Sistemele Linux sunt sigure prin proiectare și oferă instrumente de administrare robuste. Dar, indiferent cât de bine proiectat este un sistem, securitatea acestuia depinde de utilizator.

Începătorii adesea durează ani pentru a găsi cele mai bune politici de securitate pentru mașinile lor. De aceea, împărtășim aceste sfaturi esențiale pentru întărirea Linux pentru noii utilizatori ca tine. Încercați-le.

1. Aplică politici de parolă puternice

Parolele sunt metoda principală de autentificare pentru majoritatea sistemelor. Indiferent dacă sunteți utilizator de acasă sau profesionist, aplicarea parolelor solide este o necesitate. Mai întâi, dezactivați parolele goale. Nu vei crede câți oameni le mai folosesc. 

awk -F: '($ 2 == "") {print}' / etc / shadow

Rulați comanda de mai sus ca root pentru a vedea ce conturi au parole goale. Dacă găsiți pe cineva cu o parolă goală, blocați imediat utilizatorul. Puteți face acest lucru folosind următoarele. 

passwd -l NUME DE UTILIZATOR

De asemenea, puteți configura îmbătrânirea parolei pentru a vă asigura că utilizatorii nu pot utiliza parole vechi. Utilizați comanda chage pentru a face acest lucru de la terminalul dvs.

instagram viewer 

chage -l NUME DE UTILIZATOR

Această comandă afișează data de expirare curentă. Pentru a seta expirarea parolei după 30 de zile, utilizați comanda de mai jos. Utilizatorii pot utilizați administratorii de parole Linux pentru a păstra securitatea conturilor online.

Cei mai buni 8 manageri de parole Linux pentru a rămâne în siguranță

Aveți nevoie de un manager de parole securizat pentru Linux? Aceste aplicații sunt ușor de utilizat și vă păstrează parolele online în siguranță.

chage -M 30 NUME DE UTILIZATOR

2. Backup de date esențiale

Dacă sunteți serios în legătură cu datele dvs., configurați copii de rezervă regulate. În acest fel, chiar dacă sistemul dvs. se blochează, puteți recupera datele rapid. Dar alegerea metodei corecte de backup este crucială pentru întărirea Linux.

Dacă sunteți utilizator de acasă, clonarea datelor într-un hard disk ar putea fi suficient. Cu toate acestea, întreprinderile au nevoie de sisteme de backup sofisticate care să ofere recuperare rapidă.

3. Evitați metodele de comunicare vechi

Linux acceptă multe metode de comunicare la distanță. Dar serviciile Unix vechi, cum ar fi telnet, rlogin și ftp, pot pune probleme serioase de securitate. Deci, încearcă să le eviți. Le puteți elimina complet pentru a reduce problemele de securitate asociate acestora. 

apt-get --purge remove xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Această comandă elimină unele servicii utilizate pe scară largă, dar depășite de pe mașinile Ubuntu / Debian. Dacă utilizați un sistem bazat pe RPM, utilizați în schimb următoarele. 

ștergeți xinetd ypserv tftp-server telnet-server rsh-server

4. Securizați OpenSSH

Protocolul SSH este metoda recomandată de comunicare la distanță pentru Linux. Asigurați-vă că vă securizați configurația serverului OpenSSH (sshd). Poti aflați mai multe despre configurarea unui server SSH aici.

Editați fișierul /etc/ssh/sshd_config fișier pentru a seta politicile de securitate pentru ssh. Mai jos sunt câteva politici comune de securitate pe care le poate folosi oricine. 

PermitRootLogin no # dezactivează autentificarea root
MaxAuthTries 3 # limitează încercările de autentificare
PasswordAuthentication no # dezactivează autentificarea prin parolă
PermitEmptyPasswords no # dezactivează parolele goale
X11Forwarding no # dezactivează transmisia GUI
DebianBanner no # disbales banner verbose
AllowUsers *@XXX.X.XXX.0/24 # restricționează utilizatorii la un interval de IP

5. Restricționați utilizarea CRON

CRON este un programator robust pentru Linux. Permite administratorilor să programează sarcini în Linux folosind crontab. Astfel, este crucial să restricționăm cine poate rula joburi CRON. Puteți afla toate cronjoburile active pentru un utilizator utilizând următoarea comandă. 

crontab -l -u NUME DE UTILIZATOR

Verificați joburile pentru fiecare utilizator pentru a afla dacă cineva exploatează CRON. Poate doriți să blocați toți utilizatorii să folosească crontab, cu excepția dvs. Rulați următoarea comandă pentru aceasta. 

ecou $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Aplică modulele PAM

Linux PAM (Pluggable Authentication Modules) oferă funcții puternice de autentificare pentru aplicații și servicii. Puteți utiliza diverse politici PAM pentru a asigura autentificarea sistemului. De exemplu, comenzile de mai jos limitează refolosirea parolei. 

