Politică | Utilizator de acasă | Server |
Dezactivați SSH | ✔ | X |
Dezactivați accesul la root SSH | X | ✔ |
Schimbați portul SSH | X | ✔ |
Dezactivați autentificarea parolei SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Securitate BIOS | ✔ | ✔ |
Criptare disc | ✔ | x / ✔ |
Actualizare de sistem | ✔ | ✔ |
VPN (rețea privată virtuală) | ✔ | X |
Activați SELinux | ✔ | ✔ |
Practici comune | ✔ | ✔ |
- Acces SSH
- Firewall (iptables)
- Sistem de detectare a intruziunilor (IDS)
- Securitate BIOS
- Criptare hard disk
- Actualizare de sistem
- VPN (rețea privată virtuală)
- Activați SELinux (Linux îmbunătățit de securitate)
- Practici comune
Acces SSH
Utilizatori casnici:
Utilizatorii casnici nu folosesc cu adevărat ssh, adresele IP dinamice și configurațiile NAT ale routerului au făcut mai atractive alternativele cu conexiune inversă, precum TeamViewer. Atunci când un serviciu este neutilizat portul trebuie închis atât prin dezactivarea sau eliminarea serviciului, cât și prin aplicarea regulilor firewall restrictive.
Servere:
Spre deosebire de utilizatorii casnici, lucrătorii care accesează diferite servere, administratorii de rețea sunt utilizatori frecvenți ssh / sftp. Dacă trebuie să păstrați serviciul ssh activat, puteți lua următoarele măsuri:
- Dezactivați accesul root prin SSH.
- Dezactivați autentificarea prin parolă.
- Schimbați portul SSH.
Opțiuni comune de configurare SSH Ubuntu
Iptables
Iptables este interfața pentru gestionarea netfilterului pentru a defini regulile firewall-ului. Utilizatorii casnici pot trece la UFW (Uncomplicated Firewall), care este un frontend pentru iptables pentru a facilita crearea regulilor firewall. Independent de interfață, punctul se află imediat după configurare, firewall-ul se numără printre primele modificări aplicate. În funcție de desktop sau de nevoile serverului, cele mai recomandate pentru probleme de securitate sunt politicile restrictive care permit doar ceea ce aveți nevoie în timp ce blocați restul. Iptables vor fi folosite pentru a redirecționa portul 22 SSH către altul, pentru a bloca porturile inutile, a filtra serviciile și a stabili reguli pentru atacuri cunoscute.
Pentru mai multe informații despre iptables verificați: Iptables pentru începători
Sistem de detectare a intruziunilor (IDS)
Datorită resurselor mari pe care le necesită IDS, nu sunt utilizate de utilizatorii casnici, ci sunt obligatorii pe serverele expuse atacurilor. IDS aduce securitatea la nivelul următor permițând analiza pachetelor. Cele mai cunoscute IDS sunt Snort și OSSEC, ambele explicate anterior la LinuxHint. IDS analizează traficul din rețea în căutarea pachetelor sau anomaliilor rău intenționate, este un instrument de monitorizare a rețelei orientat către incidente de securitate. Pentru instrucțiuni despre instalare și configurare pentru cele mai populare 2 soluții IDS verificați: Configurați Snort IDS și creați reguli
Noțiuni introductive despre OSSEC (Intrusion Detection System)
Securitate BIOS
Rootkit-urile, programele malware și BIOS-ul serverului cu acces la distanță reprezintă vulnerabilități suplimentare pentru servere și desktopuri. BIOS-ul poate fi piratat prin cod executat din sistemul de operare sau prin canale de actualizare pentru a obține acces neautorizat sau pentru a uita informații, cum ar fi copiile de siguranță.
Păstrați actualizate mecanismele de actualizare BIOS. Activați BIOS Integrity Protection.
