Linuxi serveri karastamise kontrollnimekiri

Linuxi vaikimisi paigaldus ei ole turvaline Linuxi paigaldus. Väärad seadistused, nagu avatud root SSH-juurdepääs, nõrgad tulemüürid ja parandamata tarkvara moodustavad suurema osa rikkumistest. Uusi servereid skaneeritakse automaatselt mõne minuti jooksul pärast võrgule minekut, nii et karastamine peaks toimuma enne kõike muud.

See kontrollnimekiri hõlmab peamisi samme: SSH lukustamine, tulemüüride konfigureerimine, parandamine, failiõiguste karmistamine, kohustuslike juurdepääsukontrollide sisselülitamine ja auditilogimise seadistamine.

Lock Down SSH

SSH on teie peamine juurdepääsupunkt ja esimene asi, mida ründajad uurivad. Vaikimisi konfiguratsioon (password auth, root login, port 22) on täpselt see, mida automatiseeritud skannerid otsivad.

Looge Ed25519 võtmepaar, mis pakub paremat turvalisust ja jõudlust kui RSA:

ssh-keygen -t ed25519

Kui võtmepõhine sisselogimine toimib, uuendage /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Muutke vaikimisi port 22-st millekski vähem silmatorkavaks. See ei peata sihikindlat ründajat, kuid vähendab oluliselt automaatsete skaneerimiste müra.

Testige muudatusi alati teisest terminalist enne praeguse seansi sulgemist. Käivita sudo sshd -t, et kontrollida süntaksivigu, seejärel systemctl reload sshd, et rakendada ilma aktiivseid ühendusi katkestamata.

Lisage kahefaktoriline autentimine

2FA tähendab, et ründaja vajab nii teie SSH-võtit kui ka füüsilist juurdepääsu teie seadmele. Paigaldage Google Authenticator PAM-moodul:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Käivitage google-authenticator iga kasutaja jaoks, et genereerida salajane võti ja taastamiskoodid. Hoidke taastamiskoodid offline.

Lisage see rida faili /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Seejärel uuendage /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Hoidke testimise ajal aktiivne sessioon avatud. TOTP-koodid sõltuvad täpsest süsteemiajast, seega veenduge, et NTP töötab.

Konfigureerige tulemüürid ja Fail2Ban

Käivitage hostipõhine tulemüür isegi siis, kui teie server asub võrgu tulemüüri taga. Põhimõte on lihtne: keelake vaikimisi kogu sissetulev liiklus, seejärel lubage ainult seda, mida vajate.

Ubuntu/Debian (UFW) puhul:

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

RHEL/Rocky/AlmaLinuxi (Firewalld) puhul:

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Karastage kerneli võrgupinu, lisades need faili /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Paigaldage Fail2Ban

Fail2Ban jälgib sisselogimiskatseid ja keelab IP-d pärast korduvaid ebaõnnestumisi. Looge /etc/fail2ban/jail.local (ärge redigeerige otse jail.conf, uuendused kirjutavad selle üle) ja seadistage see keelama IP-d ühe tunni jooksul pärast kolme ebaõnnestunud katset 10 minuti jooksul. Seadistage oma tulemüürile õige backend(banaction = ufw või banaction = nftables).

Teenuste auditeerimine ja vanade protokollide eemaldamine

Kontrolli, mida kuulab ss -tlnp ja mis töötab systemctl list-units --type=service --state=running abil. Lülita välja kõik, mida sa ei vaja: Bluetooth, CUPS, avahi-daemon, rpcbind.

Eemaldage vanad protokollid, mis edastavad andmeid selge tekstina:

Debianis/Ubuntus: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. RHEL-põhistes süsteemides: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Kontrollige eemaldamist ss -tulpn abil.

Parandage ja automatiseerige uuendusi

Süsteemi uuendamine on kiireim viis teadaolevate turvaaukude täitmiseks. Käivitage uuendused kohe pärast kasutuselevõtmist:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Seejärel automatiseerige turvaparandused. Debianis/Ubuntus installige järelevalveta uuendused ja konfigureerige see nii, et see rakendaks ainult turvaparandusi. RHEL/Rocky puhul installige dnf-automatic ja seadke faili /etc/dnf/automatic.conf faili upgrade_type = security.

Seadistage e-posti teavitused uuenduste tulemuste kohta. Lülitage automaatsed taaskäivitused tootmisserverites välja(Automatic-Reboot = false), et taaskäivitused toimuksid planeeritud hooldusakende ajal. Kõrge tööajaga keskkondade puhul kaaluge live-parandamist Canonical Livepatchi (Ubuntu) või kpatchi (RHEL) abil.

Failisüsteemide ja lubade karastamine

Auditeerige esmalt SUID- ja SGID-binaarsüsteeme. Need failid töötavad kõrgendatud õigustega ja on peamised sihtmärgid ärakasutamiseks:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Karmistage kriitiliste failide õigusi: /etc/shadow peaks olema 600, /etc/passwd peaks olema 644, /etc/ssh/sshd_config peaks olema 600. Seadke /etc/profile 'is globaalseks umaskiks 027, et uued failid ei saaks olla maailmale loetavad.

