GNU/Linux >> Znalost Linux >  >> Linux

Jak správně zabezpečit sysctl v Linuxu:Tipy pro posílení zabezpečení

V informatice je jádro duší operačního systému. Linuxové jádro je navrženo s velmi dobrou architektonickou znalostí operačního systému. Linux má většinou tři typy jádra. Jsou to monolitické jádro, mikrokernel a hybridní jádro. Linux má jádro Monolithic. Monolitické jádro je vytvořeno pro vysoký výkon a stabilitu. MicroKernel vytváří flexibilitu a snadnou implementaci. Jádro má přístup k systémovým prostředkům. Zabezpečení a nastavení linuxového jádra můžete upravit a nakonfigurovat pomocí nástroje pro řízení systému. V Linuxu je řídicí jednotka systému krátce známá jako sysctl.

Jak funguje sysctl v Linuxu

Souborový systém Linux má velmi jedinečný a efektivní architektonický design, který lze interpretovat s jádrem systému. Konfigurace linuxového jádra jsou uloženy v /proc/sys adresář. Řídicí jednotka centrálního systému nebo nástroj sysctl lze použít jako samostatný program nebo jako nástroj pro správu příkazů.

Systém sysctl lze použít k řízení pracovní funkce procesoru, paměti a karty síťového rozhraní. Navíc můžete svůj linuxový systém zvýšit zabezpečením přidáním vlastního přizpůsobeného konfiguračního skriptu a příkazů do programu sysctl. V tomto příspěvku uvidíme, jak zabezpečit sysctl v Linuxu.

1. Nakonfigurujte nastavení sysctl v Linuxu

Jak jsem již zmínil dříve, sysctl je nástroj jádra, takže je to předinstalovaný nástroj v Linuxu. Nemusíte jej znovu instalovat ani přepisovat. Můžete jen začít s příkazovými nástroji sysctl. Začněme tedy s nástrojem pro ovládání systému Linux. Chcete-li zkontrolovat aktuální stav systému sysctl, spusťte následující příkazový řádek terminálu.

$ sysctl --system

Nyní můžete provést akci a přidat požadované konfigurace do skriptu nastavení řízení systému. Konfigurační skript sysctl můžete otevřít pomocí textového editoru Nano a přidat svá osobní nastavení. Pomocí následujícího příkazu terminálu otevřete skript pomocí textového editoru Nano.

$ sudo nano /etc/sysctl.conf

Uvnitř konfiguračního skriptu sysctl najdete některá stávající výchozí nastavení. Můžete to nechat tak, jak je, nebo pokud chcete, aby byl váš systém Linux bezpečnější, můžete přidat nějaké další pravidlo a nahradit stávající konfigurace následujícími nastaveními uvedenými níže. Úpravou konfiguračního skriptu sysctl můžete zabránit útokům typu man-in-the-middle (MITM), ochraně před spoofem, povolit soubory cookie TCP/IP, předávání paketů a protokolovat marťanské pakety.

Pokud jste správce systému Linux nebo programátor, musíte vědět, že řádek kódu lze zachovat jako komentář přidáním hash (#) před řádek. Ve skriptu sysctl se přesměrování internetového protokolu, výchozí nastavení přesměrování a další nastavení uchovávají jako komentáře. Chcete-li tato nastavení povolit, musíte je označit jako nekomentované odstraněním symbolu hash (#) před řádkem.

2. Ovládejte zabezpečení sítě z nastavení sysctl

Níže je uvedeno několik primárních a nezbytných nastavení konfigurace zabezpečení sysctl, abyste je mohli použít na skript sysctl. Chcete-li povolit předávání IP (Internet Protocol), vyhledejte tuto syntaxi #net.ipv4.ip_forward=1 a nahraďte jej následujícím řádkem uvedeným níže.

net.ipv4.ip_forward=0

Aby byla vaše internetová připojení v Linuxu bezpečnější, můžete přesměrovat adresu IP (Internet Protocol) změnou hodnoty nastavení IPv4 ze skriptu sysctl. Najděte tuto syntaxi #net.ipv4.conf.all.send_redirects = 0 a nahraďte jej následujícím řádkem uvedeným níže.

net.ipv4.conf.all.send_redirects = 0

Chcete-li nyní nastavit přesměrování IP jako výchozí, přidejte za předchozí řádek následující řádek.

