✔️ Контрольный список повышения безопасности Linux ( чек-лист )

Статьи
В этом руководстве перечислены начальные меры безопасности как для пользователей настольных компьютеров, так и для системных администраторов, управляющих серверами.
В руководстве указывается, когда рекомендация адресована домашним или профессиональным пользователям.
Несмотря на то, что нет подробных объяснений или инструкций по применению каждого элемента, в конце каждого из них вы найдете полезные ссылки с руководствами.
Ранее мы уже рассмотрели базовые вещи:
Политика Домашний пользователь   Сервер
Отключение SSH x
Отключение доступа root по SSH x
Смена SSH порта x
Отключение входа по SSH по паролю x
Iptables
IDS (Intrusion Detection System) x
Безопасность BIOS 
Шифрование диска x/✔
Системные обновления
VPN (Virtual Private Network) x
Включение SELinux
Общие практики

 

Доступ по SSH

Домашние пользователи:

Домашние пользователи на самом деле не используют ssh, динамические IP-адреса и конфигурации NAT маршрутизатора сделали альтернативы с обратным подключением, такие как TeamViewer, более привлекательными.
Когда служба не используется, порт должен быть закрыт как путем отключения или удаления службы, так и путем применения ограничительных правил брандмауэра.

Серверы

В отличие от домашних пользователей, работающих с разными серверами, сетевые администраторы часто используют ssh/sftp.
Если вам необходимо оставить службу ssh включенной, вы можете принять следующие меры:
  • Отключить root-доступ через SSH.
  • Отключить вход по паролю.
  • Изменить порт SSH.
Рекомендации:

Iptables

Iptables – это интерфейс для управления netfilter для определения правил брандмауэра.
Домашние пользователи Ubuntu могут склоняться к UFW (несложный брандмауэр), который является интерфейсом для iptables, упрощающим создание правил брандмауэра.
Независимо от интерфейса, сразу после настройки брандмауэр применяется в первую очередь.
В зависимости от потребностей вашего компьютера или сервера наиболее рекомендуемыми из соображений безопасности являются ограничительные политики, разрешающие только то, что вам нужно, и блокирующие все остальное.
Iptables будет использоваться для перенаправления SSH-порта 22 на другой порт, для блокировки ненужных портов, фильтрации служб и установки правил для известных атак.
Рекомендации:

Intrusion Detection System (IDS)

Из-за того, что им требуются большие ресурсы, IDS не используются домашними пользователями, но они необходимы на серверах, подверженных атакам.
IDS выводит безопасность на новый уровень, позволяя анализировать пакеты.
Наиболее известными IDS являются Snort и OSSEC, о которых ранее рассказывалось на ITsec for You.
IDS анализирует трафик в сети в поисках вредоносных пакетов или аномалий, это инструмент сетевого мониторинга, ориентированный на инциденты безопасности.
Рекомендации:

Безопасность BIOS

Эта мера более актуальна для пользователей настольных компьютеров, которые могут потерять свой компьютер или стать жертвой кражи, она особенно полезна для пользователей портативных компьютеров.
Сегодня почти каждая ОС поддерживает шифрование дисков и разделов, такие дистрибутивы, как Debian, позволяют шифровать жесткий диск в процессе установки.

Системные обновления

И пользователи настольных компьютеров, и системный администратор должны поддерживать систему в актуальном состоянии, чтобы уязвимые версии не вовремя обновлялись.
Помимо использования предоставленного ОС диспетчера пакетов для проверки доступных обновлений, запуск сканирования уязвимостей может помочь обнаружить уязвимое программное обеспечение, которое не было обновлено в официальных репозиториях, или уязвимый код, который необходимо переписать.
Ниже приведены некоторые руководства по обновлениям:

VPN (виртуальная частная сеть)

Когда SELinux включен, приложение может получить доступ только к тем ресурсам, которые ему необходимы, указанным в политике безопасности для приложения.
Доступ к портам, процессам, файлам и каталогам контролируется с помощью правил, определенных в SELinux, которые разрешают или запрещают операции на основе политик безопасности.
Ubuntu использует AppArmor в качестве альтернативы.
Рекомендации:

Общие практики

Почти всегда сбои в системе безопасности происходят из-за халатности пользователя.

Дополнительно ко всем пунктам, пронумерованным ранее, выполните следующие действия:

  • Не используйте root без необходимости.
  • Никогда не используйте иксовые окна или браузеры от рута.
  • Используйте менеджеры паролей, такие как например LastPass.
  • Используйте только надежные и уникальные пароли.
  • Старайтесь не устанавливать несвободные пакеты или пакеты, недоступные в официальных репозиториях.
  • Отключите неиспользуемые модули.
  • На серверах применяйте надежные пароли и не позволяйте пользователям использовать старые пароли.
  • Удалите неиспользуемое программное обеспечение.
  • Не используйте одни и те же пароли для разных сервисов.
  • Измените все имена пользователей доступа по умолчанию.
Надеюсь, вы нашли эту статью полезной для повышения вашей безопасности.
Добавить комментарий