Politika | Domáci užívateľ | Server |
Zakázať SSH | ✔ | X |
Zakázať prístup root SSH | X | ✔ |
Zmeňte port SSH | X | ✔ |
Zakázať prihlásenie pomocou hesla SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Zabezpečenie systému BIOS | ✔ | ✔ |
Šifrovanie disku | ✔ | x / ✔ |
Aktualizácia systému | ✔ | ✔ |
VPN (virtuálna súkromná sieť) | ✔ | X |
Povoliť SELinux | ✔ | ✔ |
Bežné postupy | ✔ | ✔ |
- Prístup SSH
- Firewall (iptables)
- Systém detekcie vniknutia (IDS)
- Zabezpečenie systému BIOS
- Šifrovanie pevného disku
- Aktualizácia systému
- VPN (virtuálna privátna sieť)
- Povoliť SELinux (Linux so zvýšeným zabezpečením)
- Bežné postupy
Prístup SSH
Domáci používatelia:
Domáci používatelia to skutočne nepoužívajú ssh, dynamické adresy IP a konfigurácie NAT routera zatraktívnili alternatívy s reverzným pripojením, ako je TeamViewer. Ak služba nie je využívaná, musí sa port uzavrieť vypnutím alebo odstránením služby a použitím obmedzujúcich pravidiel brány firewall.
Servery:
Na rozdiel od domácich používateľov pracujúcich s rôznymi servermi sú správcovia siete častými používateľmi ssh / sftp. Ak musíte mať svoju službu ssh povolenú, môžete vykonať nasledujúce opatrenia:
- Zakážte prístup root prostredníctvom SSH.
- Zakázať prihlásenie pomocou hesla.
- Zmeňte port SSH.
Bežné možnosti konfigurácie SSH Ubuntu
Iptables
Iptables je rozhranie na správu netfilteru na definovanie pravidiel brány firewall. Domáci používatelia môžu smerovať k UFW (nekomplikovaný firewall), ktorý je frontendom pre iptables na uľahčenie tvorby pravidiel brány firewall. Nezávisle na rozhraní je bod okamžite po nastavení firewall medzi prvými uplatniteľnými zmenami. V závislosti od potrieb vášho počítača alebo servera sú z bezpečnostných dôvodov najdôležitejšie obmedzujúce politiky, ktoré pri blokovaní zvyšku umožňujú iba to, čo potrebujete. Iptables budú slúžiť na presmerovanie portu SSH 22 na iný, na blokovanie nepotrebných portov, filtrovanie služieb a nastavenie pravidiel pre známe útoky.
Ďalšie informácie o iptables nájdete v: Iptables pre začiatočníkov
Systém detekcie vniknutia (IDS)
Domáci používatelia z dôvodu vysokých zdrojov, ktoré vyžadujú, IDS nepoužívajú, na serveroch vystavených útokom sú však nevyhnutnosťou. IDS posúva zabezpečenie na ďalšiu úroveň, čo umožňuje analyzovať pakety. Najznámejšie IDS sú Snort a OSSEC, ktoré boli predtým vysvetlené na stránkach LinuxHint. IDS analyzuje prenos v sieti a hľadá škodlivé pakety alebo anomálie. Je to nástroj na sledovanie siete zameraný na bezpečnostné incidenty. Pokyny na inštaláciu a konfiguráciu najpopulárnejších 2 riešení IDS nájdete v časti: Konfigurácia IDS Snort a vytvorenie pravidiel
Začíname s OSSEC (Intrusion Detection System)
Zabezpečenie systému BIOS
Rootkity, malware a serverový BIOS so vzdialeným prístupom predstavujú ďalšie zraniteľnosti serverov a desktopov. Systém BIOS je možné hacknúť pomocou kódu spusteného z operačného systému alebo prostredníctvom aktualizačných kanálov, aby ste získali neoprávnený prístup alebo zabudli informácie, ako sú napríklad zálohy zabezpečenia.
Udržujte mechanizmy aktualizácie systému BIOS aktualizované. Povoliť ochranu integrity systému BIOS.
