Bezpečnost je trvalým tématem zájmu systémových administrátorů. A zabezpečení nových systémů vždy představuje výzvu, protože pro to ve skutečnosti neexistují žádné stanovené standardy. Seznam bezpečnostních opatření a ovládacích prvků v tomto článku čerpám z různých zdrojů, včetně osobních zkušeností, DISA STIGů a doporučení od jiných systémových administrátorů a bezpečnostních lidí. I když jsou tato bezpečnostní opatření dobrá, jsou pouze prvním krokem k lepšímu zabezpečení systému. Těchto osm systémových ovládacích prvků není v žádném konkrétním pořadí důležitosti.
Klíče SSH
Nakonfigurujte ověřování bez hesla pomocí párů klíčů SSH. Pokyny najdete v článku Susan Lauber:SSH bez hesla pomocí párů veřejného a soukromého klíče. Hesla nejsou dobrým bezpečnostním opatřením, bez ohledu na to, jak jsou dlouhá nebo složitá. Pomocí párů klíčů SSH a jediného skokového boxu můžete vytvořit vysokou úroveň zabezpečeného přístupu ke svým systémům.
Ověření SSH
Jakmile nastavíte páry klíčů SSH pro ověřování, budete muset nakonfigurovat SSHD přijmout je pro vzdálené přihlášení. Soubor /etc/ssh/sshd_config soubor je centrálním umístěním pro zabezpečení SSHD na vašich systémech. Pozoruhodné možnosti kontroly a změny jsou:
| Původní nastavení | Změnit na |
|---|---|
| #PermitRootLogin ano | Přihlašovací číslo PermitRoot |
| #PubkeyAuthentication ano | PubkeyAuthentication ano |
| #PermitEmptyPasswords no | NepovoltePrázdná hesla |
| Autentizace heslem ano | Číslo ověření hesla |
Musíte restartovat SSHD poté, co provedete změny v konfiguračním souboru, aby se vaše změny projevily.
Hesla NULL
Zkontrolujte, zda všechny účty používají k ověření heslo. Nepovolte žádnému účtu, aby měl prázdné nebo prázdné heslo. Nastavení párů klíčů je dobrou obranou proti nulovým heslům. Odeberte všechny instance možnosti "nullok" v /etc/pam.d/system-auth a /etc/pam.d/password-auth abyste zabránili přihlašování s prázdnými hesly.
Odstranění nezabezpečených služeb
Chcete-li lépe zabezpečit své systémy, odeberte všechny nezabezpečené služby (ty, které odesílají hesla v prostém textu přes síť, nebo ty, které umožňují anonymní (neověřená) připojení). Odeberte následující balíčky:
- ypserv
- rsh-server
- vsftpd*
- telnet-server
- tftp-server
Přenosy souborů a interaktivní propojení mezi systémy by měly být prováděny pomocí SSH . Není potřeba rsh-server , vsftpd a telnet-server . Za ypserv byste měli nahradit LDAP nebo Active Directory (NIS/NIS+). Stejně jako tftp-server , pokud jej musíte používat, vyhraďte mu jeden systém nebo virtuální stroj a nainstalujte jej do chroot vězení pro lepší bezpečnost.
*Zatímco vsftpd šifruje komunikaci, tuto funkci lépe zvládá SSH/SFTP/SCP .
Zakázat ověřování založené na hostiteli
Odeberte všechny instance ověřování založeného na hostiteli ve formě .shosts a shosts.equiv soubory. Autentizace založená na hostiteli je nedostatečná pro zabránění neoprávněnému přístupu do systému, protože nevyžaduje interaktivní identifikaci a autentizaci požadavku na připojení, ani pro použití vícefaktorové autentizace.
Verze SNMP a název komunity
Pro ověření uživatele a šifrování zpráv použijte SNMP verze 3.x. Změňte výchozí řetězec komunity z public nebo private na jinou hodnotu řetězce.
Přesměrování X11
Ujistěte se, že pokud ve své síti používáte protokol X, je zabezpečen SSL. Upravte /etc/ssh/sshd_config a nastavte parametr X11Forwarding následovně:
X11Forwarding yes
Pokud parametr existuje, ale je okomentován úvodním # a poté odeberte # a restartujte SSHD.
Zabezpečení GNOME
Pokud na svých serverových systémech používáte GNOME, zabezpečte jej pomocí následujících nastavení v /etc/gdm/custom.conf soubor. Přidejte nebo upravte řádek pro AutomaticLoginEnable parametr v [daemon] části custom.conf file to false, jak je uvedeno níže.
[daemon]
AutomaticLoginEnable=false
A přidejte nebo upravte řádek pro TimedLoginEnable parametr v [daemon] části /etc/gdm/custom.conf file to false, jak je uvedeno níže.
[daemon]
TimedLoginEnable=false Někteří bezpečnostní poradci znovu varují pomocí grafických uživatelských rozhraní (GUI) na serverových systémech kvůli malwaru, který se na ně zaměřuje.
[ Dále vylepšete zabezpečení svého systému pomocí softwaru Antimalware:3 antimalwarová řešení pro systémy Linux ]
Sbalit
Přestože jeho zabezpečení podobné Unixu je velmi dobré, Linux není po instalaci 100% bezpečný. A nic takového jako 100% zabezpečení neexistuje, ale můžete nastavit některé ovládací prvky a provádět některé základní úkoly, abyste systém lépe zabezpečili. Právě vám přináším další články, jako je tento, které jsou zaměřeny na zabezpečení systému.
[ Chcete se dozvědět více o zabezpečení? Podívejte se na kontrolní seznam zabezpečení IT a dodržování předpisů. ]