LFCA - Przydatne wskazówki dotyczące zabezpieczania danych i Linux - Część 18

Od momentu wydania na początku lat dziewięćdziesiątych Linux zdobył podziw społeczności technologicznej dzięki jej stabilności, wszechstronności, możliwości konfigurowania i dużej społeczności programistów open source, którzy pracują przez całą dobę, aby zapewnić poprawki i ulepszenia błędów i ulepszenia w zakresie błędów system operacyjny. Ogólnie rzecz biorąc, Linux jest systemem operacyjnym z wyboru dla chmury publicznej, serwerów i superkomputerów oraz blisko 75% serwerów produkcyjnych odbywających się na Internecie na Linux.

Oprócz zasilania Internetu, Linux znalazł drogę do cyfrowego świata i od tego czasu nie zmniejszył. Zasila szeroki wachlarz inteligentnych gadżetów, w tym smartfony z Androidem, tablety, smartwatche, inteligentne wyświetlacze i wiele innych.

Czy Linux jest bezpieczny?

Linux jest znany ze swojego najwyższego poziomu bezpieczeństwa i jest to jeden z powodów, dla których stanowi ulubiony wybór w środowiskach korporacyjnych. Ale oto fakt, że żaden system operacyjny nie jest w 100% bezpieczny. Wielu użytkowników uważa, że ​​Linux jest niezawodnym systemem operacyjnym, co jest fałszywym założeniem. W rzeczywistości każdy system operacyjny z połączeniem internetowym jest podatny na potencjalne naruszenia i ataki złośliwego oprogramowania.

We wczesnych latach Linux miał znacznie mniejszą grupę demograficzną zorientowaną na technologię, a ryzyko cierpienia na ataki złośliwego oprogramowania było odległe. Obecnie Linux zasiada ogromną część Internetu, co spowodowało rozwój krajobrazu zagrożenia. Zagrożenie atakami złośliwego oprogramowania jest bardziej realne niż kiedykolwiek.

Doskonałym przykładem ataku złośliwego oprogramowania na systemy Linux jest Erebus Ransomware, Złośliwe oprogramowanie, które wpłynęło na blisko 153 serwerów Linux Nayana, południowokoreańskiej firmy hostingowej.

Z tego powodu rozsądne jest dalsze stwardnienie systemu operacyjnego, aby zapewnić mu bardzo pożądane bezpieczeństwo, aby zabezpieczyć swoje dane.

Wskazówki dotyczące utwardzania serwera Linux

Zabezpieczenie serwera Linux nie jest tak skomplikowane, jak mogłoby się wydawać. Opracowaliśmy listę najlepszych zasad bezpieczeństwa, które musisz wdrożyć, aby wzmocnić bezpieczeństwo systemu i utrzymać integralność danych.

1. Regularnie aktualizuj pakiety oprogramowania

Na początkowych etapach naruszenia Equifax hakerzy wykorzystali szeroko znaną podatność - Apache rozpórki - W portalu internetowym Skargi Klienta Equifax.

Apache rozpórki to ramy typu open source do tworzenia nowoczesnych i eleganckich aplikacji internetowych Java opracowanych przez Apache Foundation. Fundacja wydała łatkę, aby naprawić podatność w dniu 7 marca 2017 r. I wydała na ten temat oświadczenie.

Equifax zostali powiadomieni o podatności i zalecono załatanie ich zastosowania, ale niestety podatność pozostawała bezowocowana do lipca tego samego roku, w którym to było już za późno. Atakerzy byli w stanie uzyskać dostęp do sieci firmy i wykupić miliony poufnych rekordów klientów z baz danych. Do czasu, gdy Equifax dostał to, co się działo, już minęły dwa miesiące.

Czego możemy się z tego nauczyć?

Złośliwe użytkownicy lub hakerzy zawsze będą badać Twój serwer pod kątem możliwych luk w oprogramowaniu, które mogą następnie wykorzystać, aby naruszyć system. Aby być po bezpiecznej stronie, zawsze aktualizuj oprogramowanie do jego obecnych wersji, aby zastosować łatki do istniejących luk w zabezpieczeniach.

Jeśli biegasz Ubuntu lub systemy oparte na debiana, pierwszym krokiem jest zwykle aktualizacja list pakietów lub repozytoriów, jak pokazano.

Aktualizacja $ sudo apt 

Aby sprawdzić wszystkie pakiety z dostępnymi aktualizacjami, uruchom polecenie:

$ sudo apt lista -Ukształcenie się 

Uaktualnij swoje aplikacje do ich bieżących wersji, jak pokazano:

$ sudo apt uaktualnienie 

Możesz połączyć te dwa w jednym poleceniu, jak pokazano.

