Käytäntö | Kotikäyttäjä | Palvelin |
Poista SSH käytöstä | ✔ | x |
Poista SSH-juurihakemus käytöstä | x | ✔ |
Vaihda SSH-portti | x | ✔ |
Poista SSH-salasanan kirjautuminen käytöstä | x | ✔ |
Iptables | ✔ | ✔ |
IDS (tunkeutumisen havaitsemisjärjestelmä) | x | ✔ |
BIOS-suojaus | ✔ | ✔ |
Levyn salaus | ✔ | x / ✔ |
Järjestelmän päivitys | ✔ | ✔ |
VPN (virtuaalinen yksityisverkko) | ✔ | x |
Ota SELinux käyttöön | ✔ | ✔ |
Yleiset käytännöt | ✔ | ✔ |
- SSH-yhteys
- Palomuuri (iptables)
- Tunkeutumisen havaitsemisjärjestelmä (IDS)
- BIOS-suojaus
- Kiintolevyn salaus
- Järjestelmän päivitys
- VPN (virtuaalinen yksityisverkko)
- Ota käyttöön SELinux (Security-Enhanced Linux)
- Yleiset käytännöt
SSH-yhteys
Kotikäyttäjät:
Kotikäyttäjät eivät todellakaan käytä ssh, dynaamiset IP-osoitteet ja reitittimen NAT-kokoonpanot tekivät vaihtoehdoista käänteisen yhteyden kanssa, kuten TeamViewer, houkuttelevamman. Kun palvelua ei käytetä, portti on suljettava poistamalla palvelu käytöstä tai poistamalla se sekä soveltamalla rajoittavia palomuurisääntöjä.
Palvelimet:
Toisin kuin kotitalouskäyttäjät, jotka käyttävät eri palvelimia, verkonvalvojat ovat usein ssh / sftp-käyttäjiä. Jos sinun on pidettävä ssh-palvelusi käytössä, voit tehdä seuraavat toimenpiteet:
- Poista pääkäyttö SSH: n kautta.
- Poista salasanan sisäänkirjautuminen.
- Vaihda SSH-portti.
Yleiset SSH-määritysvaihtoehdot Ubuntu
Iptables
Iptables on käyttöliittymä verkon suodattimen hallintaan palomuurisääntöjen määrittelemiseksi. Kotikäyttäjät voivat siirtyä UFW: ksi (yksinkertainen palomuuri), joka on iptablesin käyttöliittymä palomuurisääntöjen luomisen helpottamiseksi. Liitännästä riippumatta kohta on heti asennuksen jälkeen, palomuuri on ensimmäisten muutosten joukossa. Tietokoneesi tai palvelimesi tarpeista riippuen suositeltavimmat tietoturvaongelmat ovat rajoittavat käytännöt, jotka sallivat vain tarvitsemasi estäen loput. IPptable-tiedostoja käytetään ohjaamaan SSH-portti 22 toiseen, estämään tarpeettomat portit, suodattamaan palvelut ja asettamaan säännöt tunnetuille hyökkäyksille.
Lisätietoja iptables-tarkistuksesta: Iptables aloittelijoille
Tunkeutumisen havaitsemisjärjestelmä (IDS)
Koska he tarvitsevat paljon resursseja, kotikäyttäjät eivät käytä IDS: ää, mutta ne ovat pakollisia palvelimille, jotka ovat alttiina hyökkäyksille. IDS tuo suojauksen seuraavalle tasolle analysoimaan paketteja. Tunnetuimmat IDS: t ovat Snort ja OSSEC, jotka molemmat on aiemmin selitetty LinuxHintillä. IDS analysoi verkon kautta kulkevaa liikennettä etsimällä haitallisia paketteja tai poikkeavuuksia. Se on verkon valvontatyökalu, joka on suunnattu tietoturvaloukkauksiin. Katso ohjeet kahden suosituimman IDS-ratkaisun asentamiseen ja määritykseen: Määritä Snort IDS ja Luo säännöt
OSSECin (tunkeutumisen tunnistusjärjestelmä) käytön aloittaminen
BIOS-suojaus
Rootkitit, haittaohjelmat ja etäkäyttöinen palvelimen BIOS edustavat lisähaavoittuvuutta palvelimille ja työasemille. BIOS voidaan hakkeroida käyttöjärjestelmästä tai päivityskanavilla suoritetulla koodilla luvattoman pääsyn saamiseksi tai tietojen, kuten varmuuskopioiden, unohtamiseksi.
Pidä BIOS-päivitysmekanismit ajan tasalla. Ota BIOSin eheyssuojaus käyttöön.
