7 начина да побољшате сигурност Линук сервера

Линук је већ дуже време имао репутацију сигурности кроз несигурност. Корисници су имали предност што нису били главна мета хакера и нису морали да брину. Ова чињеница више не важи, па смо у 2017. и 2018. видели велике бројеве хакера како искориштавају Линук грешке и пропусте, проналазећи шкакљиве начине инсталирања злонамјерног софтвера, вируса, рооткити и још.

Због недавне поплаве експлоатација, злонамјерног софтвера и других лоших ствари које штете Линук корисницима, заједница отвореног кода реаговала је појачавање сигурносних функција. Ипак, ово није довољно, а ако користите Линук на серверу, добро је погледати нашу листу и научити начине на које можете побољшати сигурност Линук сервера.

1. Искористите СЕЛинук

СЕЛинук, АКА Сецурити-Енханцед Линук је сигурносни алат који је уграђен у систем Линук кернел. Једном омогућено, може лако да примењује безбедносну политику по вашем избору, што је неопходно за солидан Линук сервер.

Многи оперативни системи засновани на РедХат-у долазе са омогућеним СЕЛинуком и конфигурираним са прилично добрим подразумеваним поставкама. Поред тога, не постоји сваки ОС тамо подразумевано подржава СЕЛинук, тако да ћемо вам показати како да га укључите.

Напомена: Снап пакети захтевају АппАрмор, алтернативу СЕЛинуку. Ако одлучите да користите СЕЛинук, на одређеним Линук оперативним системима можда нећете моћи да користите Снапс.

ЦентОС / Рхел

ЦентОС и РедХат Ентерприсе Линук испоручују се са СЕЛинук сигурносним системом. Унапред је конфигурисан за добру безбедност, тако да нису потребна додатна упутства.

Убунту сервер

Откад је Кармиц Коала, Убунту је врло лако омогућио сигурносни алат СЕЛинук. Да бисте га поставили, унесите следеће команде.

судо апт инсталл селинук

Дебиан

Као и на Убунту-у, Дебиан олакшава подешавање СЕЛинук-а. Да бисте то учинили, унесите следеће команде.

судо апт-гет инсталл селинук-основе селинук-полици-дефаулт аудитд

Након што завршите инсталирање СЕЛинук-а на Дебиану, погледајте унос Вики на софтверу. Обухвата мноштво информација о којима треба знати да бисте их користили у оперативном систему.

СЕЛинук приручник

Једном када будете радили на СЕЛинуку, учините себи услугу и прочитајте СЕЛинук приручник. Научите како то функционише. Ваш сервер ће вам захвалити!

Да бисте приступили упутству за СЕЛинук, унесите следећу наредбу у терминалску сесију.

ман селинук

2. Онемогућите Роот налог

Једна од најпаметнијих ствари које можете да учините да осигурате свој Линук сервер је искључивање Роот налога, и користите само Судоер привилегије за извршавање системских задатака. Ако искључите приступ овом налогу, моћи ћете да осигурате да лоши актери не могу добити потпуни приступ системским датотекама, инсталирати проблематичан софтвер (попут злонамерног софтвера) итд.

Закључавање Роот налога на Линуку је лако, а у ствари, на многим Линук оперативним системима (попут Убунту-а) већ се искључује као предострожност. За више информација о онемогућавању Роот приступа, погледајте овај водич. У њему разговарамо о томе како закључати Роот налог.

3. Осигурајте свој ССХ сервер

ССХ је често озбиљна слаба тачка на многим Линук серверима, јер многи Линук администратори радије иду са подразумевана ССХ подешавања, јер се лакше врте, уместо да вам треба времена да закључате све доле.

Ако предузмете мале кораке да осигурате ССХ сервер на вашем Линук систему, можете умањити добар део неовлашћених корисника, нападе злонамјерног софтвера, крађу података и још много тога.

У прошлости сам на Аддицтиветипс писао детаљни пост о томе како осигурати Линук ССХ сервер. За више информација о закључавању вашег ССХ сервера, погледајте чланак овде.

4. Увек инсталирајте исправке

Ово изгледа очигледно, али били бисте изненађени када сазнате колико Линук оператора одустаје од ажурирања на свом систему. Избор је разумљив, јер свако ажурирање може потенцијално поништити покренуте апликације, али избором да избегавајте ажурирања система, недостаје вам безбедносних закрпа које поправљају подвиге и грешке које хакери користе да би покренули Линук системи.

Тачно је да је ажурирање на Линук послужитељу много више неугодно јер ће то икада бити на радној површини. Једноставна чињеница је да не можете једноставно зауставити све да инсталирате закрпе. Да бисте то заобишли, размислите о постављању планираног распореда ажурирања.

Да будемо јасни, не постоји сет наука о распоредима ажурирања. Они могу да варирају у зависности од случаја ваше употребе, али најбоље је да инсталирате закрпе недељно или двонедељно за максималну сигурност.

6. Нема спремишта софтвера треће стране

Сјајна ствар у коришћењу Линука је та да ако вам је потребан програм, све док користите исправну дистрибуцију, на располагању вам је складиште софтвера треће стране. Проблем је што велики број ових софтверских репоса може да се побрка са вашим системом, а злонамерни софтвер се у њима редовно појављује. Чињеница је да ако покрећете инсталацију Линука која зависи од софтвера који потиче из непроверених извора других произвођача, десиће се проблеми.

Ако морате имати приступ софтверу који ваш оперативни систем Линук не дистрибуира подразумевано, прескочите складишта софтвера треће стране за Снап пакете. У трговини постоје десетине апликација за сервер. Најбоље од свега је што свака од апликација у продавници Снап редовно прима ревизије безбедности.

Желите да сазнате више о Снап-у? Погледајте наш пост о овој теми како бисте сазнали како то можете покренути на вашем Линук серверу!

7. Искористите заштитни зид

На серверу је имати ефикасан фиревалл систем. Ако имате једно подешавање, избећи ћете пуно неугодних уљеза са којима бисте иначе дошли у контакт. Са друге стране, ако не успете да поставите ефикасан заштитни зид, ваш Линук сервер ће озбиљно патити.

На Линуку постоји доста различитих решења за фиревалл. Имајући то у виду, неке је лакше разумјети него друге. Један од најједноставнијих (и најефикаснијих) фиревалл-а на Линуку је ФиреваллД

Напомена: Да бисте користили ФиреваллД, морате користити ОС послужитеља који има СистемД инит систем.

Да бисте омогућили ФиреваллД, прво морате да га инсталирате. Отворите прозор терминала и унесите команде које одговарају вашем Линук оперативном систему.

Убунту сервер

судо системцтл онеспособити уфв. судо системцтл стоп уфв. судо апт инсталл фиреваллд

Дебиан

судо апт-гет инсталл фиреваллд

ЦентОС / Рхел

судо иум инсталл фиреваллд

Са софтвером инсталираним на систему, омогућите га са системом.

судо системцтл енабле фиреваллд. судо системцтл старт фиреваллд

Закључак

Проблеми са сигурношћу све су чешћи на Линук серверима. Нажалост, како Линук и даље постаје све популарнији у пословном простору, ова питања ће само постати превладавајућа. Ако следите савете за безбедност на овој листи, моћи ћете да спречите већину ових напада.