10 Linux-härdningstips för nybörjare SysAdmins

Linux-system är säkra av design och ger robusta administrationsverktyg. Men oavsett hur väl utformat ett system är, beror dess säkerhet på användaren.

Nybörjare tar ofta år för att hitta de bästa säkerhetspolicyerna för sina maskiner. Det är därför vi delar dessa viktiga Linux-härdningstips för nya användare som du. Ge dem ett försök.

1. Tillämpa starka lösenordspolicyer

Lösenord är den primära autentiseringsmetoden för de flesta system. Oavsett om du är en hemanvändare eller en professionell, är det ett måste att tillämpa solida lösenord. Inaktivera först tomma lösenord. Du kommer inte tro hur många människor som fortfarande använder dem.

awk -F: '($ 2 == "") {print}' / etc / shadow

Kör kommandot ovan som root för att se vilka konton som har tomma lösenord. Om du hittar någon med ett tomt lösenord, lås användaren direkt. Du kan göra detta genom att använda följande.

passwd -l USERNAME

Du kan också ställa in lösenordsåldring för att säkerställa att användare inte kan använda gamla lösenord. Använd chage-kommandot för att göra detta från din terminal.

chage -l USERNAME

Detta kommando visar det aktuella utgångsdatumet. För att ställa in lösenordets utgång efter 30 dagar, använd kommandot nedan. Användare får använd Linux-lösenordshanterare för att skydda onlinekonton.

De 8 bästa Linux-lösenordshanterarna är säkra

Behöver du en säker lösenordshanterare för Linux? Dessa appar är enkla att använda och håller dina online-lösenord säkra.

chage -M 30 USERNAME

2. Säkerhetskopiera viktiga data

Om du menar allvar med dina data, ställ in regelbundna säkerhetskopior. På detta sätt, även om ditt system kraschar, kan du återställa data snabbt. Men att välja rätt säkerhetskopieringsmetod är avgörande för Linux-härdning.

Om du är hemanvändare, kloning av data till en hårddisk kunde räcka. Företagen behöver dock sofistikerade reservsystem som erbjuder snabb återställning.

3. Undvik äldre kommunikationsmetoder

Linux stöder många fjärrkommunikationsmetoder. Men gamla Unix-tjänster som telnet, rlogin och ftp kan utgöra allvarliga säkerhetsproblem. Så försök att undvika dem. Du kan ta bort dem helt och hållet för att minska säkerhetsproblemen.

apt-get - purge ta bort xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Detta kommando tar bort vissa allmänt använda men föråldrade tjänster från Ubuntu / Debian-maskiner. Om du använder ett RPM-baserat system, använd följande istället.

yum radera xinetd ypserv tftp-server telnet-server rsh-server

4. Säker OpenSSH

SSH-protokollet är den rekommenderade metoden för fjärrkommunikation för Linux. Se till att säkra din OpenSSH-server (sshd) -konfiguration. Du kan läs mer om hur du konfigurerar en SSH-server här.

Redigera /etc/ssh/sshd_config fil för att ställa in säkerhetspolicyer för ssh. Nedan följer några vanliga säkerhetspolicyer som alla kan använda.

PermitRootLogin no # inaktiverar root-inloggning
MaxAuthTries 3 # begränsar autentiseringsförsök
PasswordAuthentication no # inaktiverar lösenordsautentisering
PermitEmptyPasswords nr # inaktiverar tomma lösenord
X11 Vidarebefordra nr # inaktiverar GUI-överföring
DebianBanner no # disbales verbose banner
AllowUsers *@XXX.X.XXX.0/24 # begränsar användarna till ett IP-intervall

5. Begränsa CRON-användning

CRON är en robust jobbschemaläggare för Linux. Det gör det möjligt för administratörer att schemalägga uppgifter i Linux med hjälp av crontab. Därför är det viktigt att begränsa vem som kan köra CRON-jobb. Du kan ta reda på alla aktiva cronjobs för en användare genom att använda följande kommando.

crontab -l -u USERNAME

Kontrollera jobben för varje användare för att ta reda på om någon utnyttjar CRON. Du kanske vill blockera alla användare från att använda crontab utom dig. Kör följande kommando till detta.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Tillämpa PAM-moduler

Linux PAM (Pluggable Authentication Modules) erbjuder kraftfulla autentiseringsfunktioner för appar och tjänster. Du kan använda olika PAM-policyer för att säkerställa systemets inloggning. Till exempel begränsar kommandona nedan lösenordsanvändning.

