Политика | Домашний пользователь | Сервер |
Отключить SSH | ✔ | Икс |
Отключить корневой доступ SSH | Икс | ✔ |
Изменить порт SSH | Икс | ✔ |
Отключить вход по паролю SSH | Икс | ✔ |
Iptables | ✔ | ✔ |
IDS (система обнаружения вторжений) | Икс | ✔ |
Безопасность BIOS | ✔ | ✔ |
Шифрование диска | ✔ | х / ✔ |
Системное обновление | ✔ | ✔ |
VPN (виртуальная частная сеть) | ✔ | Икс |
Включить SELinux | ✔ | ✔ |
Общие практики | ✔ | ✔ |
- Доступ по SSH
- Межсетевой экран (iptables)
- Система обнаружения вторжений (IDS)
- Безопасность BIOS
- Шифрование жесткого диска
- Системное обновление
- VPN (виртуальная частная сеть)
- Включить SELinux (Linux с усиленной безопасностью)
- Общие практики
Доступ по SSH
Домашние пользователи:
Домашние пользователи на самом деле не используют ssh, динамические IP-адреса и конфигурации NAT маршрутизатора сделали альтернативы с обратным подключением, такие как TeamViewer, более привлекательными. Когда служба не используется, порт должен быть закрыт как путем отключения или удаления службы, так и путем применения ограничительных правил брандмауэра.
Серверы:
В отличие от домашних пользователей, работающих с разными серверами, сетевые администраторы часто используют ssh / sftp. Если вам необходимо оставить службу ssh включенной, вы можете принять следующие меры:
- Отключить root-доступ через SSH.
- Отключить логин по паролю.
- Измените порт SSH.
Общие параметры конфигурации SSH Ubuntu
Iptables
Iptables - это интерфейс для управления сетевым фильтром для определения правил брандмауэра. Домашние пользователи могут склоняться к UFW (несложный брандмауэр), который является интерфейсом для iptables, чтобы упростить создание правил брандмауэра. Независимо от интерфейса, сразу после настройки брандмауэр применяется в первую очередь. В зависимости от потребностей вашего настольного компьютера или сервера наиболее рекомендуемыми из соображений безопасности являются ограничительные политики, разрешающие только то, что вам нужно, и блокирующие остальные. Iptables будет использоваться для перенаправления SSH-порта 22 на другой, для блокировки ненужных портов, фильтрации служб и установки правил для известных атак.
Для получения дополнительной информации о проверке iptables: Iptables для начинающих
Система обнаружения вторжений (IDS)
Из-за того, что им требуются большие ресурсы, IDS не используются домашними пользователями, но они необходимы на серверах, подверженных атакам. IDS выводит безопасность на новый уровень, позволяя анализировать пакеты. Наиболее известными IDS являются Snort и OSSEC, о которых ранее рассказывалось на LinuxHint. IDS анализирует трафик в сети в поисках вредоносных пакетов или аномалий, это инструмент сетевого мониторинга, ориентированный на инциденты безопасности. Инструкции по установке и настройке двух наиболее популярных решений IDS см. В разделе «Настройка Snort IDS» и «Создание правил»
Начало работы с OSSEC (Система обнаружения вторжений)
Безопасность BIOS
Руткиты, вредоносные программы и BIOS серверов с удаленным доступом представляют собой дополнительные уязвимости для серверов и настольных компьютеров. BIOS можно взломать с помощью кода, выполняемого из ОС, или через каналы обновления, чтобы получить несанкционированный доступ или забыть информацию, такую как резервные копии безопасности.
Обновляйте механизмы обновления BIOS. Включить защиту целостности BIOS.
Понимание процесса загрузки - BIOS против UEFI
Шифрование жесткого диска
Эта мера более актуальна для пользователей настольных компьютеров, которые могут потерять свой компьютер или стать жертвой кражи, она особенно полезна для пользователей портативных компьютеров. Сегодня почти каждая ОС поддерживает шифрование дисков и разделов, такие дистрибутивы, как Debian, позволяют шифровать жесткий диск в процессе установки. Инструкции по проверке шифрования диска: Как зашифровать диск в Ubuntu 18.04
Системное обновление
И пользователи настольных компьютеров, и системный администратор должны поддерживать систему в актуальном состоянии, чтобы уязвимые версии не предлагали неавторизованный доступ или выполнение. Помимо использования предоставленного ОС диспетчера пакетов для проверки доступных обновлений, запуск сканирования уязвимостей может помочь обнаружить уязвимое программное обеспечение, которое не было обновлено в официальных репозиториях, или уязвимый код, который необходимо переписать. Ниже приведены некоторые руководства по обновлениям:
- Как сохранить Ubuntu 17.10 на сегодняшний день
- Linux Mint Как обновить систему
- Как обновить все пакеты на elementary OS
VPN (виртуальная частная сеть)
Пользователи Интернета должны знать, что интернет-провайдеры контролируют весь их трафик, и единственный способ позволить себе это - использовать службу VPN. Интернет-провайдер может отслеживать трафик к серверу VPN, но не от VPN к пунктам назначения. Из-за проблем со скоростью наиболее рекомендуются платные услуги, но есть бесплатные хорошие альтернативы, такие как https: // protonvpn.com /.
- Лучший Ubuntu VPN
- Как установить и настроить OpenVPN в Debian 9
Включить SELinux (Linux с усиленной безопасностью)
SELinux - это набор модификаций ядра Linux, ориентированных на управление аспектами безопасности, связанными с политиками безопасности, путем добавления MAC (управление доступом к механизму), RBAC (управление доступом на основе ролей), MLS (многоуровневая безопасность) и многокатегория безопасности (MCS). Когда SELinux включен, приложение может получить доступ только к тем ресурсам, которые ему нужны, указанные в политике безопасности для приложения. Доступ к портам, процессам, файлам и каталогам контролируется с помощью правил, определенных в SELinux, которые разрешают или запрещают операции на основе политик безопасности. Ubuntu использует AppArmor в качестве альтернативы.
- SELinux в Ubuntu Учебное пособие
Общие практики
Почти всегда сбои в системе безопасности происходят из-за халатности пользователя. Дополнительно ко всем пунктам, пронумерованным ранее, выполните следующие действия:
- Не используйте root без необходимости.
- Никогда не используйте X Windows или браузеры как root.
- Используйте менеджеры паролей, такие как LastPass.
- Используйте только надежные и уникальные пароли.
- Старайтесь не устанавливать несвободные пакеты или пакеты, недоступные в официальных репозиториях.
- Отключить неиспользуемые модули.
- На серверах применяйте надежные пароли и не позволяйте пользователям использовать старые пароли.
- Удалите неиспользуемое программное обеспечение.
- Не используйте одни и те же пароли для разных доступов.
- Изменить все имена пользователей доступа по умолчанию.
Политика | Домашний пользователь | Сервер |
Отключить SSH | ✔ | Икс |
Отключить корневой доступ SSH | Икс | ✔ |
Изменить порт SSH | Икс | ✔ |
Отключить вход по паролю SSH | Икс | ✔ |
Iptables | ✔ | ✔ |
IDS (система обнаружения вторжений) | Икс | ✔ |
Безопасность BIOS | ✔ | ✔ |
Шифрование диска | ✔ | х / ✔ |
Системное обновление | ✔ | ✔ |
VPN (виртуальная частная сеть) | ✔ | Икс |
Включить SELinux | ✔ | ✔ |
Общие практики | ✔ | ✔ |
Надеюсь, вы нашли эту статью полезной для повышения вашей безопасности. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux и сети.