Lista de verificari a serverului Linux și altele

By on
Un comentariu
Lista de verificari a serverului Linux și altele

Următoarele instrucțiuni presupun că utilizați o distribuție Linux bazată pe CentOS / RHEL sau Ubuntu / Debian.

# 1: Criptarea comunicațiilor de date

Toate datele transmise prin intermediul unei rețele sunt deschise monitorizării. Criptați datele transmise ori de câte ori este posibil cu parolă sau folosind chei / certificate.

Folositi scp, ssh, rsync sau sftp pentru transferul de fișiere. Puteți, de asemenea, să montati (mount) de la distanță sistemul de fișiere de pe server sau directorul /home folosind functii speciale sshfs și unelte de siguranță.

GnuPG va permite să criptați și să semnați datele din comunicațiile dvs. pentru ca dispune de un sistem versatil de gestionare a cheilor, precum și de module de acces pentru toate tipurile de directoare de chei publice.

Lighttpd SSL (Secure Server Layer) = Https – Protocol criptat pentru transmitere date in WEB – www

Apache SSL (Secure Server Layer) = Https (mod_ssl) – Protocol criptat pentru transmitere date in WEB – www

# 2: Evitați utilizarea serviciilor FTP, Telnet și Rlogin / Rsh

În majoritatea configurațiilor de rețea, numele utilizatorilor, parolele, comenzile FTP / telnet / rsh și fișierele transferate pot fi capturate de oricine din aceeași rețea utilizând un sniffer de pachete. Soluția obișnuită la această problemă este folosirea fie OpenSSH, SFTP, fie FTPS (FTP over SSL), care adaugă criptare SSL sau TLS la FTP.

Introduceți următoarea comandă pentru a șterge NIS, rsh și alte servicii învechite:

# yum erase xinetd ypserv tftp-server telnet-server rsh-server

Dacă utilizați un server bazat pe Debian / Ubuntu Linux, încercați tryapt-get command / apt pentru a elimina serviciile nesigure:

$ sudo apt-get --purge șterge xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

# 3: Minimizați software-ul folosit pentru a minimiza vulnerabilitatea

Chiar aveți nevoie de tot felul de servicii web instalate?
Evitați instalarea de software inutil pentru a evita vulnerabilitățile software. Utilizați managerul de pachete RPM ca yum sau apt-get și / sau dpkg pentru a revizui setul de pachete software instalate pe un sistem. Ștergeți toate pachetele nedorite.

# yum list installed
# yum list packageName
# yum remove packageName

SAU

# dpkg --list
# dpkg --info packageName
# apt-get remove packageName

# 4: Un serviciu de rețea pe sistem sau instanță VM

Executați diferite servicii de rețea pe servere separate sau instanțe VM. Acest lucru limitează numărul de alte servicii care pot fi compromise. De exemplu, dacă un atacator este capabil să exploateze cu succes un software cum ar fi fluxul Apache, el sau ea va avea acces la întregul server, inclusiv alte servicii, cum ar fi MySQL / MariaDB / PGSql, server de e-mail și așa mai departe.

# 5: Păstrați kernel-ul și software-ul Linux actualizate

Aplicarea de patch-uri de securitate este o parte importantă a menținerii serverului Linux. Linux oferă toate instrumentele necesare pentru a vă menține sistemul actualizat și permite, de asemenea, actualizări ușoare între versiuni. Toate actualizările de securitate trebuie revizuite și aplicate cât mai curând posibil. Din nou, utilizați managerul de pachete RPM, cum ar fi yum si/sau apt-get și/sau dpkg, pentru a aplica toate actualizările de securitate.

