7 דרכים לשיפור האבטחה של שרת לינוקס
במשך זמן רב, לינוקס הייתה מוניטין של אבטחה באמצעות סתירות. למשתמשים היה היתרון בכך שהוא לא היה היעד העיקרי של האקרים ולא היו צריכים לדאוג. עובדה זו כבר לא תקפה, ובשנים 2017 ו- 2018 ראינו קטעים גדולים של האקרים המנצלים באגים ותקלות של לינוקס, ומוצאים דרכים מסובכות להתקנת תוכנות זדוניות, וירוסים, ערכות שורש ועוד.
בגלל שיטפון האחרון של עלילות, תוכנות זדוניות ודברים רעים אחרים שפוגעים במשתמשי לינוקס, קהילת הקוד הפתוח הגיבה על ידי להרגיע את תכונות האבטחה. ובכל זאת, זה לא מספיק, ואם אתה משתמש ב- Linux בשרת, כדאי לבדוק את הרשימה שלנו וללמוד דרכים בהן תוכל לשפר את האבטחה של שרת לינוקס.
1. השתמש ב- SELinux
SELinux, AKA לינוקס משופר באבטחה הוא כלי אבטחה המובנה בתוך גרעין לינוקס. לאחר הפעלה, היא יכולה לאכוף בקלות מדיניות אבטחה שתבחר, שהיא חובה לשרת לינוקס סולידי.
מערכות הפעלה רבות של שרת מבוסס RedHat מגיעות עם SELinux מופעל ומוגדר כברירת מחדל למדי. עם זאת, לא כל מערכת הפעלה בחוץ תומכת ב- SELinux כברירת מחדל, אז נראה לך כיצד להפעיל אותה.
הערה: חבילות הצמד דורשות את AppArmor, אלטרנטיבה ל- SELinux. אם תבחר להשתמש ב- SELinux, במערכות הפעלה מסוימות של Linux, ייתכן שלא תוכל להשתמש ב- Snaps.
CentOS / Rhel
CentOS ו- RedHat Enterprise Linux שניהם נשלחים עם מערכת האבטחה SELinux. זה מוגדר מראש לאבטחה טובה, כך שאין צורך בהוראות נוספות.
שרת אובונטו
מאז Karmic Koala, Ubuntu הקלה מאוד על הפעלת כלי האבטחה SELinux. כדי להגדיר את זה, הזן את הפקודות הבאות.
להתקין
דביאן
ממש כמו באובונטו, דביאן מקל מאוד על הגדרת SELinux. לשם כך, הזן את הפקודות הבאות.
sudo apt - קבל להתקין selinux-basics selinux-policy-default auditd
לאחר שתסיים להתקין את SELinux ב- Debian, עיין בערך הוויקי בתוכנה. הוא מכסה הרבה מידע שצריך לדעת לשימוש בו במערכת ההפעלה.
מדריך SELinux
ברגע שיש לך SELinux לעבוד, עשה לעצמך טובה וקרא במדריך SELinux. למד כיצד זה עובד. השרת שלך יודה לך!
כדי לגשת למדריך SELinux, הזן את הפקודה הבאה בפגישה מסוף.
איש סלינוקס
2. השבת את חשבון השורש
אחד הדברים החכמים ביותר שאתה יכול לעשות כדי לאבטח את שרת הלינוקס שלך הוא לכבות את חשבון ה- Root, ורק להשתמש בהרשאות Sudoer כדי לבצע משימות מערכת. על ידי כיבוי הגישה לחשבון זה תוכל להבטיח ששחקנים רעים לא יוכלו לקבל גישה מלאה לקבצי המערכת, להתקין תוכנה בעייתית (כמו תוכנות זדוניות) וכו '.
נעילת חשבון ה- Root ב- Linux היא קלה, ולמעשה, במערכות הפעלה רבות של שרתי לינוקס (כמו אובונטו) היא כבר מושבתת כאמצעי זהירות. למידע נוסף על השבתת גישה לשורש, עיין במדריך זה. בזה, אנו מדברים הכל על איך לנעול את חשבון Root.
3. אבטח את שרת ה- SSH שלך
SSH היא לרוב נקודת תורפה רצינית על שרתי לינוקס רבים, שכן מנהלי לינוקס רבים מעדיפים ללכת עם ה- הגדרות ברירת מחדל של SSH, מכיוון שהן קלות יותר להסתובב, במקום לקחת את הזמן לנעול את הכל מטה.
נקיטת צעדים קטנים לאבטחת שרת ה- SSH במערכת הלינוקס שלך יכולה להקל על נתח טוב של משתמשים לא מורשים, התקפות זדוניות, גניבת נתונים ועוד ועוד.
בעבר ב- Addictivetips, כתבתי פוסט מעמיק שכולל כיצד לאבטח שרת לינוקס SSH. למידע נוסף על אופן נעילת שרת ה- SSH, עיין בפוסט כאן.
