Linux sikkerhetsherding sjekkliste
I tillegg til sikkerhetsherdingssjekklisten som er vist nedenfor, inneholder denne artikkelen korte forklaringer på hver anbefaling, inkludert lenker til opplæringsprogrammer som viser hvordan du implementerer dem med ekte scenarier skjermbilder. Dokumentet er optimalisert for både nye og avanserte brukere.
Alle tips beskrevet i denne artikkelen er nyttige for hver Linux -distribusjon. UNIX -operativsystembrukere kan også synes denne opplæringen er nyttig for å beskytte systemene sine.”
Merk: Følgende Linux Security Hardening sjekkliste ble opprinnelig skrevet i 2019 og oppdatert i 2022.
Linux sikkerhetsherding sjekkliste
| POLITIKK | Hjemmebruker | Server |
| Deaktiver SSH | ✔ | ✔/x |
| Deaktiver SSH Root Access | ✔ | ✔ |
| Endre SSH standardport | ✔ | ✔ |
| Deaktiver SSH -passordpåloggingsautentisering | ✔ | ✔ |
| Definer riktige brannmurregler | ✔ | ✔ |
| Implementere IDS (inntrengingsdeteksjonssystem) | x | ✔ |
| Sikre BIOS | ✔ | ✔ |
| Diskkryptering | ✔ | x |
| Beskytte systemet mot rootkits | ✔ | ✔ |
| Hold systemet oppdatert | ✔ | ✔ |
| VPN (Virtual Private Network) | ✔ | x |
| Aktiver Selinux | ✔ | ✔ |
| Implementere honeypots og honningnett | x | ✔ |
| Skann enheten din eksternt for sårbarheter | ✔ | ✔ |
| Vanlig sikkerhetspraksis | ✔ | ✔ |
Deaktiver SSH
SSH -tjenesten er et av de mest brukte målene for angripere. Gjennom SSH -tilgang kan en hacker bryte seg inn i målsystemet for å eskalere privilegier, og få full kontroll over systemet. Det er verdt å minne om at lokale utførelsesutnyttelser er farligere enn eksterne utnyttelser siden lokale utnyttelser ikke filtreres av brannmurer.
Både hjemme- og bedriftsbrukere må deaktivere alle unødvendige tjenester siden de representerer dører for hackere for å få tilgang til målsystemet.
Hovedanbefalingen er å fjerne uønskede tjenester fullt ut. Hvis du tenker i fremtiden, kan du bruke en tjeneste som for øyeblikket er unødvendig, kan du lese denne opplæringen med spesifikke instruksjoner om å identifisere og deaktivere ubrukte tjenester. Hvis du trenger å beholde SSH -tjenesten, må du fortsette å lese nedenfor for instruksjoner for å sikre den.
Deaktiver SSH Root Access
Som sagt i forrige anbefaling om å deaktivere eller fjerne SSH -tjenesten, kan denne tjenesten være sårbar for visse angrep hvis den er feil konfigurert.
Et viktig tiltak å ta for å sikre SSH -tilgang er å deaktivere rotlogget. Hovedårsaken til å deaktivere rotpålogging gjennom SSH er at hvert Linux -systemets viktigste superbruker er en rot; Derfor vet en angriper allerede at systemet ditt har rotsuperbrukeren og kan bruke det i et brute force -angrep som bare trenger å bryte passordet ditt. I tillegg er en annen viktig grunn til å deaktivere rottilgang gjennom SSH å gjøre det vanskelig for en angriper å få privilegert tilgang hjulpet av utnyttelser.
Hos Linuxhint har vi publisert en tutorial om hvordan du deaktiverer SSH Root Access du kan lese her.
Endre SSH standardport
Mange angripere lanserer massive, vilkårlige angrep mot tilfeldige mål. Hvis en angriper prøver å identifisere enheter massivt ved å skanne SSH -porten (22), vil han mislykkes mot systemer som serverer SSH -tilgang gjennom en annen port enn 22.
Deaktivering av SSH -passordgodkjenning
Ssh -passordgodkjenning er det minst trygt. Andre metoder som nøkkelgodkjenning anbefales for å erstatte pålogging av passord, som er sårbar for mange typer angrep, inkludert brute force, den enkleste angrepsmetoden enhver uerfaren bruker kan starte. I denne lenken kan du lese instruksjoner for å deaktivere SSH -passordgodkjenning og aktivere nøkkelgodkjenning.
