Politik | Hjemmebruger | Server |
Deaktiver SSH | ✔ | x |
Deaktiver SSH-rootadgang | x | ✔ |
Skift SSH-port | x | ✔ |
Deaktiver SSH-adgangskode-login | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-sikkerhed | ✔ | ✔ |
Diskkryptering | ✔ | x / ✔ |
Systemopdatering | ✔ | ✔ |
VPN (virtuelt privat netværk) | ✔ | x |
Aktivér SELinux | ✔ | ✔ |
Almindelig praksis | ✔ | ✔ |
- SSH-adgang
- Firewall (iptables)
- Intrusion Detection System (IDS)
- BIOS-sikkerhed
- Harddisk kryptering
- Systemopdatering
- VPN (virtuelt privat netværk)
- Aktivér SELinux (sikkerhedsforbedret Linux)
- Almindelig praksis
SSH-adgang
Hjemmebrugere:
Hjemmebrugere bruger ikke rigtig ssh, dynamiske IP-adresser og router-NAT-konfigurationer gjorde alternativer med omvendt forbindelse som TeamViewer mere attraktive. Når en tjeneste ikke bruges, skal porten lukkes både ved at deaktivere eller fjerne tjenesten og ved at anvende restriktive firewallregler.
Servere:
I modsætning til indenlandske brugere, der har adgang til forskellige servere, er netværksadministratorer hyppige ssh / sftp-brugere. Hvis du skal holde din ssh-tjeneste aktiveret, kan du træffe følgende foranstaltninger:
- Deaktiver rodadgang via SSH.
- Deaktiver login med adgangskode.
- Skift SSH-porten.
Almindelige SSH-konfigurationsindstillinger Ubuntu
Iptables
Iptables er grænsefladen til at styre netfilter til at definere firewallregler. Hjemmebrugere kan tendens til UFW (ukompliceret firewall), som er en frontend for iptables for at gøre det nemt at oprette firewallregler. Uafhængigt af grænsefladen er punktet umiddelbart efter installationen, firewallen er blandt de første ændringer, der gælder. Afhængig af dit skrivebord eller serverbehov er de mest anbefalede af hensyn til sikkerheden restriktive politikker, der kun tillader det, du har brug for, mens du blokerer for resten. Iptables vil blive brugt til at omdirigere SSH-port 22 til en anden, til at blokere unødvendige porte, filtrere tjenester og indstille regler for kendte angreb.
For mere information om iptables check: Iptables for begyndere
Intrusion Detection System (IDS)
På grund af de høje ressourcer, de kræver, bruges IDS ikke af hjemmebrugere, men de er et must på servere udsat for angreb. IDS bringer sikkerheden til det næste niveau, der gør det muligt at analysere pakker. De mest kendte IDS er Snort og OSSEC, begge tidligere forklaret på LinuxHint. IDS analyserer trafik over netværket på udkig efter ondsindede pakker eller uregelmæssigheder, det er et netværksovervågningsværktøj orienteret mod sikkerhedshændelser. For instruktioner om installation og konfiguration af de mest 2 populære IDS-løsninger, se: Konfigurer Snort IDS og Opret regler
Kom godt i gang med OSSEC (Intrusion Detection System)
BIOS-sikkerhed
Rootkits, malwares og server BIOS med fjernadgang repræsenterer yderligere sårbarheder for servere og desktops. BIOS kan hackes via kode, der udføres fra operativsystemet eller gennem opdateringskanaler for at få uautoriseret adgang eller glemme oplysninger som sikkerhedskopier.
Hold BIOS-opdateringsmekanismer opdaterede. Aktivér BIOS Integrity Protection.
Forståelse af Boot-processen - BIOS vs UEFI
Harddisk kryptering
Dette er en foranstaltning, der er mere relevant for Desktop-brugere, der kan miste deres computer eller blive tyveri, det er især nyttigt for brugere af bærbare computere. I dag understøtter næsten ethvert OS disk- og partitionskryptering, distributioner som Debian tillader at kryptere harddisken under installationsprocessen. For instruktioner om diskkrypteringskontrol: Sådan krypteres et drev på Ubuntu 18.04
Systemopdatering
Både desktopbrugere og sysadmin skal holde systemet opdateret for at forhindre, at sårbare versioner tilbyder uautoriseret adgang eller udførelse. Ud over at bruge den OS-leverede pakkehåndtering til at kontrollere tilgængelige opdateringer, der kører sårbarhedsskanninger, kan det hjælpe med at opdage sårbar software, som ikke blev opdateret på officielle arkiver eller sårbar kode, der skal omskrives. Nedenfor nogle tutorials om opdateringer:
- Sådan opretholdes Ubuntu 17.10 opdateret
- Linux Mint Sådan opdateres systemet
- Sådan opdateres alle pakker på elementært operativsystem
VPN (virtuelt privat netværk)
Internetbrugere skal være opmærksomme på, at internetudbydere overvåger al deres trafik, og den eneste måde at have råd til dette er at bruge en VPN-tjeneste. Internetudbyderen er i stand til at overvåge trafikken til VPN-serveren, men ikke fra VPN'en til destinationer. På grund af hastighedsproblemer er betalte tjenester det mest anbefalelsesværdige, men der er gratis gode alternativer som https: // protonvpn.com /.
- Bedste Ubuntu VPN
- Sådan installeres og konfigureres OpenVPN på Debian 9
Aktivér SELinux (sikkerhedsforbedret Linux)
SELinux er et sæt af Linux Kernel-ændringer, der fokuserer på styring af sikkerhedsaspekter relateret til sikkerhedspolitikker ved at tilføje MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) og Multi Category Security (MCS). Når SELinux er aktiveret, kan en applikation kun få adgang til de ressourcer, den har brug for, angivet i en sikkerhedspolitik for applikationen. Adgang til porte, processer, filer og mapper styres gennem regler defineret på SELinux, som tillader eller nægter operationer baseret på sikkerhedspolitikkerne. Ubuntu bruger AppArmor som alternativ.
- SELinux på Ubuntu-vejledning
Almindelig praksis
Næsten altid skyldes sikkerhedsfejl brugeres forsømmelighed. Ud over alle punkter, der tidligere er nummereret, følg de næste fremgangsmåder:
- Brug ikke rod, medmindre det er nødvendigt.
- Brug aldrig X Windows eller browsere som root.
- Brug adgangskodeadministratorer som LastPass.
- Brug kun stærke og unikke adgangskoder.
- Prøv ikke at installere ikke-gratis pakker eller pakker, der ikke er tilgængelige på officielle arkiver.
- Deaktiver ubrugte moduler.
- På servere håndhæve stærke adgangskoder og forhindre brugere i at bruge gamle adgangskoder.
- Afinstaller ubrugt software.
- Brug ikke de samme adgangskoder til forskellige adganger.
- Skift alle standardadgangsbrugernavne.
Politik | Hjemmebruger | Server |
Deaktiver SSH | ✔ | x |
Deaktiver SSH-rootadgang | x | ✔ |
Skift SSH-port | x | ✔ |
Deaktiver SSH-adgangskode-login | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-sikkerhed | ✔ | ✔ |
Diskkryptering | ✔ | x / ✔ |
Systemopdatering | ✔ | ✔ |
VPN (virtuelt privat netværk) | ✔ | x |
Aktivér SELinux | ✔ | ✔ |
Almindelig praksis | ✔ | ✔ |
Jeg håber, du fandt denne artikel nyttig til at øge din sikkerhed. Fortsæt med at følge LinuxHint for flere tip og opdateringer om Linux og netværk.