LFCA – Полезные советы по защите данных и Linux – Часть 18
С момента своего выпуска в начале девяностых годов Linux завоевал восхищение технологического сообщества благодаря своей стабильности, универсальности, настраиваемости и большому сообществу разработчиков открытого исходного кода, которые круглосуточно работают над исправлением ошибок и улучшением системы. Операционная система. В целом Linux является предпочтительной операционной системой для публичного облака, серверов и суперкомпьютеров, и около 75% производственных серверов с выходом в Интернет работают на Linux.
Помимо обеспечения поддержки Интернета, Linux нашел свой путь в цифровой мир и с тех пор не ослабевает. Он используется в широком спектре интеллектуальных гаджетов, включая смартфоны Android, планшеты, умные часы, умные дисплеи и многое другое.
Linux настолько безопасен?
Linux известен своей безопасностью высшего уровня, и это одна из причин, по которой он является предпочтительным выбором в корпоративных средах. Но факт: ни одна операционная система не является на 100% безопасной. Многие пользователи считают, что Linux — надежная операционная система, но это ошибочное предположение. Фактически, любая операционная система с подключением к Интернету подвержена потенциальным взломам и атакам вредоносных программ.
В первые годы своего существования Linux имела гораздо меньшую техноориентированную аудиторию, и риск подвергнуться атакам вредоносных программ был невелик. В настоящее время Linux управляет огромной частью Интернета, и это способствовало росту ландшафта угроз. Угроза атак вредоносных программ более реальна, чем когда-либо.
Прекрасным примером вредоносной атаки на системы Linux является программа-вымогатель Erebus, вредоносная программа, шифрующая файлы, которая затронула около 153 Linux-серверов южнокорейской веб-хостинговой компании NAYANA.
По этой причине разумно дополнительно укрепить операционную систему, чтобы обеспечить ей столь желанную безопасность для защиты ваших данных.
Советы по усилению защиты сервера Linux
Защита вашего Linux-сервера не так сложна, как вы думаете. Мы составили список лучших политик безопасности, которые вам необходимо внедрить, чтобы повысить безопасность вашей системы и сохранить целостность данных.
1. Регулярно обновляйте пакеты программного обеспечения
На начальных этапах взлома Equifax хакеры использовали широко известную уязвимость — Apache Struts — на веб-портале жалоб клиентов Equifax.
Apache Struts — это платформа с открытым исходным кодом для создания современных и элегантных веб-приложений Java, разработанная Apache Foundation. 7 марта 2017 года Фонд выпустил патч, исправляющий уязвимость, и опубликовал соответствующее заявление.
Equifax были уведомлены об уязвимости и посоветовали исправить их приложение, но, к сожалению, уязвимость оставалась неисправленной до июля того же года, после чего было уже слишком поздно. Злоумышленникам удалось получить доступ к сети компании и украсть из баз данных миллионы конфиденциальных записей клиентов. К тому времени, как Equifax узнал о происходящем, прошло уже два месяца.
Итак, чему мы можем научиться из этого?
Злонамеренные пользователи или хакеры всегда будут проверять ваш сервер на наличие возможных уязвимостей программного обеспечения, которые они затем могут использовать для взлома вашей системы. На всякий случай всегда обновляйте свое программное обеспечение до текущих версий, чтобы применить исправления к любым существующим уязвимостям.
Если вы используете системы на базе Ubuntu или Debian, первым шагом обычно является обновление списков пакетов или репозиториев, как показано.
sudo apt update
Чтобы проверить наличие всех пакетов с доступными обновлениями, выполните команду:
sudo apt list --upgradable
Обновите свои программные приложения до текущих версий, как показано:
sudo apt upgrade
Вы можете объединить эти два в одну команду, как показано.
sudo apt update && sudo apt upgrade
Для RHEL и CentOS обновите свои приложения, выполнив команду:
sudo dnf update ( CentOS 8 / RHEL 8 )
sudo yum update ( Earlier versions of RHEL & CentOS )
Другой возможный вариант — включить автоматические обновления безопасности для Ubuntu, а также настроить автоматические обновления для CentOS/RHEL.
