Советы по усилению защиты Linux сервера
Обеспечить безопасность вашего Linux-сервера не так сложно, как вы думаете. Мы составили список лучших политик безопасности, которые вам необходимо реализовать для повышения безопасности вашей системы и поддержания целостности данных. Если вы используете системы на основе Ubuntu или Debian, первым шагом обычно является обновление индекса пакетов или репозиториев, как показано далее.Чтобы проверить наличие всех пакетов с доступными обновлениями, выполните команду:
sudo apt list --upgradableОбновите свои программные приложения до их текущих версий, как показано далее:
sudo apt upgradeВы можете объединить эти две команды в одну, как показано далее:
sudo apt update && sudo apt upgradeДля RHEL и CentOS обновите свои приложения, выполнив команду:
sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )2. Удалите устаревшие службы/протоколы связи.
Несмотря на поддержку множества удаленных протоколов, унаследованные службы, такие как rlogin, telnet, TFTP и FTP, могут создавать огромные проблемы безопасности для вашей системы. Это старые, устаревшие и небезопасные протоколы, в которых данные отправляются в виде обычного текста.Если они существуют, рассмотрите возможность их удаления, как показано далее:
sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-serverВ системах на базе RHEL/CentOS выполните:
sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv3. Закройте неиспользуемые порты на брандмауэре.
После того, как вы удалили все небезопасные службы, важно просканировать ваш сервер на предмет открытых портов и закрыть все неиспользуемые порты, которые потенциально могут быть использованы хакерами в качестве точки входа.Предположим, вы хотите заблокировать порт 7070 на брандмауэре UFW.
Команда для этого будет такая:
sudo ufw deny 7070/tcpЗатем перезагрузите брандмауэр, чтобы изменения вступили в силу.
sudo ufw reloadВ случае Firewalld выполните команду:
sudo firewall-cmd --remove-port=7070/tcp --permanentИ не забудьте перезагрузить брандмауэр.
sudo firewall-cmd --reloadЗатем перепроверьте правила брандмауэра, как показано далее:
sudo firewall-cmd --list-all4. Обезопасте протокол SSH
Протокол SSH – это удаленный протокол, который позволяет вам безопасно подключаться к другим устройствам в сети. Хотя он считается безопасным, настроек по умолчанию недостаточно, и требуются некоторые дополнительные настройки, чтобы еще больше удержать злоумышленников от взлома вашей системы.Основные моменты:
- Настройте вход по SSH без пароля и включите аутентификацию с закрытым / открытым ключом.
- Отключите удаленный вход пользователя root по SSH.
- Отключите вход по SSH для пользователей с пустыми паролями.
- Полностью отключите аутентификацию по паролю и придерживайтесь аутентификации с закрытым / открытым ключом SSH.
- Ограничьте доступ определенным пользователям по SSH.
- Настройте ограничение на количество попыток ввода пароля.
