IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 132
    Гостей: 132
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2017 » Декабрь » 7 » Двенадцать советов по повышению безопасности Linux
    09:17
    Двенадцать советов по повышению безопасности Linux

    Двенадцать советов по повышению безопасности Linux

    https://likegeeks.com/linux-security-tricks/

     

    imageМы живём в опасное время: едва ли не каждый день обнаруживаются новые уязвимости, на их основе создают эксплойты, под ударом может оказаться и обычный домашний компьютер на Linux, и сервер, от которого зависит огромная организация.

    Возможно, вы уделяете внимание безопасности и периодически обновляете систему, но обычно этого недостаточно. Поэтому сегодня мы поделимся двенадцатью советами по повышению безопасности Linux-систем на примере CentOS 7.

    Защита терминала


    Для того, чтобы повысить безопасность системы, можно защитить консольный доступ к ней, ограничив root-пользователя в использовании определённых терминалов. Сделать это можно, задав терминалы, которые может использовать суперпользователь, в файле /etc/securetty.

    Рекомендуется, хотя это и не обязательно, позволить суперпользователю входить в систему только из одного терминала, оставив остальные для других пользователей.
     

    Напоминания о смене пароля


    В наши дни сложный пароль — вещь совершенно необходимая. Однако, ещё лучше, когда пароли регулярно меняют. Об этом легко забыть, поэтому хорошо бы задействовать какой-нибудь системный механизм напоминаний о возрасте пароля, и о том, когда его надо поменять.

    Мы предлагаем вам два способа организации подобных напоминаний. Первый заключается в использовании команды chage, второй — в установке необходимых значений по умолчанию в /etc/login.defs.

    Вызов команды chage выглядит так:
     
    $ chage -M 20 likegeeks

    Тут мы используем ключ -M для того, чтобы установить срок истечения актуальности пароля в днях.

    Использовать эту команду можно и без ключей, тогда она сама предложит ввести необходимое значение:
     
    $ chage likegeeks

    Второй способ заключается в модификации файла /etc/login.defs. Вот пример того, как могут выглядеть интересующие нас значения. Вы можете изменить их на те, которые нужны вам:
     
    PASS_MAX_DAYS 10
    PASS_MIN_DAYS 0
    PASS_WARN_AGE 3

    Помните о том, что вам, если вы играете роль администратора, следует способствовать тому, чтобы пользователи применяли сложные пароли. Сделать это можно с помощью pam_cracklib.

    После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:
     
    password required pam_cracklib.so minlen=12 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1
     

    Уведомления sudo


    Команда sudo, с одной стороны, упрощает жизнь, а с другой, может стать причиной проблем с безопасностью Linux, которые могут привести к непоправимым последствиям. Настройки sudo хранятся в файле /etc/sudoers. С помощью этого файла можно запретить обычным пользователям выполнять некоторые команды от имени суперпользователя. Кроме того, можно сделать так, чтобы команда sudo отправляла электронное письмо при её использовании, добавив в вышеупомянутый файл следующее:
     
    mailto yourname@yourdomain.com

    Также надо установить свойство mail_always в значение on:
     
    mail_always on
     

    Защита SSH


    Если мы говорим о безопасности Linux, то нам стоит вспомнить и о службе SSH. SSH — это важная системная служба, она позволяет удалённо подключаться к системе, и иногда это — единственный способ спасти ситуацию, когда что-то идёт не так, поэтому об отключении SSH мы тут не говорим.

    Тут мы используем CentOS 7, поэтому конфигурационный файл SSH можно найти по адресу etc/ssh/sshd_config. Сканеры или боты, которых используют атакующие, пытаются подключиться к SSH по используемому по умолчанию порту 22.

    Распространена практика изменения стандартного порта SSH на другой, неиспользуемый порт, например, на 5555. Порт SSH можно изменить, задав нужный номер порта в конфигурационном файле. Например, так:
     
    Port 5555

    Кроме того, можно ограничить вход по SSH для root-пользователя, изменив значение параметра PermitRootLogin на no:
     
    PermitRootLogin no

    И, конечно, стоит отключить аутентификацию с применением пароля и использовать вместо этого публичные и приватные ключи:
     
    PasswordAuthentication no 
    PermitEmptyPasswords no

    Теперь поговорим о тайм-аутах SSH. Проблему тайм-аутов можно решить, настроив некоторые параметры. Например, следующие установки подразумевают, что пакеты, поддерживающие соединение, будут автоматически отправляться через заданное число секунд:
     
