Poliitika | Kodukasutaja | Server |
Keela SSH | ✔ | x |
Keela SSH juurjuurdepääs | x | ✔ |
SSH-pordi muutmine | x | ✔ |
Keela SSH parooliga sisselogimine | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sissetungimise tuvastamise süsteem) | x | ✔ |
BIOS-i turvalisus | ✔ | ✔ |
Ketta krüptimine | ✔ | x / ✔ |
Süsteemi uuendus | ✔ | ✔ |
VPN (virtuaalne eravõrk) | ✔ | x |
Luba SELinux | ✔ | ✔ |
Levinud tavad | ✔ | ✔ |
- SSH-juurdepääs
- Tulemüür (iptables)
- Sissetungi tuvastamise süsteem (IDS)
- BIOS-i turvalisus
- Kõvaketta krüptimine
- Süsteemi uuendus
- VPN (virtuaalne eravõrk)
- Luba SELinux (turvalisusega täiustatud Linux)
- Levinud tavad
SSH-juurdepääs
Kodukasutajad:
Kodukasutajad tegelikult ei kasuta ssh, dünaamilised IP-aadressid ja ruuteri NAT-konfiguratsioonid muutsid pöördühendusega alternatiive nagu TeamViewer atraktiivsemaks. Kui teenust ei kasutata, tuleb port sulgeda nii teenuse keelamise või eemaldamise kui ka piiravate tulemüüri reeglite rakendamise abil.
Serverid:
Vastupidiselt kodutarbijate töötajatele, kes kasutavad erinevaid servereid, on võrguadministraatorid sagedased ssh / sftp kasutajad. Kui peate oma ssh-teenuse lubama, võite võtta järgmisi meetmeid:
- Keela juurjuurdepääs SSH kaudu.
- Keela parooliga sisselogimine.
- Muutke SSH-porti.
Ühised SSH-i seadistamisvalikud Ubuntu
Iptables
Iptables on liides netifiltri haldamiseks tulemüüri reeglite määratlemiseks. Kodukasutajad võivad suunduda UFW-le (tüsistusteta tulemüür), mis on iptable'i eesseade, et muuta tulemüürireeglite loomine lihtsaks. Liidest sõltumata on punkt kohe pärast seadistamist esimeste rakendatavate muudatuste hulgas tulemüür. Sõltuvalt teie töölauast või serveri vajadustest on turbeprobleemide jaoks kõige soovitavam kasutada piiravaid reegleid, lubades ülejäänud blokeerimise ajal ainult seda, mida vajate. IPptableid kasutatakse SSH-pordi 22 teiseks suunamiseks, tarbetute pordide blokeerimiseks, teenuste filtreerimiseks ja teadaolevate rünnakute reeglite seadmiseks.
Iptablesi kohta lisateabe saamiseks vaadake: Iptables algajatele
Sissetungi tuvastamise süsteem (IDS)
Kuna nad vajavad suuri ressursse, ei kasuta kodukasutajad IDS-i, kuid rünnakutele avatud serverites on see kohustuslik. IDS viib turvalisuse järgmisele tasemele, võimaldades pakette analüüsida. Tuntumad IDS-id on Snort ja OSSEC, mida mõlemat on varem LinuxHintis selgitatud. IDS analüüsib liiklust üle võrgu, otsides pahatahtlikke pakette või anomaaliaid, see on võrgu jälgimise tööriist, mis on suunatud turvaintsidentidele. Kõige populaarsemate IDS-lahenduste installimise ja konfigureerimise juhised leiate järgmiselt: Konfigureerige Snort IDS ja reeglite loomine
OSSECiga (sissetungimise tuvastamise süsteem) alustamine
BIOS-i turvalisus
Juurkomplektid, pahavarad ja kaugjuurdepääsuga serveri BIOS esindavad serverite ja töölaudade täiendavaid haavatavusi. BIOS-i saab häkkida OS-ist käivitatud koodi kaudu või värskenduskanalite kaudu, et saada volitamata juurdepääs või unustada teave, näiteks turvakoopiad.
Hoidke BIOS-i värskendusmehhanisme ajakohasena. Luba BIOS-i terviklikkuse kaitse.
