Politika | Domácí uživatel | Server |
Zakázat SSH | ✔ | X |
Zakázat přístup root SSH | X | ✔ |
Změňte port SSH | X | ✔ |
Zakázat přihlášení pomocí hesla SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Zabezpečení systému BIOS | ✔ | ✔ |
Šifrování disku | ✔ | x / ✔ |
Aktualizace systému | ✔ | ✔ |
VPN (virtuální privátní síť) | ✔ | X |
Povolte SELinux | ✔ | ✔ |
Společné postupy | ✔ | ✔ |
- Přístup SSH
- Firewall (iptables)
- Systém detekce narušení (IDS)
- Zabezpečení systému BIOS
- Šifrování pevného disku
- Aktualizace systému
- VPN (virtuální privátní síť)
- Povolit SELinux (Linux se zvýšeným zabezpečením)
- Společné postupy
Přístup SSH
Domácí uživatelé:
Domácí uživatelé to opravdu nepoužívají ssh, dynamické adresy IP a konfigurace routeru NAT zatraktivnily alternativy s reverzním připojením, jako je TeamViewer. Pokud služba není využívána, musí být port uzavřen deaktivací nebo odebráním služby a použitím omezujících pravidel brány firewall.
Servery:
Na rozdíl od domácích uživatelů pracujících s různými servery jsou správci sítě častými uživateli ssh / sftp. Pokud musíte mít povolenou službu ssh, můžete provést následující opatření:
- Zakázat přístup root pomocí SSH.
- Zakázat přihlášení pomocí hesla.
- Změňte port SSH.
Společné možnosti konfigurace SSH Ubuntu
Iptables
Iptables je rozhraní pro správu netfilteru pro definování pravidel brány firewall. Domácí uživatelé mohou přecházet na UFW (nekomplikovaný firewall), což je rozhraní pro iptables, které usnadňuje vytváření pravidel brány firewall. Nezávisle na rozhraní je bod okamžitě po nastavení firewall mezi prvními změnami, které se použijí. V závislosti na potřebách vašeho počítače nebo serveru jsou z bezpečnostních důvodů nejdůležitějšími omezující zásady, které při blokování ostatních umožňují pouze to, co potřebujete. Iptables budou použity k přesměrování portu SSH 22 na jiný, k zablokování nepotřebných portů, filtrování služeb a nastavení pravidel pro známé útoky.
Další informace o iptables najdete v: Iptables pro začátečníky
Systém detekce narušení (IDS)
Kvůli vysokým zdrojům, které vyžadují IDS, domácí uživatelé nepoužívají, ale jsou nezbytností na serverech vystavených útokům. IDS přináší zabezpečení na další úroveň umožňující analyzovat pakety. Nejznámějšími IDS jsou Snort a OSSEC, které byly dříve vysvětleny na LinuxHint. IDS analyzuje provoz v síti a hledá škodlivé pakety nebo anomálie, jedná se o nástroj pro monitorování sítě zaměřený na bezpečnostní incidenty. Pokyny k instalaci a konfiguraci pro nejoblíbenější 2 IDS řešení najdete v části: Konfigurace Snort IDS a vytvoření pravidel
Začínáme s OSSEC (systém detekce narušení)
Zabezpečení systému BIOS
Rootkity, malware a serverový BIOS se vzdáleným přístupem představují další zranitelnost serverů a desktopů. Systém BIOS lze hacknout prostřednictvím kódu provedeného z operačního systému nebo prostřednictvím aktualizačních kanálů, aby získal neoprávněný přístup nebo zapomněl na informace, jako jsou bezpečnostní zálohy.
Udržujte aktualizované mechanismy BIOSu. Aktivujte ochranu integrity systému BIOS.
