Politika | Namų vartotojas | Serveris |
Išjungti SSH | ✔ | x |
Išjungti SSH šaknies prieigą | x | ✔ |
Keisti SSH prievadą | x | ✔ |
Išjungti SSH slaptažodžio prisijungimą | x | ✔ |
„Iptables“ | ✔ | ✔ |
IDS (įsibrovimo aptikimo sistema) | x | ✔ |
BIOS sauga | ✔ | ✔ |
Disko šifravimas | ✔ | x / ✔ |
Sistemos atnaujinimas | ✔ | ✔ |
VPN (virtualus privatus tinklas) | ✔ | x |
Įgalinti „SELinux“ | ✔ | ✔ |
Bendra praktika | ✔ | ✔ |
- SSH prieiga
- Ugniasienė („iptables“)
- Įsibrovimo aptikimo sistema (IDS)
- BIOS sauga
- Kietojo disko šifravimas
- Sistemos atnaujinimas
- VPN (virtualus privatus tinklas)
- Įgalinti „SELinux“ (sustiprinta sauga „Linux“)
- Bendra praktika
SSH prieiga
Namų vartotojai:
Namų vartotojai tikrai nenaudoja ssh, dinaminiai IP adresai ir maršrutizatoriaus NAT konfigūracijos padarė patrauklesnes alternatyvas su atvirkštiniu ryšiu, pvz., „TeamViewer“. Kai paslauga nenaudojama, prievadas turi būti uždarytas išjungiant arba pašalinant paslaugą ir taikant ribojančias užkardos taisykles.
Serveriai:
Priešingai nei namų vartotojai, kurie naudojasi skirtingais serveriais, tinklo administratoriai yra dažni „ssh / sftp“ vartotojai. Jei turite įjungti savo ssh paslaugą, galite imtis šių priemonių:
- Išjungti šakninę prieigą per SSH.
- Išjungti slaptažodžio prisijungimą.
- Pakeiskite SSH prievadą.
Bendros SSH konfigūracijos parinktys Ubuntu
„Iptables“
„Iptables“ yra sąsaja valdyti netfilter, kad būtų apibrėžtos užkardos taisyklės. Namų vartotojai gali tapti „UFW“ („Nesudėtinga užkarda“), kuri yra „iptables“ sąsaja, kad būtų lengviau kurti užkardos taisykles. Nepaisant sąsajos, taškas yra iškart po sąrankos, užkarda yra vienas iš pirmųjų pritaikytų pakeitimų. Priklausomai nuo darbalaukio ar serverio poreikių, labiausiai rekomenduojama dėl saugumo - ribojančios strategijos, leidžiančios tik tai, ko jums reikia, o kitos blokuoja. „Iptables“ bus naudojami 22 SSH prievadui peradresuoti į kitą, užblokuoti nereikalingus prievadus, filtruoti paslaugas ir nustatyti žinomų atakų taisykles.
Norėdami gauti daugiau informacijos apie „iptables“, patikrinkite: „Iptables“ pradedantiesiems
Įsibrovimo aptikimo sistema (IDS)
Dėl didelių išteklių, kurių jiems reikia, IDS namų vartotojai nenaudoja, tačiau jie yra būtini serveriuose, kuriuose yra atakų. IDS pakelia saugumą į kitą lygį, leidžiantį analizuoti paketus. Labiausiai žinomos IDS yra „Snort“ ir „OSSEC“, abi anksčiau paaiškintos „LinuxHint“. IDS analizuoja srautą per tinklą ieškodamas kenkėjiškų paketų ar anomalijų, tai yra tinklo stebėjimo įrankis, orientuotas į saugumo incidentus. 2 populiariausių IDS sprendimų diegimo ir konfigūravimo instrukcijas ieškokite: Konfigūruokite „Snort IDS“ ir „Kurti taisykles“
Darbo su OSSEC (įsibrovimo aptikimo sistema) pradžia
BIOS sauga
„Rootkit“, kenkėjiškos programos ir serverio BIOS su nuotoline prieiga yra papildomos serverių ir darbalaukių spragos. Norėdami gauti neteisėtą prieigą arba pamiršti informaciją, pvz., Saugos atsargines kopijas, į BIOS galima įsilaužti per kodą, vykdomą iš OS, arba per naujinimo kanalus.
Nuolat atnaujinkite BIOS naujinimo mechanizmus. Įgalinti BIOS vientisumo apsaugą.
