A Linux rendszerek tervezése során biztonságosak és robusztus adminisztrációs eszközöket kínálnak. De bármennyire is jól megtervezett egy rendszer, a biztonsága a felhasználótól függ.

A kezdőknek gyakran évekre van szükségük ahhoz, hogy megtalálják a gépeikre vonatkozó legjobb biztonsági irányelveket. Ezért megosztjuk ezeket az alapvető Linux keményítési tippeket olyan új felhasználók számára, mint te. Próbáld ki őket.

1. Erős jelszószabályok kikényszerítése

A legtöbb rendszer esetében a jelszavak az elsődleges hitelesítési módszerek. Nem számít, ha otthoni felhasználó vagy szakember, a szilárd jelszavak kikényszerítése elengedhetetlen. Először tiltsa le az üres jelszavakat. Nem fogja elhinni, hogy még mindig hány ember használja őket. 

awk -F: '($ 2 == "") {print}' / etc / shadow

Futtassa a fenti parancsot gyökérként annak megtekintéséhez, hogy mely fiókok rendelkeznek üres jelszavakkal. Ha valakit üres jelszóval talál, azonnal zárolja a felhasználót. Ezt az alábbiak használatával teheti meg.

instagram viewer 
passwd -l USERNAME

Beállíthatja a jelszó elöregedését is, hogy a felhasználók ne használhassák a régi jelszavakat. Használja a chage parancsot a terminálról. 

chage -l USERNAME

Ez a parancs megjeleníti az aktuális lejárati dátumot. A jelszó lejáratának 30 nap elteltével történő beállításához használja az alábbi parancsot. A felhasználók megtehetik használjon Linux jelszókezelőket az online fiókok biztonságának megőrzéséhez.

A 8 legjobb Linux jelszókezelő, akik biztonságban tudnak maradni

Szüksége van egy biztonságos jelszókezelőre Linux alatt? Ezeket az alkalmazásokat könnyen lehet használni, és biztonságban tartják az online jelszavakat.

chage -M 30 FELHASZNÁLÓ

2. Biztonsági mentés alapvető adatok

Ha komolyan gondolja adatait, állítson be rendszeres biztonsági másolatokat. Így, még ha a rendszer összeomlik is, gyorsan helyreállíthatja az adatokat. De a megfelelő biztonsági mentési módszer kiválasztása elengedhetetlen a Linux keményítéséhez.

Ha otthoni felhasználó vagy, az adatok merevlemezre történő klónozása elegendő lehet. A vállalkozásoknak azonban kifinomult biztonsági rendszerek kellenek, amelyek gyors helyreállítást kínálnak.

3. Kerülje a régi kommunikációs módszereket

A Linux számos távoli kommunikációs módszert támogat. De a régi Unix-szolgáltatások, például a telnet, az rlogin és az ftp, komoly biztonsági problémákat vethetnek fel. Tehát próbáld elkerülni őket. A velük kapcsolatos biztonsági problémák csökkentése érdekében teljesen eltávolíthatja őket. 

apt-get --purge eltávolítás xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Ez a parancs eltávolít néhány széles körben használt, de elavult szolgáltatást az Ubuntu / Debian gépekből. Ha RPM alapú rendszert használ, akkor a következőket használja. 

yum erase xinetd ypserv tftp-server telnet-server rsh-server

4. Biztonságos OpenSSH

Az SSH protokoll az ajánlott módszer a távoli kommunikációhoz a Linux számára. Győződjön meg róla, hogy biztonságos-e az OpenSSH kiszolgáló (sshd) konfigurációja. tudsz itt többet tudhat meg az SSH szerver beállításáról.

Szerkessze a /etc/ssh/sshd_config fájl az ssh biztonsági házirendjeinek beállításához. Az alábbiakban bemutatunk néhány általános biztonsági irányelvet, amelyeket bárki használhat. 

A PermitRootLogin no # letiltja a root bejelentkezést
A MaxAuthTries 3 # korlátozza a hitelesítési kísérleteket
A PasswordAuthentication no # letiltja a jelszó hitelesítést
A PermitEmptyPasswords no # letiltja az üres jelszavakat
X11A # továbbítása letiltja a GUI továbbítását
A DebianBanner no # nem oszlatja el a bannereket
Az AllowUsers *@XXX.X.XXX.0/24 # IP-tartományra korlátozza a felhasználókat

5. Korlátozza a CRON használatát

A CRON robusztus munkaütemező a Linux számára. Lehetővé teszi az adminok számára ütemezze a feladatokat Linux alatt a crontab segítségével. Ezért kulcsfontosságú korlátozni azokat, akik futtathatják a CRON-feladatokat. A következő paranccsal megtudhatja a felhasználó összes aktív cronjobját. 

crontab -l -u FELHASZNÁLÓ

Ellenőrizze az egyes felhasználók munkáit, hogy megtudja, kihasználja-e valaki a CRON-t. Lehet, hogy Ön kivételével minden felhasználót blokkolhat a crontab használatában. Ehhez futtassa a következő parancsot. 

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. A PAM modulok kikényszerítése

A Linux PAM (Pluggable Authentication Modules) hatékony hitelesítési funkciókat kínál az alkalmazások és szolgáltatások számára. Különböző PAM házirendek segítségével biztosíthatja a rendszer bejelentkezését. Például az alábbi parancsok korlátozzák a jelszó újrafelhasználását. 

