7 načinov za izboljšanje varnosti strežnika Linux

Linux je dolgo časa imel ugled varnosti zaradi nejasnosti. Uporabniki so imeli prednost, ker niso bili glavna tarča hekerjev, in jim ni bilo treba skrbeti. To dejstvo ne velja več, zato smo v letih 2017 in 2018 videli velike dele hekerjev, ki izkoriščajo napake in glive v Linuxu in poiskali zapletene načine za namestitev zlonamerne programske opreme, virusov, rootkiti in več.

Zaradi nedavne poplave eksplozivov, zlonamerne programske opreme in drugih slabih stvari, ki škodijo uporabnikom Linuxa, se je odprta koda odzvala okrepitev varnostnih funkcij. Kljub temu to ni dovolj, in če uporabljate Linux na strežniku, je dobro, da si ogledate naš seznam in se naučite, kako lahko izboljšate varnost strežnika Linux.

1. Izkoristite SELinux

SELinux, AKA Security-Enhanced Linux je varnostno orodje, ki je vgrajeno v sistem Linux jedro. Ko je omogočen, lahko z lahkoto uveljavi varnostno politiko po lastni izbiri, ki je nujna za zanesljiv strežnik Linux.

Številni strežniški operacijski sistemi, ki temeljijo na RedHatu, so opremljeni s SELinuxom in konfigurirani s precej dobrimi privzetimi nastavitvami. Povedano: ni vsak OS zunaj privzeto podpira SELinux, zato vam bomo pokazali, kako ga vklopiti.

Opomba: Paketi Snap potrebujejo AppArmor, alternativo SELinuxu. Če se odločite za uporabo SELinuxa, v nekaterih operacijskih sistemih Linux morda ne boste mogli uporabljati Snaps-a.

CentOS / Rhel

CentOS in RedHat Enterprise Linux sta opremljena z varnostnim sistemom SELinux. Vnaprej je konfiguriran za dobro varnost, zato nadaljnja navodila niso potrebna.

Ubuntu strežnik

Ubuntu je že od Karmic Koala zelo enostavno omogočil varnostno orodje SELinux. Če ga želite nastaviti, vnesite naslednje ukaze.

sudo apt namestite selinux

Debian

Tako kot na Ubuntu-ju je tudi Debian zelo enostavno nastavil SELinux. Če želite to narediti, vnesite naslednje ukaze.

sudo apt-get install selinux-osnove selinux-policy-default auditd

Ko končate z namestitvijo SELinux-a na Debian, si oglejte vnos Wiki v programski opremi. Zajema veliko informacij, ki jih je treba vedeti, za njihovo uporabo v operacijskem sistemu.

Priročnik za SELinux

Ko SELinux deluje, si naredite uslugo in preberite priročnik za SELinux. Naučite se, kako deluje. Vaš strežnik se vam bo zahvalil!

Za dostop do priročnika SELinux vnesite naslednji ukaz v terminalsko sejo.

moški selinux

2. Onemogočite Root račun

Ena najpametnejših stvari, ki jo lahko naredite za zaščito vašega strežnika Linux, je izklop Root računa in za izvajanje sistemskih nalog uporabljajte samo privilegije Sudoerja. Z izklopom dostopa do tega računa boste lahko zagotovili, da slabi akterji ne morejo dobiti popolnega dostopa do sistemskih datotek, namestiti problematične programske opreme (na primer zlonamerne programske opreme) itd.

Zaklepanje Root računa v Linuxu je enostavno, in v resnici je v mnogih operacijskih sistemih Linux strežnika (kot je Ubuntu) že previden. Če želite več informacij o onemogočanju Root dostopa, si oglejte ta vodnik. V njem govorimo o tem, kako zakleniti Root račun.

3. Zaščitite strežnik SSH

SSH je pogosto resna šibka točka na številnih strežnikih Linuxa, saj mnogi skrbniki Linuxa raje gredo z privzete nastavitve SSH, saj jih je lažje zavrteti, namesto da si vzamete čas za zaklepanje vsega dol.