    ServerAliveInterval 15
    ServerAliveCountMax 3
    TCPKeepAlive yes

    Настроив эти параметры, вы можете увеличить время соединения:
     
    ClientAliveInterval 30
    ClientAliveCountMax 5

    Можно указать то, каким пользователям разрешено использовать SSH:
     
    AllowUsers user1 user2

    Разрешения можно назначать и на уровне групп:
     
    AllowGroup group1 group2
     

    Защита SSH с использованием Google Authenticator


    Для ещё более надёжной защиты SSH можно использовать двухфакторную аутентификацию, например, задействовав Google Authenticator. Для этого сначала надо установить соответствующую программу:
     
    $ yum install google-authenticator

    Затем запустить её для проверки установки:
     
    $ google-authenticator

    Так же нужно, чтобы приложение Google Authenticator было установлено на вашем телефоне.

    Отредактируйте файл /etc/pam.d/sshd, добавив в него следующее:
     
    auth required pam_google_authenticator.so

    Теперь осталось лишь сообщить обо всём этом SSH, добавив следующую строку в файл /etc/ssh/sshd_config:
     
    ChallengeResponseAuthentication yes

    Теперь перезапустите SSH:
     
    $ systemctl restart sshd

    Когда вы попытаетесь войти в систему с использованием SSH, вам предложат ввести код верификации. Как результат, теперь SSH-доступ к вашей системе защищён гораздо лучше, чем прежде.
     

    Мониторинг файловой системы с помощью Tripwire


    Tripwire — это замечательный инструмент для повышения безопасности Linux. Это — система обнаружения вторжений (HIDS).

    Задача Tripwire заключается в том, чтобы отслеживать действия с файловой системой, следить за тем, кто меняет файлы, и когда происходят эти изменения.

    Для того, чтобы установить Tripwire, нужен доступ к репозиторию EPEL. Это задача несложная, решить её можно следующими командами:
     
    wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm
    $ rpm -ivh epel-release-7-9.noarch.rpm

    После установки репозитория EPEL, вы сможете установить и Tripwire:
     
    $ sudo yum install tripwire

    Теперь создайте файл ключей:
     
    $ tripwire-setup-keyfiles

    Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.

    Когда настройка программы завершена, следует её инициализировать:
     
    $ tripwire --init

    Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.

    Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.

    По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:
     
    $ tripwire --check

    И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.

    У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так:
     
    man tripwire
     

    Использование Firewalld


    Firewalld — это замена для iptables, данная программа улучшает сетевую безопасность Linux. Firewalld позволяет вносить изменения в настройки, не останавливая текущие соединения. Файрвол работает как сервис, который позволяет добавлять и менять правила без перезапуска и использует сетевые зоны.

    Для того, чтобы выяснить, работает ли в настоящий момент firewalld, введите следующую команду:
     
    $ firewall-cmd --state
     

    Просмотреть предопределённые сетевые зоны можно так:
     
    $ firewall-cmd --get-zones
     

    Каждая из этих зон имеет определённый уровень доверия.

    Это значение можно обновить следующим образом:
     
    $ firewall-cmd --set-default-zone=<new-name>

    Получить подробные сведения о конкретной зоне можно так:
     
    $ firewall-cmd --zone=<zone-name> --list-all

    Просмотреть список всех поддерживаемых служб можно следующей командой:
     
    $ firewall-cmd --get-services
     

    Затем можно добавлять в зону новые службы или убирать существующие:
     
    $ firewall-cmd --zone=<zone-name> --add-service=<service-name>
    $ firewall-cmd --zone=<zone-name> --remove-service=<service-name>

    Можно вывести сведения обо всех открытых портах в любой зоне:
     
    $ firewall-cmd --zone=<zone-name> --list-ports

    Добавлять порты в зону и удалять их из неё можно так:
     
    $ firewall-cmd --zone=<zone-name> --add-port=<port-number/protocol>
    $ firewall-cmd --zone=<zone-name> --remove-port=<port-number/protocol>

    Можно настраивать и перенаправление портов:
     
    $ firewall-cmd --zone=<zone-name> --add-forward-port=<port-number>
    $ firewall-cmd --zone=<zone-name> --remove-forward-port=<port-number>

    Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables, при работе с которым службу в похожих ситуациях нужно перезапускать.
     

    Переход с firewalld на iptables


    Некоторые предпочитают файрвол iptables файрволу firewalld. Если вы пользуетесь firewalld, но хотите вернуться к iptables, сделать это довольно просто.

