Linux szerver biztonsági ellenőrzőlista

Az alapértelmezett Linux-telepítés nem biztonságos. A biztonsági rések többségét olyan hibás beállítások okozzák, mint a nyitott root SSH-hozzáférés, a gyenge tűzfalak és a frissítetlen szoftverek. Az új szerverek az online állapotba kerülésüket követő percekben automatikus vizsgálatoknak vannak kitéve, ezért a biztonsági megerősítést minden másnál előbb kell elvégezni.

Ez az ellenőrzőlista a legfontosabb lépéseket tartalmazza: az SSH lezárása, a tűzfalak konfigurálása, a frissítések telepítése, a fájlhozzáférési jogosultságok szigorítása, a kötelező hozzáférés-ellenőrzés engedélyezése és az auditnaplózás beállítása.

Zárja le az SSH-t

Az SSH az elsődleges hozzáférési pont, és az első dolog, amit a támadók megvizsgálnak. Az alapértelmezett konfiguráció (jelszóval történő hitelesítés, root bejelentkezés, 22-es port) pontosan az, amit az automatizált szkennerek keresnek.

Hozzon létre egy Ed25519 kulcspárt, amely jobb biztonságot és teljesítményt nyújt, mint az RSA:

ssh-keygen -t ed25519

Amint a kulcsalapú bejelentkezés működik, frissítse /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Állítsa az alapértelmezett portot 22-ről valami kevésbé nyilvánvalóra. Ez nem fogja megállítani az elszánt támadókat, de jelentősen csökkenti az automatizált szkennelések okozta zavarokat.

Mindig tesztelje a változtatásokat egy második terminálról, mielőtt bezárná az aktuális munkamenetet. Futtassa a sudo sshd -t parancsot a szintaxis hibák ellenőrzéséhez, majd a systemctl reload sshd parancsot az aktív kapcsolatok megszakítása nélkül.

Adjon hozzá kétfaktoros hitelesítést

A 2FA azt jelenti, hogy a támadónak mind az SSH-kulcsára, mind pedig fizikai hozzáférésre van szüksége az eszközéhez. Telepítse a Google Authenticator PAM modult:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Futtassa google-authenticator minden felhasználó számára, hogy titkos kulcsot és helyreállítási kódokat generáljon. A helyreállítási kódokat tárolja offline.

Adja hozzá ezt a sort a /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Ezután frissítse /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Tartson nyitva egy aktív munkamenetet a tesztelés során. A TOTP-kódok a pontos rendszeridőtől függenek, ezért győződjön meg arról, hogy az NTP fut.

Tűzfalak és Fail2Ban konfigurálása

Futtasson egy hosztalapú tűzfalat akkor is, ha a szerver egy hálózati tűzfal mögött található. Az elv egyszerű: alapértelmezésként utasítson el minden bejövő forgalmat, majd engedélyezze csak azt, amire szüksége van.

Ubuntu/Debian (UFW) esetén:

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

RHEL/Rocky/AlmaLinux (Firewalld) esetén:

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Erősítse meg a kernel hálózati rétegét az alábbiak hozzáadásával /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Telepítse a Fail2Ban-t

A Fail2Ban figyeli a bejelentkezési kísérleteket, és ismételt sikertelen kísérletek után letiltja az IP-címeket. Hozzon létre egy /etc/fail2ban/jail.local (ne szerkessze jail.conf közvetlenül, a frissítések felülírják), és konfigurálja úgy, hogy 10 percen belül három sikertelen kísérlet után egy órára letiltja az IP-címeket. Állítsa be a tűzfalához megfelelő háttérprogramot (banaction = ufw vagy banaction = nftables).

Audit szolgáltatások és a régi protokollok eltávolítása

Ellenőrizze, mi figyel a ss -tlnp és mi fut a systemctl list-units --type=service --state=running. Tiltson le mindent, amire nincs szüksége: Bluetooth, CUPS, avahi-daemon, rpcbind.

Távolítsa el a régi protokollokat, amelyek nyílt szövegben továbbítják az adatokat:

Debian/Ubuntu rendszeren: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. RHEL-alapú rendszereken: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Ellenőrizze az eltávolítást a ss -tulpn.

Frissítések telepítése és automatizálása

A rendszer frissítése a leggyorsabb módja az ismert biztonsági rések megszüntetésének. A telepítés után azonnal futtassa le a frissítéseket:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Ezután automatizálja a biztonsági javításokat. Debian/Ubuntu rendszeren telepítse unattended-upgrades és konfigurálja úgy, hogy csak a biztonsági javításokat alkalmazza. RHEL/Rocky rendszeren telepítse a dnf-automatic és állítsa be upgrade_type = security a /etc/dnf/automatic.conf.

Állítson be e-mailes értesítéseket a frissítési eredményekről. Tiltsa le az automatikus újraindításokat a termelési szervereken (Automatic-Reboot = false), hogy az újraindítások a tervezett karbantartási időszakokban történjenek. Magas rendelkezésre állású környezetekben fontolja meg az élő javításokat a Canonical Livepatch (Ubuntu) vagy a kpatch (RHEL) segítségével.

