Internet je plný lidí, kteří chtějí zničit vaše věci. Někteří z nich jsou jen zvědaví, někteří hledají vzrušení, jiní se pokoušejí ukrást vaše data a někteří se chtějí jen dívat, jak věci hoří. Ať už je jejich motiv jakýkoli, vaším úkolem jako správce systému je udržet tyto útočníky mimo vaše servery. Pokud používáte systém Linux, je tento článek určen právě vám. Probereme některé z důvodů, proč potřebujete posílit své systémy, a další důležité aspekty.
Operační systémy představují rovnováhu
Vytvoření operačního systému je obtížná rovnováha a distribuce Linuxu není jiná. Musíte vzít v úvahu předpřipravenou funkčnost, kterou bude většina lidí chtít, a dostupnost pro širokou škálu dovedností administrátorů. Pokud uděláte svou distribuci velmi bezpečnou, ale nový systémový administrátor nemůže přijít na to, jak s ní pracovat... no, najdou jednodušší distribuci, kterou by se mohli učit, a teď jste toho administrátora ztratili kvůli jiné distribuci . Není tedy žádným překvapením, že hned po instalaci potřebuje většina linuxových distribucí trochu vyladit, aby je uzamkla. To se v průběhu let zlepšilo, protože samotné instalační programy se snáze používají a jsou bohatší na funkce. Můžete si vytvořit docela vlastní systém přímo z instalačního GUI. Například základní systém Red Hat Enterprise Linux (RHEL), pokud jste si vybrali základní sadu balíčků, je ve skutečnosti poměrně nenáročný na zbytečné služby a balíčky.
Byly doby, kdy to nebyla pravda. Dokážete si představit, že hesla jsou zahašována, ale jsou dostupná v /etc/password pro čtení všem uživatelům? Nebo se veškerá správa systému provádí přes Telnet? SSH ve výchozím nastavení ani nebylo zapnuté. Hostitelský firewall? Zcela volitelné. Před 20 lety tedy uzamčení nově nainstalovaného systému Linux znamenalo seznam úkolů. Naštěstí, jak výpočetní technika vyspěla, vyspěla i výchozí instalace téměř jakéhokoli operačního systému.
Co je systémové „zpevňování?“
Posilování systému je akt, díky kterému je systém bezpečnější – což je pro padouchy obtížnější cíl. Představte si, že máte bílý laťkový plot, který chrání váš domov. Pravděpodobně stačí, aby poctiví lidé byli upřímní – vidí plot a pěknou malou západku na vaší bráně a rozhodnou se respektovat skutečnost, že lidi na svém dvoře evidentně nechcete. Cítíte se v bezpečí s vědomím, že nikdo nevstoupí do vašeho dvora a nepošlape vaše květiny, protože lidé tuto hranici vašeho pozemku respektují. Stačí však jedno dítě, které se o nic z toho nestará, aby vám prosekalo dvorek, protože se nemůže obtěžovat chodit kolem. Váš bílý laťkový plot a chatrná západka nejsou nic pro ně, aby se otevřeli a proběhli skrz.
Kalení by bylo jako vylepšit bílý laťkový plot na šest stop vysoký řetězový plot a přidat na něj západku se zámkem. Někdo dostatečně odhodlaný by ještě mohl přelézt plot, ale to dítě, které prořezával váš dvůr, se už pravděpodobně nebude obtěžovat, protože je to trochu moc práce.
Vidíte, počítačová bezpečnost není o tom, že je zcela nerozbitná, pokud nejste Oracle; jde o to, být dostatečně zabezpečený, aby bylo obtížné proniknout dovnitř, a přitom stále dostatečně otevřený, aby váš systém skutečně mohl dělat to, k čemu je navržen. Webový server tak uzamčený, že na něm nemůžete provozovat web, není moc dobrý webový server – jako řetězový plot bez brány.
Tipy pro otužování
Níže není uveden návod, jak na to krok za krokem, ale spíše některé obecné body, které je třeba vzít v úvahu při práci na posílení svého systému.
