Lista kontrolna wzmacniania zabezpieczeń systemu Linux

Ten samouczek wylicza początkowe środki bezpieczeństwa zarówno dla użytkowników komputerów stacjonarnych, jak i administratorów zarządzających serwerami. Samouczek określa, kiedy rekomendacja jest skierowana do użytkowników domowych lub profesjonalnych. Pomimo tego, że nie ma głębokiego wyjaśnienia ani instrukcji, aby zastosować każdy element, na końcu każdego znajdziesz przydatne linki z samouczkami.

Polityka	Użytkownik domowy	serwer
Wyłącz SSH	✔	x
Wyłącz dostęp do roota SSH	x	✔
Zmień port SSH	x	✔
Wyłącz logowanie hasłem SSH	x	✔
Iptables	✔	✔
IDS (system wykrywania włamań)	x	✔
Bezpieczeństwo BIOS	✔	✔
Szyfrowanie dysku	✔	x/✔
Aktualizacja systemu	✔	✔
VPN (wirtualna sieć prywatna)	✔	x
Włącz SELinux	✔	✔
Wspólne praktyki	✔	✔

• Dostęp SSH
• Zapora (iptable)
• System wykrywania włamań (IDS)
• Bezpieczeństwo BIOS
• Szyfrowanie dysku twardego
• Aktualizacja systemu
• VPN (wirtualna sieć prywatna)
• Włącz SELinux (Linux z ulepszonymi zabezpieczeniami)
• Wspólne praktyki

Dostęp SSH

Użytkownicy domowi:

Użytkownicy domowi tak naprawdę nie używają cisza, dynamiczne adresy IP i konfiguracje NAT routera sprawiły, że alternatywy z odwrotnym połączeniem, takie jak TeamViewer, stały się bardziej atrakcyjne. Gdy usługa nie jest używana, port musi zostać zamknięty zarówno poprzez wyłączenie lub usunięcie usługi, jak i zastosowanie restrykcyjnych reguł zapory.

Serwery:
W przeciwieństwie do użytkowników domowych, którzy mają dostęp do różnych serwerów, administratorzy sieci są częstymi użytkownikami ssh/sftp. Jeśli musisz mieć włączoną usługę ssh, możesz podjąć następujące kroki:

• Wyłącz dostęp roota przez SSH.
• Wyłącz logowanie hasłem.
• Zmień port SSH.

Typowe opcje konfiguracji SSH Ubuntu

Iptables

Iptables to interfejs do zarządzania netfilterem w celu zdefiniowania reguł zapory sieciowej. Użytkownicy domowi mogą dążyć do UFW (Uncomplicated Firewall), który jest frontendem dla iptables, aby ułatwić tworzenie reguł zapory. Niezależnie od interfejsu punkt jest natychmiast po konfiguracji, zapora jest jedną z pierwszych zmian, które należy zastosować. W zależności od potrzeb komputera stacjonarnego lub serwera najbardziej zalecane ze względów bezpieczeństwa są restrykcyjne zasady, które pozwalają tylko na to, czego potrzebujesz, a resztę blokują. Iptables posłuży do przekierowywania portu SSH 22 na inny, blokowania niepotrzebnych portów, filtrowania usług oraz ustawiania reguł znanych ataków.

Aby uzyskać więcej informacji na temat iptables, sprawdź: Iptables dla początkujących

System wykrywania włamań (IDS)

Ze względu na duże zasoby, których wymagają IDS nie są używane przez użytkowników domowych, ale są niezbędne na serwerach narażonych na ataki. IDS przenosi bezpieczeństwo na wyższy poziom, umożliwiając analizę pakietów. Najbardziej znanymi IDS są Snort i OSSEC, oba wcześniej wyjaśnione w LinuxHint. IDS analizuje ruch w sieci w poszukiwaniu złośliwych pakietów lub anomalii, jest narzędziem do monitorowania sieci zorientowanym na incydenty bezpieczeństwa. Aby uzyskać instrukcje dotyczące instalacji i konfiguracji dla 2 najpopularniejszych rozwiązań IDS, sprawdź: Konfiguruj Snort IDS i Utwórz reguły

Pierwsze kroki z OSSEC (systemem wykrywania włamań)

Bezpieczeństwo BIOS

Rootkity, złośliwe oprogramowanie i system BIOS serwera ze zdalnym dostępem stanowią dodatkowe luki w zabezpieczeniach serwerów i komputerów stacjonarnych. BIOS można zhakować za pomocą kodu wykonywanego z systemu operacyjnego lub kanałów aktualizacji, aby uzyskać nieautoryzowany dostęp lub zapomnieć o informacjach, takich jak kopie zapasowe zabezpieczeń.

