Політика | Домашній користувач | Сервер |
Вимкнути SSH | ✔ | х |
Вимкнути кореневий доступ SSH | х | ✔ |
Змініть порт SSH | х | ✔ |
Вимкнути вхід до пароля SSH | х | ✔ |
Iptables | ✔ | ✔ |
IDS (система виявлення вторгнень) | х | ✔ |
Захист BIOS | ✔ | ✔ |
Шифрування диска | ✔ | x / ✔ |
Оновлення системи | ✔ | ✔ |
VPN (віртуальна приватна мережа) | ✔ | х |
Увімкніть SELinux | ✔ | ✔ |
Звичайна практика | ✔ | ✔ |
- SSH доступ
- Брандмауер (iptables)
- Система виявлення вторгнень (IDS)
- Захист BIOS
- Шифрування жорсткого диска
- Оновлення системи
- VPN (віртуальна приватна мережа)
- Увімкнути SELinux (покращений захист Linux)
- Звичайна практика
SSH доступ
Домашні користувачі:
Домашні користувачі насправді не використовують ssh, динамічні IP-адреси та конфігурації NAT маршрутизатора зробили альтернативи із зворотним підключенням, як TeamViewer, більш привабливими. Коли послуга не використовується, порт повинен бути закритий як шляхом відключення або видалення послуги, так і шляхом застосування обмежувальних правил брандмауера.
Сервери:
На відміну від внутрішніх користувачів, які отримують доступ до різних серверів, адміністратори мережі є частими користувачами ssh / sftp. Якщо вам потрібно увімкнути службу ssh, ви можете вжити таких заходів:
- Вимкніть root-доступ через SSH.
- Вимкнути вхід паролем.
- Змініть порт SSH.
Загальні параметри конфігурації SSH Ubuntu
Iptables
Iptables - це інтерфейс для управління мережевим фільтром для визначення правил брандмауера. Домашні користувачі можуть перейти на UFW (неускладнений брандмауер), який є інтерфейсом для iptables, щоб спростити створення правил брандмауера. Незалежно від інтерфейсу, справа відразу після налаштування, брандмауер є одним із перших змін, які потрібно застосувати. Залежно від потреб вашого робочого столу чи сервера, найбільш рекомендованими з міркувань безпеки є обмежувальні політики, що дозволяють лише те, що вам потрібно, блокуючи решту. Iptables будуть використовуватися для перенаправлення порту SSH 22 на інший, для блокування непотрібних портів, фільтрації служб і встановлення правил для відомих атак.
Для отримання додаткової інформації про iptables перевірте: Iptables для початківців
Система виявлення вторгнень (IDS)
Через високі ресурси, які вони потребують, IDS не використовуються домашніми користувачами, але вони є необхідними для серверів, що піддаються атакам. IDS виводить рівень безпеки на наступний рівень, що дозволяє аналізувати пакети. Найбільш відомими IDS є Snort та OSSEC, як раніше пояснювалося в LinuxHint. IDS аналізує трафік через мережу, шукаючи шкідливі пакети або аномалії, це інструмент моніторингу мережі, орієнтований на інциденти безпеки. Для отримання інструкцій щодо встановлення та конфігурації найбільш популярних 2-х рішень IDS перевірте: Налаштування Snort IDS та Створення правил
Початок роботи з OSSEC (система виявлення вторгнень)
Захист BIOS
Руткіти, шкідливі програми та серверний BIOS із віддаленим доступом представляють додаткові уразливості для серверів та робочих столів. BIOS можна зламати за допомогою коду, що виконується з ОС, або за допомогою каналів оновлення, щоб отримати несанкціонований доступ або забути таку інформацію, як резервні копії безпеки.
Постійно оновлюйте механізми оновлення BIOS. Увімкніть захист цілісності BIOS.
