Politika | Domači uporabnik | Strežnik |
Onemogoči SSH | ✔ | x |
Onemogoči korenski dostop SSH | x | ✔ |
Spremenite vrata SSH | x | ✔ |
Onemogoči prijavo z geslom SSH | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sistem za odkrivanje vdorov) | x | ✔ |
Varnost BIOS-a | ✔ | ✔ |
Šifriranje diska | ✔ | x / ✔ |
Posodobitev sistema | ✔ | ✔ |
VPN (navidezno zasebno omrežje) | ✔ | x |
Omogočite SELinux | ✔ | ✔ |
Običajne prakse | ✔ | ✔ |
- SSH dostop
- Požarni zid (iptables)
- Sistem za odkrivanje vdorov (IDS)
- Varnost BIOS-a
- Šifriranje trdega diska
- Posodobitev sistema
- VPN (navidezno zasebno omrežje)
- Omogoči SELinux (Linux z izboljšano varnostjo)
- Običajne prakse
SSH dostop
Domači uporabniki:
Domači uporabniki v resnici ne uporabljajo ssh, dinamični naslovi IP in konfiguracije NAT usmerjevalnika so privlačnejše možnosti z obratno povezavo, kot je TeamViewer. Če se storitev ne uporablja, je treba vrata zapreti tako, da onemogočite ali odstranite storitev in uporabite omejevalna pravila požarnega zidu.
Strežniki:
V nasprotju z domačimi uporabniki, ki dostopajo do različnih strežnikov, so skrbniki omrežij pogosti uporabniki ssh / sftp. Če morate omogočiti storitev ssh, lahko izvedete naslednje:
- Onemogoči korenski dostop prek SSH.
- Onemogoči prijavo z geslom.
- Spremenite vrata SSH.
Pogoste možnosti konfiguracije SSH Ubuntu
Iptables
Iptables je vmesnik za upravljanje netfilterja za določanje pravil požarnega zidu. Domači uporabniki se lahko obrnejo na UFW (nezapleteni požarni zid), ki je predpomnilnik iptables, da olajša ustvarjanje pravil požarnega zidu. Neodvisno od vmesnika je točka takoj po namestitvi požarni zid med prvimi spremembami, ki jih je treba uporabiti. Glede na potrebe namizja ali strežnika so zaradi varnostnih razlogov najbolj priporočljivi omejevalni pravilniki, ki omogočajo le tisto, kar potrebujete, medtem ko blokirate ostalo. Iptables bodo uporabljeni za preusmeritev vrat SSH 22 na druga, za blokiranje nepotrebnih vrat, filtriranje storitev in nastavitev pravil za znane napade.
Za več informacij o iptables preverite: Iptables za začetnike
Sistem za odkrivanje vdorov (IDS)
Zaradi visokih virov, ki jih potrebujejo, IDS ne uporabljajo domači uporabniki, so pa nujni za strežnike, ki so izpostavljeni napadom. IDS dvigne varnost na naslednjo raven, ki omogoča analizo paketov. Najbolj znana IDS sta Snort in OSSEC, oba že pojasnjena na LinuxHint. IDS analizira promet po omrežju in išče zlonamerne pakete ali nepravilnosti, je orodje za nadzor omrežja, usmerjeno v varnostne incidente. Za navodila o namestitvi in konfiguraciji za najbolj priljubljeni dve rešitvi IDS si oglejte: Konfiguriranje Snort IDS in Ustvari pravila
Uvod v OSSEC (sistem za odkrivanje vdorov)
Varnost BIOS-a
Rootkiti, zlonamerne programske opreme in strežniški BIOS z oddaljenim dostopom predstavljajo dodatne ranljivosti za strežnike in namizja. BIOS lahko vdremo prek kode, ki se izvaja iz operacijskega sistema, ali prek posodobitvenih kanalov, da dobimo nepooblaščen dostop ali pozabimo na informacije, kot so varnostne kopije.
Posodabljajte mehanizme za posodobitev BIOS-a. Omogočite zaščito integritete BIOS-a.