Pochopenie procesu zavádzania - BIOS vs UEFI
Šifrovanie pevného disku
Toto opatrenie je relevantnejšie pre používateľov stolných počítačov, ktorí môžu stratiť počítač alebo byť obeťou krádeže. Je obzvlášť užitočné pre používateľov prenosných počítačov. Dnes takmer každý operačný systém podporuje šifrovanie disku a oddielu, distribúcie ako Debian umožňujú šifrovanie pevného disku počas procesu inštalácie. Pokyny týkajúce sa šifrovania disku nájdete v časti: Ako zašifrovať disk v systéme Ubuntu 18.04
Aktualizácia systému
Používatelia desktopu aj sysadmin musia udržiavať systém v aktualizovanom stave, aby zabránili zraniteľným verziám ponúkať neautorizovaný prístup alebo vykonávanie. Okrem toho, že použitie správcu balíkov poskytovaného operačným systémom na kontrolu dostupných aktualizácií pomocou skenovania zraniteľnosti môže pomôcť odhaliť zraniteľný softvér, ktorý nebol aktualizovaný v oficiálnych úložiskách alebo zraniteľný kód, ktorý je potrebné prepísať. Nižšie uvádzam niektoré návody k aktualizáciám:
- Ako udržiavať Ubuntu 17.10 až do dnešného dňa
- Linux Mint Ako aktualizovať systém
- Ako aktualizovať všetky balíky na základnom operačnom systéme
VPN (virtuálna privátna sieť)
Používatelia internetu si musia byť vedomí, že poskytovatelia internetových služieb monitorujú všetku svoju komunikáciu a jediný spôsob, ako si to dovoliť, je použitie služby VPN. Poskytovateľ internetových služieb je schopný monitorovať prenos na server VPN, ale nie z VPN do cieľov. Z dôvodu problémov s rýchlosťou sú najviac odporúčané platené služby, existujú však bezplatné dobré alternatívy ako https: // protonvpn.com /.
- Najlepšie Ubuntu VPN
- Ako nainštalovať a nakonfigurovať OpenVPN na Debiane 9
Povoliť SELinux (Linux so zvýšeným zabezpečením)
SELinux je sada modifikácií jadra Linuxu zameraných na správu bezpečnostných aspektov týkajúcich sa bezpečnostných politík pridaním MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) a Multi Category Security (MCS). Keď je povolený SELinux, aplikácia môže pristupovať iba k zdrojom, ktoré potrebuje, uvedené v bezpečnostnej politike pre aplikáciu. Prístup k portom, procesom, súborom a adresárom sa riadi pravidlami definovanými v systéme SELinux, ktorý povoľuje alebo zakazuje operácie na základe bezpečnostných politík. Ubuntu používa ako alternatívu AppArmor.
- Výukový program pre SELinux na Ubuntu
Bežné postupy
Zlyhania zabezpečenia sú takmer vždy spôsobené nedbanlivosťou používateľa. Okrem všetkých predtým očíslovaných bodov postupujte podľa nasledujúcich postupov:
- Nepoužívajte root, pokiaľ to nie je nevyhnutné.
- Nikdy nepoužívajte X Windows alebo prehliadače ako root.
- Používajte správcov hesiel, ako je LastPass.
- Používajte iba silné a jedinečné heslá.
- Snažte sa inštalovať neslobodné balíčky alebo balíčky nedostupné v oficiálnych úložiskách.
- Zakázať nepoužívané moduly.
- Na serveroch presadzujte silné heslá a bránte používateľom používať staré heslá.
- Odinštalujte nepoužívaný softvér.
- Nepoužívajte rovnaké heslá pre rôzne prístupy.
- Zmeňte všetky predvolené používateľské mená prístupu.
Politika | Domáci užívateľ | Server |
Zakázať SSH | ✔ | X |
Zakázať prístup root SSH | X | ✔ |
Zmeňte port SSH | X | ✔ |
Zakázať prihlásenie pomocou hesla SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Zabezpečenie systému BIOS | ✔ | ✔ |
Šifrovanie disku | ✔ | x / ✔ |
Aktualizácia systému | ✔ | ✔ |
VPN (virtuálna privátna sieť) | ✔ | X |
Povoliť SELinux | ✔ | ✔ |
Bežné postupy | ✔ | ✔ |
Dúfam, že vám tento článok bol užitočný na zvýšenie vašej bezpečnosti. Postupujte podľa pokynov pre systém LinuxHint, kde nájdete ďalšie tipy a aktualizácie pre systém Linux a prácu v sieti.