# CentOS / RHEL
echo 'lösenord tillräckligt pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'lösenord tillräckligt pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

De begränsar användningen av lösenord som har använts under de senaste fem veckorna. Det finns många fler PAM-policyer som ger extra lager av säkerhet.

7. Ta bort oanvända paket

Att ta bort oanvända paket minskar attackytan på din maskin. Så vi rekommenderar att du tar bort sällan använda paket. Du kan visa alla installerade paket med kommandona nedan.

yum-listan installerad # CentOS / RHEL 
apt-lista - installerad # Ubuntu / Debian

Säg att du vill ta bort det oanvända paketet vlc. Du kan göra detta genom att köra följande kommandon som root.

yum ta bort vlc # CentOS / RHEL
apt ta bort vlc # Ubuntu / Debian

8. Säkra kärnparametrar

Ett annat effektivt sätt att härda Linux är att säkra kärnparametrarna. Du kan konfigurera dessa parametrar med sysctl eller genom att ändra konfigurationsfilen. Nedan följer några vanliga konfigurationer.

kernel.randomize_va_space = 2 # randomnize adressbas för mmap, heap och stack
kernel.panic = 10 # starta om efter 10 sekunder efter en kärnpanik
net.ipv4.icmp_ignore_bogus_error_responses # skyddar dåliga felmeddelanden
net.ipv4.ip_forward = 0 # inaktiverar vidarebefordran av IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignorerar ICP-fel

Det här är bara några grundläggande konfigurationer. Du lär dig olika sätt att konfigurera kärnan med erfarenhet.

9. Konfigurera iptables

Linux-kärnor tillhandahåller robusta filtreringsmetoder för nätverkspaket via Netfilter API. Du kan använda iptables för att interagera med detta API och ställa in anpassade filter för nätverksförfrågningar. Nedan följer några grundläggande regler för iptables för säkerhetsfokuserade användare.

-En INPUT -j REJECT # avvisa alla inkommande förfrågningar
-E FRAMÅT -j REJECT # avvisa vidarebefordran av trafik
-EN INGÅNG -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT # tillåt trafik på localhost
# tillåt pingförfrågningar
-A UTGÅNG -p icmp -j ACCEPT # tillåter utgående pingar
# tillåt etablerade / relaterade anslutningar
-En INPUT -m-tillstånd --stat ESTABLERAD, RELATERAD -j ACCEPT
-A UTGÅNG -m tillstånd --stat ESTABLERAD, RELATERAD -j ACCEPT
# tillåt DNS-sökningar
-A UTGÅNG -p udp -m udp --dport 53 -j ACCEPT
# tillåt http / https-förfrågningar
-A UTGÅNG -p tcp -m tcp --port 80 -m tillstånd --stat NYTT -j ACCEPT
-A UTGÅNG -p tcp -m tcp --dport 443 -m tillstånd --stat NYTT -j ACCEPT
# tillåt SSH-åtkomst
-A INGÅNG -p tcp -m tcp --dport 22 -j ACCEPT
-A UTGÅNG -p tcp -m tcp --dport 22 -j ACCEPT

10. Övervaka loggar

Du kan använda loggar för att bättre förstå din Linux-maskin. Ditt system lagrar flera loggfiler för appar och tjänster. Vi beskriver de väsentliga här.

• /var/log/auth.log loggar auktoriseringsförsök
• /var/log/daemon.log loggar bakgrundsappar
• / var / log / debug logs debugging data
• /var/log/kern.log loggar kärndata
• / var / log / syslog loggar systemdata
• / var / log / faillog loggar misslyckades inloggningar

Bästa Linux-härdningstips för nybörjare

Att säkra ett Linux-system är inte så svårt som du tror. Du kan förstärka säkerheten genom att följa några av de tips som nämns i den här guiden. Du kommer att behärska fler sätt att säkra Linux när du får erfarenhet.

7 Viktiga sekretessinställningar för Chrome OS och Google Chrome

Använder du en Chromebook, men bekymrad över integritet? Justera dessa 7 inställningar i Chrome-webbläsaren i Chrome OS för att vara säker online.

Om författaren