„Linux“ valdo internetą; jis perėmė skaitmeninį pasaulį ankstyvoje stadijoje ir toliau jį valdo. „Linux“ serverio sauga yra nepaprastai svarbi, ypač dėl plačiai paplitusio naudingumo.
Tačiau, kaip ir bet kuri kita OS, „Linux“ serveriai yra pažeidžiami dėl duomenų pažeidimų. Nepaisant šių problemų, vartotojai ne iki galo apsvarsto saugos nutekėjimo mastą ir tai, kaip laikui bėgant jų duomenys gali būti paveikti.
Dėl šios priežasties būtina atlikti kelis pagrindinius veiksmus, kurie gali labai padėti apsaugoti „Linux“ serverį nuo įsilaužimų ir saugumo pažeidimų.
1. Nustatykite saugius slaptažodžius
Slaptažodžiai yra saugaus serverio pagrindas. Kaip praktiką, naudokite ne mažiau kaip 10 simbolių slaptažodžius ir raidinius ir skaitmeninius slaptažodžius, specialiuosius simbolius ir didžiąsias bei mažąsias raides.
Be to, venkite kartoti kelių programų slaptažodžius. Pridėkite savo slaptažodžių galiojimo pabaigos konfigūraciją, nes nė vienas slaptažodis nesuteikia nuolatinio saugumo.
Norėdami įgalinti didesnį saugumą, skaitykite keletą puikių „Linux“ sistemos slaptažodžių tvarkyklių. Šie valdytojai siūlo tokias paslaugas:
- Dviejų veiksnių autentifikavimas
- Slaptažodžių generavimas
- Debesies slaptažodžių saugykla
Keletas variantų yra šie:
- Bitwardenas
- „LastPass“
- Enpass
- Dašlanas
Prieš pereidami prie vienos parinkties, įsitikinkite, kad išmatavote savo reikalavimus ir pasirinkote, kuri programinė įranga tinka jūsų serverio konfigūracijai.
2. Įtraukite SSH raktų porą
Slaptažodžiai yra tik viena grūdinimo proceso dalis. Norėdami užtikrinti saugiausius rezultatus, susiekite šį procesą su patikimesniais prisijungimo būdais. „Secure Shell“ arba „SSH“ raktų poras sunku sugadinti grubia jėga.
SSH raktų poros nėra tokios patogios vartotojui kaip įprasti slaptažodžiai, tačiau jos yra saugesnės. Toks sustiprintas saugumas priskiriamas serverio šifravimui ir naudojamai sistemai.
SSH raktų pora lygiaverčiai reiškia 12 simbolių slaptažodį. Iš tikrųjų tikrąją SSH raktų poros sudėtį gali būti sunku suprasti paprastam žmogui, tačiau tai reikalinga.
SSH raktų poros generavimas yra nesudėtingas. Pirmiausia nustatykite SSH raktą, terminalo lange įrašydami:
$ ssh-keygen -t rsa
Pasirinkite tikslą, kuriame norite išsaugoti raktą.
Įveskite failo vietą, kurioje norite išsaugoti raktą (/home/youruser/.ssh/id_rsa):
Išmatuokite ir pasverkite fizinių išpuolių į įsilaužusius serverius galimybes tuo metu, kai nusprendžiama dėl išsaugojimo vietos. Idealiu atveju turėtumėte pasirinkti vietinį įrenginį, kad sumažintumėte pažeidžiamumą.
Susijęs: „Linux“ grūdinimo patarimai pradedantiesiems „SysAdmins“
3. Reguliariai atnaujinkite savo serverio programinę įrangą
Atnaujinti serveriai gerai veikia, kai diegiate programinės įrangos pataisas, kad kovotumėte su naujomis spragomis. Deja, daugelis vartotojų gali nepastebėti šių programinės įrangos pataisų, todėl jų serveriai tampa pažeidžiami ir lengvai įsilaužėlių tikslai.
Norėdami kovoti su šia problema, turite įdiekite naujinimus savo „Linux“ kompiuteryje. Tai galite padaryti dviem būdais.
Komandų eilutės terminalo lange
Terminalo lange įveskite žemiau esančią komandą. Kai tik atliksite, komanda pradės rodyti visą svarbią informaciją apie laukiančius atnaujinimus.
$ sudo apt atnaujinimas
„Ubuntu Update Manager“
Procesas yra šiek tiek kitoks, kai atnaujinate naudodami „Ubuntu Update Manager“. 18.04 ar naujesnėse versijose pirmiausia reikia spustelėti Rodyti programas piktogramą apatiniame kairiajame ekrano kampe.
Iš ten ieškokite Atnaujinimų tvarkyklė įdiegti naujinimus.
4. Įgalinti automatinius naujinimus
Tarkime, automatiniai atnaujinimai yra ankstesnio veiksmo pratęsimas. Ar jūs stengiatės susidoroti su daugybe saugos naujinimų ir pametate šiuos svarbius naujinimus?