Definer riktige nftables eller iptables regler
Implementering av tilpassede brannmurregler er et must og et grunnleggende tiltak for å sikre enheten din. Brannmurer er det første forsvaret mot ondsinnet trafikk, uønskede forbindelser og uønskede skanninger som prøver å finne sikkerhetshull i systemet ditt.
Nftables og iptables er grensesnitt for å administrere og definere brannmurregler i Linux. Hjemmebrukere foretrekker kanskje UFW (ukomplisert brannmur), som er en frontend for iptables å gjøre brannmurregler for å skape mer brukervennlig.
Avhengig av skrivebordet ditt eller serverbehov, inkluderer de fleste anbefalte brannmurregler restriktive retningslinjer som bare tillater nødvendig trafikk og tilkoblinger. Brannmurer er også nyttige for å omdirigere standardporter til tilpassede porter, noe som gjør det vanskeligere for angripere å identifisere dine systemaktiverte tjenester.
Systemadministratorer kan finne instruksjoner for å sikre systemer med iptables på denne lenken. Hjemmebrukere kan velge UFW, som er lettere å administrere og kan læres på denne lenken.
Implementere IDS (inntrengingsdeteksjonssystem)
ID -er (inntrengingsdeteksjonssystem) bringer sikkerheten til neste nivå slik at den kan analysere pakker og oppdage anomalier og uautorisert tilgang til systemet. IDS er et stort supplement for brannmurer. IDS overvåker nettverkstrafikken på jakt etter ondsinnede pakker for å identifisere og rapportere sikkerhetshendelser. De mest populære ID -ene er snort og OSSEC.
Denne sikkerhetsherdende sjekklisten anbefaler ikke ID -er for hjemmebrukere på grunn av det store antallet ressurser de trenger. Likevel, hvis du liker gode ressurser, er det alltid et godt valg å legge dem til et godt valg.
Du kan lese denne opplæringen for å komme i gang med OSSEC. Når det gjelder Snort, på Linuxhint, har vi publisert flere opplæringsprogrammer oppført nedenfor.
- Installer snort inntrengingsdeteksjonssystem ubuntu
- Konfigurer snort ID -er og opprett regler
- Snort varsler
Sikre BIOS
Rootkits, malware og serverbios med ekstern tilgang representerer ytterligere sårbarheter både for servere og innenlandske enheter. BIOS kan hacket gjennom kode utført fra OS eller gjennom oppdateringskanaler for å få uautorisert tilgang eller for å lagre rootkits for alltid, tvinge maskinvareutskiftning og utelukker restaurering av sikkerhetskopiering.
Den beste måten å beskytte BIOS er å holde den oppdatert, som du kan finne instruksjoner her.
Krypter lagringsenheter og partisjoner
Dette er et mer relevant tiltak for stasjonære brukere som kan miste datamaskinene sine eller være tyverioffer; Det er spesielt nyttig for bærbare brukere å forhindre at tyver får tilgang til informasjon. I dag støtter nesten hvert OS disk- og partisjonskryptering; Linux -distribusjoner tillater å kryptere harddisken under installasjonsprosessen. For instruksjoner om diskkryptering, sjekk artikkelen hvordan du krypterer en stasjon i Linux.
Beskytte systemet mot rootkits
Rootkits er ondsinnet programvare som gir angripere uautorisert tilgang. De er ekstremt vanskelige å oppdage på grunn av deres evne til å skjule. Noen rootkits får tilgang til systemet BIOS som krever maskinvarebytte som en løsning. Rootkits forebygging og fjerning mest populær programvare er chrootkit og rkhunter. Du kan komme i gang med Chkrootkit ved å lese denne opplæringen som også inneholder instruksjoner for RKHUNTER.
Hold systemet oppdatert
Både stasjonære brukere og systemadministratorer må holde systemet oppdatert for å forhindre at utsatte versjoner tilbyr uautorisert tilgang eller utførelse. I tillegg kan bruk av OS-levert pakkebehandler for å se etter tilgjengelige oppdateringer som kjører sårbarhetsskanninger, bidra til å oppdage sårbar programvare som ikke ble oppdatert på offisielle lagre eller sårbar kode som må skrives om. Nedenfor er noen opplæringsprogrammer for å oppdatere Linux -operativsystemer og installert programvare:
- Hvordan sjekker jeg for oppdateringer på Debian 11?
