Τα συστήματα Linux είναι ασφαλή από τη σχεδίαση και παρέχουν ισχυρά εργαλεία διαχείρισης. Αλλά ανεξάρτητα από το πόσο καλά σχεδιασμένο είναι ένα σύστημα, η ασφάλειά του εξαρτάται από τον χρήστη.

Οι αρχάριοι χρειάζονται συχνά χρόνια για να βρουν τις καλύτερες πολιτικές ασφαλείας για τα μηχανήματά τους. Γι 'αυτό μοιραζόμαστε αυτές τις βασικές συμβουλές σκλήρυνσης Linux για νέους χρήστες όπως εσείς. Δοκίμασέ τους.

1. Επιβολή ισχυρών πολιτικών κωδικού πρόσβασης

Οι κωδικοί πρόσβασης είναι η κύρια μέθοδος ελέγχου ταυτότητας για τα περισσότερα συστήματα. Ανεξάρτητα από το αν είστε οικιακός χρήστης ή επαγγελματίας, η επιβολή στερεών κωδικών πρόσβασης είναι απαραίτητη. Αρχικά, απενεργοποιήστε τους κενούς κωδικούς πρόσβασης. Δεν θα πιστέψετε πόσα άτομα τα χρησιμοποιούν ακόμα. 

awk -F: '($ 2 == "") {print}' / etc / shadow

Εκτελέστε την παραπάνω εντολή ως root για να δείτε ποιοι λογαριασμοί έχουν άδειους κωδικούς πρόσβασης. Εάν βρείτε κάποιον με κενό κωδικό πρόσβασης, κλειδώστε τον χρήστη αμέσως. Μπορείτε να το κάνετε χρησιμοποιώντας τα ακόλουθα.

instagram viewer 
passwd -l ΧΡΗΣΤΗΣ

Μπορείτε επίσης να ρυθμίσετε τη γήρανση κωδικού πρόσβασης για να διασφαλίσετε ότι οι χρήστες δεν μπορούν να χρησιμοποιούν παλιούς κωδικούς πρόσβασης. Χρησιμοποιήστε την εντολή chage για να το κάνετε αυτό από το τερματικό σας. 

chage -l ΧΡΗΣΤΗΣ

Αυτή η εντολή εμφανίζει την τρέχουσα ημερομηνία λήξης. Για να ορίσετε τη λήξη κωδικού πρόσβασης μετά από 30 ημέρες, χρησιμοποιήστε την παρακάτω εντολή. Οι χρήστες μπορούν Χρησιμοποιήστε διαχειριστές κωδικών πρόσβασης Linux για να διατηρήσετε τους διαδικτυακούς λογαριασμούς ασφαλείς.

Οι 8 καλύτεροι διαχειριστές κωδικών πρόσβασης Linux για να παραμείνουν ασφαλείς

Χρειάζεστε έναν ασφαλή διαχειριστή κωδικών πρόσβασης για Linux; Αυτές οι εφαρμογές είναι εύχρηστες και διατηρούν τους κωδικούς πρόσβασης στο διαδίκτυο ασφαλείς.

chage -M 30 ΧΡΗΣΤΗΣ

2. Βασικά δεδομένα αντιγράφων ασφαλείας

Εάν ανησυχείτε για τα δεδομένα σας, ρυθμίστε τακτικά αντίγραφα ασφαλείας. Με αυτόν τον τρόπο, ακόμα και αν το σύστημά σας διακοπεί, μπορείτε να ανακτήσετε γρήγορα τα δεδομένα. Όμως, η επιλογή της σωστής μεθόδου δημιουργίας αντιγράφων ασφαλείας είναι ζωτικής σημασίας για τη σκλήρυνση του Linux.

Εάν είστε οικιακός χρήστης, κλωνοποίηση των δεδομένων σε σκληρό δίσκο θα μπορούσε να αρκεί. Οι επιχειρήσεις, ωστόσο, χρειάζονται εξελιγμένα εφεδρικά συστήματα που προσφέρουν γρήγορη ανάκαμψη.

