Поиск по сайту:

20 советов и инструментов по безопасности для администраторов Linux

В этой статье мы представим список полезных функций безопасности Linux, которые должен знать каждый системный администратор. Мы также поделимся некоторыми полезными инструментами, которые помогут системному администратору обеспечить безопасность своих серверов Linux.

Список следующий и не организован в каком-либо определенном порядке.

1. Управление пользователями и группами Linux.

Управление пользователями и группами Linux — это базовый, но очень важный аспект системного администрирования. Обратите внимание, что пользователем может быть физическое лицо или программный объект, например владелец процессов и файлов веб-сервера.

Правильное определение управления пользователями (которое может включать данные учетной записи пользователя, группы, к которым он принадлежит, к каким частям системы пользователь может получить доступ, какие программы он может запускать, соблюдение политик паролей организации паролей и т. д.) может помочь системному администратору в обеспечение безопасного доступа к системе и работы пользователей в системе Linux.

2. Linux ПАМ

PAM (Подключаемые модули аутентификации) — это мощный и гибкий набор библиотек для общесистемной аутентификации пользователей. Каждая библиотека функций, поставляемая с PAM, может использоваться приложением для запроса аутентификации пользователя.

Это позволяет системному администратору Linux определять, как приложения аутентифицируют пользователей. Однако он мощный, и его очень сложно понять, изучить и использовать.

3. Межсетевой экран на базе сервера/хоста

Linux поставляется с подсистемой Netfilter, которая предлагает функции фильтрации пакетов, все виды преобразования сетевых адресов и портов, несколько уровней API для сторонних расширений и многое другое.

Все современные брандмауэры Linux, такие как UFW (Uncomplicationd Firewall), firewalld, nftables (преемник iptables) и другие, используют эту подсистему для фильтрации пакетов, помогая регулировать защищать и блокировать сетевой трафик, входящий или исходящий из системы Linux.

4. Linux SELinux

Проект Secure Enhanced Linux (сокращенно SELinux), первоначально разработанный Агентством национальной безопасности США (АНБ), представляет собой расширенную функцию безопасности Linux.

Это архитектура безопасности, интегрированная в ядро Linux с помощью Модулей безопасности Linux (LSM). Он дополняет традиционную модель дискреционного контроля доступа Linux (DAC), обеспечивая обязательный контроль доступа (MAC).

Он определяет права доступа и перехода каждого пользователя, приложения, процесса и файла в системе; он управляет взаимодействием этих объектов, используя политику безопасности, которая определяет, насколько строгой или мягкой должна быть данная установка системы Linux.

SELinux предустановлен в большинстве, если не во всех, дистрибутивах на базе RHEL, таких как Fedora, CentOS-stream, Rocky Linux, AlmaLinux и т. д.

5. ПриложениеАрмор

Подобно SELinux, AppArmor также является модулем безопасности Mandatory Access Control (MAC), который обеспечивает эффективную и простую в использовании безопасность приложений Linux. система. Многие дистрибутивы Linux, такие как Debian, Ubuntu и openSUSE, поставляются с установленным AppArmor.

Основное различие между AppArmor и SELinux заключается в том, что он основан на путях и позволяет смешивать профили режима принудительного применения и режима жалоб. Он также использует «включаемые файлы» для облегчения разработки, кроме того, он имеет гораздо более низкий барьер для входа.

6. Фэйл2бан

Fail2ban — это широко используемый инструмент безопасности сервера, который сканирует файлы журналов на наличие IP-адресов, показывающих вредоносную активность, такую как продолжающиеся неудачные попытки входа в систему и т. д., а также обновляет правила брандмауэра, чтобы заблокировать такой IP-адрес на определенное время.

7. Брандмауэр веб-приложений ModSecurity (WAF)

ModSecurity, разработанный SpiderLabs Trustwave, представляет собой бесплатный, мощный и многоплатформенный движок WAF с открытым исходным кодом. Он работает с веб-серверами Apache, NGINX и IIS. Он может помочь системным администраторам и разработчикам веб-приложений, обеспечивая адекватную защиту от ряда атак, например, SQL-инъекций. Он поддерживает фильтрацию и мониторинг HTTP-трафика, ведение журналов и анализ в реальном времени.

Для получения дополнительной информации проверьте:

  • Как установить ModSecurity для Nginx на Debian/Ubuntu
  • Как настроить ModSecurity с помощью Apache в Debian/Ubuntu

8. Журналы безопасности

Журналы безопасности помогают отслеживать события, непосредственно связанные с безопасностью всей вашей ИТ-инфраструктуры или отдельной системы Linux. Эти события включают успешные и неудачные попытки доступа к серверу, приложениям и т. д., активацию IDS, срабатывание оповещений и многое другое.

Как системному администратору, вам необходимо определить эффективные и действенные инструменты управления журналами и придерживаться лучших практик управления журналами безопасности.

9. ОпенСШ

OpenSSH – это ведущий инструмент для удаленного входа в систему с помощью сетевого протокола SSH. Он обеспечивает безопасную связь между компьютерами путем шифрования трафика между ними, тем самым предотвращая вредоносные действия киберпреступников.

