7 способов повысить безопасность сервера Linux



В течение долгого времени у Linux была репутация безопасности через неизвестность. Преимущество пользователей в том, что они не являются основной целью хакеров, и им не нужно беспокоиться. Этот факт больше не действителен, и в 2017 и 2018 годах мы увидели множество хакеров, использующих ошибки и сбои в Linux, которые находят хитрые способы установки вредоносных программ, вирусов, руткитов и многого другого.

В связи с недавним потоком эксплойтов, вредоносных программ и других неприятностей, причиняющих вред пользователям Linux, сообщество open source отреагировало усилением функций безопасности. Тем не менее, этого недостаточно, и если вы используете Linux на сервере, неплохо было бы взглянуть на наш список и узнать, как можно повысить безопасность сервера Linux.



1. Используйте SELinux


SELinux, AKA Security-Enhanced Linux - это инструмент безопасности, встроенный в ядро Linux. После включения он может легко реализовать выбранную вами политику безопасности, которая является обязательной для надежного сервера Linux.

Многие серверные операционные системы на базе RedHat поставляются с включенным SELinux и настроены с довольно хорошими настройками по умолчанию. Тем не менее, не все ОС поддерживают SELinux по умолчанию, поэтому мы покажем вам, как его включить.

Примечание. Для пакетов Snap требуется AppArmor, альтернатива SELinux. Если вы решите использовать SELinux, в некоторых операционных системах Linux вы не сможете использовать Snaps.


CentOS/RHEL

CentOS и RedHat Enterprise Linux поставляются с системой безопасности SELinux. Он предварительно настроен для обеспечения безопасности, поэтому никаких дополнительных инструкций не требуется.


Сервер Ubuntu


С момента появления Karmic Koala в Ubuntu стало очень легко включать средство безопасности SELinux. Чтобы настроить его, введите следующие команды.

sudo apt install selinux

Debian


Как и в Ubuntu, Debian очень легко настраивает SELinux. Для этого введите следующие команды.

sudo apt-get install selinux-basics selinux-policy-default auditd

После того, как вы закончите установку SELinux в Debian, проверьте вики-статью о программном обеспечении. Он охватывает много необходимой информации для использования в операционной системе.

man selinux

Инструкция SELinux


После того, как вы запустили SELinux, сделайте себе одолжение и прочтите руководство по SELinux. Узнайте, как это работает. Ваш сервер поблагодарит вас!

Чтобы получить доступ к руководству SELinux, введите следующую команду в сеансе терминала.


2. Отключите рут-аккаунт

Одна из самых разумных вещей, которые вы можете сделать для защиты своего Linux-сервера, - отключить учетную запись Root и использовать только привилегии Sudoer для выполнения системных задач. Отключив доступ к этой учетной записи, вы сможете гарантировать, что злоумышленники не смогут получить полный доступ к системным файлам, установить проблемное программное обеспечение (например, вредоносное ПО) и т. д.

Блокировать учетную запись Root в Linux легко, и на самом деле во многих операционных системах Linux-серверов (таких как Ubuntu) она уже отключена в качестве меры предосторожности. Для получения дополнительной информации об отключении Root-доступа ознакомьтесь с этим руководством. В нем мы поговорим о том, как заблокировать учетную запись Root.


3. Защитите свой SSH сервер


SSH часто является серьезным слабым местом на многих серверах Linux, так как многие администраторы Linux предпочитают использовать настройки SSH по умолчанию, поскольку их легче раскручивать, чем тратить время на блокировку всего.

Небольшие шаги по защите SSH-сервера в вашей системе Linux могут снизить риск несанкционированных пользователей, атак вредоносных программ, кражи данных и многого другого.

В прошлом о Addictivetips я писал подробный пост о том, как защитить Linux-сервер SSH. 

4. Всегда устанавливайте обновления


Это кажется очевидным, но вы удивитесь, узнав, сколько операторов серверов Linux отказываются от обновлений в своей системе. Выбор понятен, так как каждое обновление может испортить работающие приложения, но, избегая обновлений системы, вы упускаете патчи безопасности, которые исправляют эксплойты и ошибки, которые хакеры используют для вскрытия систем Linux.

Это правда, что обновление на производственном сервере Linux намного более раздражает, чем когда-либо будет на рабочем столе. Простой факт в том, что вы не можете просто остановить все, чтобы установить патчи. Чтобы обойти это, рассмотрите возможность установки запланированного графика обновления.

Чтобы быть ясным, нет никакой науки о расписании обновлений. Они могут варьироваться в зависимости от вашего варианта использования, но лучше устанавливать патчи еженедельно или раз в две недели для максимальной безопасности.


6. Нет сторонних программных репозиториев

Самое замечательное в использовании Linux заключается в том, что если вам нужна программа, при условии, что вы используете правильный дистрибутив, доступен сторонний репозиторий программного обеспечения. Проблема заключается в том, что многие из этих программных репозиториев могут запутаться в вашей системе, и в них регулярно появляется вредоносное ПО. Дело в том, что если вы используете установку Linux, зависящую от программного обеспечения, полученного из непроверенных сторонних источников, проблемы могут возникнуть.

Если вам нужен доступ к программному обеспечению, которое по умолчанию не распространяется в вашей операционной системе Linux, пропустите сторонние репозитории программного обеспечения для пакетов Snap. В магазине десятки серверных приложений. Лучше всего то, что каждое из приложений в магазине Snap регулярно проходит аудит безопасности.

7. Используйте брандмауэр

На сервере наличие эффективной системы брандмауэра - это все. Если у вас есть такая настройка, вы избежите многих надоедливых злоумышленников, с которыми вы бы иначе вступили в контакт. С другой стороны, если вам не удастся настроить эффективную систему брандмауэра, ваш сервер Linux сильно пострадает.

В Linux существует довольно много разных брандмауэров. Имея это в виду, некоторые легче понять, чем другие. Безусловно, одним из самых простых (и наиболее эффективных) брандмауэров в Linux является FirewallD.

Примечание: чтобы использовать FirewallD, вы должны использовать серверную ОС с системой инициализации SystemD.

Чтобы включить FirewallD, вам сначала нужно его установить. Запустите окно терминала и введите команды, соответствующие вашей операционной системе Linux.


Сервер Ubuntu


sudo systemctl disable ufw 
sudo systemctl stop ufw 
sudo apt install firewalld

Debian


sudo apt-get install firewalld

CentOS/RHEL


sudo yum install firewalld

Если в системе установлено программное обеспечение, включите его с помощью Systemd.

sudo systemctl enable firewalld 
sudo systemctl start firewalld


Заключение

Проблемы безопасности все чаще встречаются на серверах Linux. К сожалению, поскольку Linux продолжает становиться все более и более популярным в корпоративном пространстве, эти проблемы будут только более распространенными. Если вы будете следовать советам по безопасности в этом списке, вы сможете предотвратить большинство этих атак.
7 способов повысить безопасность сервера Linux 7 способов повысить безопасность сервера Linux Reviewed by Admin on февраля 23, 2019 Rating: 5

Комментариев нет: