7 способов повысить безопасность сервера Linux

В течение долгого времени у Linux была репутация безопасности через неизвестность. Преимущество пользователей в том, что они не являются основной целью хакеров, и им не нужно беспокоиться. Этот факт больше не действителен, и в 2017 и 2018 годах мы увидели множество хакеров, использующих ошибки и сбои в Linux, которые находят хитрые способы установки вредоносных программ, вирусов, руткитов и более.

В связи с недавним потоком эксплойтов, вредоносных программ и других неприятностей, причиняющих вред пользователям Linux, сообщество open source ответило: усиление функций безопасности. Тем не менее, этого недостаточно, и если вы используете Linux на сервере, было бы неплохо взглянуть на наш список и узнать, как можно повысить безопасность сервера Linux.

1. Используйте SELinux

SELinux, AKA Security-Enhanced Linux - это инструмент безопасности, встроенный в Ядро Linux. После включения он может легко реализовать выбранную вами политику безопасности, которая является обязательной для надежного сервера Linux.

Многие серверные операционные системы на базе RedHat поставляются с включенным SELinux и настроены с довольно хорошими настройками по умолчанию. Тем не менее, не все ОС поддерживают SELinux по умолчанию, поэтому мы покажем вам, как его включить.

Примечание. Для пакетов Snap требуется AppArmor, альтернатива SELinux. Если вы решите использовать SELinux, в некоторых операционных системах Linux вы не сможете использовать Snaps.

CentOS / RHEL

CentOS и RedHat Enterprise Linux поставляются с системой безопасности SELinux. Он предварительно настроен для обеспечения безопасности, поэтому никаких дополнительных инструкций не требуется.

Сервер Ubuntu

С момента появления Karmic Koala в Ubuntu стало очень легко включать средство безопасности SELinux. Для настройки введите следующие команды.

sudo apt установить selinux

Debian

Как и в Ubuntu, Debian очень легко настраивает SELinux. Для этого введите следующие команды.

sudo apt-get install selinux-basics selinux-policy-default auditd

После того, как вы закончите установку SELinux на Debian, проверить запись вики на программное обеспечение. Он охватывает много необходимой информации для использования в операционной системе.

Инструкция SELinux

После того, как вы запустили SELinux, сделайте себе одолжение и прочтите руководство по SELinux. Узнайте, как это работает. Ваш сервер поблагодарит вас!

Чтобы получить доступ к руководству SELinux, введите следующую команду в сеансе терминала.

человек Селинукс

2. Отключить рут-аккаунт

Одна из самых разумных вещей, которые вы можете сделать для защиты своего Linux-сервера, - отключить учетную запись Root и использовать только привилегии Sudoer для выполнения системных задач. Отключив доступ к этой учетной записи, вы сможете гарантировать, что злоумышленники не смогут получить полный доступ к системным файлам, установить проблемное программное обеспечение (например, вредоносное ПО) и т. Д.

Блокировать учетную запись Root в Linux легко, и на самом деле во многих серверных операционных системах Linux (например, Ubuntu) она уже отключена в качестве меры предосторожности. Для получения дополнительной информации об отключении Root-доступа, проверить это руководство. В нем мы поговорим о том, как заблокировать учетную запись Root.

3. Защитите свой SSH сервер

SSH часто является серьезным слабым местом на многих серверах Linux, так как многие администраторы Linux предпочитают настройки SSH по умолчанию, так как их легче раскрутить, чем тратить время на блокировку всего вниз.

Небольшие шаги по обеспечению безопасности SSH-сервера в вашей системе Linux могут снизить риск несанкционированных пользователей, атак вредоносных программ, кражи данных и многого другого.

В прошлом о Addictivetips я писал подробный пост о том, как защитить Linux-сервер SSH. Для получения дополнительной информации о том, как заблокировать ваш SSH сервер, прочитайте статью Вот.

4. Всегда устанавливайте обновления

Это кажется очевидным, но вы будете удивлены, узнав, сколько операторов серверов Linux отказываются от обновлений в своей системе. Выбор понятен, так как каждое обновление может испортить работающие приложения, но выбрав избегая обновлений системы, вы упускаете патчи безопасности, которые исправляют эксплойты и ошибки, которые хакеры используют для запуска Linux системы.

Это правда, что обновление на производственном сервере Linux намного более раздражает, чем когда-либо будет на рабочем столе. Простой факт заключается в том, что вы не можете просто остановить все, чтобы установить патчи. Чтобы обойти это, рассмотрите возможность установки запланированного графика обновления.

Чтобы быть ясным, нет никакой определенной науки о расписаниях обновлений. Они могут различаться в зависимости от вашего варианта использования, но для максимальной безопасности лучше устанавливать исправления еженедельно или раз в две недели.

6. Нет сторонних программных репозиториев

Преимущество использования Linux в том, что если вам нужна программа, если вы используете правильный дистрибутив, доступен сторонний репозиторий программного обеспечения. Проблема заключается в том, что многие из этих программных репозиториев могут помешать работе вашей системы, и в них регулярно появляется вредоносное ПО. Дело в том, что если вы используете установку Linux, зависящую от программного обеспечения, полученного из непроверенных сторонних источников, проблемы могут возникнуть.

Если вам необходим доступ к программному обеспечению, которое операционная система Linux не распространяет по умолчанию, пропустите сторонние репозитории программного обеспечения для пакетов Snap. В магазине десятки серверных приложений. Лучше всего то, что каждое из приложений в магазине Snap регулярно проходит аудит безопасности.

Хотите узнать больше о Snap? Прочтите наш пост на эту тему, чтобы узнать, как это сделать на вашем Linux-сервере.!

7. Используйте брандмауэр

На сервере наличие эффективной системы брандмауэра - это все. Если у вас есть такая настройка, вы избежите многих надоедливых злоумышленников, с которыми вы иначе не соприкоснулись бы. С другой стороны, если вам не удастся настроить эффективную систему брандмауэра, ваш сервер Linux сильно пострадает.

В Linux существует довольно много разных брандмауэров. Имея это в виду, некоторые легче понять, чем другие. Безусловно, одним из самых простых (и наиболее эффективных) брандмауэров в Linux является FirewallD.

Примечание: чтобы использовать FirewallD, вы должны использовать серверную ОС с системой инициализации SystemD.

Чтобы включить FirewallD, вам сначала нужно установить его. Запустите окно терминала и введите команды, соответствующие вашей операционной системе Linux.

Сервер Ubuntu

sudo systemctl отключить ufw. sudo systemctl stop ufw. sudo apt установить firewalld

Debian

sudo apt-get установить firewalld

CentOS / RHEL

sudo yum установить firewalld

Если в системе установлено программное обеспечение, включите его с помощью Systemd.

sudo systemctl включить firewalld. sudo systemctl start firewalld

Вывод

Проблемы безопасности все чаще встречаются на серверах Linux. К сожалению, поскольку Linux продолжает становиться все более и более популярным в корпоративном пространстве, эти проблемы будут только более распространенными. Если вы будете следовать советам по безопасности из этого списка, вы сможете предотвратить большинство этих атак.