Popraw bezpieczeństwo swojego serwera Linux dzięki tym 7 krokom wzmacniającym

Linux rządzi internetem; przejął cyfrowy świat na wczesnym etapie i nadal go napędza. Bezpieczeństwo serwera Linux ma ogromne znaczenie, zwłaszcza z jego rozpowszechnionym narzędziem.

Jednak, jak każdy inny system operacyjny, serwery Linux są podatne na wycieki danych. Pomimo tych problemów użytkownicy nie biorą w pełni pod uwagę zakresu wycieków bezpieczeństwa i tego, w jaki sposób z czasem może to wpłynąć na ich dane.

Z tego powodu konieczne jest wykonanie kilku podstawowych kroków, które mogą pomóc w zabezpieczeniu serwera Linux przed włamaniami i naruszeniami bezpieczeństwa.

1. Ustaw bezpieczne hasła

Hasła są podstawą bezpiecznego serwera. W praktyce używaj haseł o długości co najmniej 10 znaków i haseł alfanumerycznych, znaków specjalnych oraz wielkich i małych liter.

Ponadto unikaj powtarzania haseł dla wielu aplikacji. Dodaj konfigurację wygaśnięcia haseł, ponieważ żadne pojedyncze hasło nie zapewnia stałego bezpieczeństwa.

Aby włączyć zwiększone bezpieczeństwo, zapoznaj się z doskonałymi menedżerami haseł dla swojego systemu Linux. Menedżerowie ci oferują usługi takie jak:

• Uwierzytelnianie dwuskładnikowe
• Generowanie hasła
• Przechowywanie haseł w chmurze

Oto kilka opcji:

• Bitwarden
• LastPass
• Enpass
• Dashlane

Zanim przejdziesz do jakiejkolwiek opcji, upewnij się, że zmierzysz swoje wymagania i wybierz oprogramowanie, które działa dla Twojej konfiguracji serwera.

2. Dołącz parę kluczy SSH

Hasła to tylko jedna część procesu utwardzania. Połącz ten proces z bardziej niezawodnymi metodami logowania, aby uzyskać najbezpieczniejsze wyniki. Pary kluczy Secure Shell lub SSH są trudne do złamania brutalną siłą.

Pary kluczy SSH nie są tak przyjazne dla użytkownika jak zwykłe hasła, ale są bezpieczniejsze. Takie zwiększone bezpieczeństwo przypisuje się szyfrowaniu serwera i używanemu systemowi.

Para kluczy SSH równoważnie reprezentuje 12-znakowe hasło. W rzeczywistości faktyczna kompozycja pary kluczy SSH może być trudna do zrozumienia dla zwykłego człowieka, ale jest to konieczne.

Generowanie pary kluczy SSH jest proste. Najpierw skonfiguruj klucz SSH, wpisując następujące polecenie w oknie Terminala:

$ ssh-keygen -t rsa 

Wybierz miejsce docelowe, w którym chcesz zapisać klucz.

Podaj lokalizację pliku, w której chcesz zapisać klucz (/home/youruser/.ssh/id_rsa):

Mierz i oceniaj szanse fizycznych ataków na zhakowane serwery w momencie decydowania o lokalizacji zapisu. Najlepiej byłoby wybrać urządzenie lokalne, aby zmniejszyć luki.

Związane z: Wskazówki dotyczące utwardzania systemu Linux dla początkujących administratorów systemu

3. Regularnie aktualizuj oprogramowanie serwera

Zaktualizowane serwery działają dobrze, gdy wdrażasz poprawki oprogramowania w celu zwalczania pojawiających się luk w zabezpieczeniach. Niestety, wielu użytkowników może przeoczyć te poprawki oprogramowania, przez co ich serwery są podatne na ataki i stają się łatwym celem dla hakerów.

Aby zwalczyć ten problem, musisz zainstaluj aktualizacje na swoim komputerze z systemem Linux. Możesz to zrobić na dwa sposoby.

Wiersze poleceń w oknie terminala

Wpisz poniższe polecenie w oknie terminala. Zaraz po wykonaniu polecenie zacznie wyświetlać wszystkie istotne informacje o oczekujących aktualizacjach.

$ sudo apt aktualizacja 

Menedżer aktualizacji Ubuntu

Proces jest nieco inny, gdy aktualizujesz za pomocą Menedżera aktualizacji Ubuntu. W wersjach 18.04 lub nowszych pierwszym krokiem jest kliknięcie przycisku Pokaż aplikacje w lewym dolnym rogu ekranu.

Stamtąd wyszukaj Menadżer aktualizacji zainstalować aktualizacje.

4. Włącz automatyczne aktualizacje

Powiedzmy, że automatyczne aktualizacje są rozszerzeniem poprzedniego kroku. Czy zmagasz się z mnóstwem aktualizacji zabezpieczeń i tracisz z oczu te ważne aktualizacje?

