Irányelv | Otthoni felhasználó | szerver |
Tiltsa le az SSH-t | ✔ | x |
Tiltsa le az SSH root hozzáférését | x | ✔ |
Változtassa meg az SSH portot | x | ✔ |
Tiltsa le az SSH jelszó bejelentkezést | x | ✔ |
Iptable-k | ✔ | ✔ |
IDS (behatolásérzékelő rendszer) | x | ✔ |
BIOS biztonság | ✔ | ✔ |
Lemez titkosítás | ✔ | x / ✔ |
Rendszerfrissítés | ✔ | ✔ |
VPN (virtuális magánhálózat) | ✔ | x |
Engedélyezze a SELinuxot | ✔ | ✔ |
Közös gyakorlatok | ✔ | ✔ |
- SSH hozzáférés
- Tűzfal (iptables)
- Behatolásérzékelő rendszer (IDS)
- BIOS biztonság
- Merevlemez titkosítás
- Rendszerfrissítés
- VPN (virtuális magánhálózat)
- SELinux engedélyezése (biztonsággal továbbfejlesztett Linux)
- Közös gyakorlatok
SSH hozzáférés
Otthoni felhasználók:
Az otthoni felhasználók nem igazán használják ssh, a dinamikus IP-címek és az útválasztó NAT-konfigurációi vonzóbbá tették a fordított kapcsolattal rendelkező alternatívákat, mint a TeamViewer. Ha egy szolgáltatás nincs használatban, akkor a portot le kell zárni mind a szolgáltatás letiltásával vagy eltávolításával, mind korlátozó tűzfalszabályok alkalmazásával.
Szerverek:
A háztartási felhasználókkal ellentétben, akik különböző szerverekhez jutnak hozzá, a hálózati rendszergazdák gyakran használják az ssh / sftp felhasználókat. Ha engedélyezni kell az ssh szolgáltatást, akkor a következő intézkedéseket teheti:
- Tiltsa le a root hozzáférést az SSH-n keresztül.
- Tiltsa le a jelszó bejelentkezését.
- Változtassa meg az SSH portot.
Általános SSH konfigurációs beállítások Ubuntu
Iptable-k
Az Iptables a netfilter kezelésére szolgáló felület a tűzfalszabályok meghatározásához. Az otthoni felhasználók az UFW-re (bonyolult tűzfal) válthatnak, amely az iptables kezelőfelülete, hogy megkönnyítsék a tűzfalszabályok létrehozását. Az interfésztől függetlenül a pont közvetlenül a telepítés után van, a tűzfal az első alkalmazandó módosítások között van. Attól függően, hogy az asztali számítógépének vagy a kiszolgálónak szüksége van-e a legtöbbre, a biztonsági megfontolások miatt a korlátozó házirendek csak azt engedik meg, amire szüksége van, miközben a többit blokkolja. Az Iptables segítségével a 22 SSH port átirányítható egy másikra, blokkolja a felesleges portokat, szűrheti a szolgáltatásokat és szabályokat állíthat be az ismert támadásokhoz.
További információ az iptables-ről: Iptables kezdőknek
Behatolásérzékelő rendszer (IDS)
Az igényelt nagy erőforrások miatt az otthoni felhasználók nem használják az IDS-eket, de a támadásoknak kitett szervereken kötelező. Az IDS a biztonságot egy következő szintre emeli, lehetővé téve a csomagok elemzését. A legismertebb IDS a Snort és az OSSEC, mindkettőt korábban a LinuxHint ismertette. Az IDS elemzi a hálózaton keresztüli forgalmat, és rosszindulatú csomagokat vagy rendellenességeket keres, ez egy hálózati megfigyelő eszköz, amely a biztonsági eseményekre irányul. A legnépszerűbb 2 IDS-megoldás telepítésével és konfigurálásával kapcsolatos útmutatásért lásd: Konfigurálja a Snort IDS-t és hozzon létre szabályokat
Az OSSEC (Behatolásérzékelő Rendszer) használatának megkezdése
BIOS biztonság
A rootkitek, a rosszindulatú programok és a távoli hozzáféréssel rendelkező kiszolgálói BIOS további biztonsági réseket jelentenek a kiszolgálók és az asztali számítógépek számára. A BIOS feltörhető az operációs rendszerről végrehajtott kódon keresztül vagy frissítési csatornákon keresztül, hogy illetéktelen hozzáférést kapjon, vagy elfelejtse az információkat, például biztonsági mentéseket.
Tartsa naprakészen a BIOS frissítési mechanizmusait. Engedélyezze a BIOS integritásvédelmét.