Supratimas apie įkrovos procesą - BIOS ir UEFI
Kietojo disko šifravimas
Tai priemonė, labiau tinkama darbalaukio vartotojams, kurie gali pamesti kompiuterį ar tapti vagysčių auka. Tai ypač naudinga nešiojamųjų kompiuterių vartotojams. Šiandien beveik kiekviena OS palaiko disko ir skaidinio šifravimą, tokie paskirstymai kaip „Debian“ leidžia šifruoti standųjį diską diegimo metu. Norėdami gauti instrukcijas apie disko šifravimą, patikrinkite: kaip šifruoti diską „Ubuntu 18“.04
Sistemos atnaujinimas
Tiek darbalaukio vartotojai, tiek „sysadmin“ turi nuolat atnaujinti sistemą, kad apsaugotų pažeidžiamas versijas nuo neteisėtos prieigos ar vykdymo. Be to, jei naudojate OS pateiktą paketų tvarkytuvą, kad patikrintumėte, ar yra naujinimų, atliekančių pažeidžiamumo patikrinimus, gali būti lengviau aptikti pažeidžiamą programinę įrangą, kuri nebuvo atnaujinta oficialiose saugyklose, arba pažeidžiamą kodą, kurį reikia perrašyti. Žemiau pateikiamos kelios atnaujinimų pamokos:
- Kaip išlaikyti „Ubuntu 17“.10 iki datos
- Kaip atnaujinti sistemą
- Kaip atnaujinti visus elementų OS paketus
VPN (virtualus privatus tinklas)
Interneto vartotojai turi žinoti, kad interneto paslaugų teikėjai stebi visą jų srautą ir vienintelis būdas tai sau leisti yra naudoti VPN paslaugą. IPT gali stebėti srautą į VPN serverį, bet ne iš VPN į paskirties vietas. Dėl greičio problemų labiausiai rekomenduojamos mokamos paslaugos, tačiau yra nemokamų gerų alternatyvų, tokių kaip https: // protonvpn.com /.
- Geriausias „Ubuntu VPN“
- Kaip įdiegti ir konfigūruoti „OpenVPN“ „Debian 9“
Įgalinti „SELinux“ (sustiprinta apsauga „Linux“)
„SELinux“ yra „Linux“ branduolio modifikacijų rinkinys, orientuotas į saugumo aspektų, susijusių su saugumo politika, valdymą, pridedant MAC (prieigos kontrolė mechanizmu), RBAC (prieigos valdymas pagal vaidmenis), MLS (kelių lygių apsauga) ir kelių kategorijų apsauga (MCS). Įgalinus „SELinux“, programa gali pasiekti tik jai reikalingus išteklius, nurodytus programos saugos politikoje. Prieiga prie uostų, procesų, failų ir katalogų yra kontroliuojama naudojant „SELinux“ nustatytas taisykles, leidžiančias arba neleidžiančias operacijų, pagrįstų saugos politika. „Ubuntu“ kaip alternatyvą naudoja „AppArmor“.
- „SELinux“ „Ubuntu“ pamokoje
Bendra praktika
Beveik visada saugumo gedimai kyla dėl vartotojo aplaidumo. Be visų anksčiau suskaičiuotų taškų, vadovaukitės kitomis praktikomis:
- Nenaudokite šaknies, jei tai nėra būtina.
- Niekada nenaudokite „X Windows“ ar naršyklių kaip root.
- Naudokite slaptažodžių tvarkykles, tokias kaip „LastPass“.
- Naudokite tik tvirtus ir unikalius slaptažodžius.
- Pabandykite ne įdiegti nemokamus paketus arba paketus, kurių negalima įsigyti oficialiose saugyklose.
- Išjunkite nenaudojamus modulius.
- Serveriuose vykdykite griežtus slaptažodžius ir neleiskite vartotojams naudoti senų slaptažodžių.
- Pašalinkite nenaudotą programinę įrangą.
- Nenaudokite tų pačių slaptažodžių skirtingoms prieigoms.
- Pakeiskite visus numatytuosius prieigos naudotojų vardus.
Politika | Namų vartotojas | Serveris |
Išjungti SSH | ✔ | x |
Išjungti SSH šaknies prieigą | x | ✔ |
Keisti SSH prievadą | x | ✔ |
Išjungti SSH slaptažodžio prisijungimą | x | ✔ |
„Iptables“ | ✔ | ✔ |
IDS (įsibrovimo aptikimo sistema) | x | ✔ |
BIOS sauga | ✔ | ✔ |
Disko šifravimas | ✔ | x / ✔ |
Sistemos atnaujinimas | ✔ | ✔ |
VPN (virtualus privatus tinklas) | ✔ | x |
Įgalinti „SELinux“ | ✔ | ✔ |
Bendra praktika | ✔ | ✔ |
Tikiuosi, kad šis straipsnis jums buvo naudingas norint padidinti jūsų saugumą. Toliau sekite „LinuxHint“, kad gautumėte daugiau patarimų ir naujinių apie „Linux“ ir tinklus.