Розуміння процесу завантаження - BIOS проти UEFI
Шифрування жорсткого диска
Це міра, яка більше стосується користувачів настільних комп'ютерів, які можуть загубити свій комп'ютер або стати жертвою крадіжки, особливо корисно для користувачів ноутбуків. Сьогодні майже кожна ОС підтримує шифрування диска та розділів, такі дистрибутиви, як Debian, дозволяють шифрувати жорсткий диск під час процесу встановлення. Щоб отримати інструкції щодо шифрування диска: Як зашифрувати диск на Ubuntu 18.04
Оновлення системи
І користувачі настільних комп'ютерів, і sysadmin повинні постійно оновлювати систему, щоб запобігти несанкціонованому доступу до несанкціонованого доступу чи запуску. Додатково до використання диспетчера пакетів, що надається ОС, для перевірки наявних оновлень під час сканування вразливості може допомогти виявити вразливе програмне забезпечення, яке не було оновлено в офіційних сховищах або вразливий код, який потрібно переписати. Нижче наведено кілька посібників з оновлення:
- Як зберегти Ubuntu 17.10 до дати
- Linux Mint Як оновити систему
- Як оновити всі пакети на елементарній ОС
VPN (віртуальна приватна мережа)
Користувачі Інтернету повинні знати, що провайдери відстежують весь їх трафік, і єдиний спосіб дозволити собі це - використання служби VPN. Інтернет-провайдер може контролювати трафік до сервера VPN, але не від VPN до пунктів призначення. Проблеми із швидкістю оплати є найбільш рекомендованими, але є безкоштовні хороші альтернативи, такі як https: // protonvpn.com /.
- Кращий Ubuntu VPN
- Як встановити та налаштувати OpenVPN на Debian 9
Увімкнути SELinux (покращений захист Linux)
SELinux - це набір модифікацій ядра Linux, орієнтованих на управління аспектами безпеки, пов'язаними з політиками безпеки, шляхом додавання MAC (Механізм контролю доступу), RBAC (Рольовий контроль доступу), MLS (багаторівнева безпека) та багатокатегорійна безпека (MCS). Коли SELinux увімкнено, програма може отримувати доступ лише до ресурсів, необхідних їй у політиці безпеки програми. Доступ до портів, процесів, файлів і каталогів контролюється за допомогою правил, визначених на SELinux, що дозволяє або забороняє операції на основі політик безпеки. Ubuntu використовує AppArmor як альтернативу.
- Підручник з SELinux по Ubuntu
Звичайна практика
Майже завжди збої в системі безпеки виникають через недбалість користувача. Крім усіх пунктів, пронумерованих раніше, дотримуйтесь наступних практик:
- Не використовуйте root, якщо це не потрібно.
- Ніколи не використовуйте X Windows або браузери як root.
- Використовуйте менеджери паролів, такі як LastPass.
- Використовуйте лише надійні та унікальні паролі.
- Намагайтеся не встановлювати невільні пакети або пакети, недоступні в офіційних сховищах.
- Вимкніть невикористані модулі.
- На серверах застосовують надійні паролі та заважають користувачам використовувати старі паролі.
- Видаліть невикористане програмне забезпечення.
- Не використовуйте однакові паролі для різних доступів.
- Змініть усі імена користувачів за промовчанням.
Політика | Домашній користувач | Сервер |
Вимкнути SSH | ✔ | х |
Вимкнути кореневий доступ SSH | х | ✔ |
Змініть порт SSH | х | ✔ |
Вимкнути вхід до пароля SSH | х | ✔ |
Iptables | ✔ | ✔ |
IDS (система виявлення вторгнень) | х | ✔ |
Захист BIOS | ✔ | ✔ |
Шифрування диска | ✔ | x / ✔ |
Оновлення системи | ✔ | ✔ |
VPN (віртуальна приватна мережа) | ✔ | х |
Увімкніть SELinux | ✔ | ✔ |
Звичайна практика | ✔ | ✔ |
Сподіваюся, ця стаття виявилася корисною для підвищення безпеки. Продовжуйте слідкувати за LinuxHint, щоб отримати додаткові поради та оновлення щодо Linux та мереж.