Lista de verificari a serverului Linux și altele – 2
Continuarea articolului de aici: Lista de verificari a serverului Linux și altele
# 11: Închiderea conturilor de utilizator după erorile de conectare
Sub Linux puteți folosi comanda faillog pentru a afișa înregistrările faillog sau pentru a seta limitele de eșec la conectare. Faillog formatează conținutul jurnalului de erori din /var/log/faillog bază de date / fișier jurnal. De asemenea, poate fi folosit pentru a menține contoarele și limitele defecțiunilor. Pentru a vedea încercările de conectare eșuate, introduceți:
faillog
Pentru a debloca un cont după eșecuri de conectare, executați:
faillog -r -u userName
Rețineți că puteți utiliza comanda passwd pentru a bloca și debloca conturi:
# blocare cont
passwd -l userName
# deblocare cont
passwd -u userName
# 12: Cum pot verifica dacă nici un cont nu are parole goale?
Tastați următoarea comandă
# awk -F: '($ 2 == "") {print}'/etc/shadow
Blocați toate conturile cu parole goale:
# passwd -l AccountName
# 13: Asigurați-vă că nici un cont non-root nu au UID setat la 0
Numai contul root are UID 0 cu permisiuni complete pentru a accesa sistemul. Tastați următoarea comandă pentru a afișa toate conturile cu UID setat la 0:
# awk -F: '($ 3 == "0") {print}'/etc/passwd
Ar trebui să vedeți numai o linie după cum urmează:
root:x:0:0:root:/root:/bin/bash
Dacă vedeți alte linii, ștergeți-le sau asigurați-vă că alte conturi sunt autorizate de dvs. pentru a utiliza UID 0.
# 14: Dezactivați conectarea la root
Nu vă conectați niciodată ca utilizator root. Ar trebui să utilizați sudo pentru a executa comenzile de nivel rădăcină atunci când este necesar. Comanda sudo îmbunătățește considerabil securitatea sistemului fără a partaja parola de root cu alți utilizatori și administratori. De asemenea comanda sudo oferă și simulare simplă și caracteristici de urmarire.
# 15: Securitatea serverului fizic
Trebuie să protejați accesul la consola fizică a serverelor Linux. Configurați BIOS și dezactivați pornirea de la dispozitive externe, cum ar fi DVD-uri / CD-uri / USB Pen. Setați parola de încărcare BIOS și grubboot pentru a proteja aceste setări. Toate sesiunile de producție trebuie să fie blocate în IDC (Internet Data Center) și toate persoanele trebuie să treacă un fel de verificări de securitate înainte de a accesa serverul.
# 16: Dezactivați serviciile nedorite
Dezactivați toate serviciile și daemoanele inutile (servicii care rulează în fundal). Trebuie să eliminați toate serviciile nedorite de la pornirea sistemului. Introduceți următoarele comenzi pentru a afișa toate serviciile care sunt pornite în momentul încărcării în nivelul de execuție #3:
# chkconfig --list | grep '3: pe'
Pentru a dezactiva serviciul, introduceți:
# service serviceName stop
# chkconfig serviceName off
# 17: Găsiți porturi de rețea de ascultare
Utilizați următoarea comandă pentru a afișa toate porturile deschise și programele asociate:
netstat -tulpn
SAU utilizați comanda aceasta după cum urmează:
$ ss -tulpn
SAU
nmap -sT -O localhost
nmap -sT -O server.example.com
Puteti gasi exemple de comenzi Nmap pentru Administratorii System / Network pentru mai multe informații. Utilizați iptables pentru a închide porturile deschise sau a opri toate serviciile de rețea nedorite utilizând comenzile de mai sus și comenzile chkconfig.
update-rc.d
– comanda pe Redhat Enterprise / CentOS Linux.
Ubuntu / Debian Linux: Instrumentul de configurare a serviciilor pentru a porni/opri serviciile de sistem.
Obțineți informații detaliate despre conexiunile IP specifice folosind comanda netstat.
# 18: Ștergeți X Windows
X Windows pe server nu este necesar. Nu există niciun motiv pentru a rula X Windows pe e-mail-ul dedicat și serverul web Apache. Puteți licita și elimina X Windows pentru pentru a îmbunătăți securitatea și performanța serverului. Editați /etc/inittab si setați nivelul de execuție la 3. În final, eliminați sistemul X Windows, introduceți:
#yum groupremove "X Window System"
Pe serverul CentOS 7 / RHEL 7 utilizați următoarele comenzi:
# yum group remove "GNOME Desktop"
# yum group remove "KDE Plasma Workspaces"
# yum group remove "Server with GUI"
# yum group remove "MATE Desktop"
# 19: Configurați modulele Iptables și TCPWrappers
Iptables este un program de aplicații pentru spațiul de utilizator care vă permite să configurați firewall-ul (Netfilter) furnizat de kernel-ul Linux. Utilizați firele pentru a filtra traficul și permiteti doar traficul necesar. Utilizați de asemenea TCP Wrappers, un sistem ACL bazat pe gazdă pentru a filtra accesul la rețea în Internet. Puteți preveni multe atacuri de negare a serviciilor (denial of service) cu ajutorul Iptables:
# 20: Întărirea Kernel Linux folosind /etc/sysctl.conf
Fișierul /etc/sysctl.conf este folosit pentru a configura parametrii kernelului în timpul rulării. Linux citește și aplică setările din /etc/sysctl.conf la momentul încărcării. Exemplu de /etc/sysctl.conf:
# Turn on execshield
kernel.exec-shield=1
kernel.randomize_va_space=1
# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter=1
# Disable IP source routing
net.ipv4.conf.all.accept_source_route=0
# Ignoring broadcasts request
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1
# Make sure spoofed packets get logged
net.ipv4.conf.all.log_martians = 1
Mai multe in materiale urmatoare…
Credit Imagine https://Hangar.Hosting