dažādām piekļuvēm.
- Mainīt visus noklusējuma piekļuves lietotājvārdus.
Politika | Mājas lietotājs | Serveris |
Atspējot SSH | ✔ | x |
Atspējot SSH saknes piekļuvi | x | ✔ |
Mainīt SSH portu | x | ✔ |
Atspējojiet SSH paroles pieteikšanos | x | ✔ |
Iptables | ✔ | ✔ |
IDS (ielaušanās detektēšanas sistēma) | x | ✔ |
BIOS drošība | ✔ | ✔ |
Diska šifrēšana | ✔ | x / ✔ |
Sistēmas atjaunināšana | ✔ | ✔ |
VPN (virtuālais privātais tīkls) | ✔ | x |
Iespējot SELinux | ✔ | ✔ |
Kopējā prakse | ✔ | ✔ |
Es ceru, ka šis raksts jums šķita noderīgs, lai palielinātu jūsu drošību. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux un tīklu.