2. Удалите устаревшие коммуникационные службы/протоколы.
Несмотря на поддержку множества удаленных протоколов, устаревшие службы, такие как rlogin, telnet, TFTP и FTP, могут создавать огромные проблемы с безопасностью вашей системы. Это старые, устаревшие и небезопасные протоколы, в которых данные передаются в виде обычного текста. Если они существуют, рассмотрите возможность их удаления, как показано.
Для систем на базе Ubuntu/Debian выполните:
sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server
Для систем на базе RHEL/CentOS выполните:
sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv
3. Закройте неиспользуемые порты на брандмауэре.
После того как вы удалили все небезопасные службы, важно просканировать ваш сервер на наличие открытых портов и закрыть все неиспользуемые порты, которые потенциально могут быть использованы хакерами в качестве точки входа.
Предположим, вы хотите заблокировать порт 7070 на брандмауэре UFW. Команда для этого будет:
sudo ufw deny 7070/tcp
Затем перезагрузите брандмауэр, чтобы изменения вступили в силу.
sudo ufw reload
Для Firewalld выполните команду:
sudo firewall-cmd --remove-port=7070/tcp --permanent
И не забудьте перезагрузить брандмауэр.
sudo firewall-cmd --reload
Затем перепроверьте правила брандмауэра, как показано:
sudo firewall-cmd --list-all
4. Безопасный протокол SSH
Протокол SSH — это удаленный протокол, который позволяет безопасно подключаться к устройствам в сети. Хотя он считается безопасным, настроек по умолчанию недостаточно, и необходимы некоторые дополнительные настройки, чтобы еще больше удержать злоумышленников от взлома вашей системы.
У нас есть подробное руководство по усилению безопасности протокола SSH. Вот основные моменты.
- Настройте вход по SSH без пароля и включите аутентификацию с закрытым/открытым ключом.
- Отключите удаленный root-вход по SSH.
- Отключите вход по SSH для пользователей с пустыми паролями.
- Полностью отключите аутентификацию по паролю и придерживайтесь аутентификации по личному/открытому ключу SSH.
- Ограничьте доступ определенным пользователям SSH.
- Настройте ограничение на количество попыток ввода пароля.
5. Установите и включите Fail2ban.
Fail2ban — это система предотвращения вторжений с открытым исходным кодом, которая защищает ваш сервер от атак методом перебора. Он защищает вашу систему Linux, запрещая IP-адреса, которые указывают на вредоносную активность, например слишком много попыток входа в систему. В стандартной комплектации он поставляется с фильтрами для популярных сервисов, таких как веб-сервер Apache, vsftpd и SSH.
У нас есть руководство по настройке Fail2ban для дальнейшего усиления протокола SSH.
6. Обеспечьте надежность пароля с помощью модуля PAM.
Повторное использование паролей или использование слабых и простых паролей значительно подрывает безопасность вашей системы. Вы применяете политику паролей и используете pam_cracklib для установки или настройки требований к надежности пароля.
Используя модуль PAM, вы можете определить надежность пароля, отредактировав файл /etc/pam.d/system-auth. Например, вы можете установить сложность пароля и запретить повторное использование паролей.
7. Установите сертификат SSL/TLS.
Если у вас есть веб-сайт, всегда обеспечивайте безопасность своего домена с помощью сертификата SSL/TLS для шифрования данных, которыми обмениваются браузер пользователя и веб-сервер.
8. Отключите слабые протоколы шифрования и ключи шифрования.
Зашифровав свой сайт, рассмотрите возможность отключения слабых протоколов шифрования. На момент написания этого руководства последней версией протокола был TLS 1.3, который является наиболее распространенным и широко используемым протоколом. Более ранние версии, такие как TLS 1.0, TLS 1.2 и SSLv1–SSLv3, были связаны с известными уязвимостями.
Подведение итогов
Это было краткое изложение некоторых шагов, которые вы можете предпринять для обеспечения безопасности и конфиденциальности данных в вашей системе Linux.