3. Αποφύγετε τις παλαιότερες μεθόδους επικοινωνίας

Το Linux υποστηρίζει πολλές μεθόδους απομακρυσμένης επικοινωνίας. Όμως, οι υπηρεσίες Unix παλαιού τύπου όπως το telnet, το rlogin και το ftp μπορούν να δημιουργήσουν σοβαρά προβλήματα ασφαλείας. Έτσι, προσπαθήστε να τα αποφύγετε. Μπορείτε να τα καταργήσετε εντελώς για να μειώσετε τα ζητήματα ασφαλείας που σχετίζονται με αυτά. 

apt-get --purge αφαίρεση xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Αυτή η εντολή καταργεί ορισμένες ευρέως χρησιμοποιούμενες αλλά ξεπερασμένες υπηρεσίες από τα μηχανήματα Ubuntu / Debian. Εάν χρησιμοποιείτε ένα σύστημα που βασίζεται σε RPM, χρησιμοποιήστε τα ακόλουθα. 

yum erase xinetd ypserv tftp-server telnet-server rsh-server

4. Ασφαλές OpenSSH

Το πρωτόκολλο SSH είναι η συνιστώμενη μέθοδος απομακρυσμένης επικοινωνίας για Linux. Βεβαιωθείτε ότι έχετε ασφαλίσει τη διαμόρφωση του διακομιστή OpenSSH (sshd). Μπορείς μάθετε περισσότερα σχετικά με τη δημιουργία ενός διακομιστή SSH εδώ.

Επεξεργαστείτε το /etc/ssh/sshd_config αρχείο για να ορίσετε πολιτικές ασφαλείας για ssh. Ακολουθούν ορισμένες κοινές πολιτικές ασφαλείας που μπορούν να χρησιμοποιήσουν όλοι. 

Το PermitRootLogin no # απενεργοποιεί τη σύνδεση root
Το MaxAuthTries 3 # περιορίζει τις προσπάθειες ελέγχου ταυτότητας
PasswordAuthentication no # απενεργοποιεί τον έλεγχο ταυτότητας κωδικού πρόσβασης
PermitEmptyPasswords no # απενεργοποιεί τους κενούς κωδικούς πρόσβασης
X11 Forwarding no # απενεργοποιεί τη μετάδοση GUI
Το DebianBanner no # διαψεύδει το λεξικό
AllowUsers *@XXX.X.XXX.0/24 # περιορίστε τους χρήστες σε ένα εύρος IP

5. Περιορισμός χρήσης CRON

Το CRON είναι ένας ισχυρός προγραμματιστής εργασίας για Linux. Επιτρέπει στους διαχειριστές να προγραμματίστε εργασίες στο Linux χρησιμοποιώντας το crontab. Έτσι, είναι σημαντικό να περιορίσετε ποιος μπορεί να εκτελέσει εργασίες CRON. Μπορείτε να μάθετε όλα τα ενεργά cronjobs για έναν χρήστη χρησιμοποιώντας την ακόλουθη εντολή. 

crontab -l -u ΧΡΗΣΤΗΣ

Ελέγξτε τις εργασίες για κάθε χρήστη για να μάθετε αν κάποιος εκμεταλλεύεται το CRON. Μπορεί να θέλετε να αποκλείσετε όλους τους χρήστες από τη χρήση crontab εκτός από εσάς. Εκτελέστε την ακόλουθη εντολή σε αυτό. 

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Εφαρμογή μονάδων PAM

Το Linux PAM (Pluggable Authentication Modules) προσφέρει ισχυρές δυνατότητες ελέγχου ταυτότητας για εφαρμογές και υπηρεσίες. Μπορείτε να χρησιμοποιήσετε διάφορες πολιτικές PAM για να ασφαλίσετε τα στοιχεία σύνδεσης του συστήματος. Για παράδειγμα, οι παρακάτω εντολές περιορίζουν την επαναχρησιμοποίηση κωδικού πρόσβασης. 