A rendszerindítási folyamat megértése - BIOS vs UEFI
Merevlemez titkosítás
Ez egy olyan intézkedés, amely relevánsabb az asztali felhasználók számára, akik elveszíthetik számítógépüket, vagy lopás áldozatai lehetnek, különösen hasznos a laptop felhasználók számára. Ma szinte minden operációs rendszer támogatja a lemez és partíció titkosítást, a Debianhoz hasonló disztribúciók lehetővé teszik a merevlemez titkosítását a telepítés során. A lemez titkosításával kapcsolatos utasításokért lásd: Hogyan lehet titkosítani a meghajtót az Ubuntu 18-on.04
Rendszerfrissítés
Az asztali felhasználóknak és a sysadminnek is naprakészen kell tartania a rendszert, hogy megakadályozzák a sérülékeny verziók jogosulatlan hozzáférését vagy végrehajtását. Az operációs rendszer által biztosított csomagkezelő használatával a sérülékenység-ellenőrzést futtató elérhető frissítések keresése segíthet a sérülékeny szoftverek felderítésében, amelyeket nem frissítettek a hivatalos adattárakban, vagy sebezhető kódot, amelyet át kell írni. Néhány oktatóanyag a frissítésekről:
- Az Ubuntu 17 megtartása.10 naprakész
- Linux Mint A rendszer frissítése
- Az összes csomag frissítése az elemi operációs rendszeren
VPN (virtuális magánhálózat)
Az internethasználóknak tisztában kell lenniük azzal, hogy az internetszolgáltatók figyelik az összes forgalmukat, és ennek egyetlen módja a VPN-szolgáltatás használata. Az internetszolgáltató képes figyelni a forgalmat a VPN-kiszolgáló felé, de nem a VPN-től a célállomásokig. A sebesség miatt a fizetős szolgáltatások a leginkább ajánlottak, de vannak ingyenes jó alternatívák, például a https: // protonvpn.com /.
- A legjobb Ubuntu VPN
- Az OpenVPN telepítése és konfigurálása a Debian 9-en
Engedélyezze a SELinux (biztonsággal továbbfejlesztett Linux) funkciót
A SELinux a Linux kernel módosításainak összessége, amelyek a biztonsági házirendekkel kapcsolatos biztonsági szempontok kezelésére összpontosítanak MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) és Multi Category Security (MCS) hozzáadásával. Ha a SELinux engedélyezve van, egy alkalmazás csak az alkalmazás biztonsági házirendjében meghatározott erőforrásokhoz férhet hozzá. A portokhoz, folyamatokhoz, fájlokhoz és könyvtárakhoz való hozzáférést a SELinuxon meghatározott szabályok szabályozzák, amelyek lehetővé teszik vagy megtagadják a műveleteket a biztonsági házirendek alapján. Az Ubuntu az AppArmort használja alternatívaként.
- SELinux az Ubuntu bemutatón
Közös gyakorlatok
A biztonsági hibák szinte mindig a felhasználó hanyagságából fakadnak. A korábban számozott összes ponton kívül kövesse a következő gyakorlatokat:
- Csak akkor használjon root-t, ha szükséges.
- Soha ne használd rootként az X Windows rendszert vagy a böngészőket.
- Használjon olyan jelszókezelőket, mint a LastPass.
- Csak erős és egyedi jelszavakat használjon.
- Próbáljon nemet telepíteni nem ingyenes csomagokat vagy a hivatalos tárhelyeken nem elérhető csomagokat.
- Tiltsa le a fel nem használt modulokat.
- A szervereken érvényesítsen erős jelszavakat, és akadályozza meg a felhasználókat a régi jelszavak használatában.
- Távolítsa el a fel nem használt szoftvert.
- Ne használjon ugyanazokat a jelszavakat a különböző hozzáférésekhez.
- Módosítsa az összes alapértelmezett hozzáférési felhasználónevet.
Irányelv | Otthoni felhasználó | szerver |
Tiltsa le az SSH-t | ✔ | x |
Tiltsa le az SSH root hozzáférését | x | ✔ |
Változtassa meg az SSH portot | x | ✔ |
Tiltsa le az SSH jelszó bejelentkezést | x | ✔ |
Iptable-k | ✔ | ✔ |
IDS (behatolásérzékelő rendszer) | x | ✔ |
BIOS biztonság | ✔ | ✔ |
Lemez titkosítás | ✔ | x / ✔ |
Rendszerfrissítés | ✔ | ✔ |
VPN (virtuális magánhálózat) | ✔ | x |
Engedélyezze a SELinuxot | ✔ | ✔ |
Közös gyakorlatok | ✔ | ✔ |
Remélem, hasznosnak találta ezt a cikket a biztonságának növelése érdekében. Kövesse a LinuxHint alkalmazást, ha további tippeket és frissítéseket szeretne kapni a Linuxról és a hálózatról.