Zrušte grafické uživatelské rozhraní
Provozujete pracovní stanici? Nebo server? Servery nepotřebují GUI. Je to jen další věc, která zabírá místo a CPU. Když instaluji systém, instaluji jej s absolutně nejmenším půdorysem, který instalátor umožňuje. To znamená, že žádné GUI. Prostě to nepotřebuješ. Některé aplikace potřebují k instalaci a správě prostředí X (což je v dnešní době hloupé, ale stává se to). Pokud však žádnou z nich nespouštíte, neobtěžujte se instalací grafického uživatelského rozhraní ani se nestarejte o žádné z jejich požadavků.
Nepotřebné služby
V závislosti na vaší distribuci můžete mít nainstalované některé služby jako součást základny, které prostě nejsou potřeba, jako v těch dnech Telnetu, o kterých jsem se zmiňoval dříve – když distribuce stále přecházely z Telnetu na SSH kvůli správě, měli byste obě povoleny z základní instalace. Musíte si vybrat, který z nich si chcete ponechat, takže pravděpodobně budete chtít vypnout Telnet nebo alespoň vypnout firewall. Dnes by tyto služby mohly být něco více jako tisková služba CUPS nebo možná systémový Mail Transfer Agent (MTA). Po vybalení by mohly být nakonfigurovány tak, aby naslouchaly příchozím připojením. I když pravděpodobně potřebujete MTA, nepotřebujete jej k přijímání externích připojení. Na systemd systému, můžete velmi snadno vypsat všechny aktivní služby. Můžete si také prohlédnout výstup netstat nebo ss abyste viděli, jaké služby naslouchají připojení. Pokud nevíte, co je to služba, nyní je skvělý čas si něco přečíst.
Uživatelský přístup
Pokud neprovozujete shellový server, ke kterému lidé skutečně potřebují přístup, budete pravděpodobně chtít důkladně přemýšlet o tom, komu na svých systémech poskytnete shellový účet. Nejedná se nezbytně o posilující praxi, jako spíše o dobrou administrativu. Čím více účtů je, tím větší je stopa účtů, které mohou být ohroženy. Je také skvělý nápad dávat si VELKÝ pozor, jak rozdáváte sudo privilegia. Nikdo by nikdy neměl mít heslo roota, možná kromě týmu správy systémů (a ani ti by ho neměli používat, pokud to není nezbytně nutné). Sudo je tam z nějakého důvodu; použijte to.
Hostitelské firewally
Mluvil jsem o tom docela dost ve svém seriálu o obraně do hloubky. Hostitelský firewall je poslední linií obrany sítě; použij to. Po vybalení může mít vaše distribuce široce otevřený firewall nebo možná má otevřené některé výchozí porty. Jak se ukončují pravidla brány firewall? Je to výchozí otevřený nebo výchozí uzavřený systém? Nikdy jsem neviděl důvod, kromě možná řešení problémů, mít výchozí otevřený firewall. Viděl jsem, jak by základní instalace mohla mít takto nakonfigurovaný firewall, takže je dobré to vědět nebo zjistit. Všechna lstivá pravidla firewallu na světě nedělají dobře, pokud se váš firewall otevře ve výchozím nastavení. Software by měl být otevřený; brány firewall by měly být uzavřeny.
Zabezpečené protokoly
Bývaly doby, kdy jste šifrovali pouze provoz, který měl rozumnou šanci na výměnu soukromých dat, jako jsou hesla. Bylo to proto, že šifrování něco stálo. Skřípání čísel je to, v čem jsou počítače dobré, ale šifrování každého kousku komunikace zvýšilo latenci. Ne moc, ale sčítá se to. No, ve skutečnosti to není ten problém, který býval. Nyní jsme v bodě, kdy opravdu není důvod nešifrovat provoz přicházející do a z vašeho systému. Pomocí LetsEncrypt můžete TLS šifrovat zdarma a správa přes SSH už není ani otázkou. Jsem si jistý, že zde existují okrajové případy, ale vsadím se, že většinu času odpověď na otázku „Mělo by to být zašifrováno?“ je pravděpodobně "ano."
Pamatujte si rovnováhu
Pamatujte, že zabezpečení je rovnováha mezi dostupností, použitelností a omezením. Příliš daleko v kterémkoli z těchto směrů a máte potíže.
[ Zdarma ke stažení:Cheat sheet pro pokročilé příkazy Linuxu. ]