Z majhnimi koraki za zaščito strežnika SSH v sistemu Linux lahko omilite dober kos nepooblaščenih uporabnikov, napade zlonamerne programske opreme, krajo podatkov in še veliko več.

V preteklosti sem na Addictivetips napisal poglobljeno objavo o tem, kako zavarovati strežnik Linux SSH. Če želite več informacij o zaklepanju strežnika SSH, si oglejte objavo tukaj.

4. Vedno namestite posodobitve

To se zdi očitno, a presenečeni boste, ko boste izvedeli, koliko operaterjev Linuxovih strežnikov je opustilo posodobitve v svojem sistemu. Izbira je razumljiva, saj ima vsaka posodobitev možnost, da zaženejo delujoče aplikacije, vendar z izbiro izognite se posodobitvam sistema, pogrešate varnostne popravke, ki odpravljajo podvige in napake, ki jih hekerji uporabljajo za krpanje Linuxa sistemov.

Res je, da je posodabljanje na produkcijskem strežniku Linux še toliko bolj nadležno, da bo to kdaj na namizju. Preprosto dejstvo je, da ne morete kar tako ustaviti, da namestite popravke. Če želite to rešiti, razmislite o postavitvi načrtovanega urnika posodobitev.

Da bi bilo jasno, o urnikih posodabljanja ni nastavljenih znanosti. Lahko se razlikujejo glede na vaš primer uporabe, vendar je za največjo varnost najbolje namestiti obliže tedensko ali dvotedensko.

6. Ni drugih skladišč programske opreme

Odlična stvar pri uporabi Linuxa je, da če potrebujete program, dokler uporabljate pravo distribucijo, je na voljo programsko shramba programske opreme drugih proizvajalcev. Težava je v tem, da ima veliko teh programskih programov možnost nereda z vašim sistemom in se v njih redno pojavlja zlonamerna programska oprema. Dejstvo je, da če imate nameščeno namestitev Linuxa, ki je odvisna od programske opreme, ki prihaja iz nepreverjenih zunanjih virov, se bodo težave pojavile.

Če morate imeti dostop do programske opreme, ki jo vaš operacijski sistem Linux privzeto ne distribuira, preskočite shrambe programske opreme drugih proizvajalcev za pakete Snap. V trgovini je na desetine aplikacij za strežniške ocene. Najboljše od tega, da vsaka od aplikacij v trgovini Snap redno prejema varnostne preglede.

Želite izvedeti več o Snap-u? Oglejte si našo objavo o tej temi, če želite izvedeti, kako lahko to izvedete na vašem strežniku Linux!

7. Izkoristite požarni zid

Na strežniku je učinkovito delovanje požarnega zidu. Če imate nastavljeno, se boste izognili številnim mučnim vsiljivcem, s katerimi bi sicer stopili v stik. Po drugi strani pa, če ne vzpostavite učinkovitega sistema požarnega zidu, bo vaš Linuxov strežnik močno trpel.

V Linuxu obstaja kar nekaj različnih rešitev požarnega zidu. Glede na to je nekatere lažje razumeti kot druge. Eden najpreprostejših (in najučinkovitejših) požarnih zidov v Linuxu je FirewallD

Opomba: Če želite uporabljati FirewallD, morate uporabljati strežniško OS, ki ima sistem inD init.

Če želite omogočiti FirewallD, ga morate najprej namestiti. Zaženite terminalsko okno in vnesite ukaze, ki ustrezajo vašemu operacijskemu sistemu Linux.

Ubuntu strežnik

sudo systemctl onesposobiti ufw. sudo systemctl stop ufw. sudo apt namestite firewalld

Debian

sudo apt-get install firewalld

CentOS / Rhel

sudo yum namestite firewalld

S programsko opremo, nameščeno v sistemu, jo omogočite s sistemom.

sudo systemctl omogočiti firewalld. sudo systemctl start firewalld

Zaključek

Težave z varnostjo so vse pogostejše na strežnikih Linux. Na žalost, ker je Linux še naprej vedno bolj priljubljen v podjetniškem prostoru, bodo te težave le še bolj razširjene. Če upoštevate varnostne nasvete na tem seznamu, boste večino teh napadov lahko preprečili.