Politika | Kućni korisnik | Poslužitelj |
Onemogući SSH | ✔ | x |
Onemogući pristup SSH korijenu | x | ✔ |
Promijenite SSH priključak | x | ✔ |
Onemogući prijavu SSH lozinke | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sustav za otkrivanje upada) | x | ✔ |
Sigurnost BIOS-a | ✔ | ✔ |
Šifriranje diska | ✔ | x / ✔ |
Ažuriranje sustava | ✔ | ✔ |
VPN (virtualna privatna mreža) | ✔ | x |
Omogućite SELinux | ✔ | ✔ |
Uobičajena praksa | ✔ | ✔ |
- SSH pristup
- Vatrozid (iptables)
- Sustav za otkrivanje provala (IDS)
- Sigurnost BIOS-a
- Šifriranje tvrdog diska
- Ažuriranje sustava
- VPN (virtualna privatna mreža)
- Omogući SELinux (Linux s poboljšanom sigurnošću)
- Uobičajena praksa
SSH pristup
Korisnici kod kuće:
Kućni korisnici zapravo ne koriste ssh, dinamičke IP adrese i NAT konfiguracije usmjerivača učinile su alternative s obrnutom vezom poput TeamViewera privlačnijima. Kada se usluga ne koristi, luka se mora zatvoriti onemogućavanjem ili uklanjanjem usluge i primjenom restriktivnih pravila vatrozida.
Poslužitelji:
Suprotno domaćim radnicima koji pristupaju različitim poslužiteljima, mrežni administratori su česti ssh / sftp korisnici. Ako morate omogućiti ssh uslugu, možete poduzeti sljedeće mjere:
- Onemogućite root pristup putem SSH-a.
- Onemogući prijavu lozinkom.
- Promijenite SSH priključak.
Uobičajene opcije konfiguracije SSH Ubuntu
Iptable
Iptables je sučelje za upravljanje netfilterom za definiranje pravila vatrozida. Kućni korisnici mogu se usredotočiti na UFW (nekomplicirani vatrozid) koji je prednji dio za iptables kako bi olakšao stvaranje pravila vatrozida. Neovisno o sučelju, točka je odmah nakon postavljanja vatrozid među prvim promjenama koje se primjenjuju. Ovisno o potrebama vaše radne površine ili poslužitelja, zbog sigurnosnih razloga najviše se preporučuju restriktivna pravila koja dopuštaju samo ono što vam treba dok blokirate ostalo. Iptables će se koristiti za preusmjeravanje SSH porta 22 na drugi, za blokiranje nepotrebnih portova, filtriranje usluga i postavljanje pravila za poznate napade.
Za više informacija o iptables provjerite: Iptables za početnike
Sustav za otkrivanje provala (IDS)
Zbog visokih resursa koji su im potrebni IDS kućni korisnici ne koriste, ali su nužni na poslužiteljima izloženim napadima. IDS dovodi sigurnost na sljedeću razinu omogućavajući analizu paketa. Najpoznatiji IDS su Snort i OSSEC, oba prethodno objašnjena u LinuxHintu. IDS analizira promet preko mreže tražeći zlonamjerne pakete ili anomalije, to je alat za nadzor mreže usmjeren na sigurnosne incidente. Za upute o instalaciji i konfiguraciji za najpopularnija IDS rješenja provjerite: Konfiguriranje Snort IDS-a i Stvaranje pravila
Početak rada s OSSEC-om (sustav za otkrivanje upada)
Sigurnost BIOS-a
Rootkitovi, malwaresi i BIOS poslužitelja s udaljenim pristupom predstavljaju dodatne ranjivosti za poslužitelje i radne površine. BIOS se može hakirati putem koda izvedenog iz OS-a ili putem kanala za ažuriranje kako bi se dobio neovlašteni pristup ili zaboravili podaci poput sigurnosnih kopija.
Redovito ažurirajte mehanizme ažuriranja BIOS-a. Omogućite zaštitu integriteta BIOS-a.