Porozumění procesu spouštění - BIOS vs UEFI
Šifrování pevného disku
Jedná se o opatření, které je relevantnější pro uživatele stolních počítačů, kteří mohou přijít o počítač nebo se stát obětí krádeže, zvláště užitečné pro uživatele notebooků. Dnes téměř každý operační systém podporuje šifrování disků a diskových oddílů, distribuce jako Debian umožňují šifrování pevného disku během procesu instalace. Pokyny k šifrování disku naleznete v části: Jak zašifrovat disk v systému Ubuntu 18.04
Aktualizace systému
Uživatelé desktopu i sysadmin musí udržovat systém v aktuálním stavu, aby zabránil zranitelným verzím nabízet neoprávněný přístup nebo spuštění. Kromě toho, že pomocí správce balíčků poskytovaného operačním systémem ke kontrole dostupných aktualizací spuštěných skenování zranitelnosti může pomoci detekovat zranitelný software, který nebyl aktualizován v oficiálních úložištích nebo zranitelný kód, který je třeba přepsat. Níže uvádíme některé návody k aktualizacím:
- Jak zachovat Ubuntu 17.10 aktuální
- Linux Mint Jak aktualizovat systém
- Jak aktualizovat všechny balíčky na základním OS
VPN (virtuální privátní síť)
Uživatelé internetu si musí být vědomi toho, že poskytovatelé internetových služeb monitorují veškerý jejich provoz a jediným způsobem, jak si to dovolit, je použití služby VPN. Poskytovatel internetových služeb je schopen sledovat provoz na server VPN, ale nikoli z VPN do cílů. Kvůli problémům s rychlostí jsou nejvíce doporučené placené služby, ale existují bezplatné dobré alternativy jako https: // protonvpn.com /.
- Nejlepší Ubuntu VPN
- Jak nainstalovat a konfigurovat OpenVPN na Debianu 9
Povolit SELinux (Linux se zvýšeným zabezpečením)
SELinux je sada modifikací jádra Linuxu zaměřená na správu bezpečnostních aspektů souvisejících s bezpečnostními politikami přidáním MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) a Multi Category Security (MCS). Když je povolen SELinux, aplikace může přistupovat pouze k prostředkům, které potřebuje, uvedené v zásadách zabezpečení aplikace. Přístup k portům, procesům, souborům a adresářům je řízen pravidly definovanými na SELinuxu, která povolují nebo zakazují operace na základě bezpečnostních zásad. Ubuntu používá jako alternativu AppArmor.
- Výukový program pro SELinux na Ubuntu
Společné postupy
Téměř vždy jsou chyby zabezpečení způsobeny nedbalostí uživatele. Kromě všech dříve očíslovaných bodů postupujte podle následujících postupů:
- Nepoužívejte root, pokud to není nutné.
- Nikdy nepoužívejte X Windows nebo prohlížeče jako root.
- Používejte správce hesel, jako je LastPass.
- Používejte pouze silná a jedinečná hesla.
- Zkuste ne instalovat nesvobodné balíčky nebo balíčky nedostupné v oficiálních úložištích.
- Zakázat nepoužívané moduly.
- Na serverech vynucujte silná hesla a zabraňte uživatelům používat stará hesla.
- Odinstalujte nepoužívaný software.
- Nepoužívejte stejná hesla pro různé přístupy.
- Změňte všechna výchozí přístupová uživatelská jména.
Politika | Domácí uživatel | Server |
Zakázat SSH | ✔ | X |
Zakázat přístup root SSH | X | ✔ |
Změňte port SSH | X | ✔ |
Zakázat přihlášení pomocí hesla SSH | X | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | X | ✔ |
Zabezpečení systému BIOS | ✔ | ✔ |
Šifrování disku | ✔ | x / ✔ |
Aktualizace systému | ✔ | ✔ |
VPN (virtuální privátní síť) | ✔ | X |
Povolte SELinux | ✔ | ✔ |
Společné postupy | ✔ | ✔ |
Doufám, že vám tento článek pomohl zvýšit vaši bezpečnost. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.