Советы по усилению безопасности для серверов Linux

A+ A-

Linux имеет встроенный модель безопасности на месте по умолчанию. Тем не менее, вам необходимо настроить его и настроить в соответствии с вашими потребностями, которые могут помочь вам сделать более безопасную систему. Linux сложнее управлять, но обеспечивает большую гибкость конфигурации и варианты. В этой статье мы будем дать представление о "Как Secure Linux поле" или "твердения в Linux Box".

Физическая система безопасности

Чтобы настроить BIOS, необходимо отключить загрузку с CD / DVD, внешние устройства, дисковод гибких дисков в BIOS. Затем включите BIOS пароль и также защитить ЛИЧИНКУ с паролем, чтобы ограничить физический доступ вашей системы.

Разделы диска

Важно иметь различные разделы, чтобы получить более высокий уровень защиты данных, в том случае, если происходит какой-либо потери данных. Создавая различные разделы, данные могут быть сохранены в отдельной группе. Когда происходит неожиданная потеря данных, только данные из этого раздела будут повреждены, а данные по другим разделам выживает. Убедитесь в том, что каждая система Linux имеет следующие отдельные разделы и убедитесь, что у вас есть приложения сторонних разработчиков, которые будут установлены на отдельных файловых системах в каталоге / Opt.

 /
/ загрузки
/ USR
/ Var
/Главная
/ TMP
/ неавтоматического

Минимизировать пакеты для минимизации уязвимости

Вы действительно хотите установить своего рода услуг в системе Linux? Рекомендуется, чтобы избежать установки ненужных пакетов, чтобы избежать уязвимостей в пакетах. С помощью команды 'chkconfig', чтобы узнать услуги, которые выполняются на 3-й уровень.

 # / SBIN / chkconfig --list | Grep '3: на'

Чтобы отключить ненужные службы, используйте следующую команду -

 # Chkconfig ServiceName выкл

Для удаления пакетов, используйте следующую команду -

 # Sudo APT-получить удалить имя-пакета

Проверка Прослушивание сетевых портов

Чтобы увидеть все открытые порты и связанные с ними программы, используйте команду 'Netstat', как показано ниже -

 # NetStat -tulpn

Пример вывода должен быть таким -

 Активные подключения к Интернету (только серверы)
Прото Recv-Q Send-Q Локальный адрес Внешний адрес Состояние PID / Название программы
TCP 0 0 127.0.0.1:3306 0.0.0.0:* СЛУШАТЬ 1301 / туздЫ     
TCP 0 0 0.0.0.0:9418 0.0.0.0:* СЛУШАТЬ 1020 / GIT-демон 
TCP 0 0 0.0.0.0:139 0.0.0.0:* СЛУШАТЬ 787 / Smbd        
TCP 0 0 0.0.0.0:80 0.0.0.0:* СЛУШАТЬ 1484 / Nginx      
TCP 0 0 127.0.1.1:53 0.0.0.0:* СЛУШАТЬ 1546 / Dnsmasq    
TCP 0 0 127.0.0.1:631 0.0.0.0:* СЛУШАТЬ 5643 / cupsd      
TCP 0 0 0.0.0.0:445 0.0.0.0:* СЛУШАТЬ 787 / Smbd        
TCP 0 0 0.0.0.0:902 0.0.0.0:* СЛУШАТЬ 1380 / VMWare-authdla
tcp6 0 0 ::: 9418 ::: * LISTEN 1020 / GIT-демон 
tcp6 0 0 ::: 139 ::: * LISTEN 787 / Smbd        
tcp6 0 0 ::: 80 ::: * LISTEN 1484 / Nginx      
tcp6 0 0 :: 1: 631 ::: * LISTEN 5643 / cupsd      
tcp6 0 0 ::: 445 ::: * LISTEN 787 / Smbd        
tcp6 0 0 ::: 902 ::: * LISTEN 1380 / VMWare-authdla
0 0 UDP 0.0.0.0:5353~~number=plural 0.0.0.0:*~~number=plural 4357 / хром-бровями
УДП 0 0 0.0.0.0:5353 0.0.0.0:* 943 / Avahi-демон: г
УДП 0 0 0.0.0.0:51888 0.0.0.0:* 943 / Avahi-демон: г
УДП 0 0 0.0.0.0:44499 0.0.0.0:* 7895 / dhclient   
УДП 0 0 127.0.1.1:53 0.0.0.0:* 1546 / Dnsmasq    
УДП 0 0 0.0.0.0:68 0.0.0.0:* 7895 / dhclient   
УДП 0 0 0.0.0.0:68 0.0.0.0:* 7834 / dhclient   
УДП 0 0 192.168.1.255:137 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.1.151:137 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.223.255:137 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.223.188:137 0.0.0.0:* 1728 / nmbd       
УДП 0 0 0.0.0.0:137 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.1.255:138 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.1.151:138 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.223.255:138 0.0.0.0:* 1728 / nmbd       
УДП 0 0 192.168.223.188:138 0.0.0.0:* 1728 / nmbd       
УДП 0 0 0.0.0.0:138 0.0.0.0:* 1728 / nmbd       
УДП 0 0 0.0.0.0:29066 0.0.0.0:* 7834 / dhclient   
УДП 0 0 0.0.0.0:631 0.0.0.0:* 1101 / Чашки-просматриваемого
udp6 0 0 ::: 5353 ::: * 943 / Avahi-демон: г
udp6 0 0 ::: 51003 ::: * 7834 / dhclient   
udp6 0 0 ::: 6628 ::: * 7895 / dhclient   
udp6 0 0 ::: 55857 ::: * 943 / Avahi-демон: г