Razumijevanje postupka pokretanja - BIOS protiv UEFI
Šifriranje tvrdog diska
Ovo je mjera relevantnija za korisnike stolnih računala koji mogu izgubiti računalo ili biti žrtva krađe, posebno je korisna za korisnike prijenosnih računala. Danas gotovo svaki OS podržava šifriranje diska i particija, distribucije poput Debiana omogućuju šifriranje tvrdog diska tijekom instalacijskog postupka. Za upute o provjeri šifriranja diska: Kako šifrirati pogon na Ubuntu 18.04
Ažuriranje sustava
I korisnici stolnih računala i sysadmin moraju redovito ažurirati sustav kako bi spriječili ranjive verzije da nude neovlašteni pristup ili izvršenje. Uz upotrebu upravitelja paketa koji nudi OS za provjeru dostupnih ažuriranja koja se izvršavaju skeniranja ranjivosti, može pomoći u otkrivanju ranjivog softvera koji nije ažuriran na službenim spremištima ili ranjivom kodu koji treba prepisati. Ispod nekoliko vodiča o ažuriranjima:
- Kako zadržati Ubuntu 17.10 do danas
- Linux Mint Kako ažurirati sustav
- Kako ažurirati sve pakete na osnovnom OS-u
VPN (virtualna privatna mreža)
Korisnici interneta moraju biti svjesni da ISP-ovi nadziru sav njihov promet i jedini način da si to priušte je upotreba VPN usluge. ISP je u mogućnosti nadzirati promet na VPN poslužitelju, ali ne i od VPN-a do odredišta. Zbog problema s brzinom najviše se preporučuju plaćene usluge, ali postoje besplatne dobre alternative poput https: // protonvpn.com /.
- Najbolji Ubuntu VPN
- Kako instalirati i konfigurirati OpenVPN na Debianu 9
Omogući SELinux (Linux s poboljšanom sigurnošću)
SELinux je skup modifikacija Linux kernela usredotočenih na upravljanje sigurnosnim aspektima povezanim sa sigurnosnim politikama dodavanjem MAC-a (Mehanizam kontrole pristupa), RBAC (Kontrola pristupa zasnovanog na ulogama), MLS (Višerazinska sigurnost) i Višekategorijska sigurnost (MCS). Kad je omogućen SELinux, aplikacija može pristupiti samo resursima koji su joj potrebni navedeni u sigurnosnoj politici aplikacije. Pristup priključcima, procesima, datotekama i direktorijima kontrolira se putem pravila definiranih na SELinux-u koja dopuštaju ili odbijaju radnje temeljene na sigurnosnim politikama. Ubuntu koristi AppArmor kao alternativu.
- SELinux na Ubuntu vodiču
Uobičajena praksa
Gotovo uvijek sigurnosni propusti nastaju zbog nemara korisnika. Uz sve točke koje su prethodno numerirane, slijedite i sljedeće postupke:
- Ne koristite root ako nije potrebno.
- Nikada nemojte koristiti X Windows ili preglednike kao root.
- Koristite upravitelje lozinki poput LastPass-a.
- Koristite samo snažne i jedinstvene lozinke.
- Pokušajte ne instalirati neslobodne pakete ili pakete koji nisu dostupni u službenim spremištima.
- Onemogućite neiskorištene module.
- Na poslužiteljima nameću jake lozinke i sprečavaju korisnike da koriste stare lozinke.
- Deinstalirajte neiskorišteni softver.
- Nemojte koristiti iste lozinke za različite pristupe.
- Promijenite sva zadana korisnička imena.
Politika | Kućni korisnik | Poslužitelj |
Onemogući SSH | ✔ | x |
Onemogući pristup SSH korijenu | x | ✔ |
Promijenite SSH priključak | x | ✔ |
Onemogući prijavu SSH lozinke | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sustav za otkrivanje upada) | x | ✔ |
Sigurnost BIOS-a | ✔ | ✔ |
Šifriranje diska | ✔ | x / ✔ |
Ažuriranje sustava | ✔ | ✔ |
VPN (virtualna privatna mreža) | ✔ | x |
Omogućite SELinux | ✔ | ✔ |
Uobičajena praksa | ✔ | ✔ |
Nadam se da vam je ovaj članak bio koristan za povećanje sigurnosti. Nastavite pratiti LinuxHint za više savjeta i ažuriranja o Linuxu i umrežavanju.