Linuxi serveri turvalisuse kontrollnimekiri

Vaikimisi paigaldatud Linux ei ole turvaline Linux. Valed seadistused, nagu avatud root SSH-juurdepääs, nõrgad tulemüürid ja parandamata tarkvara, on põhjuseks enamikule turvalisuse rikkumistele. Uued serverid satuvad automaatsete skaneeringute alla juba mõne minuti jooksul pärast võrguga ühendamist, seega tuleks turvalisuse tugevdamine teha enne kõike muud.

See kontrollnimekiri hõlmab põhilisi samme: SSH lukustamine, tulemüüride konfigureerimine, tarkvaraparanduste paigaldamine, failiõiguste karmistamine, kohustusliku juurdepääsukontrolli aktiveerimine ja auditeerimislogide seadistamine.

SSH lukustamine

SSH on teie peamine juurdepääsupunkt ja esimene asi, mida ründajad uurivad. Vaikimisi konfiguratsioon (parooliga autentimine, root-kasutaja sisselogimine, port 22) on täpselt see, mida automatiseeritud skannerid otsivad.

Loo Ed25519 võtmepaar, mis pakub paremat turvalisust ja jõudlust kui RSA:

ssh-keygen -t ed25519

Kui võtmepõhine sisselogimine toimib, uuendage /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Muutke vaikimisi port 22 vähem ilmselgeks. See ei peata otsustavat ründajat, kuid vähendab oluliselt automatiseeritud skannimiste müra.

Testige muudatusi alati teisest terminalist enne praeguse seansi sulgemist. Käivitage sudo sshd -t , et kontrollida süntaksivigu, seejärel systemctl reload sshd rakendamiseks ilma aktiivseid ühendusi katkestamata.

Lisage kahefaktoriline autentimine

2FA tähendab, et ründaja vajab nii teie SSH-võtit kui ka füüsilist juurdepääsu teie seadmele. Paigaldage Google Authenticator PAM-moodul:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Käivita google-authenticator iga kasutaja jaoks, et genereerida salajane võti ja taastamiskoodid. Säilita taastamiskoodid offline-režiimis.

Lisage see rida faili /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Seejärel uuendage /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Hoidke testimise ajal aktiivne sessioon avatuna. TOTP-koodid sõltuvad täpsest süsteemiajast, seega veenduge, et NTP töötab.

Tulemüüride ja Fail2Bani konfigureerimine

Kasutage hostipõhist tulemüüri isegi siis, kui teie server asub võrgutulemüüri taga. Põhimõte on lihtne: keelake vaikimisi kogu sissetulev liiklus ja lubage seejärel ainult seda, mida vajate.

Ubuntu/Debian (UFW) jaoks:

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

RHEL/Rocky/AlmaLinux (Firewalld) puhul:

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Tugevdage tuuma võrgustikupinu, lisades need faili /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Paigaldage Fail2Ban

Fail2Ban jälgib sisselogimiskatseid ja blokeerib IP-aadressid pärast korduvaid ebaõnnestumisi. Loo /etc/fail2ban/jail.local (ärge redigeerige jail.conf otse, uuendused kirjutavad selle üle) ja konfigureeri see nii, et IP-aadressid blokeeritakse üheks tunniks pärast kolme ebaõnnestunud katset 10 minuti jooksul. Määra oma tulemüüri jaoks õige backend (banaction = ufw või banaction = nftables).

Audit Services ja eemalda vanad protokollid

Kontrollige, mis kuulab, kasutades ss -tlnp ja mis töötab systemctl list-units --type=service --state=running. Keelake kõik, mida te ei vaja: Bluetooth, CUPS, avahi-daemon, rpcbind.

Eemaldage vanad protokollid, mis edastavad andmeid selge tekstina:

Debianis/Ubuntus: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. RHEL-põhistes süsteemides: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Kontrollige eemaldamist käsuga ss -tulpn.

Paigaldage ja automatiseerige värskendused

Süsteemi uuendamine on kiireim viis teadaolevate turvaaukude sulgemiseks. Käivitage uuendused kohe pärast varustamist:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Seejärel automatiseerige turvaparandused. Debian/Ubuntu süsteemides installige unattended-upgrades ja seadistage see nii, et see rakendaks ainult turvaparandusi. RHEL/Rocky-s installige dnf-automatic ja seadistage upgrade_type = security seadistage /etc/dnf/automatic.conf.

Seadistage e-posti teavitused uuenduste tulemuste kohta. Lülitage tootmisserverites automaatsed taaskäivitused välja (Automatic-Reboot = false), et taaskäivitamine toimuks planeeritud hooldusakende ajal. Kõrge töökindlusega keskkondade puhul kaaluge reaalajas paigaldamist Canonical Livepatchi (Ubuntu) või kpatchi (RHEL) abil.

