Linux системите са защитени по дизайн и осигуряват здрави инструменти за администриране. Но колкото и добре да е проектирана една система, нейната сигурност зависи от потребителя.

На начинаещите често им трябват години, за да намерят най-добрите политики за сигурност на своите машини. Ето защо споделяме тези основни съвети за втвърдяване на Linux за нови потребители като вас. Опитайте ги.

1. Прилагайте строги политики за парола

Паролите са основният метод за удостоверяване за повечето системи. Без значение дали сте домашен потребител или професионалист, налагането на солидни пароли е задължително. Първо деактивирайте празни пароли. Няма да повярвате колко хора все още ги използват. 

awk -F: '($ 2 == "") {print}' / etc / shadow

Изпълнете горната команда като root, за да видите кои акаунти имат празни пароли. Ако намерите някой с празна парола, заключете потребителя веднага. Можете да направите това, като използвате следното. 

passwd -l ИМЕ НА ПОТРЕБИТЕЛЯ

Можете също така да настроите стареене на паролата, за да сте сигурни, че потребителите не могат да използват стари пароли. Използвайте командата chage, за да направите това от вашия терминал.

instagram viewer 

chage -l ИМЕ НА ПОТРЕБИТЕЛЯ

Тази команда показва текущата дата на изтичане. За да зададете изтичане на паролата след 30 дни, използвайте командата по-долу. Потребителите могат използвайте Linux мениджъри на пароли, за да поддържате сигурността на онлайн акаунтите.

8-те най-добри мениджъри на пароли за Linux, за да останете сигурни

Нуждаете се от сигурен мениджър на пароли за Linux? Тези приложения са лесни за използване и пазят вашите онлайн пароли в безопасност.

chage -M 30 ИМЕ НА ПОТРЕБИТЕЛЯ

2. Архивиране на основни данни

Ако сериозно се отнасяте към данните си, настройте редовни архиви. По този начин, дори ако системата ви се срине, можете бързо да възстановите данните. Но изборът на правилния метод за архивиране е от решаващо значение за втвърдяването на Linux.

Ако сте домашен потребител, клониране на данните в твърд диск може да е достатъчно. Предприятията обаче се нуждаят от сложни системи за архивиране, които предлагат бързо възстановяване.

3. Избягвайте наследени методи за комуникация

Linux поддържа много методи за отдалечена комуникация. Но старите Unix услуги като telnet, rlogin и ftp могат да създадат сериозни проблеми със сигурността. Така че, опитайте се да ги избягвате. Можете да ги премахнете изцяло, за да намалите свързаните с тях проблеми със сигурността. 

apt-get --purge премахване на xinetd nis tftpd tftpd-hpa telnetd \
> rsh-сървър rsh-преработен сървър

Тази команда премахва някои широко използвани, но остарели услуги от Ubuntu / Debian машини. Ако използвате система, базирана на RPM, вместо това използвайте следното. 

yum изтриване xinetd ypserv tftp-сървър telnet-сървър rsh-сървър

4. Защитете OpenSSH

Протоколът SSH е препоръчителният метод за отдалечена комуникация за Linux. Уверете се, че сте защитили конфигурацията на вашия OpenSSH сървър (sshd). Можеш научете повече за настройването на SSH сървър тук.

Редактирайте /etc/ssh/sshd_config файл за задаване на политики за сигурност за ssh. По-долу са дадени някои общи правила за сигурност, които всеки може да използва. 

PermitRootLogin no # забранява влизането в root
MaxAuthTries 3 # ограничава опитите за удостоверяване
PasswordAuthentication no # деактивира удостоверяването на паролата
PermitEmptyPasswords no # деактивира празни пароли
X11Forwarding no # деактивира GUI предаването
DebianBanner no # disbales подробен банер
AllowUsers *@XXX.X.XXX.0/24 # ограничават потребителите до IP обхват

5. Ограничете използването на CRON

CRON е надежден график за работа за Linux. Това позволява на администраторите да планирайте задачи в Linux с помощта на crontab. По този начин е от решаващо значение да се ограничи кой може да изпълнява CRON работни места. Можете да разберете всички активни cronjobs за потребител, като използвате следната команда. 

crontab -l -u ИМЕ НА ПОТРЕБИТЕЛЯ

Проверете заданията за всеки потребител, за да разберете дали някой използва CRON. Може да искате да блокирате всички потребители да използват crontab с изключение на вас. Изпълнете следната команда за това. 

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Прилагане на PAM модули

Linux PAM (Pluggable Authentication Modules) предлага мощни функции за удостоверяване на приложения и услуги. Можете да използвате различни PAM политики, за да защитите влизането в системата. Например командите по-долу ограничават повторното използване на паролата. 

