Danh sách kiểm tra tăng cường bảo mật máy chủ Linux

Một cài đặt Linux mặc định không phải là một cài đặt Linux an toàn. Các sai sót trong cấu hình như truy cập SSH root mở, tường lửa yếu và phần mềm chưa được vá lỗi chiếm phần lớn các vụ vi phạm. Các máy chủ mới phải đối mặt với các cuộc quét tự động trong vòng vài phút sau khi được đưa vào hoạt động, vì vậy việc tăng cường bảo mật phải được thực hiện trước tiên.

Danh sách kiểm tra này bao gồm các bước cốt lõi: khóa SSH, cấu hình tường lửa, vá lỗi, thắt chặt quyền truy cập tệp, kích hoạt kiểm soát truy cập bắt buộc và thiết lập ghi nhật ký kiểm tra.

Khóa SSH

SSH là điểm truy cập chính của bạn và là điều đầu tiên mà những kẻ tấn công tìm kiếm. Cấu hình mặc định (xác thực bằng mật khẩu, đăng nhập root, cổng 22) chính xác là những gì các trình quét tự động tìm kiếm.

Tạo một cặp khóa Ed25519, cung cấp bảo mật và hiệu suất tốt hơn so với RSA:

ssh-keygen -t ed25519

Khi đăng nhập dựa trên khóa hoạt động, hãy cập nhật /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
PermitRootLogin no
AllowUsers yourname
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

Thay đổi cổng mặc định từ 22 sang một cổng ít rõ ràng hơn. Điều này sẽ không ngăn chặn được những kẻ tấn công quyết tâm, nhưng nó sẽ giảm đáng kể sự ồn ào từ các cuộc quét tự động.

Luôn kiểm tra các thay đổi từ một thiết bị đầu cuối thứ hai trước khi đóng phiên hiện tại. Chạy sudo sshd -t để kiểm tra lỗi cú pháp, sau đó chạy systemctl reload sshd để áp dụng mà không làm gián đoạn các kết nối đang hoạt động.

Thêm xác thực hai yếu tố

2FA có nghĩa là kẻ tấn công cần cả khóa SSH và quyền truy cập vật lý vào thiết bị của bạn. Cài đặt mô-đun PAM của Google Authenticator:

sudo apt install libpam-google-authenticator   # Debian/Ubuntu
sudo dnf install google-authenticator           # RHEL/Fedora

Chạy google-authenticator cho mỗi người dùng để tạo khóa bí mật và mã khôi phục. Lưu trữ mã khôi phục ngoại tuyến.

Thêm dòng này vào /etc/pam.d/sshd:

auth required pam_google_authenticator.so

Sau đó cập nhật tệp /etc/ssh/sshd_config:

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

Giữ một phiên làm việc đang hoạt động mở trong khi kiểm tra. Các mã TOTP phụ thuộc vào thời gian hệ thống chính xác, vì vậy hãy đảm bảo NTP đang chạy.

Cấu hình tường lửa và Fail2Ban

Chạy tường lửa dựa trên máy chủ ngay cả khi máy chủ của bạn nằm sau tường lửa mạng. Nguyên tắc rất đơn giản: từ chối tất cả lưu lượng truy cập đến theo mặc định, sau đó chỉ cho phép những gì bạn cần.

Đối với Ubuntu/Debian (UFW):

ufw default deny incoming
ufw default allow outgoing
ufw limit ssh
ufw enable

Đối với RHEL/Rocky/AlmaLinux (Firewalld):

firewall-cmd --set-default-zone=public
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

Tăng cường bảo mật ngăn xếp mạng kernel bằng cách thêm các dòng sau vào /etc/sysctl.conf:

net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1

Cài đặt Fail2Ban

Fail2Ban giám sát các lần đăng nhập và chặn các địa chỉ IP sau nhiều lần thất bại. Tạo tệp /etc/fail2ban/jail.local (không chỉnh sửa trực tiếp tệp jail.conf, vì các bản cập nhật sẽ ghi đè lên tệp này) và cấu hình để chặn các địa chỉ IP trong một giờ sau ba lần thất bại trong vòng 10 phút. Đặt backend phù hợp cho tường lửa của bạn (banaction = ufw hoặc banaction = nftables).