4. התקן תמיד עדכונים
זה נראה כמו נקודה ברורה, אך תופתעו לדעת כמה מפעילי שרתי לינוקס מוותרים על עדכונים במערכת שלהם. הבחירה מובנת, מכיוון שלכל עדכון יש פוטנציאל לדפוק יישומים פועלים, אך על ידי בחירה בכך הימנע מעדכוני מערכת, אתה מחמיץ תיקוני אבטחה שמתקנים ניצולים ובאגים בהם משתמשים האקרים לצורך הפצת לינוקס מערכות.
זה נכון שעדכון בשרת לינוקס ייצור הוא הרבה יותר מעצבן וזה יהיה אי פעם בשולחן העבודה. העובדה הפשוטה היא שאתה לא יכול פשוט לעצור הכל כדי להתקין טלאים. כדי לעקוף זאת, שקול להגדיר לוח זמנים לעדכונים מתוכנן.
כדי שיהיה ברור שאין מדע מוגדר בלוח הזמנים לעדכונים. הם יכולים להשתנות בהתאם למקרה השימוש שלך, אך עדיף להתקין טלאים מדי שבוע, או דו-שבועיים למען אבטחה מרבית.
6. אין מאגרי תוכנה של צד שלישי
הדבר הנהדר בשימוש בלינוקס הוא שאם אתה זקוק לתוכנית, כל עוד אתה משתמש בהפצה הנכונה, יש מאגר תוכנה של צד שלישי זמין. הבעיה היא שלחלק גדול ממחזורי התוכנה הללו יש פוטנציאל להתעסק במערכת שלך, ותוכנות זדוניות מופיעות בהן באופן קבוע. העובדה היא שאם אתה מנהל התקנה של לינוקס התלויה בתוכנה שמקורה במקורות צד שלישי לא מאומתים, בעיות עומדות להתרחש.
אם אתה חייב להיות בעל גישה לתוכנה שמערכת ההפעלה שלך ב- Linux אינה מפיצה כברירת מחדל, דלג על מאגרי התוכנה של צד שלישי עבור חבילות Snap. יש בחנות עשרות אפליקציות בדרגות שרת. והכי חשוב, כל אחת מהאפליקציות בחנות Snap מקבלת ביקורת אבטחה באופן קבוע.
רוצה ללמוד עוד על Snap? עיין בפוסט שלנו בנושא כדי ללמוד כיצד תוכל להפעילו בשרת לינוקס שלך!
7. השתמש בחומת אש
בשרת, בעל מערכת חומת אש יעילה זה הכל. אם יש לך הגדרה אחת, תימנע מהרבה הפורצים המציקים שאחרת תבוא במגע איתם. מצד שני, אם לא תצליח להתקין מערכת חומת אש יעילה, שרת הלינוקס שלך יסבול קשה.
יש לא מעט פתרונות חומת אש שונים ב- Linux. עם זאת, חלקם קלים להבנה מאחרים. ללא ספק, אחת החומות הפשוטות (והיעילות ביותר) ב- Linux היא FirewallD
הערה: כדי להשתמש ב- FirewallD, עליך להשתמש במערכת הפעלה שרת עם מערכת ה- init של SystemD.
כדי לאפשר את FirewallD, תחילה עליך להתקין אותה. הפעל חלון מסוף והזן את הפקודות התואמות את מערכת ההפעלה לינוקס שלך.
שרת אובונטו
השבת מערכת. סודו מערכת הפסק. להתקין חומת אש
דביאן
sudo apt-get להתקין חומת אש
CentOS / Rhel
התקן חומת אש
כאשר התוכנה מותקנת במערכת, הפעל אותה באמצעות Systemd.
סמל מערכת לאפשר חומת אש - -. התחל חומת אש
סיכום
בעיות אבטחה נפוצות יותר ויותר על שרתי לינוקס. למרבה הצער, ככל שלינוקס ממשיכה להיות יותר ויותר פופולרית במרחב הארגוני, הנושאים הללו רק הולכים להיות נפוצים יותר. אם תעקוב אחר עצות האבטחה ברשימה זו, תוכל למנוע את רוב ההתקפות הללו.
לְחַפֵּשׂ
הודעות האחרונות
כיצד להשתמש ב - RealVNC ב- Linux
שרתי VNC מבלבלים באופן ידוע להפעלה, במיוחד אם אתה משתמש לינוקס חדש ...
חמשת לקוחות ה- IRC הטובים ביותר לשימוש ב- Linux
זקוק ללקוח IRC טוב לינוקס אך אינך בטוח באיזה משתמש להשתמש? יש לך כי...
כיצד להזרים סרטונים ל- Chromecast באמצעות לינוקס דרך שורת הפקודה
רוב האנשים לא יתפלאו אם יגלו שדונגל ה- Chromecast בסך 35 דולר הוא מ...