7 viisi Linuxi serveri turvalisuse parandamiseks

Pikka aega on Linuxil olnud turvatunnetuse varjatus. Kasutajate eeliseks oli see, et nad ei olnud häkkerite peamine eesmärk ja nad ei pidanud muretsema. See fakt ei kehti enam ning 2017. ja 2018. aastal nägime häkkerite suurt hulka, kes kasutasid Linuxi vigu ja tõrkeid, leidsid keerulisi viise pahavara, viiruste, juurkomplektid ja veel.

Kuna Linuxi kasutajaid on hiljuti riknenud ekspluateerimine, pahavara ja muud halvad asjad, on avatud lähtekoodiga kogukond reageerinud turvaelementide täiendamine. Sellest siiski ei piisa ja kui kasutate Linuxis serverit, on hea vaadata meie loendit ja õppida, kuidas Linuxi serveri turvalisust parandada.

1. Kasutage SELinuxi

SELinux, AKA turvalisusega täiustatud Linux on turvalisuse tööriist, mis on sisse ehitatud Linuxi kernel. Kui see on sisse lülitatud, saab see hõlpsalt jõustada teie valitud turvapoliitika, mis on hädavajalik kindlale Linuxi serverile.

Paljude RedHat-põhiste serveri opsüsteemide puhul on SELinux lubatud ja vaikimisi konfigureeritud. Seda öeldes, mitte kõik sealsed OS-id vaikimisi SELinuxi ei toeta, seega näitame teile, kuidas see sisse lülitada.

Märkus. Snap-paketid vajavad SELinuxi alternatiivi AppArmor. Kui otsustate teatavates Linuxi opsüsteemides kasutada SELinuxi, ei pruugi te Snapsit kasutada.

CentOS / Rhel

Nii CentOS kui ka RedHat Enterprise Linux tarnivad turvasüsteemiga SELinux. See on hea turvalisuse jaoks eelkonfigureeritud, seega pole täiendavaid juhiseid vaja.

Ubuntu server

Umbuntu on alates Karmic Koalast teinud SELinuxi turberiista lubamise väga lihtsaks. Selle seadistamiseks sisestage järgmised käsud.

sudo apt install selinux

Debian

Nii nagu Ubuntul, muudab Debian SELinuxi seadistamise väga lihtsaks. Selleks sisestage järgmised käsud.

sudo apt-get install selinux-basics selinux-policy-default auditd

Kui olete SELinuxi Debianisse installinud, vaadake tarkvara Wiki kirjet. See hõlmab palju vajalikku teavet selle kasutamiseks opsüsteemis.

SELinuxi käsiraamat

Kui olete SELinuxi tööle pannud, tehke endale teene ja lugege SELinuxi käsiraamatust. Siit saate teada, kuidas see töötab. Teie server tänab teid!

SELinuxi käsiraamatu juurde pääsemiseks sisestage järgmine käsk terminalisessiooniks.

mees selinux

2. Keela Root konto

Üks nutikamaid asju, mida saate oma Linuxi serveri turvamiseks teha, on Root-konto väljalülitamine ja süsteemiülesannete täitmiseks ainult Sudoeri privileegide kasutamine. Sellele kontole juurdepääsu sulgemise kaudu saate tagada, et halvad osalejad ei pääse süsteemifailidele täieliku juurdepääsuga, probleemse tarkvara (nt pahavara) installimisega jne.

Juurkonto lukustamine Linuxis on lihtne ja tegelikult on see paljudes Linuxi serveri opsüsteemides (näiteks Ubuntu) ettevaatusabinõuna juba välja lülitatud. Juurjuurdepääsu keelamise kohta lisateabe saamiseks tutvuge selle juhendiga. Selles räägime kõike sellest, kuidas Root-konto lukustada.

3. Turvaline oma SSH-server

SSH on paljudes Linuxi serverites sageli tõsine nõrk koht, kuna paljud Linuxi administraatorid eelistavad seda kasutada SSH vaikeseaded, kuna neid on kergem kergitada, selle asemel, et kõige lukustamiseks aega võtta alla.

Väikeste sammude tegemine SSH-serveri turvamiseks oma Linuxi süsteemis võib leevendada volitamata kasutajate suurt hulka, pahavara rünnakuid, andmete vargusi ja palju muud.