# update yum

SAU

# apt-get update && apt-get upgrade

Aveți posibilitatea să configurați Red Hat / CentOS / Fedora Linux pentru a trimite notificarea pachetului de timp yum prin e-mail. O altă opțiune este de a aplica toate actualizările de securitate de la o activitate cron. Sub Debian / Ubuntu Linux puteți folosi apticron pentru a trimite notificări de securitate. Este de asemenea posibil să configurați actualizări nesupravegheate pentru comanda apt (apt-get/apt) pentru serverul Debian / Ubuntu Linux:

$ sudo apt-get install unattended-upgrades apt-listchanges bsd-mailx

# 6: Utilizați extensiile de securitate Linux (Linux Security Extensions)

Linux vine cu diferite patch-uri de securitate care pot fi utilizate pentru a proteja programele greșite sau compromise. Dacă este posibil, utilizați SELinux și alte extensii de securitate Linux pentru a impune limitări ale rețelelor și altor programe. De exemplu, SELinux oferă o varietate de politici de securitate pentru kernel-ul Linux.

# 7: SELinux

Vă recomand cu insistență să folosiți SELinux care oferă un control flexibil de acces flexibil (MAC). În conformitate cu standardul de control al accesului discreționar al Linux (DAC), o aplicație sau un proces care rulează ca utilizator (UID sau SUID) are permisiunile utilizatorului pentru obiecte, cum ar fi fișiere, prize și alte procese. Rularea unui kernel MAC protejează sistemul de aplicații dăunătoare sau defecte, care pot deteriora sau distruge sistemul. Vedeți documentația oficială Redhat care explică configurația SELinux.

# 8: Conturi de utilizator și politică de parole puternice

Utilizați comenzile useradd / usermod pentru a crea și întreține conturi de utilizator. Asigurați-vă că aveți o politică de parole bună și puternică. De exemplu, o parolă bună include cel puțin 8 caractere și un amestec de litere, numere, caractere special, alfabete superioare și inferioare etc. Este important să alegeți o parolă pe care să vă puteți aminti. Utilizați unelte precum “John the ripper” pentru a afla parolele utilizatorilor slabi pe serverul dvs. Configurați pam_cracklib.so pentru a forța politica de parole.

# 9: Îmbătrânirea parolei

Comanda change schimbă numărul de zile dintre modificările parolei și data ultimei modificări a parolei. Aceste informații sunt utilizate de sistem pentru a determina când un utilizator trebuie să-și schimbe parola. Fișierul /etc/login.defs definește configurația specifică site-ului pentru suita de parole umbra (shadow), inclusiv configurația de îmbătrânire a parolei. Pentru a dezactiva îmbătrânirea parolei, introduceți:

# change -M 99999 userName

Pentru a obține informații despre expirarea parolei, introduceți:

# change -l userName

În final, puteți să editați fișierul /etc/shadow în următoarele câmpuri:

{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:

Unde,
Zile minime: Numărul minim de zile necesar între modificările parolei, adică numărul de zile rămase înainte ca utilizatorul să-și poată schimba parola.
Numărul maxim de zile: Numărul maxim de zile în care parola este validă (după care utilizatorul este nevoit să-și schimbe parola).
Avertizare: Numărul de zile înainte ca parola să expire necesar pentru ca acel utilizator este avertizat că parola lui trebuie schimbată.
Expiră: Zilele de la 1 ianuarie 1970, respectivul cont este dezactivat, adică o dată absolută care specifică momentul în care nu mai pot fi utilizate datele de conectare.

Vă recomand comanda chage în loc de a edita fișierul /etc/shadow folosind:

# change -M 60 -m 7 -W 7 userName

# 10: Restricționarea utilizării parolelor anterioare

Puteți împiedica toți utilizatorii să folosească sau să reutilizeze aceleași parole vechi sub Linux. Parametrul modulului memory_unix poate fi utilizat pentru a configura numărul de parole anterioare care nu pot fi refolosite.

Mai multe în  materiale urmatoare… Lista de verificari a serverului Linux și altele – 2

Credit Imagine https://Hangar.Hosting

One response

  1. Pingback: Lista de verificari a serverului Linux și altele – 2 | Florian Soare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *