Lista kontrolna hartowania bezpieczeństwa Linux
Dodatkowo do listy kontrolnej zabezpieczenia pokazanej poniżej, ten artykuł zawiera krótkie wyjaśnienia każdej zalecenia, w tym linki do samouczków pokazujących, jak je wdrożyć z prawdziwymi zrzutami ekranu scenariuszy. Dokument jest zoptymalizowany zarówno dla nowatorskich, jak i zaawansowanych użytkowników.
Wszystkie wskazówki opisane w tym artykule są przydatne dla każdego rozkładu Linuksa. Użytkownicy systemu operacyjnego UNIX mogą również uznać ten samouczek za przydatny do ochrony swoich systemów."
Notatka: Poniższa lista kontrolna Hartowania bezpieczeństwa Linux została początkowo napisana w 2019 r. I zaktualizowana w 2022 roku.
Lista kontrolna hartowania bezpieczeństwa Linux
| POLITYKA | Użytkownik domowy | SERWER |
| Wyłącz Ssh | ✔ | ✔/x |
| Wyłącz dostęp do roota SSH | ✔ | ✔ |
| Zmień domyślny port SSH | ✔ | ✔ |
| Wyłącz uwierzytelnianie logowania hasła SSH | ✔ | ✔ |
| Zdefiniuj odpowiednie zasady zapory | ✔ | ✔ |
| Wdrożenie IDS (system wykrywania włamań) | X | ✔ |
| Zabezpiecz BIOS | ✔ | ✔ |
| Szyfrowanie dysku | ✔ | X |
| Chroń system przed rootkits | ✔ | ✔ |
| Utrzymuj system na bieżąco | ✔ | ✔ |
| VPN (wirtualna sieć prywatna) | ✔ | X |
| Włącz Selinux | ✔ | ✔ |
| Wdrożyć honeypoty i noneki | X | ✔ |
| Zewnętrznie zeskanuj urządzenie pod kątem luk w zabezpieczeniach | ✔ | ✔ |
| Wspólne praktyki bezpieczeństwa | ✔ | ✔ |
Wyłącz Ssh
Usługa SSH jest jednym z najczęściej używanych celów dla atakujących. Za pośrednictwem SSH Access haker może włamać się do systemu docelowego, aby eskalować uprawnienia, uzyskując pełną kontrolę nad systemem. Warto przypomnieć, że lokalne wykorzystywanie realizacji są bardziej niebezpieczne niż zdalne wyczyny, ponieważ lokalne exploits nie są filtrowane przez zapory ogniowe.
Zarówno użytkownicy domowej, jak i korporacyjne muszą dezaktywować wszystkie niepotrzebne usługi, ponieważ reprezentują drzwi hakerów w celu uzyskania dostępu do systemu docelowego.
Głównym zaleceniem jest pełne usunięcie niechcianych usług. Jeśli myślisz w przyszłości, możesz użyć usługi obecnie niepotrzebnej, przeczytaj ten samouczek z szczegółowymi instrukcjami dotyczącymi identyfikacji i wyłączania nieużywanych usług. Jeśli chcesz zachować usługę SSH, czytaj poniżej, aby ją zabezpieczyć instrukcje.
Wyłącz dostęp do roota SSH
Jak powiedziano w poprzedniej zaleceniu, aby wyłączyć lub usunąć usługę SSH, usługa ta może być podatna na niektóre ataki, jeśli jest niewłaściwie skonfigurowane.
Ważnym środkiem do zabezpieczenia dostępu do SSH jest wyłączenie logowania root. Głównym powodem wyłączenia logowania korzenia przez SSH jest to, że główny superuser systemu Linux jest rootem; Dlatego atakujący już wie, że twój system ma superuser root i może go używać w ataku brutalnej siły, która wymaga tylko złamania hasła. Ponadto kolejnym ważnym powodem wyłączenia dostępu root za pośrednictwem SSH jest utrudnienie atakującemu uzyskanie uprzywilejowanego dostępu do exploitów.
W Linuxhint opublikowaliśmy samouczek na temat tego, jak wyłączyć dostęp do korzenia SSH, który możesz przeczytać tutaj.
Zmień domyślny port SSH
Wielu atakujących rozpoczyna ogromne, bezkrytyczne ataki na losowe cele. Jeśli napastnik próbuje masowo zidentyfikować urządzenia, skanując port SSH (22), nie zdarzy mu się przeciwko systemom obsługującym dostęp SSH za pośrednictwem innego portu niż 22.
Wyłączanie uwierzytelniania hasła SSH
Uwierzytelnianie hasła SSH jest najmniej bezpieczne. Zaleca się inne metody, takie jak uwierzytelnianie kluczowe w celu zastąpienia logowania hasła, co jest podatne na wiele rodzajów ataków, w tym brutalną siłę, najłatwiejszą metodę ataku, który każdy niedoświadczony użytkownik może uruchomić. W tym linku możesz odczytać instrukcje, aby wyłączyć uwierzytelnianie hasła SSH i włączyć uwierzytelnianie klucza.