Kiểm tra các dịch vụ và loại bỏ các giao thức cũ

Kiểm tra những gì đang lắng nghe bằng ss -tlnp và những gì đang chạy bằng systemctl list-units --type=service --state=running. Tắt bất cứ thứ gì bạn không cần: Bluetooth, CUPS, avahi-daemon, rpcbind.

Loại bỏ các giao thức cũ truyền dữ liệu dưới dạng văn bản thuần túy:

Trên Debian/Ubuntu: sudo apt-get --purge remove xinetd nis tftpd telnetd rsh-server. Trên các hệ thống dựa trên RHEL: yum erase xinetd ypserv tftp-server telnet-server rsh-server. Kiểm tra việc gỡ bỏ bằng lệnh ss -tulpn.

Cập nhật bản vá và tự động hóa

Cập nhật hệ thống là cách nhanh nhất để khắc phục các lỗ hổng bảo mật đã biết. Hãy chạy các bản cập nhật ngay sau khi triển khai:

apt update && apt upgrade -y      # Debian/Ubuntu
dnf update -y                      # RHEL/Rocky

Sau đó, tự động hóa việc cài đặt bản vá bảo mật. Trên Debian/Ubuntu, cài đặt unattended-upgrades và cấu hình để chỉ áp dụng các bản vá bảo mật. Trên RHEL/Rocky, cài đặt dnf-automatic và đặt upgrade_type = security trong /etc/dnf/automatic.conf.

Thiết lập thông báo qua email cho kết quả cập nhật. Tắt tính năng khởi động lại tự động trên các máy chủ sản xuất (Automatic-Reboot = false) để việc khởi động lại diễn ra trong các khung thời gian bảo trì đã lên kế hoạch. Đối với các môi trường yêu cầu thời gian hoạt động cao, hãy xem xét việc vá lỗi trực tiếp bằng Canonical Livepatch (Ubuntu) hoặc kpatch (RHEL).

Tăng cường bảo mật hệ thống tệp và quyền truy cập

Trước tiên, hãy kiểm tra các tệp nhị phân SUID và SGID. Các tệp này chạy với đặc quyền nâng cao và là mục tiêu hàng đầu để khai thác:

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f -ls

Thắt chặt quyền truy cập trên các tệp quan trọng: /etc/shadow nên là 600, /etc/passwd nên là 644, /etc/ssh/sshd_config nên là 600. Đặt umask toàn cục là 027 trong /etc/profile để ngăn các tệp mới có quyền đọc cho tất cả người dùng.

Tìm và sửa các tệp có thể ghi được bởi mọi người bằng lệnh find / -xdev -type f -perm -0002 -ls. Đối với các thư mục phải giữ quyền ghi được bởi mọi người (như /tmp), hãy áp dụng bit dính: chmod 1777 /tmp.

Tùy chọn gắn kết an toàn

Chỉnh sửa /etc/fstab để hạn chế những gì có thể xảy ra trên các phân vùng quan trọng:

Kiểm tra các thay đổi bằng lệnh mount -o remount trước khi khởi động lại để tránh các sự cố khởi động.

Kích hoạt Kiểm soát Truy cập Bắt buộc

SELinux và AppArmor thêm các hạn chế ở cấp độ kernel đối với những gì các quy trình có thể thực hiện. Sử dụng bất kỳ phần mềm nào đi kèm với bản phân phối của bạn: SELinux cho RHEL/CentOS/Fedora, AppArmor cho Ubuntu/Debian/SUSE. Việc chuyển đổi giữa chúng sẽ gây ra các vấn đề về khả năng tương thích.

SELinux: Kiểm tra trạng thái bằng lệnh getenforce. Bắt đầu ở chế độ cho phép (setenforce 0) trong ít nhất hai tuần để ghi lại hành vi của hệ thống mà không gây gián đoạn. Theo dõi các vi phạm bằng lệnh ausearch -m avc -ts recent. Sử dụng audit2why để chẩn đoán các trường hợp bị chặn và audit2allow -M [module_name] để tạo các mô-đun chính sách. Khi nhật ký đã sạch, chuyển sang chế độ thực thi bằng setenforce 1, sau đó thiết lập vĩnh viễn trong /etc/selinux/config.