Aktualizuj mechanizmy aktualizacji BIOS. Włącz ochronę integralności systemu BIOS.

Zrozumienie procesu rozruchu — BIOS kontra UEFI

Szyfrowanie dysku twardego

Jest to miara bardziej odpowiednia dla użytkowników komputerów stacjonarnych, którzy mogą stracić komputer lub być ofiarą kradzieży, jest szczególnie przydatna dla użytkowników laptopów. Obecnie prawie każdy system operacyjny obsługuje szyfrowanie dysków i partycji, dystrybucje takie jak Debian umożliwiają szyfrowanie dysku twardego podczas procesu instalacji. Aby uzyskać instrukcje dotyczące szyfrowania dysku, sprawdź: Jak zaszyfrować dysk w systemie Ubuntu 18.04

Aktualizacja systemu

Zarówno użytkownicy komputerów stacjonarnych, jak i administratorzy muszą aktualizować system, aby uniemożliwić podatnym na ataki wersje oferowania nieautoryzowanego dostępu lub wykonania.  Oprócz używania menedżera pakietów dostarczonego z systemem operacyjnym do sprawdzania dostępnych aktualizacji uruchamianie skanowania podatności może pomóc w wykryciu podatnego oprogramowania, które nie zostało zaktualizowane w oficjalnych repozytoriach lub podatnego kodu, który musi zostać przepisany. Poniżej kilka samouczków na temat aktualizacji:

• Jak zachować Ubuntu 17.10 do daty
• Linux Mint Jak zaktualizować system
• Jak zaktualizować wszystkie pakiety w podstawowym systemie operacyjnym?

VPN (wirtualna sieć prywatna)

Internauci muszą mieć świadomość, że dostawcy usług internetowych monitorują cały ich ruch, a jedynym sposobem, aby sobie na to pozwolić, jest korzystanie z usługi VPN. Dostawca usług internetowych jest w stanie monitorować ruch do serwera VPN, ale nie z VPN do miejsc docelowych. Najbardziej godne polecenia są płatne usługi z powodu problemów z prędkością, ale istnieją bezpłatne dobre alternatywy, takie jak https://protonvpn.pl/.

• Najlepszy VPN dla Ubuntu Ubuntu
• Jak zainstalować i skonfigurować OpenVPN w Debianie 9?

Włącz SELinux (Linux z ulepszonymi zabezpieczeniami)

SELinux to zestaw modyfikacji jądra Linuksa skoncentrowanych na zarządzaniu aspektami bezpieczeństwa związanymi z politykami bezpieczeństwa poprzez dodanie MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) i Multi Category Security (MCS).  Gdy SELinux jest włączony, aplikacja może uzyskać dostęp tylko do zasobów, których potrzebuje, określonych w polityce bezpieczeństwa dla aplikacji. Dostęp do portów, procesów, plików i katalogów jest kontrolowany przez reguły zdefiniowane w SELinux, które zezwalają lub odmawiają operacji w oparciu o zasady bezpieczeństwa. Ubuntu używa AppArmor jako alternatywy.

• SELinux w samouczku Ubuntu

Wspólne praktyki

Prawie zawsze awarie bezpieczeństwa wynikają z zaniedbań użytkownika. Dodatkowo do wszystkich punktów ponumerowanych wcześniej postępuj zgodnie z kolejnymi praktykami:

• Nie używaj roota, chyba że jest to konieczne.
• Nigdy nie używaj X Windows lub przeglądarek jako root.
• Użyj menedżerów haseł, takich jak LastPass.
• Używaj tylko silnych i unikalnych haseł.
• Spróbuj nie instalować niewolnych pakietów lub pakietów niedostępnych w oficjalnych repozytoriach.
• Wyłącz nieużywane moduły.
• Na serwerach wymuszają silne hasła i uniemożliwiają użytkownikom używanie starych haseł.
• Odinstaluj nieużywane oprogramowanie.
• Nie używaj tych samych haseł do różnych dostępów.
• Zmień wszystkie domyślne nazwy użytkowników dostępu.

Polityka	Użytkownik domowy	serwer
Wyłącz SSH	✔	x
Wyłącz dostęp do roota SSH	x	✔
Zmień port SSH	x	✔
Wyłącz logowanie hasłem SSH	x	✔
Iptables	✔	✔
IDS (system wykrywania włamań)	x	✔
Bezpieczeństwo BIOS	✔	✔
Szyfrowanie dysku	✔	x/✔
Aktualizacja systemu	✔	✔
VPN (wirtualna sieć prywatna)	✔	x
Włącz SELinux	✔	✔
Wspólne praktyki	✔	✔

Mam nadzieję, że ten artykuł okazał się przydatny dla zwiększenia bezpieczeństwa. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących systemu Linux i sieci.