# CentOS / RHEL
echo 'κωδικός πρόσβασης επαρκής pam_unix.so use_authtok md5 shadow ingat = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'κωδικός πρόσβασης επαρκής pam_unix.so use_authtok md5 shadow ingat = 5' >> \
> /etc/pam.d/common-password

Περιορίζουν τη χρήση κωδικών πρόσβασης που έχουν χρησιμοποιηθεί τις τελευταίες πέντε εβδομάδες. Υπάρχουν πολλές άλλες πολιτικές PAM που παρέχουν επιπλέον επίπεδα ασφάλειας.

7. Κατάργηση αχρησιμοποίητων πακέτων

Η αφαίρεση αχρησιμοποίητων πακέτων μειώνει την επιφάνεια επίθεσης στο μηχάνημά σας. Σας προτείνουμε λοιπόν να διαγράψετε πακέτα που σπάνια χρησιμοποιούνται. Μπορείτε να δείτε όλα τα εγκατεστημένα πακέτα χρησιμοποιώντας τις παρακάτω εντολές. 

yum list εγκατεστημένο # CentOS / RHEL 
λίστα apt - εγκατεστημένο # Ubuntu / Debian

Ας υποθέσουμε ότι θέλετε να καταργήσετε το πακέτο vlc που δεν χρησιμοποιείται. Μπορείτε να το κάνετε εκτελώντας τις ακόλουθες εντολές ως root. 

yum αφαιρέστε vlc # CentOS / RHEL
apt remove vlc # Ubuntu / Debian

8. Ασφαλείς παράμετροι πυρήνα

Ένας άλλος αποτελεσματικός τρόπος σκλήρυνσης του Linux είναι η εξασφάλιση των παραμέτρων του πυρήνα. Μπορείτε να ρυθμίσετε αυτές τις παραμέτρους χρησιμοποιώντας sysctl ή τροποποιώντας το αρχείο διαμόρφωσης. Ακολουθούν μερικές κοινές διαμορφώσεις. 

kernel.randomize_va_space = 2 # βάση διεύθυνσης τυχαιοποίησης για mmap, heap και stack
kernel.panic = 10 # επανεκκίνηση μετά από 10 δευτερόλεπτα μετά από έναν πανικό πυρήνα
net.ipv4.icmp_ignore_bogus_error_responses # προστατεύει μηνύματα λάθους
net.ipv4.ip_forward = 0 # απενεργοποιεί την προώθηση IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # αγνοεί τα σφάλματα ICP

Αυτές είναι μόνο μερικές βασικές διαμορφώσεις. Θα μάθετε διαφορετικούς τρόπους διαμόρφωσης του πυρήνα με εμπειρία.

9. Ρύθμιση παραμέτρων iptables

Οι πυρήνες Linux παρέχουν ισχυρές μεθόδους φιλτραρίσματος για πακέτα δικτύου μέσω του Netfilter API. Μπορείτε να χρησιμοποιήσετε iptables για να αλληλεπιδράσετε με αυτό το API και να ρυθμίσετε προσαρμοσμένα φίλτρα για αιτήματα δικτύου. Ακολουθούν ορισμένοι βασικοί κανόνες iptables για χρήστες που εστιάζουν στην ασφάλεια. 