A fájlrendszerek és a jogosultságok megerősítése

Először ellenőrizze az SUID és SGID bináris fájlokat. Ezek a fájlok emelt jogosultságokkal futnak, és elsődleges célpontjai a kihasználásnak:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Szigorítsa a kritikus fájlok jogosultságait: /etc/shadow kell 600, /etc/passwd kell lennie 644, /etc/ssh/sshd_config kell lennie 600. Állítson be egy globális umask értéket 027 -t /etc/profile értékre, hogy megakadályozza az új fájlok általános olvashatóságát.

Keresse meg és javítsa ki a mindenki számára írható fájlokat a find / -xdev -type f -perm -0002 -ls. Azoknál a könyvtáraknál, amelyeknek világszerte írhatónak kell maradniuk (például /tmp), alkalmazza a sticky bitet: chmod 1777 /tmp.

Biztonságos csatlakozási beállítások

Szerkesztés /etc/fstab a kritikus partíciókon történő műveletek korlátozásához:

A változásokat az mount -o remount az újraindítás előtt, hogy elkerülje a rendszerindítási problémákat.

Kötelező hozzáférés-vezérlés engedélyezése

A SELinux és az AppArmor kernel szintű korlátozásokat vezet be arra vonatkozóan, hogy a folyamatok mit tehetnek. Használja azt, amelyik a disztribúciójához tartozik: SELinux RHEL/CentOS/Fedora esetén, AppArmor Ubuntu/Debian/SUSE esetén. A kettő közötti váltás kompatibilitási problémákat okoz.

SELinux: Ellenőrizze az állapotot a getenforce. Induljon el engedékeny módban (setenforce 0) legalább két hétig, hogy rögzíthesse a rendszer terhelés alatti viselkedését anélkül, hogy bármit is tönkretenne. Figyelje a szabályszegéseket a ausearch -m avc -ts recent. Használja a audit2why a blokkolások diagnosztizálásához, és audit2allow -M [module_name] a szabálymodulok létrehozásához. Ha a naplófájlok már tisztaak, váltson át az érvényesítésre a setenforce 1, majd állítsa be állandóan az /etc/selinux/config.

AppArmor-ban: Ellenőrizze az aktív profilokat a aa-status. Telepítse apparmor-utils a kezelőparancsokhoz. Indítsa el a profilokat panasz módban a aa-complain, majd váltson végrehajtási módra aa-enforce , ha már biztos benne. Használja a aa-genprof a saját alkalmazások profiljainak létrehozásához.

Auditnaplózás és felügyelet beállítása

Naplózás nélkül az incidensek nem hagynak nyomot. Telepítés auditd:

sudo apt-get install auditd audispd-plugins

Fájlrendszer-figyelés hozzáadása a kritikus fájlokhoz:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Kövesse nyomon az összes root szintű parancs végrehajtását:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Töltse be a szabályokat a augenrules --load és adja hozzá -e 2 a szabályfájl végére, hogy a konfiguráció hamisításbiztos legyen (a módosítások újraindítást igényelnek).

Fájlintegritás-ellenőrzés az AIDE segítségével

Az AIDE az aktuális állapotot egy ismert, hibátlan alapállapothoz viszonyítva észleli a jogosulatlan fájlváltozásokat. Telepítse, inicializálja az adatbázist a aideinit, majd helyezze át a kapott fájlt a /var/lib/aide/aide.db.gz. Állítson be egy napi cron feladatot a aide --check és az eredmények e-mailben történő elküldését a rendszergazdáknak.

Naplók központosítása

A helyi naplófájlok haszontalanok, ha egy root hozzáféréssel rendelkező támadó törli őket. A rsyslog segítségével, TLS titkosítással továbbítsa a naplófájlokat valós időben egy távoli szerverre. Adja hozzá a /etc/rsyslog.conf:

*.* @@remote-host:514

Set LogLevel VERBOSE az SSH-konfigurációjában, hogy a naplófájlok minden sikeres bejelentkezéshez tartalmazzák a kulcs ujjlenyomatát. Több szervert kezelő termelési környezetekben olyan eszközök, mint a Wazuh vagy az OSSEC, biztosítják a gazdagép-alapú behatolásérzékelést központosított naplóelemzéssel.

Folyamatos karbantartás

A rendszer megerősítése nem egyszeri feladat. A konfigurációk eltolódnak, új sebezhetőségek jelennek meg, és a személyzeti változások nyomán elhagyott fiókok maradnak hátra.

Hetente: Tekintse át a Fail2Ban naplókat, ellenőrizze a sikertelen frissítéseket, ellenőrizze a biztonsági másolatokat.

Havonta: Ellenőrizze a felhasználói fiókokat és jogosultságokat, vizsgálja át a futó szolgáltatásokat, futtasson teljes vizsgálatot a Lynis vagy az OpenSCAP segítségével.

Negyedévente: Cserélje le a hitelesítő adatokat, frissítse a tűzfal szabályait, tesztelje a katasztrófa-helyreállítást.

Használjon infrastruktúra-kód eszközöket, mint például az Ansible-t a dev-sec.io biztonsági szerepkörökkel, hogy egységes konfigurációkat érvényesítsen a teljes flottáján, és megakadályozza az ellenőrzések közötti eltéréseket.

Az FDC dedikált szerverei teljes root hozzáférést és teljes ellenőrzést biztosítanak a biztonsági rétege felett. Fedezze fel a dedikált szerver opciókat, hogy olyan platformon építhessen, ahol minden réteget Ön irányít.