В течение долгого времени Linux имел репутацию системы безопасности через безвестность. У пользователей было то преимущество, что они не были основной целью хакеров, и им не о чем было беспокоиться. Этот факт больше не действителен, и в 2017 и 2018 годах мы видели большое количество хакеров, эксплуатирующих ошибки и сбои Linux, находя сложные способы установки вредоносных программ, вирусов, руткитов и т. Д.
Из-за недавнего потока эксплойтов, вредоносных программ и других неприятностей, причиняющих вред пользователям Linux, сообщество разработчиков открытого исходного кода ответило усилением функций безопасности. Тем не менее, этого недостаточно, и если вы используете Linux на сервере, неплохо взглянуть на наш список и узнать, как можно повысить безопасность сервера Linux.
Оглавление
1. Используйте SELinux
SELinux, он же Security-Enhanced Linux — это инструмент безопасности, встроенный в ядро Linux. После включения он может легко применить выбранную вами политику безопасности, что является обязательным условием для надежного сервера Linux.
Многие серверные операционные системы на базе RedHat поставляются с включенным SELinux и настроенными с довольно хорошими значениями по умолчанию. Тем не менее, не каждая ОС поддерживает SELinux по умолчанию, поэтому мы покажем вам, как его включить.
Примечание. Для пакетов Snap требуется AppArmor, альтернатива SELinux. Если вы решите использовать SELinux в определенных операционных системах Linux, возможно, вы не сможете использовать Snap.
CentOS / Rhel
CentOS и RedHat Enterprise Linux поставляются с системой безопасности SELinux. Он предварительно настроен для обеспечения хорошей безопасности, поэтому никаких дополнительных инструкций не требуется.
Сервер Ubuntu
Начиная с Karmic Koala, Ubuntu упростила включение инструмента безопасности SELinux. Чтобы настроить его, введите следующие команды.
sudo apt install selinux
Debian
Как и в Ubuntu, в Debian очень легко настроить SELinux. Для этого введите следующие команды.
sudo apt-get install selinux-basics selinux-policy-default auditd
После того, как вы закончите установку SELinux в Debian, проверьте запись в Wiki о программном обеспечении. В нем содержится много полезной информации для использования в операционной системе.
SELinux руководство
После того, как SELinux заработает, сделайте себе одолжение и прочтите руководство по SELinux. Узнай, как это работает. Ваш сервер будет вам благодарен!
Чтобы получить доступ к руководству по SELinux, введите следующую команду в сеансе терминала.
man selinux
2. Отключить Root-аккаунт
Одна из самых умных вещей, которые вы можете сделать для защиты своего сервера Linux, — это отключить учетную запись Root и использовать только привилегии Sudoer для выполнения системных задач. Отключив доступ к этой учетной записи, вы сможете гарантировать, что злоумышленники не смогут получить полный доступ к системным файлам, установить проблемное программное обеспечение (например, вредоносное ПО) и т. Д.
Блокировать учетную запись Root в Linux легко, и на самом деле во многих серверных операционных системах Linux (например, Ubuntu) она уже отключена в качестве меры предосторожности. Для получения дополнительной информации об отключении доступа с правами root ознакомьтесь с этим руководством. В нем мы поговорим о том, как заблокировать учетную запись Root.
3. Защитите свой SSH-сервер.
SSH часто является серьезным слабым местом на многих серверах Linux, поскольку многие администраторы Linux предпочитают использовать настройки SSH по умолчанию, поскольку их легче развернуть, чем тратить время на блокировку всего.
Небольшие шаги по защите SSH-сервера в вашей системе Linux могут уменьшить значительную часть неавторизованных пользователей, атаки вредоносных программ, кражу данных и многое другое.
В прошлом на toadmin.ru я написал подробный пост о том, как защитить Linux SSH-сервер. Для получения дополнительной информации о том, как заблокировать свой SSH-сервер, ознакомьтесь с публикацией здесь.
4. Всегда устанавливайте обновления.
Это кажется очевидным, но вы будете удивлены, узнав, сколько операторов серверов Linux отказываются от обновлений в своей системе. Выбор понятен, так как каждое обновление может испортить работающие приложения, но, избегая обновлений системы, вы упускаете исправления безопасности, которые исправляют эксплойты и ошибки, которые хакеры используют для нарушения работы систем Linux.
Это правда, что обновление на производственном сервере Linux намного раздражает больше, чем когда-либо будет на рабочем столе. Простой факт в том, что вы не можете просто остановить все, чтобы установить патчи. Чтобы обойти это, подумайте о настройке расписания планового обновления.
Чтобы было ясно, нет установленных научных графиков обновлений. Они могут отличаться в зависимости от вашего варианта использования, но для максимальной безопасности лучше устанавливать исправления еженедельно или раз в две недели.
6. Никаких сторонних репозиториев программного обеспечения.
Самое замечательное в использовании Linux заключается в том, что если вам нужна программа, при условии, что вы используете правильный дистрибутив, доступен сторонний репозиторий программного обеспечения. Проблема в том, что многие из этих репозиториев программного обеспечения могут испортить вашу систему, и в них регулярно обнаруживаются вредоносные программы. Дело в том, что если вы запускаете установку Linux, зависящую от программного обеспечения из непроверенных сторонних источников, проблемы могут возникнуть.
Если вам необходим доступ к программному обеспечению, которое ваша операционная система Linux не распространяет по умолчанию, пропустите сторонние репозитории программного обеспечения для пакетов Snap. В магазине десятки приложений серверного уровня. Лучше всего то, что каждое приложение в магазине Snap регулярно проходит аудит безопасности.
Хотите узнать больше о Snap? Прочтите наш пост по этой теме, чтобы узнать, как это можно сделать на своем сервере Linux!
7. Используйте брандмауэр.
На сервере эффективная система межсетевого экрана — это все. Если у вас есть одна установка, вы избежите множества надоедливых злоумышленников, с которыми вы в противном случае столкнулись бы. С другой стороны, если вам не удастся настроить эффективную систему межсетевого экрана, ваш сервер Linux серьезно пострадает.
В Linux существует довольно много различных брандмауэров. Имея это в виду, некоторые из них понять легче, чем другие. Безусловно, одним из самых простых (и наиболее эффективных) межсетевых экранов в Linux является FirewallD.
Примечание: чтобы использовать FirewallD, вы должны использовать серверную ОС с системой инициализации SystemD.
Чтобы включить FirewallD, вам сначала необходимо его установить. Запустите окно терминала и введите команды, соответствующие вашей операционной системе Linux.
Сервер Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS / Rhel
sudo yum install firewalld
После установки программного обеспечения в системе включите его с помощью Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
Вывод
На серверах Linux все чаще возникают проблемы с безопасностью. К сожалению, по мере того, как Linux продолжает становиться все более и более популярным в корпоративной среде, эти проблемы будут становиться все более распространенными. Если вы будете следовать советам по безопасности из этого списка, вы сможете предотвратить большинство этих атак.