Zabezpečení je oblíbené téma mezi správci systému Linux. Každé fórum, které čtu, každá konference, které se účastním, a každá diskuze zaměřená na IT, které jsem součástí, se vždy obrací k bezpečnosti a pak se konverzace nevyhnutelně stočí k bezpečnosti Linuxu. Toto je moje zkušenost a moje neschopnost odposlouchávat technické rozhovory o Linuxu je původem tohoto článku. Toto je mých pět doporučení, jak začít s bezpečnější instalací Linuxu hned po vybalení.
[Chcete vyzkoušet Red Hat Enterprise Linux? Stáhněte si jej nyní zdarma.]
Nechte to co nejméně
Při instalaci Linuxu vždy nainstaluji nejmenší možnou verzi. Pro CentOS nebo Red Hat Enterprise Linux to znamená minimální instalaci. Raději začnu v malém a pak přidám to, co potřebuji, než abych odstranil to, co nepotřebuji. Další výhodou výběru minimální instalace je, že nároky na systém jsou také minimální. Místo na disku je levné, ale kdo by chtěl plýtvat místem na disku nadbytečnými aplikacemi, které by nás mohly později pronásledovat problémy se zabezpečením? Vše, co zpočátku potřebuji, je základní instalace se serverem SSH, abych se k němu mohl připojit a spravovat jej na dálku. Přes DNF mohu později přidat, co potřebuji.
Servery jsou zóny bez GUI
Pokud váš systém Linux bude žít jako server, neinstalujte grafické uživatelské rozhraní. Několik lidí argumentuje tímto bodem. Z hlediska zabezpečení vyžaduje instalace grafického uživatelského rozhraní – byť malého – mnoho dalších softwarových balíčků. Kterákoli z nich může být náchylná k bezpečnostním problémům. Některé balíčky GUI mohou otevřít porty ve vašem systému, což je nežádoucí, protože tato akce zvyšuje útočnou plochu. A konečně, výkon vašeho systému může (bude) trpět tím, že máte grafické rozhraní, protože GUI spotřebovává mnoho systémových prostředků.
Nechte GUI na ploše. Naučte se příkazový řádek.
Brány firewall jsou povinné
Na systémech založených na Red Hat (Red Hat Enterprise Linux, Fedora a CentOS) firewalld je váš výchozí firewall. Použij to. Tento hostitelský firewall chrání váš systém před nežádoucími průniky přes všechny porty, kromě těch, které jste výslovně povolili. Můžete také selektivně omezit odchozí provoz přes bránu firewall.
Nejbezpečnější metodou pro omezení odchozího provozu je však nastavení interního internetového proxy serveru a povolení pouze odchozího provozu do tohoto systému. Můžete také povolit provoz SSH do vaší místní podsítě v případě, že se potřebujete připojit z jednoho systému do druhého. Hostitelské firewally mohou být frustrující při testování konektivity mezi systémy, zejména u nově nakonfigurovaných služeb, ale za těch pár chvil frustrace to stojí. Pověste přímo nad monitory ve vaší skříni cedulku s nápisem „ZKONTROLUJTE FIREWALL“ a budete v pořádku.
SELinux stojí za to se naučit
Ach, tolik nenáviděný a nepochopený SELinux. Správci systému obvykle SELinux úplně deaktivují nebo odeberou, než aby se zabývali extrémním strachem ze zvýšené bezpečnosti, který vytváří. Moje rada je ponechat tuto službu zapnutou, povolenou a nastavenou na vynucování.
SELinux používá to, co je známé jako povinné řízení přístupu (nebo MAC), zatímco firewally používají řízení přístupu založené na pravidlech a standardní *nixová oprávnění jsou známá jako diskreční řízení přístupu. Než se vzdáte a zakážete SELinux, přečtěte si nějakou dokumentaci k jeho konfiguraci. Vzhledem k tomu, že většina systémů provozuje pouze malou sadu služeb, není konfigurace tak velkým problémem, na rozdíl od nebezpečí, že tato služba nebude povolena.
SELinux musí být nastaven zvláštním způsobem, aby bylo možné soubory označit, nastavit v kontextu zabezpečení a několikrát restartovat, aby se věci rozběhly. Přečtěte si dokumentaci. SELinux, na rozdíl od všeobecného přesvědčení, NENÍ firewall (nebo jeho náhrada), řešení proti malwaru, náhrada autentizačních mechanismů, jako je vícefaktorová autentizace, ani všelék zabezpečení podle fantazie.
SELinux je obrana proti eskalaci oprávnění ze služeb, které běží jako uživatel root. Vypnout to je asi špatný nápad. Správné používání SELinuxu je další vrstvou ochrany potřebnou v dnešní době pokročilých perzistentních hrozeb a chytřejšího malwaru.
Vzdálené přihlášení root není dobrý nápad
Ve výchozím nastavení se na systémech založených na Red Hat může uživatel root přihlásit vzdáleně přes SSH. Chápu, proč je tato funkce nastavena ve výchozím nastavení na nově nainstalovaných systémech, ale měla by být deaktivována, jakmile bude systém spuštěn a funkční a budou vytvořeny účty s přístupem sudo.
Zakázáním vzdáleného přihlášení roota útočníkovi zabráníte v použití metod hrubé síly k uhádnutí vašeho hesla root. Pokusy jsou protokolovány, ale nebudou mít žádný vliv na vaše zabezpečení, protože účet root se nemůže vzdáleně přihlásit. A pokud máte nainstalovaný skript nebo službu prevence narušení, opakované pokusy automaticky vyústí v nové pravidlo DROP nebo vytvoření /etc/hosts.deny vstup.
Zkontrolujte, zda je povoleno vzdálené přihlášení root:
$ sudo grep -i root /etc/ssh/sshd_config
PermitRootLogin yes
# the setting of "PermitRootLogin without-password".
#ChrootDirectory none
Pokud vidíte PermitRootLogin yes , pak se uživatel root může přihlásit vzdáleně přes SSH. Upravte /etc/ssh/sshd_config soubor a umístěte # zakomentujte řádek nebo změňte yes na no . Restartujte sshd službu přijmout novou konfiguraci:
$ sudo systemctl restart sshd.service Uživatel root se již nebude moci přihlásit přes SSH.
Koneckonců
Přečtěte si jakýkoli průzkum za posledních deset let a uvidíte, že bezpečnost je nejvyšší prioritou nebo zájmem systémových administrátorů. Udělejte to svým prioritou je zabezpečit systém pomocí alespoň těchto pěti tipů, než budou vaše systémy spuštěny do výroby. Zabezpečení není něco, co byste mohli odložit nebo u čeho relaxovat. Těchto pět tipů vám pomůže vytvořit bezpečnější systém online a učiní vaši síť bezpečnějším místem pro práci.