net.ipv4.conf.default.send_redirects = 0

Chcete-li ve správci sítě přijímat všechny přesměrované adresy IP, najděte tuto syntaxi #net.ipv4.conf.all.accept_redirects = 0 a nahraďte jej následujícím řádkem uvedeným níže.

net.ipv4.conf.all.accept_redirects = 0

Zde je několik dalších konfiguračních skriptů, které můžete přidat do nastavení sysctl, abyste ignorovali nesprávná hlášení o chybách, nastavili velikost souboru nevyřízených záležitostí a opravili chybu vypršení časového limitu TCP ve vašem systému Linux.

net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=45

Po dokončení nastavení konfiguračního skriptu uložte a ukončete textový editor Nano. Nyní znovu načtěte nástroj sysctl a aktivujte změny.

$ sudo sysctl -p

Nyní můžete vidět všechna aktivní pravidla sysctl na vašem systému Linux.

$ sysctl --all

3. Zkontrolujte nastavení jádra

Pomocí následujících příkazů shellu sysctl můžete zobrazit informace o cd-rom, typ jádra, typ zavaděče jádra, název hostitele jádra a další informace o vašem zařízení se systémem Linux. Můžete také změnit název hostitele jádra vašeho systému Linux pomocí nástroje sysctl.

$ sysctl -a
$ sysctl -a | grep kernel
$ sysctl -a | more

Spusťte cat Níže je uveden příkaz, který zobrazuje UUID spouštění jádra a stav systému SELinux (Security-Enhanced Linux).

$ cat /proc/cmdline

Typ operačního systému jádra můžete zkontrolovat pomocí příkazu sysctl z terminálu Linux.

$ sysctl kernel.ostype

Nakonec zkontrolujte konfiguraci linuxového jádra pomocí příkazu sysctl.

$ sysctl -a | grep kernel

4. Obnovte nastavení Linux sysctl

Protože existuje spousta možností, jak změnit výchozí hodnoty skriptu sysctl, aby byl váš Linux bezpečnější, existuje malá pravděpodobnost, že jste nesrovnali nastavení a rozdrtili váš systém.

Dokud je jádro Linuxu spuštěno, neuchová výchozí hodnoty, když uživatel root změní hodnoty. Pokud tedy nechcete poškodit váš systém, zkopírujte a vložte své výchozí hodnoty sysctl do poznámkového bloku, abyste mohli v případě nouze nahradit výchozí nastavení.

Zde je alternativní způsob, který můžete použít k obnovení nastavení sysctl na vašem zařízení se systémem Linux. Pokud používáte počítač Ubuntu, najděte jiný počítač Ubuntu a získejte z něj výchozí konfigurační skript řízení systému (sysctl). Poté skript zkopírujte a nahraďte do svého zařízení.

Nakonec Statistiky

Obecně lze nástroj sysclt použít ke konfiguraci nastavení a parametrů linuxového jádra, ale má širokou škálu použití. Tento nástroj lze použít k porovnání stability a adaptability mezi různými verzemi jádra. I když jsou k dispozici některé další nástroje a programy pro porovnání stability různých jader. Přesto velmi často nemusí vykazovat dokonalý výsledek tam, kde je sysctl velmi spolehlivým nástrojem pro měření a konfiguraci parametrů jádra.

V celém tomto příspěvku jsem ilustroval základní koncept linuxového jádra a ukázal, jak zabezpečit váš linuxový systém pomocí nástroje sysctl. Pokud považujete tento příspěvek za užitečný a informativní, sdílejte jej prosím se svými přáteli. Své cenné názory můžete zapsat do segmentu komentářů.


Linux
  1. Jak nainstalovat službu SSH (zabezpečený shell) na Kali Linux

  2. 5 tipů, jak začít se zabezpečením serveru Linux

  3. Linux – Jak správně znovu načíst modul jádra?

  1. Jak administrátor Linuxu zabezpečuje data

  2. Jak zabezpečit Rocky Linux 8

  3. 10 tipů, jak zabezpečit webový server Apache v systému UNIX / Linux

  1. Jak používat bezpečnostní skener NMAP v systému Linux

  2. Jak monitorovat zabezpečení serveru Linux pomocí Osquery

  3. Jak je možné, že fakeroot není porušením zabezpečení v Linuxu?