Jei atsakėte į tai labai linktelėję, tada jūsų mėgstamiausias sprendimas yra automatiniai atnaujinimai. Priklausomai nuo sistemos tipo, galite pasirinkti įgalinti automatinius naujinimus tokiu būdu.
GNOME vartotojai
- Atidarykite sistemos meniu
- Pasirinkite Administravimas
- Eikite į „Update Manager“ ir pasirinkite „Settings“
- Atidarykite „Atnaujinimai“
- Eikite į įdiegti saugos naujinimų nustatymą
„Debian“ vartotojai
„Debian“ vartotojai gali pasirinkti diegimą be priežiūros. Tokiu būdu jūsų sistema visada bus atnaujinta be per didelio rankinio įsikišimo.
Įdiekite paketą:
sudo apt-get install be priežiūros atnaujinimus
Įgalinti paketą:
$ sudo dpkg-reconfigure --priority = mažai prižiūrimų atnaujinimų
5. Pašalinkite nereikalingas tinklo paslaugas
Visos „Linux“ serverio operacinės sistemos yra su savo atitinkamomis serverio tinklo paslaugomis. Nors norėtumėte išsaugoti didžiąją dalį šių paslaugų, turėtumėte jas pašalinti.
Norėdami pamatyti tokių paslaugų sąrašą, vykdykite šias komandas:
$ sudo ss -atpu
Pastaba: Šios komandos išvestis skirsis priklausomai nuo jūsų OS.
Galite pašalinti nenaudotą paslaugą, priklausomai nuo operacinės sistemos ir paketų tvarkyklės.
„Debian“ / „Ubuntu“:
$ sudo apt purge
„Red Hat“ / „CentOS“:
$ sudo yum pašalinti
Norėdami kryžminiai patvirtinti, paleiskite ss -atup dar kartą komandą, kad patikrintumėte, ar paslaugos pašalintos, ar ne.
6. Įdiekite „Fail2ban“, norėdami nuskaityti žurnalo failus
„Linux“ serveriai ir žiaurios jėgos atakos vyksta koja kojon. Tokios atakos paprastai pavyksta, nes galutiniai vartotojai nesiėmė reikiamų prevencinių priemonių savo sistemoms apsaugoti.
„Fail2ban“ yra įsilaužimų prevencijos programinė įranga, kuri keičia ugniasienės taisykles ir draudžia bet kurį adresą, bandantį prisijungti prie jūsų sistemos. Jis plačiai naudojamas autentifikavimo gedimų tendencijoms nustatyti ir spręsti. Jie yra toliau siunčiami el. Pašto įspėjimais, kurie labai padeda pažaboti tokias kenkėjiškas atakas.
Norėdami įdiegti „Fail2ban“:
„CentOS 7“
yum įdiegti fail2ban
Debian
apt-get install fail2ban
Norėdami įgalinti el. Pašto palaikymą:
„CentOS 7“
yum įdiegti sendmail
Debian
apt-get install sendmail-bin sendmail
7. Įgalinti ugniasienę
Ugniasienės yra dar vienas efektyvus būdas priversti kamuoliuką apsaugoti jūsų „Linux“ serverį. Įdiegę užkardą, turėtumėte ją įgalinti ir sukonfigūruoti, kad leistumėte per tinklo srautą.
Nesudėtinga ugniasienė (UFW) yra geras saugumo papildymas į savo „Linux“ serverį. UFW siūlo lengvai naudojamą sąsają, kuri supaprastina jūsų sistemos užkardos konfigūravimą.
Įdiekite UFW naudodami šią komandinę eilutę:
$ sudo apt įdiekite ufw
UFW sukonfigūruotas taip, kad būtų atsisakyta visų įeinančių ir išeinančių ryšių. Bet kuri jūsų serverio programa gali prisijungti prie interneto, tačiau visi gaunami ryšiai jūsų serverio nepasieks.
Kaip pirmą žingsnį po įdiegimo turite įgalinti SSH, HTTP ir HTTPS:
$ sudo ufw leisti ssh
$ sudo ufw leidžia HTTP
$ sudo ufw leisti HTTPS
Taip pat galite įjungti ir išjungti UFW:
$ sudo ufw įgalinti
$ sudo ufw išjungti
Jei reikia, galite patikrinti leidžiamų / neleidžiamų paslaugų sąrašą:
$ sudo ufw būsena
„Linux“ serverio saugumas
Atminkite, kad „Linux“ grūdinimas ir serverio saugumo palaikymas nėra vienkartinė veikla.
Vietoj to, tai yra nuolatinis procesas, kuris prasideda diegiant reguliarius naujinimus, apsaugant jūsų serverį naudojant užkardas ir pašalinant visą nereikalingą programinę įrangą. Galiausiai tai atliekama atliekant saugumo auditus, kad įsilaužėliai nebūtų atbaidyti.
- „Linux“
- Saugumas
- Internetinis saugumas
- „Linux“
- „Ubuntu Server“
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.