Leidke ja parandage maailmale kirjutatavad failid find / -xdev -type f -perm -0002 -ls abil. Kataloogide puhul, mis peavad jääma maailma kirjutatavaks (nagu /tmp), rakendage kleepuvat bitti: chmod 1777 /tmp.

Turvalise monteerimise valikud

Redigeerige /etc/fstab, et piirata kriitilistel partitsioonidel toimuvat:

Testige muudatusi mount -o remount 'iga enne taaskäivitamist, et vältida probleeme käivitamisel.

Võta kasutusele kohustuslikud juurdepääsukontrollid

SELinux ja AppArmor lisavad kerneli tasemel piiranguid sellele, mida protsessid võivad teha. Kasutage seda, millega teie distributsioon on varustatud: SELinux RHEL/CentOS/Fedora puhul, AppArmor Ubuntu/Debian/SUSE puhul. Nende vahel vahetamine põhjustab ühilduvusprobleeme.

SELinux: Kontrollige staatust getenforce'iga. Käivitage lubavas režiimis(setenforce 0) vähemalt kaheks nädalaks, et jäädvustada töökoormuse käitumist ilma midagi rikkumata. Jälgige rikkumisi ausearch -m avc -ts recent abil. Kasutage audit2why blokeeringute diagnoosimiseks ja audit2allow -M [mooduli_nimi] poliitikamoodulite loomiseks. Kui logid on puhtad, lülitage jõustamine üle setenforce 1 abil, seejärel tehke see /etc/selinux/config'is püsivaks.

AppArmor: kontrollige aktiivseid profiile aa-statusega. Paigaldage apparmor-utils halduskäskude jaoks. Käivitage profiilid kaebuse esitamise režiimis aa-complain'iga, seejärel liikuge enforce-režiimi aa-enforce 'iga, kui olete kindel. Kasutage aa-genprof'i, et luua profiilid kohandatud rakenduste jaoks.

Seadistage auditi logimine ja seire

Ilma logimiseta ei jäta juhtumid jälgi. Paigaldage auditd:

sudo apt-get install auditd audispd-plugins

Lisage failisüsteemi jälgimine kriitiliste failide puhul:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Jälgige kõiki root-tasandi käskude täitmist:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Laadige reeglid augenrules --load ja lisage reeglifaili lõppu -e 2, et muuta konfigureerimine võltsimiskindlaks (muudatused nõuavad taaskäivitust).

Failide terviklikkuse jälgimine AIDEga

AIDE tuvastab lubamatud failimuudatused, võrreldes praegust seisu teadaoleva hea baastasemega. Paigaldage see, initsialiseerige andmebaas aideinitiga ja viige saadud fail aadressile /var/lib/aide/aide/aide.db.gz. Seadistage igapäevane cron-töö, et käivitada aide --check ja saata tulemused e-posti teel administraatoritele.

Logide tsentraliseerimine

Kohalikud logid on kasutud, kui root-juurdepääsuga ründaja need kustutab. Edastage logid reaalajas kaugserverisse, kasutades rsyslogi ja TLS-krüpteerimist. Lisage faili /etc/rsyslog.conf:

*.* @@remote-host:514

Seadistage SSH konfigis LogLevel VERBOSE, et logid sisaldaksid iga eduka sisselogimise puhul võtme sõrmejälgi. Mitut serverit haldavate tootmiskeskkondade puhul pakuvad sellised tööriistad nagu Wazuh või OSSEC hostipõhist sissetungi tuvastamist koos tsentraliseeritud logianalüüsiga.

Pidev hooldus

Karastamine ei ole ühekordne ülesanne. Konfiguratsioonid muutuvad, ilmnevad uued haavatavused ja personali vahetused jätavad maha orvuks jäänud kontod.

Iga nädal: Vaadake üle Fail2Ban logid, kontrollige ebaõnnestunud uuendusi, kontrollige varukoopiaid.

Igakuiselt: Auditeerige kasutajakontosid ja õigusi, vaadake läbi käimasolevad teenused, viige Lynise või OpenSCAPiga läbi täielik skaneerimine.

Kord kvartalis: Volituste rotatsioon, tulemüürireeglite ajakohastamine, katastroofide taastamise testimine.

Kasutage taristu-kui-kood tööriistu, nagu Ansible koos dev-sec.io karmistusrollidega, et tagada järjepidevad seadistused kogu teie pargis ja vältida auditite vahelist kõrvalekaldumist.

FDC spetsiaalsed serverid annavad teile täieliku juurkasutusõiguse ja täieliku kontrolli oma turvapaketi üle. Tutvuge spetsiaalsete serverite valikutega, et ehitada platvormile, kus te kontrolliksite iga kihti.