10 Linux-hærdningstip til nybegynder SysAdmins

Linux-systemer er sikre af design og leverer robuste administrationsværktøjer. Men uanset hvor godt designet et system er, afhænger dets sikkerhed af brugeren.

Begyndere tager ofte år at finde de bedste sikkerhedspolitikker for deres maskiner. Derfor deler vi disse vigtige Linux-hærdningstips til nye brugere som dig. Prøv dem.

1. Håndhæv stærke adgangskodepolitikker

Adgangskoder er den primære godkendelsesmetode for de fleste systemer. Uanset om du er hjemmebruger eller professionel, er det et must at håndhæve solide adgangskoder. Deaktiver først tomme adgangskoder. Du vil ikke tro, hvor mange mennesker der stadig bruger dem.

awk -F: '($ 2 == "") {print}' / etc / shadow

Kør ovenstående kommando som rod for at se, hvilke konti der har tomme adgangskoder. Hvis du finder nogen med en tom adgangskode, skal du låse brugeren med det samme. Du kan gøre dette ved at bruge følgende.

passwd -l USERNAME

Du kan også indstille aldring af adgangskode for at sikre, at brugerne ikke kan bruge gamle adgangskoder. Brug kommandoen chage til at gøre dette fra din terminal.

chage -l USERNAME

Denne kommando viser den aktuelle udløbsdato. Brug nedenstående kommando for at indstille adgangskodens udløb efter 30 dage. Brugere kan Brug Linux-adgangskodeadministratorer til at beskytte online-konti.

De 8 bedste Linux-adgangskodeadministratorer til at forblive sikre

Brug for en sikker adgangskodeadministrator til Linux? Disse apps er nemme at bruge og holder dine online adgangskoder sikre.

chage -M 30 BRUGERNAVN

2. Backup vigtige data

Hvis du er seriøs omkring dine data, skal du oprette regelmæssige sikkerhedskopier. På denne måde, selvom dit system går ned, kan du gendanne dataene hurtigt. Men at vælge den rigtige backup-metode er afgørende for Linux-hærdning.

Hvis du er hjemmebruger, kloning af data til en harddisk kunne være tilstrækkelig. Virksomheder har dog brug for sofistikerede sikkerhedskopieringssystemer, der tilbyder hurtig gendannelse.

3. Undgå ældre kommunikationsmetoder

Linux understøtter mange fjernkommunikationsmetoder. Men ældre Unix-tjenester som telnet, rlogin og ftp kan udgøre alvorlige sikkerhedsproblemer. Så prøv at undgå dem. Du kan fjerne dem helt for at reducere de sikkerhedsproblemer, der er knyttet til dem.

apt-get - purge fjern xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Denne kommando fjerner nogle udbredte men forældede tjenester fra Ubuntu / Debian-maskiner. Hvis du bruger et RPM-baseret system, skal du bruge følgende i stedet.

yum slet xinetd ypserv tftp-server telnet-server rsh-server

4. Sikker OpenSSH

SSH-protokollen er den anbefalede metode til fjernkommunikation til Linux. Sørg for at sikre din OpenSSH server (sshd) konfiguration. Du kan Lær mere om opsætning af en SSH-server her.

Rediger /etc/ssh/sshd_config fil for at indstille sikkerhedspolitikker for ssh. Nedenfor er nogle almindelige sikkerhedspolitikker, som alle kan bruge.

PermitRootLogin no # deaktiverer root login
MaxAuthTries 3 # begrænser godkendelsesforsøg
PasswordAuthentication no # deaktiverer adgangskodeautentificering
PermitEmptyPasswords no # deaktiverer tomme adgangskoder
X11Forwarding no # deaktiverer GUI-transmission
DebianBanner nr. # Afbalancerer det detaljerede banner
AllowUsers *@XXX.X.XXX.0/24 # begrænser brugerne til et IP-interval

5. Begræns CRON-brug

CRON er en robust jobplanlægning til Linux. Det gør det muligt for admins at planlæg opgaver i Linux ved hjælp af crontab. Derfor er det afgørende at begrænse, hvem der kan køre CRON-job. Du kan finde ud af alle aktive cronjobs for en bruger ved hjælp af følgende kommando.

crontab -l -u BRUGERNAVN

Tjek jobbet for hver bruger for at finde ud af, om nogen udnytter CRON. Det kan være en god idé at blokere alle brugere for at bruge crontab undtagen dig. Kør følgende kommando til dette.

ekko $ (whoami) >> /etc/cron.d/cron.allow
# ekko ALLE >> /etc/cron.d/cron.deny

6. Håndhæv PAM-moduler

Linux PAM (Pluggable Authentication Modules) tilbyder kraftfulde godkendelsesfunktioner til apps og tjenester. Du kan bruge forskellige PAM-politikker til at sikre systemets login. For eksempel begrænser nedenstående kommandoer genbrug af adgangskoder.

