Linux-kiszolgáló keményítésének ellenőrző listája

Az alapértelmezett Linux telepítés nem biztonságos Linux telepítés. Az olyan hibás beállítások, mint a nyílt root SSH hozzáférés, a gyenge tűzfalak és a nem javított szoftverek okozzák a legtöbb betörést. Az új szervereket az online indulás után perceken belül automatikus vizsgálatoknak vetik alá, ezért a keményítésnek minden más előtt meg kell történnie.

Ez az ellenőrző lista az alapvető lépéseket tartalmazza: az SSH lezárása, a tűzfalak konfigurálása, a foltozás, a fájljogosultságok szigorítása, a kötelező hozzáférés-ellenőrzés engedélyezése és az ellenőrzési naplózás beállítása.

Az SSH lezárása

Az SSH az elsődleges hozzáférési pont, és az első dolog, amit a támadók megvizsgálnak. Az alapértelmezett konfiguráció (jelszó auth, root bejelentkezés, 22-es port) pontosan az, amit az automatizált szkennerek keresnek.

Generáljon Ed25519 kulcspárt, amely jobb biztonságot és teljesítményt nyújt, mint az RSA:

ssh-keygen -t ed25519

Ha a kulcsalapú bejelentkezés működik, frissítse az /etc/ssh/sshd_config állományt:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Változtassa meg az alapértelmezett portot 22-ről valami kevésbé nyilvánvalóra. Ez nem fog megállítani egy elszánt támadót, de jelentősen csökkenti az automatikus vizsgálatok zaját.

Mindig tesztelje a változtatásokat egy második terminálról, mielőtt bezárja az aktuális munkamenetet. A sudo sshd -t futtatásával ellenőrizze a szintaxis hibákat, majd a systemctl reload sshd segítségével alkalmazza az aktív kapcsolatok megszakítása nélkül.

Kétfaktoros hitelesítés hozzáadása

a 2FA azt jelenti, hogy a támadónak mind az SSH-kulcsodra, mind az eszközödhöz való fizikai hozzáférésre szüksége van. Telepítse a Google Authenticator PAM modult:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Futtassa a google-authenticator-t minden egyes felhasználó számára a titkos kulcs és a helyreállítási kódok generálásához. Tárolja a helyreállítási kódokat offline.

Adja hozzá ezt a sort az /etc/pam.d/sshd állományhoz:

auth required pam_google_authenticator.so

Ezután frissítse az /etc/ssh/sshd_config állományt:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Tartson nyitva egy aktív munkamenetet a tesztelés alatt. A TOTP-kódok a pontos rendszeridőn múlnak, ezért győződjön meg róla, hogy az NTP fut.

Tűzfalak és Fail2Ban konfigurálása

Futtasson host-alapú tűzfalat még akkor is, ha a kiszolgálója hálózati tűzfal mögött helyezkedik el. Az elv egyszerű: alapértelmezés szerint tagadjon meg minden bejövő forgalmat, majd csak azt engedje be, amire szüksége van.

Ubuntu/Debian (UFW) esetén:

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

RHEL/Rocky/AlmaLinux (Firewalld) esetén:

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Keményítse meg a kernel hálózati stackjét az /etc/sysctl.conf állományba való beírással:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Fail2Ban telepítése

A Fail2Ban figyeli a bejelentkezési kísérleteket, és ismételt sikertelenségek után letiltja az IP-címeket. Hozzon létre egy /etc/fail2ban/jail.local állományt (ne szerkessze közvetlenül a jail.conf állományt, a frissítések felülírják azt), és állítsa be, hogy 10 percen belül három sikertelen próbálkozás után egy órára tiltsa le az IP-ket. Állítsd be a megfelelő háttértárat a tűzfaladhoz(banaction = ufw vagy banaction = nftables).

Szolgáltatások ellenőrzése és a régebbi protokollok eltávolítása

Ellenőrizze, hogy mi figyel az ss -tlnp segítségével, és mi fut a systemctl list-units --type=service --state=running segítségével. Távolítson el mindent, amire nincs szüksége: Bluetooth, CUPS, avahi-daemon, rpcbind.

Távolítsuk el az olyan régi protokollokat, amelyek az adatokat tiszta szövegben továbbítják:

Debian/Ubuntu esetén: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. RHEL-alapú rendszereken: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Ellenőrizze az eltávolítást az ss -tulpn segítségével.

Frissítések javítása és automatizálása

A rendszer frissítése a leggyorsabb módja az ismert biztonsági rések megszüntetésének. Futtassa a frissítéseket közvetlenül a telepítés után:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Ezután automatizálja a biztonsági javításokat. Debian/Ubuntu esetén telepítse a felügyelet nélküli frissítéseket, és konfigurálja úgy, hogy csak a biztonsági javításokat alkalmazza. RHEL/Rocky esetén telepítse a dnf-automatic-ot, és a /etc/dnf/automatic.conf állományban állítsa be a upgrade_type = security értéket.

Állítson be e-mail értesítést a frissítések eredményéről. Tiltsa le az automatikus újraindításokat a termelő szervereken(Automatic-Reboot = false), így az újraindítások a tervezett karbantartási ablakok alatt történnek. A magas üzemidejű környezetek esetében fontolja meg az élő foltozást a Canonical Livepatch (Ubuntu) vagy a kpatch (RHEL) segítségével.