Zdefiniuj odpowiednie zasady NFTABLES lub IPTABLES
Wdrożenie niestandardowych reguł zapory jest koniecznością i podstawową miarą zabezpieczenia urządzenia. Zapory ogniowe są pierwszą obroną przed złośliwym ruchem, niechcianymi połączeniami i niechcianymi skanami próbującymi znaleźć dziury bezpieczeństwa w twoim systemie.
NFTables i IPTables to interfejsy do zarządzania i definiowania reguł zapory w Linux. Użytkownicy domów mogą preferować UFW (nieskomplikowana zapora), która jest frontendą dla IPTables, aby uczynić reguły zapory.
W zależności od potrzeb komputerów stacjonarnych lub serwerów, najbardziej zalecane zasady zapory obejmują ograniczające zasady umożliwiające tylko potrzebny ruch i połączenia. Ponadto zapory są przydatne do przekierowywania domyślnych portów do niestandardowych portów, co utrudnia atakujące zidentyfikowanie usług z obsługą systemu.
Administratorzy systemu mogą znaleźć instrukcje dotyczące zabezpieczenia systemów za pomocą iptables pod tym linkiem. Użytkownicy domów mogą wybrać UFW, co jest łatwiejsze w zarządzaniu i można ich nauczyć pod tym linkiem.
Wdrożenie IDS (system wykrywania włamań)
IDS (System wykrywania włamań) wnosi bezpieczeństwo na wyższy poziom, umożliwiając analizę pakietów i wykrywanie anomalii oraz nieautoryzowanego dostępu do systemu. IDS to świetne uzupełnienie zapór ogniowych. IDS monitoruje ruch sieciowy szukający złośliwych pakietów w celu zidentyfikowania i zgłaszania incydentów bezpieczeństwa. Najpopularniejsze identyfikatory to Snort i Ossec.
Ta lista kontrolna bezpieczeństwa nie zaleca identyfikatorów dla użytkowników domowych ze względu na dużą liczbę wymaganych zasobów. Jeśli jednak lubisz dobre zasoby, dodanie ich jest zawsze dobrym wyborem.
Możesz przeczytać ten samouczek, aby zacząć z Ossec. Jeśli chodzi o Snort, w Linuxhint opublikowaliśmy kilka samouczków wymienionych poniżej.
- Zainstaluj system wykrywania wtargnięcia Snort Ubuntu
- Skonfiguruj identyfikatory snortu i tworz reguły
- Pwarki powiadomienia
Zabezpiecz BIOS
Rootkits, złośliwe oprogramowanie i serwer BIOS z zdalnym dostępem reprezentują dodatkowe luki zarówno dla serwerów, jak i urządzeń krajowych. BIOS można zhakować za pomocą kodu wykonanego z systemu operacyjnego lub przez kanały aktualizacji, aby uzyskać nieautoryzowany dostęp lub przechowywać rootkits na zawsze, wymuszając wymianę sprzętową i wykluczając przywrócenie tworzenia kopii zapasowych.
Najlepszym sposobem ochrony BIOS jest na bieżąco z informacją, o których można znaleźć instrukcje tutaj.
Szyfruj urządzenia i partycje magazynowe
Jest to bardziej odpowiedni środek dla użytkowników komputerów stacjonarnych, którzy mogą stracić komputery lub być ofiarami kradzieży; Jest to szczególnie przydatne dla użytkowników laptopów, aby zapobiec dostępom złodziei dostępu do informacji. Dzisiaj prawie każdy system operacyjny obsługuje szyfrowanie dysku i partycji; Rozkłady Linux pozwalają szyfrować dysku twardego podczas procesu instalacji. Aby uzyskać instrukcje dotyczące szyfrowania dysku, sprawdź artykuł Jak szyfrować dysk w Linux.
Chroń system przed rootkits
Rootkits to złośliwe oprogramowanie przyznające atakującym nieautoryzowany dostęp. Są niezwykle trudne do wykrycia ze względu na ich zdolność do ukrycia. Niektóre rootkity mają dostęp do systemu systemu BIO wymagające wymiany sprzętu jako rozwiązania. Zapobieganie i usuwanie RootKits Najpopularniejsze oprogramowanie to Chrootkit i Rkhunter. Możesz zacząć od Chkrootkit, czytając ten samouczek, który zawiera również instrukcje dla rkhunter.
Utrzymuj system na bieżąco
Zarówno użytkownicy komputerów stacjonarnych, jak i administratorzy systemu muszą aktualizować system, aby zapobiec wrażliwym wersjom oferowania nieautoryzowanego dostępu lub wykonania. Ponadto korzystanie z menedżera pakietów dostarczanych przez OS do sprawdzenia dostępnych aktualizacji Uruchamianie skanów podatności na podatność może pomóc w wykryciu wrażliwego oprogramowania, które nie było aktualizowane na oficjalnych repozytoriach lub wrażliwych kodach, które należy przepisać. Poniżej znajdują się kilka samouczków do aktualizacji systemów operacyjnych Linux i zainstalowanego oprogramowania:
- Jak sprawdzić aktualizacje na temat Debian 11?
