LFCA - naudingi patarimai, kaip apsaugoti duomenis ir „Linux“ - 18 dalis

Nuo išleidimo devintojo dešimtmečio pradžioje „Linux“ pelnė technologijų bendruomenės susižavėjimą dėl savo stabilumo, universalumo, pritaikomumo ir didelės atvirojo kodo kūrėjų bendruomenės, kuri visą parą dirba, kad ištaisytų klaidas ir patobulinimus. Operacinė sistema. Apskritai „Linux“ yra pasirinkta viešojo debesies, serverių ir superkompiuterių operacinė sistema, ir beveik 75% „Internet“ nukreiptų gamybos serverių veikia „Linux“.

Be interneto maitinimo, „Linux“ rado kelią į skaitmeninį pasaulį ir nuo to laiko nesumažėjo. Jis valdo daugybę išmaniųjų programėlių, įskaitant „Android“ išmaniuosius telefonus, planšetinius kompiuterius, išmaniuosius laikrodžius, išmaniuosius ekranus ir daugelį kitų.

Ar „Linux“ yra toks saugus?

„Linux“ garsėja aukščiausio lygio saugumu ir tai yra viena iš priežasčių, kodėl ji pasirenka mėgstamiausią įmonės aplinką. Bet čia yra faktas, kad nė viena operacinė sistema nėra 100% saugi. Daugelis vartotojų mano, kad „Linux“ yra neprotinga operacinė sistema, o tai klaidinga prielaida. Tiesą sakant, bet kuri operacinė sistema, turinti interneto ryšį, gali būti pažeidžiama ir kenkėjiškų programų atakos.

Pirmaisiais metais „Linux“ demografija buvo kur kas mažesnė, o rizika kentėti nuo kenkėjiškų programų atakų buvo nedidelė. Šiais laikais „Linux“ valdo didžiulę interneto dalį ir tai paskatino augti grėsmių kraštovaizdį. Kenkėjiškų programų atakų grėsmė yra realesnė nei bet kada.

Puikus kenkėjiškų programų atakų prieš „Linux“ sistemas pavyzdys yra „Erebus“ išpirkos programa - failų šifravimo kenkėjiška programa, paveikusi beveik 153 Pietų Korėjos žiniatinklio prieglobos bendrovės „NAYANA“ „Linux“ serverius.

Dėl šios priežasties tikslinga dar labiau grūdinti operacinę sistemą, kad ji suteiktų taip trokštamą saugumą jūsų duomenims apsaugoti.

„Linux Server“ grūdinimo patarimai

Apsaugoti savo „Linux“ serverį nėra taip sudėtinga, kaip jūs manote. Mes sukūrėme geriausių saugos politikų, kurias turite įgyvendinti, kad sustiprintumėte savo sistemos saugumą ir išlaikytumėte duomenų vientisumą, sąrašą.

Pradiniuose „Equifax“ pažeidimo etapuose įsilaužėliai „Equifax“ klientų skundų interneto portale panaudojo plačiai žinomą pažeidžiamumą - „Apache Struts“.

„Apache Struts“ yra atviro kodo sistema, skirta kurti modernias ir elegantiškas „Java“ žiniatinklio programas, kurias sukūrė „Apache Foundation“. Fondas išleido pataisą, kad pašalintų pažeidžiamumą 2017 m. Kovo 7 d., Ir paskelbė apie tai pranešimą.

„Equifax“ buvo pranešta apie pažeidžiamumą ir patarta pataisyti jų taikymą, tačiau, deja, pažeidžiamumas liko nepastebėtas iki tų pačių metų liepos, kai jau buvo per vėlu. Užpuolikai galėjo patekti į įmonės tinklą ir iš duomenų bazių išfiltruoti milijonus konfidencialių klientų įrašų. Tuo metu, kai „Equifax“ pasisuko apie tai, kas vyksta, jau praėjo du mėnesiai.

Taigi, ko iš to galime pasimokyti?

Kenkėjiški vartotojai ar įsilaužėliai visada patikrins jūsų serverį dėl galimų programinės įrangos pažeidžiamumų, kuriuos vėliau galės panaudoti, kad pažeistų jūsų sistemą. Jei norite būti saugus, visada atnaujinkite savo programinę įrangą į dabartinę versiją, kad pritaikytumėte pataisas esamoms spragoms.

Jei naudojate „Ubuntu“ arba „Debian“ pagrįstas sistemas, pirmiausia reikia atnaujinti paketų sąrašus ar saugyklas, kaip parodyta.

$ sudo apt update

Norėdami patikrinti visus paketus su galimais naujinimais, vykdykite komandą:

$ sudo apt list --upgradable

Atnaujinkite savo programinės įrangos versijas į jų dabartines versijas, kaip parodyta:

$ sudo apt upgrade

Galite susieti šias dvi vienoje komandoje, kaip parodyta.

