10 савета за учвршћивање Линука за почетнике СисАдминс

Линук системи су дизајнирани сигурно и пружају робусне административне алате. Без обзира колико је систем добро дизајниран, његова сигурност зависи од корисника.

Почетницима су често потребне године да пронађу најбоље смернице безбедности за своје машине. Због тога делимо ове основне савете за учвршћивање Линука за нове кориснике попут вас. Покушајте.

1. Примените јаке смернице за лозинку

Лозинке су примарни метод потврде идентитета за већину система. Без обзира да ли сте кућни корисник или професионалац, примена чврстих лозинки је обавезна. Прво онемогућите празне лозинке. Нећете веровати колико их људи још користи.

авк -Ф: '($ 2 == "") {принт}' / етц / схадов

Покрените горњу команду као роот да бисте видели који рачуни имају празне лозинке. Ако пронађете некога са празном лозинком, одмах закључајте корисника. То можете учинити користећи следеће.

пассвд -л КОРИСНИЧКО ИМЕ

Такође можете да подесите старење лозинке да бисте осигурали да корисници не могу да користе старе лозинке. Користите наредбу цхаге да бисте то урадили са свог терминала.

цхаге -л КОРИСНИЧКО ИМЕ

Ова наредба приказује тренутни датум истека. Да бисте поставили истек лозинке након 30 дана, користите наредбу у наставку. Корисници могу користите Линук менаџере лозинки да бисте заштитили налоге на мрежи.

8 најбољих менаџера лозинки за Линук који морају бити сигурни

Треба вам сигуран менаџер лозинки за Линук? Ове апликације су једноставне за употребу и штите лозинке на мрежи.

цхаге -М 30 КОРИСНИЧКО ИМЕ

2. Резервне копије основних података

Ако сте озбиљни у вези са подацима, подесите редовне резервне копије. На овај начин, чак и ако вам систем падне, можете брзо опоравити податке. Али, одабир одговарајуће методе сигурносне копије пресудан је за отврдњавање Линука.

Ако сте кућни корисник, клонирање података у чврсти диск могло бити довољно. Међутим, предузећима су потребни софистицирани резервни системи који нуде брз опоравак.

3. Избегавајте наслеђене методе комуникације

Линук подржава многе методе даљинске комуникације. Али, старе Уник услуге попут телнет, рлогин и фтп могу представљати озбиљне сигурносне проблеме. Зато, покушајте да их избегнете. Можете их потпуно уклонити да бисте смањили сигурносне проблеме повезане са њима.

апт-гет --пурге уклони кинетд нис тфтпд тфтпд-хпа телнетд \
> рсх-сервер рсх-обновљени сервер

Ова наредба уклања неке широко коришћене, али застареле услуге са Убунту / Дебиан машина. Ако користите систем заснован на РПМ-у, користите следеће.

иум ерасе кинетд ипсерв тфтп-сервер телнет-сервер рсх-сервер

4. Обезбедите ОпенССХ

ССХ протокол је препоручени метод даљинске комуникације за Линук. Обавезно осигурајте своју конфигурацију ОпенССХ сервера (ссхд). Можете овде сазнајте више о подешавању ССХ сервера.

Уредите /etc/ssh/sshd_config датотека за постављање безбедносних политика за ссх. Испод су неке уобичајене безбедносне смернице које свако може да користи.

ПермитРоотЛогин бр # онемогућава пријављивање у роот
МакАутхТриес 3 # ограничава покушаје аутентификације
ПассвордАутхентицатион но # онемогућава аутентификацију лозинке
ПермитЕмптиПассвордс но # онемогућава празне лозинке
Кс11Форвардинг но # онемогућава ГУИ пренос
ДебианБаннер но # дисбалес вербосе банер
АлловУсерс *@КСКСКС.Кс.КСКСКС.0/24 # ограничава кориснике на опсег ИП адреса

5. Ограничите употребу ЦРОН-а

ЦРОН је робусни роковник послова за Линук. То омогућава администраторима да распоредите задатке у Линуку користећи цронтаб. Стога је пресудно ограничити ко може да води ЦРОН послове. Све активне радње корисника за корисника можете сазнати помоћу следеће наредбе.

цронтаб -л -у КОРИСНИЧКО ИМЕ

Проверите задатке сваког корисника да бисте сазнали да ли неко експлоатише ЦРОН. Можда ћете желети да блокирате све кориснике да користе цронтаб, осим вас. Покрените следећу команду за ово.

ецхо $ (вхоами) >> /етц/црон.д/црон.аллов
# ецхо АЛЛ >> /етц/црон.д/црон.дени

6. Примените ПАМ модуле

Линук ПАМ (прикључни модули за потврду идентитета) нуди моћне функције потврде идентитета за апликације и услуге. Можете користити различите ПАМ смернице да бисте осигурали пријаву система. На пример, наредбе у наставку ограничавају поновну употребу лозинке.