Käynnistysprosessin ymmärtäminen - BIOS vs UEFI
Kiintolevyn salaus
Tämä on merkityksellisempi toimenpide työpöydän käyttäjille, jotka saattavat menettää tietokoneen tai joutua varkauksien uhriksi. Nykyään melkein jokainen käyttöjärjestelmä tukee levyn ja osion salausta, Debianin kaltaiset jakelut mahdollistavat kiintolevyn salauksen asennuksen aikana. Levyn salauksen tarkistusohjeet: Aseman salaaminen Ubuntu 18: ssa.04
Järjestelmän päivitys
Sekä työpöydän käyttäjien että sysadminin on pidettävä järjestelmä ajan tasalla, jotta haavoittuvat versiot eivät voi tarjota luvatonta käyttöä tai suorittamista. Käyttöjärjestelmän tarjoaman paketinhallinnan käyttäminen haavoittuvuustarkistuksia tekevien päivitysten tarkistamiseksi voi auttaa havaitsemaan haavoittuvia ohjelmistoja, joita ei ole päivitetty virallisissa arkistoissa, tai haavoittuva koodi, joka on kirjoitettava uudelleen. Seuraavassa on joitain oppaita päivityksistä:
- Kuinka pitää Ubuntu 17.10 ajan tasalla
- Linux Mint Kuinka päivittää järjestelmä
- Kuinka päivittää kaikki paketit käyttöjärjestelmässä
VPN (virtuaalinen yksityisverkko)
Internet-käyttäjien on oltava tietoisia siitä, että Internet-palveluntarjoajat seuraavat koko liikennettä ja että ainoa tapa varata tätä on käyttää VPN-palvelua. Internet-palveluntarjoaja pystyy seuraamaan liikennettä VPN-palvelimelle, mutta ei VPN-palvelusta kohteisiin. Nopeusongelmien vuoksi maksulliset palvelut ovat suositeltavimpia, mutta on olemassa ilmaisia hyviä vaihtoehtoja, kuten https: // protonvpn.fi /.
- Paras Ubuntu VPN
- Kuinka OpenVPN asennetaan ja määritetään Debian 9: ssä
Ota käyttöön SELinux (Security-Enhanced Linux)
SELinux on joukko Linux-ytimen muokkauksia, jotka keskittyvät suojauskäytäntöihin liittyvien turvallisuusnäkökohtien hallintaan lisäämällä MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) ja Multi Category Security (MCS). Kun SELinux on käytössä, sovellus voi käyttää vain tarvitsemiaan resursseja, jotka se on määritelty sovelluksen suojauskäytännössä. Portteihin, prosesseihin, tiedostoihin ja hakemistoihin pääsyä hallitaan SELinuxissa määriteltyjen sääntöjen avulla, jotka sallivat tai estävät toiminnot tietoturvakäytäntöjen perusteella. Ubuntu käyttää AppArmoria vaihtoehtona.
- SELinux Ubuntu-oppaassa
Yleiset käytännöt
Lähes aina tietoturvavirheet johtuvat käyttäjien huolimattomuudesta. Noudata kaikkia aiemmin numeroituja pisteitä seuraavien käytäntöjen mukaisesti:
- Älä käytä juurta, ellei se ole tarpeen.
- Älä koskaan käytä X Windowsia tai selaimia juurina.
- Käytä salasanojen hallintaohjelmia, kuten LastPass.
- Käytä vain vahvoja ja ainutlaatuisia salasanoja.
- Yritä olla asentamatta ei-ilmaisia paketteja tai paketteja, joita ei ole saatavilla virallisissa arkistoissa.
- Poista käyttämättömät moduulit käytöstä.
- Palvelimilla pakotetaan vahvat salasanat ja estetään käyttäjiä käyttämästä vanhoja salasanoja.
- Poista käyttämätön ohjelmisto.
- Älä käytä samoja salasanoja eri pääsyihin.
- Muuta kaikki oletusarvoiset käyttäjätunnukset.
Käytäntö | Kotikäyttäjä | Palvelin |
Poista SSH käytöstä | ✔ | x |
Poista SSH-juurihakemus käytöstä | x | ✔ |
Vaihda SSH-portti | x | ✔ |
Poista SSH-salasanan kirjautuminen käytöstä | x | ✔ |
Iptables | ✔ | ✔ |
IDS (tunkeutumisen havaitsemisjärjestelmä) | x | ✔ |
BIOS-suojaus | ✔ | ✔ |
Levyn salaus | ✔ | x / ✔ |
Järjestelmän päivitys | ✔ | ✔ |
VPN (virtuaalinen yksityisverkko) | ✔ | x |
Ota SELinux käyttöön | ✔ | ✔ |
Yleiset käytännöt | ✔ | ✔ |
Toivon, että pidit tästä artikkelista hyödyllistä turvallisuutesi parantamiseksi. Seuraa LinuxHint-ohjelmaa saadaksesi lisää vinkkejä ja päivityksiä Linuxista ja verkostoitumisesta.