Использование Secure Shell (SSH)

SSH является безопасным протоколом, который использует шифрование технологии при обмене данными с сервером. Никогда не войти в систему непосредственно в качестве корневого пользователя, если это необходимо. Используйте "sudo» для выполнения команд. Sudo которая указана в / и т.д. / файл sudoers можно редактировать с "visudo" утилита, которая открывается в редакторе VI. Откройте главный конфигурационный файл SSH и сделать следующие параметры, чтобы ограничить доступ пользователей для доступа.

 # VI / и т.д. / SSH / sshd_config

Чтобы отключить корневой Login, добавьте следующую строку -

 PermitRootLogin нет

Чтобы разрешить определенным пользователям, добавьте следующую строку -

 AllowUsers имя пользователя

Для того, чтобы использовать SSH Protocol 2 версии, добавьте следующую строку -

 Протокол 2

Держите обновленной системы

Всегда держать систему обновляется с последними выпускает патчи, исправления безопасности и ядра, когда она доступна.

 $ Sudo обновление APT-Get       
$ Sudo обновление APT-Get      
$ Sudo APT-получить расстояние-обновления

Отключение USB палку для обнаружения

Чтобы отключить USB палку, чтобы обнаружить, что мы должны создать файл '/etc/modprobe.d/no-usb' и добавив ниже линии не обнаружит хранения USB.

 установить USB-хранение / бен / истинным

Включите SELinux

Security-Enhanced Linux (SELinux) является обязательным механизмом безопасности контроля доступа обеспечиваются в ядре. Отключение SELinux означает удаление механизма защиты из системы. Чтобы получить статус режима SELinux из командной строки, используйте следующую команду -

 # sestatus

Чтобы включить SELinux, используйте следующую команду -

 # Setenforce принудительную реализацию

Отключение IPv6

Чтобы отключить ipv6, открытый / и т.д. / sysconfig / файл сети и добавьте следующие строки -

 NETWORKING_IPV6 = нет
IPV6INIT = нет

Обеспечение надежных паролей

Ряд пользователей используют мягкие или слабые пароли и их пароли могут быть взломаны со словарем на основе или грубой силы нападения. Чтобы избежать этой проблемы , откройте файл /etc/pam.d/system-auth и добавьте следующий линии-

 /lib/security/$ISA/pam_cracklib.so повторить = 3 minlen = 8 lcredit = -1 ucredit = -2 dcredit = -2 ocredit = -1

Отключить Ctrl + Alt + Delete в Inittab

В большинстве дистрибутивов Linux, нажав на кнопку "Ctrl-Alt-Delete 'будет принимать вашу систему, чтобы перезагрузить процесс. Чтобы отключить, открыть файл Ctrl + Alt + клавиша в Inittab Delete "/ и т.д. / inittab 'и добавьте следующие команды -

 # Trap CTRL-ALT-DELETE
#ca :: ctrlaltdel: / SBIN / выключение -t3 -r Теперь

Проверьте журналы Регулярно

Ниже перечислены Общие Linux файлы журналов по умолчанию имена и их использование -

  • / Var / Журнал / сообщение - Где целые системные журналы или текущие журналы деятельности доступны.
  • /var/log/auth.log - журналы проверки подлинности.
  • /var/log/kern.log - журналы ядра.
  • /var/log/cron.log - Crond журналы (хрон).
  • журналы сервера Mail - / VAR / Журнал / MAILLOG.
  • /var/log/boot.log - Журнал загрузки системы.
  • /var/log/mysqld.log - лог - файл сервера баз данных.
  • / Var / Журнал / безопасный - Аутентификация журнала.
  • / Var / Журнал / utmp / или вар / Журнал / wtmp: файл Вход записей.
  • /var/log/yum.lo г: Yum лог - файлы.

Проверьте вышеуказанные файлы регулярно, чтобы найти какие-либо ошибки.

Поздравления! Теперь вы знаете, "Советы по безопасности Hardening для серверов Linux". Мы узнаем больше об этих типах команд в нашем следующем посте Linux. Продолжай читать!

Ads

Поделиться

последний

Лучшие альтернативы Ubuntu искать, если вы Linux Lover

Давайте начнем знакомство с чем-то; простой, но немного не ...

Как добавить подпись в Gmail Входящие - Добавить подпись Google в Gmail

Входящие с помощью Google была одна из лучших вещей, которы...

Еженедельно Tech News: Nokia, Google и Nintendo

Привет всем, это Пятница, 3 марта, и так же, как всегда, мы...

Raspberry Pi Проекты для начинающих - Что вы можете сделать с Raspberry Pi

Raspberry Pi представляет собой серию малой мощности, одноп...

Лучший VPN для Android 2017 года - Как использовать VPN в Android

Прошли те дни, когда виртуальные частные сети были только д...

Комментарии