-ΕΙΣΑΓΩΓΗ -J ΑΠΑΝΤΗΣΗ # απορρίψτε όλα τα εισερχόμενα αιτήματα
-ΠΡΟΣΘΗΚΗ -J ΑΠΟΡΡΙΨΤΕ # απόρριψη προώθησης κίνησης
-ΕΙΣΑΓΩΓΗ -ΑΠΟΔΟΧΗ ΑΠΟΔΟΧΗ
-ΈΝΑ ΕΞΟΔΟΣ -o lo -j ACCEPT # επιτρέψτε την κυκλοφορία στο localhost
# επιτρέψτε αιτήματα ping
-ΈΝΑ ΕΞΟΔΟΣ -p icmp -j ΑΠΟΔΟΧΗ # επιτρέψτε εξερχόμενα ping
# επιτρέψτε καθιερωμένες / σχετικές συνδέσεις
-ΕΙΣΑΓΩΓΗ -μ κατάσταση - Κράτος ΕΓΚΑΤΑΣΤΑΜΕΝΟ, ΣΧΕΤΙΚΟ -J ΑΠΟΔΟΧΗ
-ΈΝΑ ΠΑΡΑΓΩΓΗ -μ κατάσταση - Κράτος ΕΓΚΑΤΑΣΤΑΜΕΝΟ, ΣΧΕΤΙΚΟ -J ΑΠΟΔΟΧΗ
# επιτρέψτε αναζήτηση DNS
- ΕΞΟΔΟΣ -p udp -m udp --dport 53 -j ΑΠΟΔΟΧΗ
# επιτρέψτε αιτήσεις http / https
-ΈΝΑ ΠΑΡΑΓΩΓΗ -p tcp -m tcp -dport 80 -m state -state NEW -j ACCEPT
-ΈΝΑ ΠΑΡΑΓΩΓΗ -p tcp -m tcp -dport 443 -m κατάσταση - κατάσταση ΝΕΟ -j ΑΠΟΔΟΧΗ
# επιτρέψτε την πρόσβαση SSH
-ΕΙΣΑΓΩΓΗ -p tcp -m tcp --dport 22 -j ΑΠΟΔΟΧΗ
- ΕΞΟΔΟΣ -p tcp -m tcp -dport 22 -j ΑΠΟΔΟΧΗ

10. Παρακολούθηση αρχείων καταγραφής

Μπορείτε να χρησιμοποιήσετε αρχεία καταγραφής για να κατανοήσετε καλύτερα τον υπολογιστή σας Linux. Το σύστημά σας αποθηκεύει πολλά αρχεία καταγραφής για εφαρμογές και υπηρεσίες. Περιγράφουμε τα βασικά εδώ.

  • /var/log/auth.log προσπάθειες εξουσιοδότησης αρχείων καταγραφής
  • /var/log/daemon.log καταγράφει εφαρμογές φόντου
  • / var / log / debug αρχεία καταγραφής εντοπισμού σφαλμάτων
  • /var/log/kern.log καταγράφει δεδομένα πυρήνα
  • / var / log / syslog καταγράφει δεδομένα συστήματος
  • / var / log / faillog αρχεία καταγραφής απέτυχαν

Οι καλύτερες συμβουλές σκλήρυνσης Linux για αρχάριους

Η εξασφάλιση ενός συστήματος Linux δεν είναι τόσο δύσκολη όσο νομίζετε. Μπορείτε να ενισχύσετε την ασφάλεια ακολουθώντας μερικές από τις συμβουλές που αναφέρονται σε αυτόν τον οδηγό. Θα αποκτήσετε περισσότερους τρόπους για την ασφάλεια του Linux καθώς αποκτάτε εμπειρία.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
7 Βασικές ρυθμίσεις απορρήτου για το Chrome OS και το Google Chrome

Χρησιμοποιείτε Chromebook, αλλά ανησυχείτε για το απόρρητο; Ρυθμίστε αυτές τις 7 ρυθμίσεις στο πρόγραμμα περιήγησης Chrome στο Chrome OS για να παραμείνετε ασφαλείς στο διαδίκτυο.

Σχετικά θέματα
  • Linux
  • Ασφάλεια του υπολογιστή
  • Linux
  • SSH
Σχετικά με τον Συγγραφέα
Rubaiat Hossain (Δημοσιεύθηκαν 5 άρθρα)

Το Rubaiat είναι πτυχιούχος CS με έντονο πάθος για ανοιχτό κώδικα. Εκτός από το ότι είναι βετεράνος της Unix, ασχολείται επίσης με την ασφάλεια του δικτύου, την κρυπτογραφία και τον λειτουργικό προγραμματισμό. Είναι άπληστος συλλέκτης μεταχειρισμένων βιβλίων και έχει έναν ατελείωτο θαυμασμό για το κλασικό ροκ.

Περισσότερα από τον Rubaiat Hossain

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.