# CentOS / RHEL
ecou 'parola suficientă pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
ecou 'parola suficientă pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

Acestea restricționează utilizarea parolelor care au fost utilizate în ultimele cinci săptămâni. Există mult mai multe politici PAM care oferă straturi suplimentare de securitate.

7. Eliminați pachetele neutilizate

Scoaterea pachetelor neutilizate reduce suprafața de atac a mașinii. Așadar, vă recomandăm să ștergeți pachetele utilizate rar. Puteți vizualiza toate pachetele instalate în prezent utilizând comenzile de mai jos. 

yum list instalat # CentOS / RHEL 
lista apt - instalat # Ubuntu / Debian

Spuneți că doriți să eliminați pachetul neutilizat vlc. Puteți face acest lucru executând următoarele comenzi ca root. 

yum elimina vlc # CentOS / RHEL
apt elimina vlc # Ubuntu / Debian

8. Securizați parametrii kernelului

Un alt mod eficient de întărire Linux este securizarea parametrilor nucleului. Puteți configura acești parametri folosind sysctl sau modificând fișierul de configurare. Mai jos sunt câteva configurații comune. 

kernel.randomize_va_space = 2 # bază de adresă randomnize pentru mmap, heap și stack
kernel.panic = 10 # reporniți după 10 sec. după o panică a nucleului
net.ipv4.icmp_ignore_bogus_error_responses # protejează mesajele de eroare greșite
net.ipv4.ip_forward = 0 # dezactivează redirecționarea IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignoră erorile ICP

Acestea sunt doar câteva configurații de bază. Veți învăța diferite moduri de configurare a nucleului cu experiență.

9. Configurați iptables

Kernel-urile Linux oferă metode de filtrare robuste pentru pachetele de rețea prin intermediul API-ului Netfilter. Puteți utiliza iptables pentru a interacționa cu acest API și pentru a configura filtre personalizate pentru solicitările de rețea. Mai jos sunt câteva reguli de bază iptables pentru utilizatorii centrate pe securitate. 

-A INPUT -j REJECT # respinge toate cererile primite
-O FORWARD -j REJECT # respinge redirecționarea traficului
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT # permite traficul pe localhost
# permite cererile de ping
-A OUTPUT -p icmp -j ACCEPT # permite ping-urile de ieșire
# permite conexiuni stabilite / conexe
-O INPUT -m state --state STABILIT, AFILIAT -j ACCEPT
-O SITUARE -m stat --stat STABILIT, AFILIAT -j ACCEPT
# permite căutări DNS
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
# permiteți solicitările http / https
-O IEȘIRE -p tcp -m tcp --port 80 -m stat --state NOU -j ACCEPTĂ
-O IEȘIRE -p tcp -m tcp --port 443 -m stat --state NOU -j ACCEPTĂ
# permite accesul SSH
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

10. Monitorizați jurnalele

Puteți utiliza jurnale pentru a înțelege mai bine mașina dvs. Linux. Sistemul dvs. stochează mai multe fișiere jurnal pentru aplicații și servicii. Vă prezentăm aici cele esențiale.

  • /var/log/auth.log înregistrează încercările de autorizare
  • /var/log/daemon.log înregistrează aplicațiile de fundal
  • / var / log / debug înregistrează datele de depanare
  • /var/log/kern.log înregistrează datele nucleului
  • / var / log / syslog înregistrează datele sistemului
  • / var / log / faillog înregistrează autentificări eșuate

Cele mai bune sfaturi pentru întărirea Linux pentru începători

Securizarea unui sistem Linux nu este atât de grea pe cât crezi. Puteți întări securitatea urmând câteva dintre sfaturile menționate în acest ghid. Veți stăpâni mai multe moduri de a securiza Linux pe măsură ce câștigați experiență.

E-mail
7 Setări esențiale de confidențialitate pentru sistemul de operare Chrome și Google Chrome

Folosiți un Chromebook, dar vă preocupă confidențialitatea? Modificați aceste 7 setări în browserul Chrome pe sistemul de operare Chrome pentru a vă menține securitatea online.

Subiecte asemănătoare
  • Linux
  • Securitatea calculatorului
  • Linux
  • SSH
Despre autor
Rubaiat Hossain (5 articole publicate)

Rubaiat este un absolvent de CS cu o pasiune puternică pentru open-source. În afară de faptul că este un veteran Unix, el se ocupă și de securitatea rețelelor, criptografie și programare funcțională. Este un colecționar avid de cărți second-hand și are o admirație nesfârșită pentru rockul clasic.

Mai multe de la Rubaiat Hossain

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Încă un pas…!

Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.

.