Подобрете сигурността на вашия Linux сървър с тези 7 стъпки за втвърдяване

Linux управлява интернет; той завладя дигиталния свят на ранен етап и продължава да го захранва. Сигурността на Linux сървъра е от първостепенно значение, особено с широко разпространената полезност.

Въпреки това, както всяка друга операционна система, Linux сървърите са уязвими на пробиви в данните. Въпреки тези проблеми потребителите не отчитат напълно степента на изтичане на сигурност и как техните данни могат да бъдат засегнати с течение на времето.

Поради тази причина е задължително да извършите няколко основни стъпки, които могат да помогнат да защитите вашия Linux сървър срещу хакове и нарушения на сигурността.

1. Задайте защитени пароли

Паролите са гръбнакът на защитен сървър. Като практика използвайте пароли с минимална дължина от 10 знака и буквено-цифрови пароли, специални знаци и главни и малки букви.

Освен това избягвайте да повтаряте пароли за множество приложения. Добавете конфигурация за изтичане на вашите пароли, тъй като нито една парола не осигурява постоянна сигурност.

За да активирате подобрена защита, вижте някои отлични мениджъри на пароли за вашата Linux система. Тези мениджъри предлагат услуги като:

• Двуфакторно удостоверяване
• Генериране на парола
• Облачно съхранение на парола

Няколко опции включват следното:

• Битварден
• LastPass
• Enpass
• Дашлейн

Преди да преминете към която и да е опция, уверете се, че измервате вашите изисквания и изберете кой софтуер работи за вашата конфигурация на сървъра.

2. Включете двойка SSH ключове

Паролите са само една част от процеса на втвърдяване. Съчетайте този процес с по-надеждни методи за влизане за най-сигурни резултати. Двойките ключове Secure Shell или SSH са трудни за пробив с груба сила.

Двойките SSH ключове не са толкова лесни за ползване, колкото обикновените пароли, но са по-сигурни. Такава подобрена сигурност се приписва на криптирането на сървъра и използваната система.

Двойка SSH ключове еквивалентно представлява парола от 12 знака. В действителност действителният състав на двойка SSH ключове може да бъде предизвикателство за разбиране за обикновените хора, но той прави необходимото.

Генерирането на двойка SSH ключове е лесно. Първо настройте SSH ключ, като напишете следното в прозореца на терминала:

$ ssh-keygen -t rsa 

Изберете дестинацията, където искате да запазите ключа.

Въведете местоположението на файла, в което да запазите ключа (/home/youruser/.ssh/id_rsa):

Измервайте и претегляйте шансовете за физически атаки на хакнати сървъри по време на вземане на решение за местоположението за запазване. В идеалния случай трябва да изберете локално устройство за намаляване на уязвимостите.

Свързани: Съвети за втвърдяване на Linux за начинаещи SysAdmins

3. Актуализирайте редовно сървърния си софтуер

Актуализираните сървъри работят добре, когато внедрявате софтуерни корекции за борба с нововъзникващи уязвимости. За съжаление много потребители могат да пропуснат тези софтуерни корекции, правейки сървърите им уязвими и лесна цел за използване от хакерите.

За да се преборите с този проблем, трябва инсталирайте актуализации във вашата Linux машина. Има два начина да го направите.

Командни линии в прозореца на терминала

Въведете командата по-долу в прозореца на терминала. Веднага след като изпълните, командата ще започне да показва цялата подходяща информация за чакащите актуализации.

$ sudo apt актуализация 

Ubuntu Update Manager

Процесът е малко по-различен, когато актуализирате с помощта на Ubuntu Update Manager. Във версии 18.04 или по-нова, първата стъпка е да кликнете върху Показване на приложения в долния ляв ъгъл на екрана.

От там потърсете Мениджър на актуализации за да инсталирате актуализациите.

4. Активирайте автоматичните актуализации

Нека просто кажем, че автоматичните актуализации са продължение на предишната стъпка. Трудно ли се справяте с безброй актуализации на сигурността и губите следа от тези важни актуализации?

