В этом руководстве перечислены начальные меры безопасности как для пользователей настольных компьютеров, так и для системных администраторов, управляющих серверами.
В руководстве указывается, когда рекомендация адресована домашним или профессиональным пользователям.
Несмотря на то, что нет подробных объяснений или инструкций по применению каждого элемента, в конце каждого из них вы найдете полезные ссылки с руководствами.
Ранее мы уже рассмотрели базовые вещи:
| Политика | Домашний пользователь | Сервер |
| Отключение SSH | ✔ | x |
| Отключение доступа root по SSH | x | ✔ |
| Смена SSH порта | x | ✔ |
| Отключение входа по SSH по паролю | x | ✔ |
| Iptables | ✔ | ✔ |
| IDS (Intrusion Detection System) | x | ✔ |
| Безопасность BIOS | ✔ | ✔ |
| Шифрование диска | ✔ | x/✔ |
| Системные обновления | ✔ | ✔ |
| VPN (Virtual Private Network) | ✔ | x |
| Включение SELinux | ✔ | ✔ |
| Общие практики | ✔ | ✔ |
Содержание
Доступ по SSH
Домашние пользователи:
Домашние пользователи на самом деле не используют ssh, динамические IP-адреса и конфигурации NAT маршрутизатора сделали альтернативы с обратным подключением, такие как TeamViewer, более привлекательными.
Когда служба не используется, порт должен быть закрыт как путем отключения или удаления службы, так и путем применения ограничительных правил брандмауэра.
Серверы
В отличие от домашних пользователей, работающих с разными серверами, сетевые администраторы часто используют ssh/sftp.
Если вам необходимо оставить службу ssh включенной, вы можете принять следующие меры:
- Отключить root-доступ через SSH.
- Отключить вход по паролю.
- Изменить порт SSH.
Рекомендации:
- Настройка SSH для упрощения вашей жизни
- 🔐 Настройка входа по SSH без пароля для нескольких удаленных серверов с помощью скрипта
- 🖧 8 способов предотвратить атаки брутфорс на SSH на Linux (CentOS / RHEL)
- 🔒 Как установить Fail2Ban для защиты SSH на CentOS / RHEL 8
- Как легко настроить SSH в Linux с EasySSH
Iptables
Iptables – это интерфейс для управления netfilter для определения правил брандмауэра.
Домашние пользователи Ubuntu могут склоняться к UFW (несложный брандмауэр), который является интерфейсом для iptables, упрощающим создание правил брандмауэра.
Независимо от интерфейса, сразу после настройки брандмауэр применяется в первую очередь.
В зависимости от потребностей вашего компьютера или сервера наиболее рекомендуемыми из соображений безопасности являются ограничительные политики, разрешающие только то, что вам нужно, и блокирующие все остальное.
Iptables будет использоваться для перенаправления SSH-порта 22 на другой порт, для блокировки ненужных портов, фильтрации служб и установки правил для известных атак.
Рекомендации:
- 🖧 Общие правила брандмауэра iptables для сетевых администраторов
- Учебное пособие по брандмауэру Linux: таблицы, цепочки, основы IPTables на пальцах
- Как сделать правила iptables постоянными после перезагрузки в Linux
- Как настроить IPtables для открытия портов в CentOS / RHEL
- Как добавить комментарии к правилам iptables в Linux
Intrusion Detection System (IDS)
Из-за того, что им требуются большие ресурсы, IDS не используются домашними пользователями, но они необходимы на серверах, подверженных атакам.
IDS выводит безопасность на новый уровень, позволяя анализировать пакеты.
Наиболее известными IDS являются Snort и OSSEC, о которых ранее рассказывалось на ITsec for You.
IDS анализирует трафик в сети в поисках вредоносных пакетов или аномалий, это инструмент сетевого мониторинга, ориентированный на инциденты безопасности.
Рекомендации:
Безопасность BIOS
Шифрование жесткого диска
Эта мера более актуальна для пользователей настольных компьютеров, которые могут потерять свой компьютер или стать жертвой кражи, она особенно полезна для пользователей портативных компьютеров.
Сегодня почти каждая ОС поддерживает шифрование дисков и разделов, такие дистрибутивы, как Debian, позволяют шифровать жесткий диск в процессе установки.
- 🔐 Как зашифровать файлы на ваших серверах Linux с помощью gocryptfs
- 🐧 Как зашифровать каталоги с помощью eCryptfs на Linux
- 🔐 Как зашифровать файлы для защиты персональных и коммерческих данных?
- #️⃣ Как зашифровать диски с помощью LUKS в Fedora Linux
- Как зашифровать и расшифровать файл с помощью PGPTOOL в UBUNTU
- Как зашифровать и расшифровать файлы и каталоги, используя Tar и OpenSSL
- Основы Linux: как скрыть, заблокировать, зашифровать и защитить ваши файлы в Linux
Системные обновления
И пользователи настольных компьютеров, и системный администратор должны поддерживать систему в актуальном состоянии, чтобы уязвимые версии не вовремя обновлялись.
Помимо использования предоставленного ОС диспетчера пакетов для проверки доступных обновлений, запуск сканирования уязвимостей может помочь обнаружить уязвимое программное обеспечение, которое не было обновлено в официальных репозиториях, или уязвимый код, который необходимо переписать.
Ниже приведены некоторые руководства по обновлениям:
- 🕵️ RHEL 8 Как обновить установленные пакеты для безопасности
- Как обновить Kali Linux
- 🐧 Как установить только обновления / патчи безопасности на CentOS 8
- 🐧 Как вывести список или установить только обновления безопасности с помощью dnf в CentOS / RHEL 8
- 📥 Как вручную установить обновления безопасности на Debian / Ubuntu
- 🇹🇰 Как проверить доступные обновления безопасности в системе Red Hat (RHEL) и CentOS
- Как автоматически получать обновления безопасности Debian
VPN (виртуальная частная сеть)
Пользователи Интернета должны знать, что интернет-провайдеры контролируют весь их трафик, и единственный способ позволить себе это – использовать службу VPN.
Интернет-провайдер может отслеживать трафик к серверу VPN, но не от VPN к пунктам назначения.
Включить SELinux (Security-Enhanced Linux)
Когда SELinux включен, приложение может получить доступ только к тем ресурсам, которые ему необходимы, указанным в политике безопасности для приложения.
Доступ к портам, процессам, файлам и каталогам контролируется с помощью правил, определенных в SELinux, которые разрешают или запрещают операции на основе политик безопасности.
Ubuntu использует AppArmor в качестве альтернативы.
Рекомендации:
Общие практики
Почти всегда сбои в системе безопасности происходят из-за халатности пользователя.
Дополнительно ко всем пунктам, пронумерованным ранее, выполните следующие действия:
- Не используйте root без необходимости.
- Никогда не используйте иксовые окна или браузеры от рута.
- Используйте менеджеры паролей, такие как например LastPass.
- Используйте только надежные и уникальные пароли.
- Старайтесь не устанавливать несвободные пакеты или пакеты, недоступные в официальных репозиториях.
- Отключите неиспользуемые модули.
- На серверах применяйте надежные пароли и не позволяйте пользователям использовать старые пароли.
- Удалите неиспользуемое программное обеспечение.
- Не используйте одни и те же пароли для разных сервисов.
- Измените все имена пользователей доступа по умолчанию.
Надеюсь, вы нашли эту статью полезной для повышения вашей безопасности.