Înțelegerea procesului de pornire - BIOS vs UEFI
Criptare hard disk
Aceasta este o măsură mai relevantă pentru utilizatorii de desktop care își pot pierde computerul sau pot fi victime ale furtului, este utilă mai ales pentru utilizatorii de laptopuri. Astăzi, aproape fiecare sistem de operare acceptă criptarea pe disc și partiție, distribuțiile precum Debian permit criptarea hard diskului în timpul procesului de instalare. Pentru instrucțiuni despre criptarea discului, verificați: Cum se criptează o unitate pe Ubuntu 18.04
Actualizare de sistem
Atât utilizatorii de desktop, cât și administratorul de sistem trebuie să mențină sistemul actualizat pentru a împiedica versiunile vulnerabile să ofere acces sau execuție neautorizată. În plus față de utilizarea managerului de pachete furnizat de sistemul de operare pentru a verifica actualizările disponibile, rularea scanărilor de vulnerabilitate poate ajuta la detectarea software-ului vulnerabil care nu a fost actualizat în depozitele oficiale sau a codului vulnerabil care trebuie rescris. Mai jos câteva tutoriale despre actualizări:
- Cum să păstrezi Ubuntu 17.10 până în prezent
- Linux Mint Cum se actualizează sistemul
- Cum se actualizează toate pachetele pe sistemul de operare elementar
VPN (rețea privată virtuală)
Utilizatorii de internet trebuie să fie conștienți de faptul că furnizorii de servicii Internet își monitorizează tot traficul și singura modalitate de a-și permite acest lucru este utilizarea unui serviciu VPN. ISP este capabil să monitorizeze traficul către serverul VPN, dar nu de la VPN la destinații. Problemele de viteză datorate serviciile plătite sunt cele mai recomandabile, dar există alternative bune gratuite, cum ar fi https: // protonvpn.com /.
- Cel mai bun VPN Ubuntu
- Cum se instalează și se configurează OpenVPN pe Debian 9
Activați SELinux (Linux îmbunătățit de securitate)
SELinux este un set de modificări ale nucleului Linux axat pe gestionarea aspectelor de securitate legate de politicile de securitate prin adăugarea MAC (Control mecanism acces), RBAC (Role Based Access Control), MLS (Multi Level Security) și Multi Category Security (MCS). Când SELinux este activat, o aplicație poate accesa doar resursele de care are nevoie specificate într-o politică de securitate pentru aplicație. Accesul la porturi, procese, fișiere și directoare este controlat prin reguli definite pe SELinux care permite sau refuză operațiuni bazate pe politicile de securitate. Ubuntu folosește AppArmor ca alternativă.
- Tutorial SELinux pe Ubuntu
Practici comune
Aproape întotdeauna eșecurile de securitate se datorează neglijenței utilizatorilor. În plus față de toate punctele numerotate anterior, urmați următoarele practici:
- Nu utilizați root decât dacă este necesar.
- Nu folosiți niciodată X Windows sau browsere ca root.
- Folosiți administratori de parole precum LastPass.
- Folosiți numai parole puternice și unice.
- Încercați să nu instalați pachete non-gratuite sau pachete indisponibile în depozitele oficiale.
- Dezactivați modulele neutilizate.
- Pe servere aplică parole puternice și împiedică utilizatorii să folosească parole vechi.
- Dezinstalați software-ul neutilizat.
- Nu utilizați aceleași parole pentru accesuri diferite.
- Schimbați toate numele de utilizator cu acces implicit.
Politică | Utilizator de acasă | Server |
Dezactivați SSH | ✔ | X |
Dezactivați accesul la root SSH | X | ✔ |
Schimbați portul SSH | X | ✔ |
Dezactivați autentificarea parolei SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Securitate BIOS | ✔ | ✔ |
Criptare disc | ✔ | x / ✔ |
Actualizare de sistem | ✔ | ✔ |
VPN (rețea privată virtuală) | ✔ | X |
Activați SELinux | ✔ | ✔ |
Practici comune | ✔ | ✔ |
Sper că ați găsit acest articol util pentru a vă spori securitatea. Continuați să urmăriți LinuxHint pentru mai multe sfaturi și actualizări despre Linux și rețea.