- Jak ulepszyć jądro w Debian 11 Bullseye
- Jak zaktualizować i zaktualizować CentOS 8
- Linux Mint Jak aktualizować system
- Aktualizacja CentOS
- Zainstaluj lub aktualizuj do najnowszego jądra Linux na Ubuntu 20.04 i Linux Mint 20
VPN (wirtualna sieć prywatna)
Internauci muszą zdawać sobie sprawę, że dostawcy usług internetowych monitorują cały swój ruch, a jedynym sposobem na na to jest korzystanie z usługi VPN. ISP jest w stanie monitorować ruch na serwerze VPN, ale nie z VPN do ostatecznych miejsc docelowych. Ponieważ VPN może negatywnie wpływać na prędkość, nie jest to zalecana opcja dla serwerów. Aby zminimalizować wpływ na prędkość połączenia, zaleca się korzystanie z płatnej usługi. ProtonVPN to świetna opcja oferująca zarówno bezpłatne, jak i płatne usługi. Możesz nauczyć się instalować protonvpn pod tym linkiem.
Włącz SELINUX (Linux wzmocniony bezpieczeństwem)
Selinux to zbiór modyfikacji jądra Linux skupionych na zarządzaniu aspektami bezpieczeństwa związanymi z zasadami bezpieczeństwa poprzez dodanie MAC (kontrola dostępu do mechanizmu), RBAC (kontrola dostępu oparta na role) i MLS (bezpieczeństwo wielopoziomowe) i bezpieczeństwo wielopoziomowe (MCS (MCS (MCS ). Po włączeniu Selinux aplikacja może uzyskać dostęp tylko do określonych zasobów, których potrzebuje. Dozwolone zasoby są definiowane za pomocą zasad bezpieczeństwa. Dostęp do portów, procesów, plików i katalogów są kontrolowane za pośrednictwem reguł zdefiniowanych na Selinux, co pozwala na operacje w oparciu o zasady bezpieczeństwa. W Linuxhint opublikowaliśmy kilka artykułów na temat tej funkcji, które są wymienione poniżej.
- Selinux (Security Enhanced Linux) na Debian
- Przewodnik dla początkujących po Selinux na Centos
Wdrożyć honeypoty i noneki
Honeypot to narzędzie symulujące cel, który jest tak naprawdę rejestrator aktywności atakujących. Wiele Honeypots symulujących wiele urządzeń, usług i aplikacji jest znanych jako A Honeynet.
Zasadniczo honeypots i nowierki są fałszywymi celami zarówno, aby odwrócić uwagę atakujących od prawdziwych celów, jak i rejestrowanie ich aktywności. Możesz nauczyć się wdrażać zarówno honeypots, jak i noneki tutaj.
Zewnętrznie zeskanuj urządzenie pod kątem luk w zabezpieczeniach
Dobrą praktyką, aby zapewnić bezpieczeństwo systemu, jest sprawdzenie, co widzą atakujący, gdy kierują się do Twojego systemu. Można to osiągnąć poprzez skanowanie systemu w celu znalezienia luk w zabezpieczeniach. Istnieje wiele alternatyw na rynku, których możesz użyć do skanowania swojego systemu. Niektóre samouczki są wymienione poniżej.
- Jak skanować za usługi i luki z NMAP
- Pierwsze kroki ze skanerem podatności NIKTO
- Instalowanie skanera podatności nexpose w Debian/Ubuntu
Powszechne praktyki
- Nie używaj korzenia, chyba że jest to konieczne.
- Nigdy nie używaj X Windows ani przeglądarków jako root.
- Używaj menedżerów haseł, takich jak LastPass.
- Używaj tylko mocnych i unikalnych haseł.
- Staraj się nie instalować pakietów bez wolnych lub niedostępnych pakietów w oficjalnych repozytoriach Linux.
- Wyłącz nieużywane moduły.
- Na serwerach egzekwuj silne hasła i uniemożliwić użytkownikom korzystanie z starych haseł.
- Odinstaluj nieużywane oprogramowanie.
- Nie używaj tych samych haseł do różnych dostępów.
- Zmień wszystkie domyślne nazwy użytkowników dostępu.
Wniosek
Jak widać na powyższej liście kontrolnej Linux Security Hartening, ochrona systemu nie jest łatwym zadaniem i wymaga licznych środków bezpieczeństwa. Jednak pomimo liczby zadań, które użytkownicy muszą wykonać, aby zabezpieczyć swoje systemy, każde zalecenie może być wdrażane przez wszystkich użytkowników Linux niezależnie od poziomu doświadczenia, czytając połączone samouczki na każdym elemencie, które są zoptymalizowane jako zrozumiałe przez nowych użytkowników. Większość zaleceń można również zastosować do innych systemów operacyjnych, takich jak systemy BSD. Zastosowanie liczbowanych wskazówek z pewnością zniechęci losowych atakujących od celowania. System silnie chroniony jest mniej atrakcyjny dla atakujących.
Mam nadzieję, że ta lista kontrolna bezpieczeństwa była dla Ciebie przydatna, aby zabezpieczyć swój system. Czytaj nas dalej, aby uzyskać dodatkowe samouczki profesjonalne Linux.