Razumevanje zagonskega postopka - BIOS vs UEFI
Šifriranje trdega diska
To je ukrep, ki je bolj pomemben za uporabnike namizja, ki lahko izgubijo računalnik ali postanejo žrtev kraje, še posebej koristen za uporabnike prenosnih računalnikov. Danes skoraj vsak OS podpira šifriranje diska in particij, distribucije, kot je Debian, omogočajo šifriranje trdega diska med postopkom namestitve. Za navodila o šifriranju diska preverite: Kako šifrirati pogon v Ubuntu 18.04
Posodobitev sistema
Tako namizni uporabniki kot sysadmin morajo sistem redno posodabljati, da ranljivim različicam preprečujejo nepooblaščen dostop ali izvajanje. Poleg uporabe upravitelja paketov, ki ga nudi operacijski sistem, za preverjanje razpoložljivih posodobitev, ki se izvajajo s skeniranji ranljivosti, lahko pomaga odkriti ranljivo programsko opremo, ki ni bila posodobljena v uradnih skladiščih ali ranljivo kodo, ki jo je treba prepisati. Spodaj nekaj vadnic o posodobitvah:
- Kako obdržati Ubuntu 17.10 do datuma
- Linux Mint Kako posodobiti sistem
- Kako posodobiti vse pakete na osnovnem OS
VPN (navidezno zasebno omrežje)
Uporabniki interneta se morajo zavedati, da ponudniki internetnih storitev spremljajo ves njihov promet, in edini način, da si to privoščijo, je uporaba storitve VPN. Ponudnik internetnih storitev lahko spremlja promet do strežnika VPN, ne pa tudi od VPN do ciljev. Zaradi težav s hitrostjo so najbolj priporočljive plačane storitve, vendar obstajajo brezplačne dobre alternative, kot je https: // protonvpn.com /.
- Najboljši Ubuntu VPN
- Kako namestiti in konfigurirati OpenVPN v Debianu 9
Omogoči SELinux (Linux z izboljšano varnostjo)
SELinux je sklop sprememb jedra Linuxa, osredotočenih na upravljanje varnostnih vidikov, povezanih z varnostnimi politikami, z dodajanjem MAC (nadzor dostopa mehanizma), RBAC (nadzor dostopa na osnovi vlog), MLS (večstopenjska varnost) in večkategorijska varnost (MCS). Ko je omogočen SELinux, lahko aplikacija dostopa samo do virov, ki jih potrebuje v varnostni politiki aplikacije. Dostop do vrat, procesov, datotek in imenikov nadzorujejo pravila, določena v SELinuxu, ki omogoča ali zavrača operacije na podlagi varnostnih pravilnikov. Ubuntu kot alternativo uporablja AppArmor.
- SELinux v vadnici Ubuntu
Običajne prakse
Skoraj vedno so varnostne okvare posledica malomarnosti uporabnika. Poleg vseh predhodno oštevilčenih točk upoštevajte naslednje prakse:
- Ne uporabljajte korenin, razen če je potrebno.
- Nikoli ne uporabljajte X Windows ali brskalnikov kot root.
- Uporabite upravitelje gesel, kot je LastPass.
- Uporabljajte samo močna in edinstvena gesla.
- Ne poskušajte nameščati nesvobodnih paketov ali paketov, ki niso na voljo v uradnih skladiščih.
- Onemogoči neuporabljene module.
- Na strežnikih uveljavite močna gesla in uporabnikom preprečite uporabo starih gesel.
- Odstranite neuporabljeno programsko opremo.
- Ne uporabljajte istih gesel za različne dostope.
- Spremenite vsa privzeta uporabniška imena za dostop.
Politika | Domači uporabnik | Strežnik |
Onemogoči SSH | ✔ | x |
Onemogoči korenski dostop SSH | x | ✔ |
Spremenite vrata SSH | x | ✔ |
Onemogoči prijavo z geslom SSH | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sistem za odkrivanje vdorov) | x | ✔ |
Varnost BIOS-a | ✔ | ✔ |
Šifriranje diska | ✔ | x / ✔ |
Posodobitev sistema | ✔ | ✔ |
VPN (navidezno zasebno omrežje) | ✔ | x |
Omogočite SELinux | ✔ | ✔ |
Običajne prakse | ✔ | ✔ |
Upam, da se vam je ta članek zdel koristen za večjo varnost. Še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu in mreženju.