# CentOS / RHEL
echo 'парола достатъчна pam_unix.so use_authtok md5 сянка запомни = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'парола достатъчна pam_unix.so use_authtok md5 сянка запомни = 5' >> \
> /etc/pam.d/common-password

Те ограничават използването на пароли, използвани през последните пет седмици. Има много повече PAM политики, които осигуряват допълнителни нива на сигурност.

7. Премахнете неизползваните пакети

Премахването на неизползвани пакети намалява повърхността за атака на вашата машина. Затова препоръчваме да изтриете рядко използвани пакети. Можете да видите всички инсталирани в момента пакети, като използвате командите по-долу. 

yum списък инсталиран # CentOS / RHEL 
apt list --инсталиран # Ubuntu / Debian

Кажете, че искате да премахнете неизползвания пакет vlc. Можете да направите това, като изпълните следните команди като root. 

yum премахнете vlc # CentOS / RHEL
apt премахване на vlc # Ubuntu / Debian

8. Параметри на защитеното ядро

Друг ефективен начин за втвърдяване на Linux е осигуряването на параметрите на ядрото. Можете да конфигурирате тези параметри с помощта на sysctl или чрез модифициране на конфигурационния файл. По-долу са дадени някои често срещани конфигурации. 

kernel.randomize_va_space = 2 # рандомизирайте адресната база за mmap, heap и stack
kernel.panic = 10 # рестартиране след 10 секунди след паника на ядрото
net.ipv4.icmp_ignore_bogus_error_responses # защитава лоши съобщения за грешки
net.ipv4.ip_forward = 0 # деактивира препращането на IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # игнорира ICP грешки

Това са само някои основни конфигурации. Ще научите различни начини за конфигуриране на ядрото с опит.

9. Конфигурирайте iptables

Ядрата на Linux осигуряват надеждни методи за филтриране на мрежови пакети чрез своя Netfilter API. Можете да използвате iptables за взаимодействие с този API и да настроите персонализирани филтри за мрежови заявки. По-долу са дадени някои основни правила за iptables за потребители, фокусирани върху сигурността. 

-A INPUT -j REJECT # отхвърля всички входящи заявки
-A FORWARD -j REJECT # отхвърляне на пренасочването на трафик
-А ВХОД -i lo -j ПРИЕМ
-A OUTPUT -o lo -j ACCEPT # позволява трафик на localhost
# разрешаване на заявки за пинг
-A OUTPUT -p icmp -j ACCEPT # позволява изходящи пингове
# позволяват установени / свързани връзки
-A INPUT -m състояние - състояние УСТАНОВЕНО, СВЪРЗАНО -j ПРИЕМ
-А ИЗХОД -m състояние - състояние УСТАНОВЕНО, СВЪРЗАНО -j ПРИЕМ
# позволяват DNS справки
-А ИЗХОД -p udp -m udp --dport 53 -j ПРИЕМ
# разрешаване на http / https заявки
-A ИЗХОД -p tcp -m tcp --dport 80 -m състояние - състояние НОВО -j ПРИЕМ
-A ИЗХОД -p tcp -m tcp --dport 443 -m състояние - състояние НОВО -j ПРИЕМ
# позволи SSH достъп
-A ВХОД -p tcp -m tcp --dport 22 -j ПРИЕМ
-А ИЗХОД -p tcp -m tcp --dport 22 -j ПРИЕМ

10. Регистри на монитора

Можете да използвате дневници за по-добро разбиране на вашата Linux машина. Вашата система съхранява няколко регистрационни файла за приложения и услуги. Тук очертаваме основните.

  • /var/log/auth.log регистрира опити за оторизиране
  • /var/log/daemon.log регистрира фонови приложения
  • / var / log / debug регистрира данни за отстраняване на грешки
  • /var/log/kern.log регистрира данни за ядрото
  • / var / log / syslog регистрира системни данни
  • / var / log / faillog регистрира неуспешни влизания

Най-добрите съвети за втвърдяване на Linux за начинаещи

Осигуряването на Linux система не е толкова трудно, колкото си мислите. Можете да влошите сигурността, като следвате някои от съветите, споменати в това ръководство. Ще усвоите повече начини за защита на Linux, докато придобивате опит.

електронна поща
7 основни настройки за поверителност за Chrome OS и Google Chrome

Използвате Chromebook, но сте загрижени за поверителността? Променете тези 7 настройки в браузъра Chrome на Chrome OS, за да сте сигурни онлайн.

Свързани теми
  • Linux
  • Компютърна сигурност
  • Linux
  • SSH
За автора
Рубаят Хосейн (5 статии публикувани)

Rubaiat е CS град със силна страст към отворен код. Освен ветеран на Unix, той се занимава и с мрежова сигурност, криптография и функционално програмиране. Той е запален колекционер на книги втора ръка и изпитва безкрайно възхищение от класическия рок.

Още от Rubaiat Hossain

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!

Още една стъпка…!

Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.

.