Failisüsteemide ja õiguste tugevdamine

Kontrollige esmalt SUID- ja SGID-binaarfaile. Need failid töötavad kõrgendatud õigustega ja on peamised rünnakute sihtmärgid:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Karmistage kriitiliste failide õigusi: /etc/shadow peaks olema 600, /etc/passwd peaks olema 644, /etc/ssh/sshd_config peaks olema 600. Määrake globaalne umask väärtuseks 027 in /etc/profile , et vältida uute failide üldist loetavust.

Leidke ja parandage kõigile kirjutamisõigust omavad failid käsuga find / -xdev -type f -perm -0002 -ls. Kataloogide puhul, mis peavad jääma kõigile kirjutatavaks (nagu /tmp), rakendage sticky-bitti: chmod 1777 /tmp.

Turvalised mount-valikud

Muutke /etc/fstab , et piirata kriitilistel partitsioonidel toimuvat:

Testige muudatusi enne mount -o remount enne taaskäivitamist, et vältida käivitamisprobleeme.

Luba kohustuslikud juurdepääsukontrollid

SELinux ja AppArmor lisavad tuumatasandi piiranguid protsesside tegevusele. Kasutage seda, mis teie distributsiooniga kaasas on: SELinux RHEL/CentOS/Fedora jaoks, AppArmor Ubuntu/Debian/SUSE jaoks. Nende vahel vahetamine põhjustab ühilduvusprobleeme.

SELinux: kontrollige staatust käsuga getenforce. Alustage lubavas režiimis (setenforce 0) vähemalt kaks nädalat, et jälgida töökoormuse käitumist midagi rikkumata. Jälgige rikkumisi käsuga ausearch -m avc -ts recent. Kasutage audit2why blokeeringute diagnoosimiseks ja audit2allow -M [module_name] poliitikamoodulite loomiseks. Kui logid on puhtad, lülituge jõustamisrežiimile setenforce 1, seejärel muuda see püsivaks /etc/selinux/config.

AppArmor: kontrollige aktiivseid profiile aa-status. Paigaldage apparmor-utils halduskäskude jaoks. Käivitage profiilid kaebuste režiimis aa-complain, seejärel lülituge jõustamisrežiimile aa-enforce , kui oled kindel. Kasuta aa-genprof , et luua profiile kohandatud rakenduste jaoks.

Auditi logimise ja seire seadistamine

Ilma logimiseta ei jäta intsidendid mingeid jälgi. Paigaldage auditd:

sudo apt-get install auditd audispd-plugins

Lisage kriitiliste failide jaoks failisüsteemi jälgimisfunktsioon:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Jälgi kõiki juuritasandi käskude täitmisi:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Laadige reeglid augenrules --load ja lisage -e 2 reeglite faili lõppu, et muuta konfiguratsioon võltsimiskindlaks (muudatused nõuavad taaskäivitamist).

Failide terviklikkuse jälgimine AIDE abil

AIDE tuvastab volitamata failimuudatusi, võrreldes praegust seisundit teadaoleva hea baasjoonega. Paigalda see, algseadista andmebaas käsuga aideinitja kopeerige saadud fail kataloogi /var/lib/aide/aide.db.gz. Seadistage igapäevane cron-ülesanne, et käivitada aide --check ja tulemuste saatmiseks administraatoritele.

Logide tsentraliseerimine

Kohalikud logid on kasutud, kui juurõigustega ründaja need kustutab. Edasta logid reaalajas kaugserverisse, kasutades rsyslogi koos TLS-krüpteeringuga. Lisa /etc/rsyslog.conf:

*.* @@remote-host:514

Set LogLevel VERBOSE oma SSH-konfiguratsioonis, et logid sisaldaksid iga edukat sisselogimist puudutavaid võtme sõrmejälgi. Mitut serverit haldavates tootmiskeskkondades pakuvad sellised tööriistad nagu Wazuh või OSSEC hostipõhist sissetungide avastamist koos tsentraliseeritud logianalüüsiga.

Jooksev hooldus

Turvalisuse tugevdamine ei ole ühekordne ülesanne. Konfiguratsioonid muutuvad, ilmuvad uued turvaaugud ja personali vahetumisel jäävad maha kasutamata kontod.

Igal nädalal: vaadake läbi Fail2Ban-logid, kontrollige ebaõnnestunud värskendusi ja kontrollige varukoopiaid.

Kuu jooksul: auditeerige kasutajakontosid ja õigusi, vaadake üle töötavad teenused, tehke täielik skaneerimine Lynis või OpenSCAP abil.

Kvartali jooksul: vahetage autentimisandmeid, uuendage tulemüüri reegleid, testige katastroofijärgset taastamist.

Kasutage infrastruktuuri-koodina (infrastructure-as-code) tööriistu, nagu Ansible koos dev-sec.io tugevdamisrollidega, et tagada ühtsed konfiguratsioonid kogu teie seadmepargis ja vältida kõrvalekaldeid auditite vahel.

FDC pühendatud serverid annavad teile täieliku juurdepääsu ja täieliku kontrolli oma turvastacki üle. Tutvuge pühendatud serverite valikuga, et ehitada platvorm, kus te kontrollite iga kihti.