# CentOS / RHEL
ekko 'tilstrækkelig adgangskode pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
ekko 'tilstrækkelig adgangskode pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

De begrænser brugen af ​​adgangskoder, der er brugt inden for de sidste fem uger. Der er mange flere PAM-politikker, der giver ekstra lag af sikkerhed.

7. Fjern ubrugte pakker

Fjernelse af ubrugte pakker reducerer angrebsoverfladen på din maskine. Så vi anbefaler, at du sletter sjældent brugte pakker. Du kan se alle aktuelt installerede pakker ved hjælp af nedenstående kommandoer.

yum-listen installeret # CentOS / RHEL 
apt-liste - installeret # Ubuntu / Debian

Sig, at du vil fjerne den ubrugte pakke vlc. Du kan gøre dette ved at køre følgende kommandoer som root.

yum fjern vlc # CentOS / RHEL
apt fjern vlc # Ubuntu / Debian

8. Sikre kerneparametre

En anden effektiv måde at Linux hærde på er at sikre kerneparametrene. Du kan konfigurere disse parametre ved hjælp af sysctl eller ved at ændre konfigurationsfilen. Nedenfor er nogle almindelige konfigurationer.

kernel.randomize_va_space = 2 # randomnize adressebase til mmap, heap og stack
kernel.panic = 10 # genstart efter 10 sek efter en kernepanik
net.ipv4.icmp_ignore_bogus_error_responses # beskytter dårlige fejlmeddelelser
net.ipv4.ip_forward = 0 # deaktiverer IP-videresendelse
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignorerer ICP-fejl

Dette er blot nogle grundlæggende konfigurationer. Du lærer forskellige måder til kernekonfiguration med erfaring.

9. Konfigurer iptables

Linux-kerner giver robuste filtreringsmetoder til netværkspakker via Netfilter API. Du kan bruge iptables til at interagere med denne API og oprette brugerdefinerede filtre til netværksanmodninger. Nedenfor er nogle grundlæggende iptables-regler for sikkerhedsfokuserede brugere.

-E INPUT -j REJECT # afvis alle indgående anmodninger
-E VIDERE -j AFVIS # afvis trafikvideresendelse
-En INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT # tillad trafik på localhost
# tillad ping-anmodninger
-A OUTPUT -p icmp -j ACCEPT # tillader udgående pings
# tillad etablerede / relaterede forbindelser
-E INPUT -m tilstand --stat ESTABLERET, RELATERET -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# tillad DNS-opslag
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
# tillad http / https anmodninger
-A UDGANG -p tcp -m tcp --port 80 -m tilstand --tilstand NY -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m tilstand --state NEW -j ACCEPT
# tillad SSH-adgang
-E INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

10. Overvåg logfiler

Du kan bruge logfiler til at få en bedre forståelse af din Linux-maskine. Dit system gemmer flere logfiler til apps og tjenester. Vi skitserer de væsentlige her.

• /var/log/auth.log registrerer godkendelsesforsøg
• /var/log/daemon.log logger baggrundsapps
• / var / log / debug logs debugging data
• /var/log/kern.log logger kernedata
• / var / log / syslog logger systemdata
• / var / log / faillog logs mislykkedes logins

Bedste Linux hærdningstip til begyndere

At sikre et Linux-system er ikke så svært som du tror. Du kan hærde sikkerheden ved at følge nogle af de tip, der er nævnt i denne vejledning. Du mestrer flere måder at sikre Linux på, når du får erfaring.

7 Væsentlige fortrolighedsindstillinger til Chrome OS og Google Chrome

Brug af en Chromebook, men bekymret over privatlivets fred? Tilpas disse 7 indstillinger i Chrome-browseren på Chrome OS for at være sikker online.

Om forfatteren