AppArmor: Kiểm tra các cấu hình đang hoạt động bằng aa-status. Cài đặt apparmor-utils để sử dụng các lệnh quản lý. Khởi động các cấu hình ở chế độ cảnh báo bằng aa-complain, sau đó chuyển sang chế độ thực thi bằng aa-enforce khi bạn đã tự tin. Sử dụng aa-genprof để xây dựng cấu hình cho các ứng dụng tùy chỉnh.

Thiết lập ghi nhật ký kiểm toán và giám sát

Nếu không có ghi nhật ký, các sự cố sẽ không để lại dấu vết. Cài đặt auditd:

sudo apt-get install auditd audispd-plugins

Thêm các công cụ giám sát hệ thống tệp cho các tệp quan trọng:

-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

Theo dõi tất cả các lệnh được thực thi ở cấp độ root:

-a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

Tải các quy tắc bằng lệnh `augenrules --load ` và thêm `-e 2 ` vào cuối tệp quy tắc để đảm bảo cấu hình không bị thay đổi trái phép (các thay đổi yêu cầu khởi động lại).

Giám sát tính toàn vẹn tệp với AIDE

AIDE phát hiện các thay đổi tệp trái phép bằng cách so sánh trạng thái hiện tại với một bản tham chiếu đã biết là tốt. Cài đặt nó, khởi tạo cơ sở dữ liệu bằng aideinit và di chuyển tệp kết quả đến /var/lib/aide/aide.db.gz. Thiết lập tác vụ cron hàng ngày để chạy aide --check và gửi kết quả qua email cho quản trị viên.

Tập trung nhật ký

Nhật ký cục bộ sẽ vô dụng nếu kẻ tấn công có quyền truy cập root xóa chúng. Chuyển tiếp nhật ký đến máy chủ từ xa theo thời gian thực bằng cách sử dụng rsyslog với mã hóa TLS. Thêm vào /etc/rsyslog.conf:

*.* @@remote-host:514

Đặt LogLevel VERBOSE trong cấu hình SSH của bạn để nhật ký bao gồm dấu vân tay khóa cho mỗi lần đăng nhập thành công. Đối với môi trường sản xuất quản lý nhiều máy chủ, các công cụ như Wazuh hoặc OSSEC cung cấp tính năng phát hiện xâm nhập dựa trên máy chủ với phân tích nhật ký tập trung.

Bảo trì liên tục

Việc tăng cường bảo mật không phải là công việc chỉ thực hiện một lần. Cấu hình có thể thay đổi, các lỗ hổng bảo mật mới xuất hiện và sự thay đổi nhân sự có thể để lại các tài khoản bị bỏ quên.

Hàng tuần: Xem lại nhật ký Fail2Ban, kiểm tra các bản cập nhật không thành công, xác minh các bản sao lưu.

Hàng tháng: Kiểm tra tài khoản người dùng và quyền truy cập, xem xét các dịch vụ đang chạy, thực hiện quét toàn bộ bằng Lynis hoặc OpenSCAP.

Hàng quý: Thay đổi thông tin đăng nhập, cập nhật quy tắc tường lửa, kiểm tra khả năng phục hồi sau thảm họa.

Sử dụng các công cụ cơ sở hạ tầng dưới dạng mã (Infrastructure-as-Code) như Ansible kết hợp với các vai trò tăng cường bảo mật của dev-sec.io để áp dụng cấu hình nhất quán trên toàn bộ hệ thống và ngăn chặn sự thay đổi cấu hình giữa các lần kiểm tra.

Các máy chủ chuyên dụng của FDC cung cấp cho bạn quyền truy cập root đầy đủ và quyền kiểm soát hoàn toàn hệ thống bảo mật của bạn. Khám phá các tùy chọn máy chủ chuyên dụng để xây dựng trên một nền tảng nơi bạn kiểm soát mọi lớp.