# ЦентОС / РХЕЛ
ецхо 'лозинка довољна пам_уник.со усе_аутхток мд5 схадов Ремембер = 5' >> \
> /етц/пам.д/систем-аутх
# Убунту / Дебиан
ецхо 'лозинка довољна пам_уник.со усе_аутхток мд5 схадов Ремембер = 5' >> \
> /етц/пам.д/цоммон-пассворд

Ограничавају употребу лозинки које су коришћене у последњих пет недеља. Постоји много више ПАМ смерница које пружају додатне слојеве сигурности.

7. Уклоните неискоришћене пакете

Уклањање неискоришћених пакета смањује површину напада на вашем рачунару. Дакле, препоручујемо вам да избришете ретко коришћене пакете. Све тренутно инсталиране пакете можете прегледати помоћу наредби у наставку.

инсталиран иум лист # ЦентОС / РХЕЛ 
апт лист --инсталиран # Убунту / Дебиан

Рецимо да желите уклонити неискоришћени пакет влц. То можете учинити покретањем следећих команди као роот.

иум ремове влц # ЦентОС / РХЕЛ
уклонити влц # Убунту / Дебиан

8. Сигурни параметри језгра

Још један ефикасан начин учвршћивања Линука је осигуравање параметара језгра. Ове параметре можете да конфигуришете помоћу сисцтл или изменом конфигурационе датотеке. Испод су неке уобичајене конфигурације.

кернел.рандомизе_ва_спаце = 2 # насумична база адреса за ммап, гомилу и стек
кернел.паниц = 10 # поновно покретање након 10 секунди након панике кернела
нет.ипв4.ицмп_игноре_богус_еррор_респонсес # штити лоше поруке о грешкама
нет.ипв4.ип_форвард = 0 # онемогућава прослеђивање ИП адреса
нет.ипв4.ицмп_игноре_богус_еррор_респонсес = 1 # игнорише ИЦП грешке

Ово су само неке основне конфигурације. Са искуством ћете научити различите начине конфигурисања језгра.

9. Конфигуришите иптаблес

Линук језгра пружају робусне методе филтрирања мрежних пакета путем свог Нетфилтер АПИ-ја. Можете да користите иптаблес за интеракцију са овим АПИ-јем и постављање прилагођених филтера за мрежне захтеве. Испод су нека основна иптаблес правила за кориснике усмерене на безбедност.

-А ИНПУТ -ј РЕЈЕЦТ # одбаци све долазне захтеве
-ПРЕВЛАЧЕЊЕ -ј ОДБАЦИТИ # одбити прослеђивање саобраћаја
-А УЛАЗ -и ло -ј ПРИХВАТИ
-А ОУТПУТ -о ло -ј АЦЦЕПТ # дозвољава саобраћај на лоцалхост-у
# дозволи пинг захтеве
-А ИЗЛАЗ -п ицмп -ј ПРИХВАТИ # дозвољава одлазне пинге
# дозвољавају успостављене / повезане везе
-А УЛАЗ -м стање --држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАЋА
-А ИЗЛАЗ -м стање --држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАТИ
# дозвољавају ДНС претраживања
-А ИЗЛАЗ -п удп -м удп --дпорт 53 -ј ПРИХВАТИ
# дозвољавају хттп / хттпс захтеве
-А ИЗЛАЗ -п тцп -м тцп --порт 80 -м стање - стање НОВО -ј ПРИХВАТИ
-А ИЗЛАЗ -п тцп -м тцп --дпорт 443 -м стање - стање НОВО -ј ПРИХВАТИ
# дозволи ССХ приступ
-А УЛАЗ -п тцп -м тцп --дпорт 22 -ј ПРИХВАТИ
-А ИЗЛАЗ -п тцп -м тцп --дпорт 22 -ј ПРИХВАТИ

10. Евиденције монитора

Можете користити евиденције да бисте боље разумели свој Линук рачунар. Ваш систем чува неколико датотека евиденције за апликације и услуге. Овде издвајамо најважније.

• /вар/лог/аутх.лог евидентира покушаје ауторизације
• /вар/лог/даемон.лог евидентира позадинске апликације
• / вар / лог / дебуг евидентира податке о отклањању грешака
• /вар/лог/керн.лог евидентира податке о језгру
• / вар / лог / сислог евидентира системске податке
• / вар / лог / фаиллог евиденције неуспеле пријаве

Најбољи савети за учвршћивање Линука за почетнике

Осигурати Линук систем није тако тешко као што мислите. Можете ојачати сигурност пратећи неке савете поменуте у овом водичу. Савладаћете више начина за заштиту Линука како будете стицали искуство.

7 основних подешавања приватности за Цхроме ОС и Гоогле Цхроме

Користите Цхромебоок, али сте забринути због приватности? Подесите ових 7 подешавања у прегледачу Цхроме на Цхроме ОС-у да бисте били безбедни на мрежи.

О аутору