Buutimisprotsessi mõistmine - BIOS vs UEFI
Kõvaketta krüptimine
See on meede, mis on asjakohasem lauaarvuti kasutajatele, kes võivad kaotada arvuti või olla varguse ohvrid, eriti kasulik see sülearvuti kasutajatele. Täna toetab peaaegu iga operatsioonisüsteem ketta ja partitsioonide krüpteerimist. Debianid nagu Debian võimaldavad installiprotsessi käigus kõvaketast krüptida. Ketta krüptimise juhiste saamiseks vaadake: Kuidas draivi krüptida Ubuntu 18-s.04
Süsteemi uuendus
Nii töölaua kasutajad kui ka sysadmin peavad süsteemi ajakohastama, et vältida haavatavates versioonides volitamata juurdepääsu või käivitamist. Lisaks OS-i pakettihalduri kasutamisele haavatavuse skaneerimisega töötavate saadaolevate värskenduste kontrollimiseks võib see aidata tuvastada haavatavat tarkvara, mida ei värskendatud ametlikes hoidlates, või haavatav kood, mis tuleb ümber kirjutada. Allpool mõned värskenduste õpetused:
- Kuidas hoida Ubuntu 17.10 ajakohane
- Kuidas värskendada süsteemi
- Kuidas värskendada kõiki elementaarses operatsioonisüsteemis olevaid pakette
VPN (virtuaalne eravõrk)
Internetikasutajad peavad teadma, et Interneti-teenuse pakkujad jälgivad kogu nende liiklust ja ainus viis seda endale lubada on VPN-teenuse kasutamine. ISP suudab jälgida liiklust VPN-serverisse, kuid mitte VPN-st sihtkohta. Kiiruse tõttu on tasulised teenused kõige soovitatavamad, kuid on ka häid tasuta alternatiive nagu https: // protonvpn.com /.
- Parim Ubuntu VPN
- Kuidas installida ja konfigureerida OpenVPN-i Debian 9-s
Luba SELinux (turvalisusega täiustatud Linux)
SELinux on Linuxi tuuma muudatuste kogum, mis on suunatud turvapoliitikatega seotud turvaaspektide haldamisele, lisades MAC (mehhanismi juurdepääsu kontroll), RBAC (rollipõhine juurdepääsu kontroll), MLS (mitmetasandiline turvalisus) ja mitme kategooria turve (MCS). Kui SELinux on lubatud, pääseb rakendus juurde ainult neile ressurssidele, mida ta vajab rakenduse turbepoliitikas. Juurdepääsu sadamatele, protsessidele, failidele ja kataloogidele kontrollitakse SELinuxis määratletud reeglite kaudu, mis lubavad või keelavad turbepoliitikatel põhinevaid toiminguid. Ubuntu kasutab alternatiivina AppArmorit.
- SELinux Ubuntu õpetuses
Levinud tavad
Peaaegu alati on turvarikked tingitud kasutaja hooletusest. Lisaks kõigile eelnevalt nummerdatud punktidele järgige järgmisi tavasid:
- Ärge kasutage juuri, kui see pole vajalik.
- Ärge kunagi kasutage X Windowsi ega brausereid juurkasutajana.
- Kasutage paroolihaldureid, nagu LastPass.
- Kasutage ainult tugevaid ja ainulaadseid paroole.
- Proovige ei, et installida tasuta pakette või pakette, mis pole ametlikes hoidlates saadaval.
- Keela kasutamata moodulid.
- Serverites rakendatakse tugevaid paroole ja takistatakse kasutajatel vanu paroole kasutamast.
- Desinstallige kasutamata tarkvara.
- Ärge kasutage erinevate juurdepääsude jaoks samu paroole.
- Muutke kõiki vaikepöörduse kasutajanimesid.
Poliitika | Kodukasutaja | Server |
Keela SSH | ✔ | x |
Keela SSH juurjuurdepääs | x | ✔ |
SSH-pordi muutmine | x | ✔ |
Keela SSH parooliga sisselogimine | x | ✔ |
Iptables | ✔ | ✔ |
IDS (sissetungimise tuvastamise süsteem) | x | ✔ |
BIOS-i turvalisus | ✔ | ✔ |
Ketta krüptimine | ✔ | x / ✔ |
Süsteemi uuendus | ✔ | ✔ |
VPN (virtuaalne eravõrk) | ✔ | x |
Luba SELinux | ✔ | ✔ |
Levinud tavad | ✔ | ✔ |
Loodetavasti leidsite, et see artikkel on teie turvalisuse suurendamiseks kasulik. Järgige LinuxHinti, et saada rohkem näpunäiteid ja värskendusi Linuxi ja võrgu kohta.