Fájlrendszerek és engedélyek keményítése

Először a SUID és SGID binárisokat ellenőrizze. Ezek a fájlok megnövelt jogosultságokkal futnak, és a kihasználás elsődleges célpontjai:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Szigorítsa a kritikus fájlok jogosultságait: /etc/shadow legyen 600, /etc/passwd legyen 644, /etc/ssh/sshd_config legyen 600. Állítson be egy 027-es globális umaskot az /etc/profile fájlban, hogy az új fájlok ne legyenek olvashatók a világ számára.

Keresse meg és javítsa ki a world-írható fájlokat a find / -xdev -type f -perm -0002 -ls paranccsal. Az olyan könyvtárakra, amelyeknek világ-írhatónak kell maradniuk (mint például a /tmp), alkalmazza a sticky bitet: chmod 1777 /tmp.

Biztonságos csatolási lehetőségek

Szerkessze az /etc/fstab állomány t, hogy korlátozza a kritikus partíciókat:

Az újraindítás előtt tesztelje a módosításokat a mount -o remount paranccsal, hogy elkerülje a rendszerindítási problémákat.

Kötelező hozzáférés-ellenőrzések engedélyezése

A SELinux és az AppArmor kernel-szintű korlátozásokat ad hozzá ahhoz, hogy a folyamatok mit tehetnek. Használja azt, amelyikkel a disztribúciója rendelkezik: SELinux a RHEL/CentOS/Fedora esetében, AppArmor az Ubuntu/Debian/SUSE esetében. A kettő közötti váltás kompatibilitási problémákat okoz.

SELinux: Ellenőrizze az állapotot a getenforce segítségével. Indítsd el megengedő üzemmódban(setenforce 0) legalább két hétig, hogy rögzítsd a munkaterhelés viselkedését anélkül, hogy bármit is tönkretennél. Figyelje a jogsértéseket az ausearch -m avc -ts recent segítségével. Használja az audit2why-t a blokkok diagnosztizálásához és az audit2allow -M [module_name]-t a házirendmodulok létrehozásához. Ha a naplók tiszták, váltson át kényszerítésre a setenforce 1 segítségével, majd tegye állandóvá az /etc/selinux/config állományban.

AppArmor: Aktív profilok ellenőrzése az aa-status segítségével. Telepítse az apparmor-utils-t a kezelési parancsokhoz. Indítsa el a profilokat panaszos üzemmódban az aa-complain segítségével, majd ha már biztos benne, lépjen át enforce üzemmódba az aa-enforce segítségével. Használja az aa-genprof-ot az egyéni alkalmazások profiljainak létrehozásához.

Ellenőrzési naplózás és felügyelet beállítása

Naplózás nélkül az incidensek nem hagynak nyomot. Telepítse az auditd-t:

sudo apt-get install auditd audispd-plugins

Adjon hozzá fájlrendszeri megfigyeléseket a kritikus fájlokra:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Minden root szintű parancsfuttatás nyomon követése:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

A szabályok betöltése az augenrules --load paranccsal és a -e 2 hozzáadása a szabályfájl végére, hogy a konfiguráció manipulációbiztos legyen (a módosítások újraindítást igényelnek).

Fájlok integritásának felügyelete az AIDE-vel

Az AIDE a jogosulatlan fájlmódosításokat úgy észleli, hogy az aktuális állapotot összehasonlítja egy ismert jó alapállapottal. Telepítse, inicializálja az adatbázist az aideinit segítségével, és az így kapott fájlt helyezze át a /var/lib/aide/aide/aide.db.gz fájlba. Állítson be egy napi cron feladatot az aide --check futtatására, és küldje el az eredményeket e-mailben a rendszergazdáknak.

Naplók központosítása

A helyi naplók használhatatlanok, ha egy root hozzáféréssel rendelkező támadó törli őket. Továbbítsa a naplókat egy távoli szerverre valós időben a TLS titkosítással ellátott rsyslog segítségével. Adja hozzá az /etc/rsyslog.conf állományhoz:

*.* @@remote-host:514

Az SSH konfigurációban állítsa be a LogLevel VERBOSE értéket, hogy a naplók minden sikeres bejelentkezésnél tartalmazzák a kulcs ujjlenyomatát. A több szervert kezelő termelési környezetek számára az olyan eszközök, mint a Wazuh vagy az OSSEC, központi naplóelemzéssel ellátott, host-alapú behatolásérzékelést biztosítanak.

Folyamatos karbantartás

A keményítés nem egyszeri feladat. A konfigurációk eltolódnak, új sebezhetőségek jelennek meg, és a személyzeti változások elárvult fiókokat hagynak maguk után.

Heti rendszerességgel: A Fail2Ban naplók felülvizsgálata, a sikertelen frissítések ellenőrzése, a biztonsági mentések ellenőrzése.

Havonta: A felhasználói fiókok és jogosultságok ellenőrzése, a futó szolgáltatások felülvizsgálata, teljes vizsgálat futtatása a Lynis vagy az OpenSCAP segítségével.

Negyedévente: Hitelesítési adatok cseréje, tűzfalszabályok frissítése, katasztrófa utáni helyreállítás tesztelése.

Használjon olyan infrastruktúra-alapú eszközöket, mint az Ansible a dev-sec.io keményítő szerepkörökkel, hogy egységes konfigurációkat kényszerítsen ki a teljes flottában, és megakadályozza az auditok közötti eltéréseket.

Az FDC dedikált szerverei teljes root hozzáférést és teljes ellenőrzést biztosítanak a biztonsági stack felett. Fedezze fel a dedikált szerver opciókat, hogy olyan platformra építhessen, ahol minden réteget Ön irányít.