# CentOS / RHEL
echo 'jelszó elegendő pam_unix.so use_authtok md5 árnyék emlékszem = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'jelszó elegendő pam_unix.so use_authtok md5 árnyék emlékszem = 5' >> \
> /etc/pam.d/common-password

Korlátozzák az elmúlt öt hét során használt jelszavak használatát. Sokkal több PAM-házirend létezik, amelyek extra biztonsági rétegeket nyújtanak.

7. Távolítsa el a fel nem használt csomagokat

A fel nem használt csomagok eltávolítása csökkenti a gép támadási felületét. Ezért javasoljuk, hogy törölje a ritkán használt csomagokat. Az alábbi parancsok segítségével megtekintheti az összes jelenleg telepített csomagot. 

yum list telepítve # CentOS / RHEL 
apt list - # Ubuntu / Debian telepítve

Tegyük fel, hogy el akarjuk távolítani a fel nem használt vlc csomagot. Ezt úgy teheti meg, hogy a következő parancsokat futtatja rootként. 

távolítsd el a vlc # CentOS / RHEL fájlt
apt távolítsa el a vlc # Ubuntu / Debian fájlt

8. Biztonságos kernelparaméterek

A Linux keményítés másik hatékony módja a kernel paramétereinek biztosítása. Ezeket a paramétereket a gombbal konfigurálhatja sysctl vagy a konfigurációs fájl módosításával. Az alábbiakban bemutatunk néhány általános konfigurációt. 

kernel.randomize_va_space = 2 # randomnize címalap az mmap, a halom és a verem számára
kernel.panic = 10 # újraindítás 10 másodperc után egy kernelpánik után
A net.ipv4.icmp_ignore_bogus_error_responses # védi a rossz hibaüzeneteket
net.ipv4.ip_forward = 0 # letiltja az IP-továbbítást
net.ipv4.icmp_ignore_bogus_error_responses = 1 # figyelmen kívül hagyja az ICP hibákat

Ez csak néhány alapvető konfiguráció. Megismerheti a kernel konfigurálásának különböző módjait tapasztalatokkal.

9. Konfigurálja az iptables alkalmazást

A Linux kernek a Netfilter API-n keresztül robusztus szűrési módszereket biztosítanak a hálózati csomagok számára. Az iptables segítségével interakcióba léphet ezzel az API-val, és egyéni szűrőket állíthat be a hálózati kérésekhez. Az alábbiakban bemutatunk néhány alapvető iptables szabályt a biztonságra koncentráló felhasználók számára. 

-A BEMENET -j REJECT # elutasít minden bejövő kérést
-A FORWARD -j REJECT # elutasítja a forgalom továbbítását
-A BEMENET -i lo -j ELFOGADÁS
-A KIMENET -o lo -j ACCEPT # engedélyezi a forgalmat a localhoston
# ping kérések engedélyezése
-A OUTPUT -p icmp -j ACCEPT # engedélyezi a kimenő pingeket
# megengedett / kapcsolódó kapcsolatok engedélyezése
-A BEMENET -m állapot --állapot LÉTREHOZOTT, KAPCSOLÓDÓ -j ELFOGADÁS
-A KIMENET -m állapot - állam LÉTREHOZOTT, KAPCSOLÓDÓ -j ELFOGAD
# engedélyezze a DNS-kereséseket
-A KIMENET -p udp -m udp --port 53 -j ELFOGADÁS
# engedélyezze a http / https kéréseket
-A KIMENET -p tcp -m tcp --port 80 -m állapot --állapot ÚJ -j ELFOGADÁS
-A KIMENET -p tcp -m tcp --port 443 -m állapot --állapot ÚJ -j ELFOGADÁS
# SSH hozzáférés engedélyezése
-A BEMENET -p tcp -m tcp --port 22 -j ELFOGADÁS
-A KIMENET -p tcp -m tcp --port 22 -j ELFOGADÁS

10. Monitor naplók

A naplók felhasználásával jobban megértheti Linux-gépét. A rendszere több naplófájlt tárol az alkalmazások és szolgáltatások számára. A legfontosabbakat itt vázoljuk fel.

  • A /var/log/auth.log naplózza az engedélyezési kísérleteket
  • A /var/log/daemon.log naplózza a háttéralkalmazásokat
  • / var / log / debug naplózza az adatok hibakeresését
  • A /var/log/kern.log naplózza a kernel adatait
  • / var / log / syslog naplózza a rendszer adatait
  • / var / log / faillog naplózza a sikertelen bejelentkezéseket

A legjobb Linux keményítési tippek kezdőknek

A Linux rendszer biztonsága nem olyan nehéz, mint gondolnád. Megerősítheti a biztonságot, ha betartja az ebben az útmutatóban említett néhány tippet. A tapasztalatok megszerzése során a Linux biztonságának további módjait fogja elsajátítani.

Email
7 alapvető adatvédelmi beállítások a Chrome OS és a Google Chrome számára

Chromebookot használ, de aggódik az adatvédelem miatt? Módosítsa ezt a 7 beállítást a Chrome OS böngészőjében, hogy biztonságban maradjon az interneten.

Kapcsolódó témák
  • Linux
  • Számítógép biztonság
  • Linux
  • SSH
A szerzőről
Rubaiat Hossain (5 cikk megjelent)

A Rubaiat egy CS fokozat, mely nagyon szenvedélyes a nyílt forráskód iránt. Amellett, hogy Unix veterán, a hálózat biztonságával, a titkosítással és a funkcionális programozással is foglalkozik. Lelkes gyűjtője a használt könyveknek, és végtelenül rajong a klasszikus rockért.

Többet a Rubaiat Hossain-tól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.