    Сначала отключите firewalld:
     
    $ systemctl disable firewalld
    $ systemctl stop firewalld

    Затем установите iptables:
     
    $ yum install iptables-services
    $ touch /etc/sysconfig/iptables
    $ touch /etc/sysconfig/ip6tables

    Теперь можно запустить службу iptables:
     
    $ systemctl start iptables
    $ systemctl start ip6tables
    $ systemctl enable iptables
    $ systemctl enable ip6tables

    После всего этого перезагрузите компьютер.
     

    Ограничение компиляторов


    Атакующий может скомпилировать эксплойт на своём компьютере и выгрузить его на интересующий его сервер. Естественно, при таком подходе наличие компиляторов на сервере роли не играет. Однако, лучше ограничить компиляторы, если вы не используете их для работы, как происходит в большинстве современных систем управления серверами.

    Для начала выведите список всех бинарных файлов компиляторов из пакетов, а затем установите для них разрешения:
     
    $ rpm -q --filesbypkg gcc | grep 'bin'
     

    Создайте новую группу:
     
    $ groupadd compilerGroup

    Затем измените группу бинарных файлов компилятора:
     
    $ chown root:compilerGroup /usr/bin/gcc

    И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:
     
    $ chmod 0750 /usr/bin/gcc

    Теперь любой пользователь, который попытается использовать gcc, получит сообщение об ошибке.
     

    Предотвращение модификации файлов


    Иммутабельные файлы не может перезаписать ни один пользователь, даже обладающий root-правами. Пользователь не может модифицировать или удалить такой файл до тех пор, пока установлен флаг иммутабельности, снять который может лишь root-пользователь.

    Несложно заметить, что эта возможность защищает вас, как суперпользователя, от ошибок, которые могут нарушить работу системы. Используя данный подход, можно защитить конфигурационные файлы или любые другие файлы по вашему желанию.

    Для того, чтобы сделать любой файл иммутабельным, воспользуйтесь командой chattr:
     
    $ chattr +i /myscript
     

    Атрибут иммутабельности можно удалить такой командой:
     
    $ chattr -i /myscript
     

    Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.
     

    Управление SELinux с помощью aureport


    Нередко система принудительного контроля доступа SELinux оказывается, по умолчанию, отключённой. Это не влияет на работоспособность системы, да и работать с SELinux довольно сложно. Однако, ради повышения безопасности, SELinux можно включить, а упростить управление этим механизмом можно, используя aureport.

    Утилита aureport позволяет создавать отчёты на основе лог-файлов аудита.
     
    $ aureport --avc
     

    Список исполняемых файлов можно вывести следующей командой:
     
    $ aureport -x
     

    Можно использовать aureport для создания полного отчёта об аутентификации:
     
    $ aureport -au -i
     

    Также можно вывести сведения о неудачных попытках аутентификации:
     
    $ aureport -au --summary -i --failed
     

    Или, возможно, сводку по удачным попыткам аутентификации:
     
    $ aureport -au --summary -i --success
     

    Утилита aureport значительно упрощает работу с SELinux.
     

    Использование sealert


    В дополнение к aureport вы можете использовать хороший инструмент безопасности Linux, который называется sealert. Установить его можно так:
     
    $ yum install setools

    Теперь у нас есть средство, которое будет выдавать оповещения из файла /var/log/audit/audit.log и даст нам дополнительные сведения о проблемах, выявленных SELinux.

    Использовать его можно так:
     
    $ sealert -a /var/log/audit/audit.log
     

    Самое интересное тут то, что в оповещениях можно найти советы о том, как решать соответствующие проблемы.
     

    Итоги


    Надеемся, приведённые здесь советы помогут вам сделать вашу установку Linux безопаснее. Однако, если речь идёт о защите информации, нельзя, применив те или иные меры, считать, что теперь вам ничто не угрожает. К любым программным средствам защиты всегда стоит добавлять бдительность и осторожность.

    Уважаемые читатели! Знаете ли вы какие-нибудь простые, но неочевидные способы повышения безопасности Linux?

     

    RUVDS.com 
     

     

    Категория: Linux и не только | Просмотров: 404 | Добавил: laptop | Рейтинг: 5.0/1
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    «  Декабрь 2017  »
    ПнВтСрЧтПтСбВс
        123
    45678910
    11121314151617
    18192021222324
    25262728293031
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024