- Hvordan oppgradere kjerne i Debian 11 Bullseye
- Hvordan oppdatere og oppgradere centOS 8
- Linux mynte hvordan du oppdaterer systemet
- CentOS -oppdatering
- Installer eller oppgrader til den nyeste Linux -kjernen på Ubuntu 20.04 & Linux Mint 20
VPN (Virtual Private Network)
Internett -brukere må være klar over at ISP -er overvåker all trafikken, og den eneste måten å ha råd til dette på er ved å bruke en VPN -tjeneste. Internett -leverandøren er i stand til å overvåke trafikken til VPN -serveren, men ikke fra VPN til endelige destinasjoner. Siden VPN kan påvirke hastigheten negativt, er dette ikke et anbefalt alternativ for servere. For å minimere effekten på tilkoblingshastigheten, anbefales det å bruke en betalt tjeneste. ProTonVPN er et flott alternativ som tilbyr både gratis og betalte tjenester. Du kan lære hvordan du installerer ProTonVPN på denne lenken.
Aktiver Selinux (sikkerhetsforbedret Linux)
Selinux er et sett med Linux-kjernemodifikasjoner fokusert på å håndtere sikkerhetsaspekter relatert til sikkerhetspolitikk ved å legge til MAC (mekanismekontroll), RBAC (rollebasert tilgangskontroll) og MLS (sikkerhet på flere nivåer) og sikkerhetsmessig sikkerhet (MCS (MCS (MCS ). Når Selinux er aktivert, kan en applikasjon bare få tilgang til de spesifiserte ressursene den trenger. Tillatte ressurser er definert gjennom sikkerhetspolitikk. Tilgang til porter, prosesser, filer og kataloger styres gjennom regler definert på Selinux, som tillater eller nekter operasjoner basert på sikkerhetspolitikken. Hos Linuxhint har vi publisert noen artikler om denne funksjonen som er listet opp nedenfor.
- Selinux (Security Enhanced Linux) på Debian
- En nybegynnerguide til Selinux på Centos
Implementere honeypots og honningnett
En honeypot er et verktøy som simulerer et mål som virkelig er en opptaker av angripers aktivitet. Flere honeypoter som simulerer flere enheter, tjenester og applikasjoner er kjent som en Honeynet.
I utgangspunktet er honeypots og honningnavner falske mål både for å distrahere angripere fra virkelige mål og for å registrere aktiviteten. Du kan lære hvordan du implementerer både honeypots og honeynett her.
Skann enheten din eksternt for sårbarheter
En god praksis for å holde systemet ditt trygt, er å se hva angripere ser når de retter seg mot systemet ditt. Dette kan oppnås ved å skanne systemet ditt for å finne sårbarheter. Det er mange alternativer i markedet du kan bruke til å skanne systemet ditt. Noen opplæringsprogrammer er listet opp nedenfor.
- Hvordan skanne etter tjenester og sårbarheter med NMAP
- Komme i gang med Nikto sårbarhetsskanner
- Installere nexpose sårbarhetsskanner på Debian/Ubuntu
Vanlig praksis
- Ikke bruk rot med mindre det er nødvendig.
- Bruk aldri X -vinduer eller nettlesere som root.
- Bruk passordledere som LastPass.
- Bruk bare sterke og unike passord.
- Prøv å ikke installere ikke-frie pakker eller utilgjengelige pakker på offisielle Linux-lagringsplasser.
- Deaktiver ubrukte moduler.
- På servere, håndheve sterke passord og forhindre at brukere bruker gamle passord.
- Avinstaller ubrukt programvare.
- Ikke bruk de samme passordene for forskjellige tilganger.
- Endre alle standard tilgangsbrukernavn.
Konklusjon
Som du kan se i ovennevnte Linux Security Hardening Checklist, er det ikke en enkel oppgave å beskytte systemet og krever mange sikkerhetstiltak. Likevel, til tross for antall oppgaver brukere må fullføre for å sikre systemene sine, kan hver anbefaling implementeres av alle Linux -brukere uavhengig av deres opplevelsesnivå ved å lese de koblede opplæringsprogrammene på hvert element, som er optimalisert for å være forståelige av nye brukere. De fleste anbefalinger kan også brukes på andre operativsystemer som BSD -systemer. Å bruke de numererte tipsene vil definitivt fraråde tilfeldige angripere fra å målrette deg. Et sterkt beskyttet system er mindre attraktivt for angripere.
Jeg håper denne sikkerhetsherdingssjekklisten var nyttig for deg å sikre systemet ditt. Fortsett å lese oss for flere Linux -profesjonelle opplæringsprogrammer.