$ sudo apt aktualizacja && sudo apt aktualizację 

Dla Rhel I Centos Uaktualnij swoje aplikacje, uruchamiając polecenie:

Aktualizacja $ sudo dnf (Centos 8 / Rhel 8) $ sudo yum aktualizacja (wcześniejsze wersje Rhel & Centos) 

Kolejną realną opcją jest włączenie automatycznych aktualizacji bezpieczeństwa dla Ubuntu, a także skonfigurowanie automatycznych aktualizacji dla CentOS / RHEL.

2. Usuń starsze usługi/protokoły komunikacji

Pomimo wsparcia dla niezliczonych zdalnych protokołów, starsze usługi, takie jak RLOGIN, TELnet, TFTP i FTP, mogą stanowić ogromne problemy z bezpieczeństwem dla twojego systemu. Są to stare, przestarzałe i niepewne protokoły, w których dane są wysyłane zwykłym tekstem. Jeśli istnieją, rozważ ich usunięcie, jak pokazano.

W przypadku systemów opartych na Ubuntu / Debian wykonaj:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server 

Dla Rhel / Centos-systemy oparte na wykonaniu:

$ sudo yum wymazuje xinetd tftp-server telnet-server rsh-server ypserv 

3. Zamknij nieużywane porty w zaporze

Po usunięciu wszystkich usług niepewnych ważne jest zeskanowanie serwera pod kątem otwarty.

Załóżmy, że chcesz zablokować port 7070 na zaporze UFW. Poleceniem tego będzie:

$ sudo ufw odmawiaj 7070/tcp 

Następnie ponownie załaduj zaporę, aby zmiany w obronie.

$ sudo ufw przeładowanie 

W przypadku Firewalld uruchom polecenie:

$ sudo firewall-cmd--remove-port = 7070/tcp-permanent 

I pamiętaj, aby ponownie załadować zaporę.

$ sudo firewall-cmd-odpowiadanie 

Następnie sprawdzaj zasady zapory, jak pokazano:

$ sudo firewall-cmd-lista-all 

4. Bezpieczny protokół SSH

Protokół SSH to protokół zdalny, który pozwala bezpiecznie łączyć się z urządzeniami w sieci. Chociaż jest to uważane za bezpieczne, ustawienia domyślne nie wystarczą, a niektóre dodatkowe poprawki są wymagane, aby jeszcze bardziej powstrzymać złośliwych użytkowników od naruszenia systemu.

Mamy kompleksowy przewodnik na temat stwardnienia protokołu SSH. Oto główne atrakcje.

• Skonfiguruj login bez hasła SSH i włącz uwierzytelnianie klucza prywatnego/publicznego.
• Wyłącz zdalne logowanie do root SSH.
• Wyłącz loginy SSH od użytkowników z pustymi hasłami.
• Wyłącz uwierzytelnianie hasła i trzymaj się uwierzytelniania SSH Private/Public Key.
• Ogranicz dostęp do określonych użytkowników SSH.
• Skonfiguruj limit prób haseł.

5. Zainstaluj i włącz fail2ban

Fail2ban jest systemem zapobiegania włamaniom w otwartym source, który zabezpiecza serwer przed atakami bruteforce. Chroni twój system Linux, zakazując IPS, które wskazują złośliwe aktywność, takie jak zbyt wiele prób logowania. Po wyjęciu z pudełka wysyłuje filtry do popularnych usług, takich jak Apache Webserver, VSFTPD i SSH.

Mamy przewodnik, jak skonfigurować Fail2ban, aby wzmocnić protokół SSH.

6. Wymusz siły hasła za pomocą modułu PAM

Ponowne wykorzystanie haseł lub użycie słabych i prostych haseł znacznie podważa bezpieczeństwo Twojego systemu. Egzekwujesz zasady hasła, używasz PAM_CRACKLIB, aby ustawić lub skonfigurować wymagania dotyczące siły hasła.

Za pomocą modułu PAM możesz zdefiniować wytrzymałość hasła, edytując /etc/pam.D/System-Auth plik. Na przykład możesz ustawić złożoność hasła i zapobiec ponownemu użycia haseł.

7. Zainstaluj certyfikat SSL/TLS

Jeśli prowadzisz stronę internetową, zawsze upewnij się, że zabezpieczają swoją domenę za pomocą certyfikatu SSL/ TLS do szyfrowania danych wymienianych między przeglądarką użytkowników a serwisem internetowym.

8. Wyłącz słabe protokoły szyfrowania i klucze szyfrów

Po zaszyfrowaniu witryny rozważ również wyłączenie słabych protokołów szyfrowania. W momencie pisania tego przewodnika najnowszy protokół jest TLS 1.3, który jest najczęstszym i szeroko stosowanym protokołem. Wcześniejsze wersje, takie jak TLS 1.0, tls 1.2, a SSLV1 do SSLV3 są powiązane ze znanymi lukami.

[Możesz również polubować: jak włączyć TLS 1.3 w Apache i Nginx]

Owinięcie

To było podsumowanie niektórych kroków, które możesz podjąć, aby zapewnić bezpieczeństwo danych i prywatność systemu Linux.