Varem kirjutasin Addictivetipsis põhjaliku postituse, milles käsitleti Linuxi SSH-serveri turvamist. Lisateavet oma SSH-serveri lukustamise kohta leiate postitusest siin.

4. Installige värskendused alati

See tundub ilmne punkt, kuid oleksite üllatunud, kui saate teada, kui paljud Linuxi serverioperaatorid loobuvad oma süsteemi värskendustest. Valik on arusaadav, kuna igal värskendusel on võimalus käivitatavaid rakendusi kruvida, kuid valides siiski süsteemivärskenduste vältimiseks jätate ilma turvapaikadeta, mis parandavad häkkerite poolt Linuxi värskendamiseks kasutatavaid ärakasutamisi ja vigu süsteemid.

On tõsi, et tootmissüsteemi Linuxi serveris värskendamine on palju tüütum, kui see kunagi töölaual tehakse. Fakt on see, et plaastrite installimiseks ei saa kõike peatada. Selle vältimiseks kaaluge kavandatud värskenduste ajakava seadistamist.

Selguse huvides pole värskenduste ajakavades kindlat teadust. Need võivad varieeruda sõltuvalt teie kasutusjuhtudest, kuid maksimaalse turvalisuse tagamiseks on kõige parem paigaldada plaastrid kord nädalas või kaks korda nädalas.

6. Pole kolmanda osapoole tarkvarahoidlaid

Suurepärane asi Linuxi kasutamisel on see, et kui vajate programmi ja kui te kasutate õiget levitamist, on saadaval ka kolmanda osapoole tarkvarahoidla. Probleem on selles, et paljudel neist tarkvara repodest võib teie süsteem segi minna ja pahavara kuvatakse nendes regulaarselt. Tõsiasi on see, et kui käitate Linuxi installimist, mis põhineb tarkvaral, mis pärineb kontrollimata kolmanda osapoole allikatest, siis tekivad probleemid.

Kui teil peab olema juurdepääs tarkvarale, mida teie Linuxi opsüsteem vaikimisi ei levita, siis jätke vahele Snap-pakettide kolmanda osapoole tarkvarahoidlad. Poes on kümneid serveritasemel rakendusi. Mis kõige parem, kõik Snap-poe rakendused saavad regulaarselt turvaauditeid.

Kas soovite Snapi kohta rohkem teada saada? Vaadake meie selleteemalist postitust, et saada teada, kuidas saate selle oma Linuxi serverisse tööle panna!

7. Kasutage tulemüüri

Serveris on kõik tõhusa tulemüürisüsteemi olemasolu. Kui teil on see üks seadistatud, väldite paljusid häirivaid sissetungijaid, kellega muidu kokku puutute. Teisest küljest, kui te ei suuda tõhusat tulemüürisüsteemi üles seada, kannatab teie Linuxi server tõsiselt.

Linuxis on üsna palju erinevaid tulemüürilahendusi. Seda silmas pidades on mõnda neist lihtsamini mõista kui teisi. Ülekaalukalt üks Linuxi lihtsamaid (ja tõhusamaid) tulemüüre on FirewallD

Märkus. FirewallD kasutamiseks peate kasutama serverioperatsioonisüsteemi, millel on SystemD init süsteem.

FirewallD lubamiseks peate selle kõigepealt installima. Käivitage terminaliaken ja sisestage käsud, mis vastavad teie Linuxi opsüsteemile.

Ubuntu server

sudo systemctl keela ufw. sudo systemctl stop ufw. sudo apt install tulemüüri

Debian

sudo apt-get install tulemüür

CentOS / Rhel

sudo yum install tulemüüri

Kui süsteemi on installitud tarkvara, lubage see süsteemiga.

sudo systemctl lubab tulemüüri. sudo systemctl käivitage tulemüür

Järeldus

Turvaprobleemid on Linuxi serverites üha tavalisemad. Kahjuks, kuna Linux muutub ettevõtlusruumis üha populaarsemaks, muutuvad need probleemid ainult üha populaarsemaks. Kui järgite selle loendi turvanõuandeid, saate enamiku neist rünnakutest ära hoida.