Ако сте отговорили на това с голямо кимване, автоматичните актуализации са вашето предпочитано решение. В зависимост от вашия тип система можете да изберете да активирате автоматичните актуализации по следния начин.

Потребители на GNOME

1. Отворете системното меню
2. Изберете Администрация
3. Отидете до Update Manager и изберете Settings
4. Отворете актуализации
5. Придвижете се до инсталирайте настройката за актуализации на защитата

Потребители на Debian

Потребителите на Debian могат да изберат инсталиране на актуализации без надзор. По този начин вашата система винаги ще остане актуализирана без твърде много ръчна намеса.

Инсталирайте пакета:

sudo apt-get инсталиране без надзор-надстройки

Активирайте пакета:

$ sudo dpkg-reconfigure --priority = ниски необслужвани надстройки

5. Премахнете несъществените мрежови услуги

Всички сървърни операционни системи на Linux се предлагат със собствени съответни сървърни мрежови услуги. Въпреки че бихте искали да запазите повечето от тези услуги, има няколко, които трябва да премахнете.

Изпълнете следните команди, за да видите списък с такива услуги:

$ sudo ss -atpu

Забележка: Резултатът от тази команда ще варира в зависимост от вашата операционна система.

Можете да премахнете неизползвана услуга, в зависимост от вашата операционна система и мениджъра на пакети.

Debian / Ubuntu:

$ sudo apt чистка 

Red Hat / CentOS:

$ sudo yum премахване 

За да извършите кръстосана проверка, стартирайте ss -atup команда отново, за да проверите дали услугите са премахнати или не.

6. Инсталирайте Fail2ban за сканиране на регистрационни файлове

Linux сървърите и атаките с груба сила вървят ръка за ръка. Такива атаки обикновено успяват, тъй като крайните потребители не са предприели необходимите превантивни мерки, за да защитят своите системи.

Fail2ban е софтуер за предотвратяване на проникване, който променя правилата на защитната стена и забранява всеки адрес, който се опитва да влезе във вашата система. Използва се широко за идентифициране и адресиране на тенденциите при неуспешно удостоверяване. Те се доразвиват чрез предупреждения по имейл, които до голяма степен ограничават подобни злонамерени атаки.

За да инсталирате Fail2ban:

CentOS 7

yum инсталирате fail2ban

Debian

apt-get инсталиране fail2ban

За да активирате поддръжката по имейл:

CentOS 7

yum инсталирате sendmail

Debian

apt-get инсталиране sendmail-bin sendmail

7. Активирайте защитната стена

Защитните стени са още един ефективен начин да накарате топката да се завърти за осигуряване на вашия Linux сървър. След като инсталирате защитна стена, трябва да я активирате и конфигурирате, за да разреши мрежовия трафик.

Некомплицираната защитна стена (UFW) се оказва добро допълнение към сигурността към вашия Linux сървър. UFW предлага лесен за използване интерфейс, който опростява процеса на конфигуриране на защитна стена във вашата система.

Инсталирайте UFW чрез следния команден ред:

$ sudo apt install ufw

UFW е конфигуриран да отказва всички входящи и изходящи връзки. Всяко приложение на вашия сървър може да се свърже с интернет, но всички входящи връзки няма да засегнат сървъра ви.

Като първа стъпка след инсталацията трябва да активирате SSH, HTTP и HTTPS:

$ sudo ufw позволи ssh
$ sudo ufw разрешава HTTP
$ sudo ufw разрешава HTTPS 

Можете също така да активирате и деактивирате UFW:

$ sudo ufw разреши 
$ sudo ufw деактивира 

Ако е необходимо, можете да проверите списък с разрешени / отказани услуги:

$ sudo ufw статус 

Поддържане на сигурността на вашия Linux сървър

Не забравяйте, че втвърдяването на Linux и поддържането на сигурността на сървъра не е еднократна дейност.

Вместо това това е непрекъснат процес, който започва с инсталиране на редовни актуализации, защита на вашия сървър с помощта на защитни стени и се простира до деинсталиране на целия несъществен софтуер. Накрая завършва с провеждане на одити за сигурност, за да се държат хакерите на разстояние.

За автора