$ sudo apt update && sudo apt upgrade

Norėdami atnaujinti „RHEL & CentOS“ programas, paleiskite komandą:

$ sudo dnf update ( CentOS 8 / RHEL 8 )
$ sudo yum update ( Earlier versions of RHEL & CentOS )

Kita perspektyvi galimybė yra nustatyti „CentOS/RHEL“ automatinius naujinimus.

Nepaisant daugybės nuotolinių protokolų palaikymo, tokios pasenusios paslaugos kaip „rlogin“, „telnet“, „TFTP“ ir „FTP“ gali kelti milžiniškų saugumo problemų jūsų sistemai. Tai seni, pasenę ir nesaugūs protokolai, kai duomenys siunčiami paprastu tekstu. Jei tokių yra, apsvarstykite galimybę juos pašalinti, kaip parodyta.

„Ubuntu“/„Debian“ pagrįstose sistemose vykdykite:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

RHEL/CentOS pagrįstose sistemose vykdykite:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

Pašalinę visas nesaugias paslaugas, svarbu patikrinti, ar jūsų serveryje nėra atvirų prievadų, ir uždaryti visus nenaudojamus prievadus, kuriuos įsilaužėliai gali naudoti įėjimo tašku.

Tarkime, kad norite blokuoti UFW ugniasienės 7070 prievadą. Tam bus skirta komanda:

$ sudo ufw deny 7070/tcp

Tada įkelkite užkardą, kad pakeitimai įsigaliotų.

$ sudo ufw reload

„Firewalld“ vykdykite komandą:

$ sudo firewall-cmd --remove-port=7070/tcp  --permanent

Nepamirškite iš naujo įkelti užkardos.

$ sudo firewall-cmd --reload

Tada patikrinkite užkardos taisykles, kaip parodyta:

$ sudo firewall-cmd --list-all

SSH protokolas yra nuotolinis protokolas, leidžiantis saugiai prisijungti prie tinklo įrenginių. Nors tai laikoma saugia, numatytųjų nustatymų nepakanka ir reikia papildomų patobulinimų, kad dar labiau atbaidytumėte piktavalius vartotojus nuo jūsų sistemos pažeidimo.

Mes turime išsamų vadovą, kaip sustiprinti SSH protokolą. Čia yra pagrindiniai akcentai.

  • Konfigūruokite SSH prisijungimą be slaptažodžių ir įgalinkite privataus/viešojo rakto autentifikavimą.
  • Išjunkite SSH nuotolinį šaknų prisijungimą.
  • Išjunkite SSH prisijungimus iš vartotojų su tuščiais slaptažodžiais.
  • Visiškai išjunkite slaptažodžio autentifikavimą ir laikykitės SSH privataus/viešojo rakto autentifikavimo.
  • Apriboti prieigą prie konkrečių SSH naudotojų.
  • Konfigūruokite bandymų slaptažodžiu apribojimą.

„Fail2ban“ yra atviro kodo įsilaužimų prevencijos sistema, apsauganti jūsų serverį nuo bruteforce išpuolių. Tai apsaugo jūsų „Linux“ sistemą uždraudus IP, kurie rodo kenkėjišką veiklą, pvz., Per daug bandymų prisijungti. Iš dėžutės jis tiekiamas su populiarių paslaugų, tokių kaip „Apache“ tinklo serveris, „vsftpd“ ir „SSH“, filtrais.

Mes turime vadovą, kaip sukonfigūruoti „Fail2ban“, kad būtų toliau stiprinamas SSH protokolas.

Pakartotinis slaptažodžių naudojimas arba silpnų ir paprastų slaptažodžių naudojimas pakenkia jūsų sistemos saugumui. Vykdote slaptažodžio politiką, naudokite pam_cracklib, kad nustatytumėte arba sukonfigūruotumėte slaptažodžio stiprumo reikalavimus.

Naudodami PAM modulį, galite nustatyti slaptažodžio stiprumą redaguodami failą /etc/pam.d/system-auth. Pavyzdžiui, galite nustatyti slaptažodžių sudėtingumą ir užkirsti kelią pakartotiniam slaptažodžių naudojimui.

Jei naudojate svetainę, visada įsitikinkite, kad apsaugojote savo domeną naudodami SSL/TLS sertifikatą, kad užšifruotumėte duomenis, kuriais keičiamasi tarp vartotojų naršyklės ir žiniatinklio serverio.

Kai užšifruosite savo svetainę, apsvarstykite galimybę išjungti silpnus šifravimo protokolus. Rašant šį vadovą, naujausias protokolas yra TLS 1.3, kuris yra labiausiai paplitęs ir plačiausiai naudojamas protokolas. Ankstesnės versijos, tokios kaip TLS 1.0, TLS 1.2 ir SSLv1 – SSLv3, buvo susietos su žinomomis spragomis.

[Jums taip pat gali patikti: kaip įgalinti TLS 1.3 „Apache“ ir „Nginx“]

Tai buvo kai kurių veiksmų, kuriuos galite atlikti, kad užtikrintumėte „Linux“ sistemos duomenų saugumą ir privatumą, santrauka.