Jeśli odpowiedziałeś na to dużym skinieniem głowy, automatyczne aktualizacje są Twoim ulubionym rozwiązaniem. W zależności od typu systemu możesz włączyć automatyczne aktualizacje w następujący sposób.

Użytkownicy GNOME

1. Otwórz menu systemowe
2. Wybierz Administrację
3. Przejdź do Menedżera aktualizacji i wybierz Ustawienia
4. Otwórz aktualizacje
5. Przejdź do to zainstaluj ustawienia aktualizacji zabezpieczeń

Użytkownicy Debiana

Użytkownicy Debiana mogą zdecydować się na nienadzorowaną instalację aktualizacji. W ten sposób Twój system będzie zawsze aktualizowany bez zbytniej ręcznej interwencji.

Zainstaluj pakiet:

sudo apt-get install nienadzorowane-uaktualnienia

Włącz pakiet:

$ sudo dpkg-reconfigure --priority=niskie nienadzorowane aktualizacjeup

5. Usuń zbędne usługi sieciowe Network

Wszystkie systemy operacyjne dla serwerów Linux są dostarczane z własnymi odpowiednimi usługami sieciowymi serwera. Chociaż chcesz zachować większość tych usług, kilka z nich powinieneś usunąć.

Uruchom następujące polecenia, aby wyświetlić listę takich usług:

$ sudo ss -atpu

Uwaga: Dane wyjściowe tego polecenia będą się różnić w zależności od systemu operacyjnego.

Możesz usunąć nieużywaną usługę, w zależności od systemu operacyjnego i menedżera pakietów.

Debian/Ubuntu:

$ sudo apt purge 

Czerwony Kapelusz/CentOS:

$ sudo mniam usuń 

Aby przeprowadzić weryfikację krzyżową, uruchom ss -atup polecenie ponownie, aby sprawdzić, czy usługi zostały usunięte, czy nie.

6. Zainstaluj Fail2ban, aby skanować pliki dziennika

Serwery Linux i ataki typu brute force idą w parze. Takie ataki zwykle kończą się sukcesem, ponieważ użytkownicy końcowi nie podjęli wymaganych środków zapobiegawczych w celu zabezpieczenia swoich systemów.

Fail2ban to oprogramowanie zapobiegające włamaniom, które zmienia reguły zapory i blokuje każdy adres, który próbuje zalogować się do systemu. Jest szeroko stosowany do identyfikowania i rozwiązywania trendów niepowodzeń uwierzytelniania. Są one wspierane za pomocą alertów e-mail, które znacznie ograniczają takie złośliwe ataki..

Aby zainstalować Fail2ban:

CentOS 7

mniam zainstaluj fail2ban

Debiana

apt-get install fail2ban

Aby włączyć obsługę poczty e-mail:

CentOS 7

mniam zainstaluj sendmail

Debiana

apt-get install sendmail-bin sendmail

7. Włącz zaporę sieciową

Zapory ogniowe to kolejny skuteczny sposób na rozkręcenie kuli w celu zabezpieczenia serwera z systemem Linux. Po zainstalowaniu zapory należy ją włączyć i skonfigurować tak, aby przepuszczała ruch sieciowy.

Nieskomplikowana zapora ogniowa (UFW) okazuje się dobrym dodatkiem do bezpieczeństwa do twojego serwera Linux. UFW oferuje łatwy w użyciu interfejs, który upraszcza proces konfigurowania zapory w systemie.

Zainstaluj UFW za pomocą następującego wiersza poleceń:

$ sudo apt zainstaluj ufw

UFW został skonfigurowany tak, aby odrzucać wszystkie połączenia przychodzące i wychodzące. Dowolna aplikacja na Twoim serwerze może łączyć się z Internetem, ale żadne połączenia przychodzące nie trafią na Twój serwer.

W pierwszym kroku po instalacji musisz włączyć SSH, HTTP i HTTPS:

$ sudo ufw zezwól na ssh
$ sudo ufw zezwalaj na HTTP
$ sudo ufw zezwalaj na HTTPS 

Możesz także włączyć i wyłączyć UFW:

$ sudo ufw włącz 
$ sudo ufw wyłącz 

W razie potrzeby możesz sprawdzić listę dozwolonych/zabronionych usług:

$ status sudo ufw 

Dbanie o bezpieczeństwo serwera Linux

Pamiętaj, że wzmacnianie Linuksa i utrzymywanie bezpieczeństwa serwera nie jest czynnością jednorazową.

Zamiast tego jest to ciągły proces, który rozpoczyna się od instalacji regularnych aktualizacji, ochrony serwera za pomocą zapór sieciowych i rozciąga się na odinstalowanie wszelkiego zbędnego oprogramowania. W końcu kończy się przeprowadzaniem audytów bezpieczeństwa, aby powstrzymać hakerów.

O autorze