Вот несколько полезных руководств, которые помогут вам защитить ваш сервер OpenSSH:

  • Как защитить и усилить сервер OpenSSH
  • 5 лучших методов обеспечения безопасности сервера OpenSSH
  • Как настроить вход без пароля по SSH в Linux

10. OpenSSL

OpenSSL – популярная библиотека шифрования общего назначения, доступная в виде инструмента командной строки, реализующего Secure Sockets Layer (SSL v2/v3) и Сетевые протоколы Transport Layer Security (TLS v1) и соответствующие им стандарты криптографии.

Он обычно используется для генерации закрытых ключей, создания CSR (запросов на подпись сертификата), установки сертификата SSL/TLS, просмотра информации о сертификате и многого другого.

11. Система обнаружения вторжений (IDS)

IDS — это устройство или программное обеспечение для мониторинга, которое обнаруживает подозрительные действия или нарушения политики и генерирует оповещения при их обнаружении на основе этих оповещений. проблему и принять соответствующие меры для устранения угрозы.

В основном существует два основных типа IDS: IDS на базе хоста, который развертывается для мониторинга отдельной системы, и IDS на базе сети, который развертывается для мониторинга всей сети.

Существует множество программных IDS для Linux, таких как Tripwire, Tiger, AIDE и другие.

12. Инструменты мониторинга Linux

Чтобы обеспечить доступность различных систем, сервисов и приложений в ИТ-инфраструктуре вашей организации, вам необходимо следить за этими объектами в режиме реального времени.

Лучший способ добиться этого — использовать инструменты мониторинга Linux, особенно те, которые имеют возможности обнаружения проблем, создания отчетов и генерации предупреждений, такие как Nagios, Zabbix, Icinga 2 и другие.

13. Инструменты VPN для Linux

VPN (сокращение от Виртуальная частная сеть) – это механизм шифрования вашего трафика в незащищенных сетях, таких как Интернет. Он обеспечивает безопасное подключение к сети вашей организации через общедоступный Интернет.

Ознакомьтесь с этим руководством, чтобы быстро настроить VPN в облаке: Как создать собственный IPsec VPN-сервер в Linux.

14. Инструменты резервного копирования и восстановления системы и данных.

Резервное копирование данных гарантирует, что ваша организация не потеряет важные данные в случае каких-либо незапланированных событий. Инструменты восстановления помогут вам восстановить данные или системы на более ранний момент времени, чтобы помочь вашей организации восстановиться после катастрофы любого масштаба.

Вот несколько полезных статей об инструментах резервного копирования Linux:

  • 25 выдающихся утилит резервного копирования для систем Linux
  • 7 лучших инструментов с открытым исходным кодом для клонирования/резервного копирования дисков для серверов Linux
  • Relax-and-Recover – резервное копирование и восстановление системы Linux
  • Как клонировать или сделать резервную копию диска Linux с помощью Clonezilla

15. Инструменты шифрования данных Linux

Шифрование – это лучший метод защиты данных, который гарантирует, что только авторизованные стороны имеют доступ к информации, которая хранится или передается. Вы найдете множество инструментов шифрования данных для систем Linux, которые вы можете использовать для обеспечения безопасности.

16. Lynis — инструмент аудита безопасности

Lynis — это бесплатный, гибкий и популярный инструмент с открытым исходным кодом для аудита безопасности хоста, сканирования и оценки уязвимостей. Он работает в системах Linux и других Unix-подобных операционных системах, таких как Mac OS X.

17. Nmap — сетевой сканер

Nmap (сокращение от Network Mapper) – это широко используемый бесплатный многофункциональный инструмент безопасности с открытым исходным кодом для исследования сети или аудита безопасности. Он кроссплатформенный, поэтому работает на Linux, Windows и Mac OS X.

18. Вайршарк

Wireshark — это полнофункциональный и мощный анализатор сетевых пакетов, который позволяет захватывать пакеты в реальном времени и сохранять их для последующего/автономного анализа.

Он также является кроссплатформенным и работает в Unix-подобных системах, таких как операционные системы на базе Linux, Mac OSX и Windows.

19. Никто

Nikto — это мощный веб-сканер с открытым исходным кодом, который сканирует веб-сайт/приложение, виртуальный хост и веб-сервер на наличие известных уязвимостей и неправильной конфигурации.

Он пытается идентифицировать установленные веб-серверы и программное обеспечение перед выполнением каких-либо тестов.

20. Обновление Linux

И последнее, но не менее важное: как системный администратор, вы должны регулярно обновлять программное обеспечение, начиная с операционной системы и заканчивая установленными пакетами и приложениями, чтобы гарантировать наличие новейших исправлений безопасности.

sudo apt update         [On Debian, Ubuntu and Mint]
sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
sudo zypper update      [On OpenSUSE]

Это все, что у нас было для вас. Этот список короче, чем должен быть. Если вы так думаете, поделитесь с нами другими инструментами, которые заслуживают того, чтобы о них узнали наши читатели, через форму обратной связи ниже.