Λίστα ελέγχου για την ενίσχυση της ασφάλειας διακομιστών Linux

Μια προεπιλεγμένη εγκατάσταση Linux δεν είναι μια ασφαλής εγκατάσταση Linux. Λανθασμένες ρυθμίσεις, όπως ανοιχτή πρόσβαση SSH στο root, αδύναμα τείχη προστασίας και λογισμικό χωρίς ενημερώσεις, ευθύνονται για την πλειονότητα των παραβιάσεων. Οι νέοι διακομιστές αντιμετωπίζουν αυτοματοποιημένες σαρώσεις μέσα σε λίγα λεπτά από τη σύνδεσή τους στο διαδίκτυο, οπότε η ενίσχυση της ασφάλειας πρέπει να γίνεται πριν από οτιδήποτε άλλο.

Αυτή η λίστα ελέγχου καλύπτει τα βασικά βήματα: κλείδωμα SSH, διαμόρφωση τείχους προστασίας, εγκατάσταση ενημερώσεων, αυστηροποίηση δικαιωμάτων αρχείων, ενεργοποίηση υποχρεωτικών ελέγχων πρόσβασης και ρύθμιση καταγραφής ελέγχου.

Κλείδωμα SSH

Το SSH είναι το κύριο σημείο πρόσβασής σας και το πρώτο πράγμα που ελέγχουν οι εισβολείς. Η προεπιλεγμένη διαμόρφωση (έλεγχος ταυτότητας με κωδικό πρόσβασης, σύνδεση root, θύρα 22) είναι ακριβώς αυτό που αναζητούν τα αυτοματοποιημένα προγράμματα σάρωσης.

Δημιουργήστε ένα ζεύγος κλειδιών Ed25519, το οποίο προσφέρει καλύτερη ασφάλεια και απόδοση από το RSA:

ssh-keygen -t ed25519

Μόλις λειτουργήσει η σύνδεση με κλειδί, ενημερώστε /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Αλλάξτε την προεπιλεγμένη θύρα από 22 σε κάτι λιγότερο προφανές. Αυτό δεν θα σταματήσει έναν αποφασισμένο εισβολέα, αλλά μειώνει σημαντικά τον θόρυβο από τις αυτοματοποιημένες σαρώσεις.

Πάντα δοκιμάζετε τις αλλαγές από ένα δεύτερο τερματικό πριν κλείσετε την τρέχουσα συνεδρία σας. Εκτελέστε sudo sshd -t για να ελέγξετε για συντακτικά λάθη και, στη συνέχεια, systemctl reload sshd για να εφαρμόσετε χωρίς να διακόψετε τις ενεργές συνδέσεις.

Προσθέστε έλεγχο ταυτότητας δύο παραγόντων

Το 2FA σημαίνει ότι ένας εισβολέας χρειάζεται τόσο το κλειδί SSH σας όσο και φυσική πρόσβαση στη συσκευή σας. Εγκαταστήστε το PAM module του Google Authenticator:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Εκτελέστε google-authenticator για κάθε χρήστη για να δημιουργήσετε ένα μυστικό κλειδί και κωδικούς ανάκτησης. Αποθηκεύστε τους κωδικούς ανάκτησης εκτός σύνδεσης.

Προσθέστε αυτή τη γραμμή στο /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Στη συνέχεια, ενημερώστε /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Διατηρήστε μια ενεργή συνεδρία ανοιχτή κατά τη διάρκεια της δοκιμής. Οι κωδικοί TOTP εξαρτώνται από την ακριβή ώρα του συστήματος, οπότε βεβαιωθείτε ότι το NTP λειτουργεί.

Διαμόρφωση τειχών προστασίας και Fail2Ban

Εκτελέστε ένα τείχος προστασίας βασισμένο στον κεντρικό υπολογιστή, ακόμη και αν ο διακομιστής σας βρίσκεται πίσω από ένα τείχος προστασίας δικτύου. Η αρχή είναι απλή: απορρίψτε όλη την εισερχόμενη κίνηση από προεπιλογή και, στη συνέχεια, επιτρέψτε μόνο ό,τι χρειάζεστε.

Για Ubuntu/Debian (UFW):

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

Για RHEL/Rocky/AlmaLinux (Firewalld):

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Ενισχύστε την ασφάλεια του δικτυακού στοίβα του πυρήνα προσθέτοντας τα εξής στο /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Εγκαταστήστε το Fail2Ban

Το Fail2Ban παρακολουθεί τις προσπάθειες σύνδεσης και αποκλείει IP μετά από επαναλαμβανόμενες αποτυχίες. Δημιουργήστε /etc/fail2ban/jail.local (μην επεξεργαστείτε jail.conf απευθείας, οι ενημερώσεις θα το αντικαταστήσουν) και ρυθμίστε το ώστε να αποκλείει IP για μία ώρα μετά από τρεις αποτυχημένες προσπάθειες εντός 10 λεπτών. Ορίστε το σωστό backend για το τείχος προστασίας σας (banaction = ufw ή banaction = nftables).

Υπηρεσίες ελέγχου και κατάργηση παλαιών πρωτοκόλλων

Ελέγξτε τι ακούει με ss -tlnp και τι εκτελείται με systemctl list-units --type=service --state=running. Απενεργοποιήστε οτιδήποτε δεν χρειάζεστε: Bluetooth, CUPS, avahi-daemon, rpcbind.

Αφαιρέστε τα παλαιά πρωτόκολλα που μεταδίδουν δεδομένα σε μορφή απλού κειμένου:

Σε Debian/Ubuntu: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. Σε συστήματα βασισμένα σε RHEL: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Επαληθεύστε την κατάργηση με ss -tulpn.

Ενημερώσεις και αυτοματοποίηση ενημερώσεων

Η ενημέρωση του συστήματός σας είναι ο γρηγορότερος τρόπος για να καλύψετε γνωστά κενά ασφαλείας. Εκτελέστε τις ενημερώσεις αμέσως μετά την προμήθεια:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Στη συνέχεια, αυτοματοποιήστε τις ενημερώσεις ασφαλείας. Σε Debian/Ubuntu, εγκαταστήστε unattended-upgrades και διαμορφώστε το ώστε να εφαρμόζει μόνο ενημερώσεις ασφαλείας. Σε RHEL/Rocky, εγκαταστήστε dnf-automatic και ορίστε upgrade_type = security στο /etc/dnf/automatic.conf.

Ρυθμίστε ειδοποιήσεις μέσω email για τα αποτελέσματα των ενημερώσεων. Απενεργοποιήστε τις αυτόματες επανεκκινήσεις στους διακομιστές παραγωγής (Automatic-Reboot = false) ώστε οι επανεκκινήσεις να γίνονται κατά τη διάρκεια προγραμματισμένων περιόδων συντήρησης. Για περιβάλλοντα με υψηλό χρόνο λειτουργίας, εξετάστε το ενδεχόμενο της ζωντανής εφαρμογής ενημερώσεων με το Canonical Livepatch (Ubuntu) ή το kpatch (RHEL).

Ενίσχυση της ασφάλειας των συστημάτων αρχείων και των δικαιωμάτων

Ελέγξτε πρώτα τα εκτελέσιμα αρχεία SUID και SGID. Αυτά τα αρχεία εκτελούνται με αυξημένα δικαιώματα και αποτελούν πρωταρχικούς στόχους για εκμετάλλευση:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Ενισχύστε τα δικαιώματα πρόσβασης σε κρίσιμα αρχεία: /etc/shadow θα πρέπει 600, /etc/passwd θα πρέπει 644, /etc/ssh/sshd_config θα πρέπει να είναι 600. Ορίστε ένα γενικό umask από 027 στο /etc/profile για να αποτρέψετε τα νέα αρχεία από το να είναι αναγνώσιμα από όλους.

Εντοπίστε και διορθώστε τα αρχεία με δικαιώματα εγγραφής από όλους με find / -xdev -type f -perm -0002 -ls. Για καταλόγους που πρέπει να παραμείνουν ελεύθεροι προς εγγραφή από όλους (όπως /tmp), εφαρμόστε το sticky bit: chmod 1777 /tmp.

Επιλογές ασφαλούς προσάρτησης

Επεξεργασία /etc/fstab για να περιορίσετε τι μπορεί να συμβεί σε κρίσιμους διαμερίσματα:

Δοκιμάστε τις αλλαγές με mount -o remount πριν από την επανεκκίνηση για να αποφύγετε προβλήματα εκκίνησης.

Ενεργοποίηση υποχρεωτικών ελέγχων πρόσβασης

Το SELinux και το AppArmor προσθέτουν περιορισμούς σε επίπεδο πυρήνα σχετικά με το τι μπορούν να κάνουν οι διεργασίες. Χρησιμοποιήστε ό,τι παρέχει η διανομή σας: SELinux για RHEL/CentOS/Fedora, AppArmor για Ubuntu/Debian/SUSE. Η εναλλαγή μεταξύ τους προκαλεί προβλήματα συμβατότητας.

SELinux: Ελέγξτε την κατάσταση με getenforce. Ξεκινήστε σε επιεική λειτουργία (setenforce 0) για τουλάχιστον δύο εβδομάδες για να καταγράψετε τη συμπεριφορά του φόρτου εργασίας χωρίς να προκαλέσετε βλάβες. Παρακολουθήστε τις παραβιάσεις με ausearch -m avc -ts recent. Χρησιμοποιήστε audit2why για να διαγνώσετε μπλοκαρίσματα και audit2allow -M [module_name] για να δημιουργήσετε ενότητες πολιτικής. Μόλις τα αρχεία καταγραφής είναι καθαρά, μεταβείτε στη λειτουργία επιβολής με setenforce 1, και στη συνέχεια κάντε την μόνιμη στο /etc/selinux/config.

AppArmor: Ελέγξτε τα ενεργά προφίλ με aa-status. Εγκαταστήστε apparmor-utils για εντολές διαχείρισης. Ξεκινήστε τα προφίλ σε λειτουργία ειδοποιήσεων με aa-complain, και στη συνέχεια μεταβείτε στη λειτουργία επιβολής με aa-enforce μόλις είστε σίγουροι. Χρησιμοποιήστε aa-genprof για να δημιουργήσετε προφίλ για προσαρμοσμένες εφαρμογές.

Ρύθμιση καταγραφής ελέγχου και παρακολούθησης

Χωρίς καταγραφή, τα συμβάντα δεν αφήνουν ίχνη. Εγκατάσταση auditd:

sudo apt-get install auditd audispd-plugins

Προσθέστε παρακολούθηση συστήματος αρχείων για κρίσιμα αρχεία:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Παρακολούθηση όλων των εκτελέσεων εντολών σε επίπεδο root:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Φορτώστε κανόνες με augenrules --load και προσθέστε -e 2 στο τέλος του αρχείου κανόνων σας για να κάνετε τη διαμόρφωση ανθεκτική σε παραβιάσεις (οι αλλαγές απαιτούν επανεκκίνηση).

Παρακολούθηση ακεραιότητας αρχείων με το AIDE

Το AIDE ανιχνεύει μη εξουσιοδοτημένες αλλαγές αρχείων συγκρίνοντας την τρέχουσα κατάσταση με μια γνωστή ως καλή βάση αναφοράς. Εγκαταστήστε το, αρχικοποιήστε τη βάση δεδομένων με aideinitκαι μετακινήστε το αρχείο που προκύπτει στο /var/lib/aide/aide.db.gz. Ρυθμίστε μια καθημερινή εργασία cron για να εκτελεί aide --check και να στέλνει τα αποτελέσματα μέσω email στους διαχειριστές.

Κεντρικοποιήστε τα αρχεία καταγραφής

Τα τοπικά αρχεία καταγραφής είναι άχρηστα αν ένας εισβολέας με πρόσβαση root τα διαγράψει. Προωθήστε τα αρχεία καταγραφής σε έναν απομακρυσμένο διακομιστή σε πραγματικό χρόνο χρησιμοποιώντας το rsyslog με κρυπτογράφηση TLS. Προσθέστε στο /etc/rsyslog.conf:

*.* @@remote-host:514

Set LogLevel VERBOSE στη ρύθμιση SSH σας, ώστε τα αρχεία καταγραφής να περιλαμβάνουν δακτυλικά αποτυπώματα κλειδιών για κάθε επιτυχημένη σύνδεση. Για περιβάλλοντα παραγωγής που διαχειρίζονται πολλούς διακομιστές, εργαλεία όπως το Wazuh ή το OSSEC παρέχουν ανίχνευση εισβολών με βάση τον κεντρικό υπολογιστή και κεντρική ανάλυση αρχείων καταγραφής.

Συνεχής συντήρηση

Η ενίσχυση της ασφάλειας δεν είναι μια εφάπαξ εργασία. Οι διαμορφώσεις μεταβάλλονται, εμφανίζονται νέες ευπάθειες και οι αλλαγές στο προσωπικό αφήνουν πίσω τους εγκαταλελειμμένους λογαριασμούς.

Εβδομαδιαία: Ελέγξτε τα αρχεία καταγραφής του Fail2Ban, ελέγξτε για αποτυχημένες ενημερώσεις και επαληθεύστε τα αντίγραφα ασφαλείας.

Μηνιαία: Ελέγξτε τους λογαριασμούς χρηστών και τα δικαιώματα, ελέγξτε τις υπηρεσίες που εκτελούνται, εκτελέστε πλήρη σάρωση με το Lynis ή το OpenSCAP.

Κάθε τρίμηνο: Αλλάξτε τα διαπιστευτήρια, ενημερώστε τους κανόνες του τείχους προστασίας, δοκιμάστε την αποκατάσταση καταστροφών.

Χρησιμοποιήστε εργαλεία υποδομής ως κώδικα, όπως το Ansible, με ρόλους ενίσχυσης της ασφάλειας από το dev-sec.io, για να επιβάλλετε συνεπείς διαμορφώσεις σε όλο το στόλο σας και να αποτρέψετε αποκλίσεις μεταξύ των ελέγχων.

Οι αποκλειστικοί διακομιστές της FDC σας παρέχουν πλήρη πρόσβαση root και απόλυτο έλεγχο του στοίβα ασφαλείας σας. Εξερευνήστε τις επιλογές αποκλειστικών διακομιστών για να δημιουργήσετε μια πλατφόρμα στην οποία ελέγχετε κάθε επίπεδο.