LFCA - Nützliche Tipps zur Sicherung von Daten und Linux - Teil 18

Seit seiner Veröffentlichung in den frühen neunziger Jahren hat Linux dank ihrer Stabilität, Vielseitigkeit, Anpassbarkeit und einer großen Gemeinschaft von Open-Source-Entwicklern, die rund um die Uhr arbeiten, um Fehlerbehebungen und Verbesserungen für die technologischen Gemeinschaft zu bewundern, die Bewunderung der Technologie-Community gewonnen hat Betriebssystem. Linux ist im Großen und Ganzen das Betriebssystem der Wahl für öffentliche Cloud, Server und Supercomputer und fast 75% der auf Linux ausgeführten Produktionsserver im Internet.

Abgesehen davon, dass Linux das Internet betreibt, hat er seinen Weg in die digitale Welt gefunden und seitdem nicht mehr nicht nachgelassen. Es versorgt eine Vielzahl von intelligenten Geräten wie Android -Smartphones, Tablets, Smartwatches, intelligente Displays und vieles mehr.

Ist Linux, die sicher sind?

Linux ist bekannt für seine Sicherheit und ist einer der Gründe, warum dies in Unternehmensumgebungen eine Lieblingswahl ausübt. Aber hier ist eine Tatsache, dass kein Betriebssystem 100% sicher ist. Viele Benutzer glauben, dass Linux ein narrensicheres Betriebssystem ist, was eine falsche Annahme ist. In der Tat ist jedes Betriebssystem mit einer Internetverbindung anfällig für potenzielle Verstöße und Malware -Angriffe.

In den frühen Jahren hatte Linux eine viel kleinere technisch-zentrierte Bevölkerungsgruppe und das Risiko, an Malware-Angriffen zu leiden. Heutzutage betreibt Linux einen riesigen Teil des Internets, und dies hat das Wachstum der Bedrohungslandschaft vorgelegt. Die Gefahr von Malware -Angriffen ist realer als je zuvor.

Ein perfektes Beispiel für einen Malware -Angriff auf Linux -Systeme ist die Erebus Ransomware, Eine Malware, die in der Datei verziert ist, die fast 153 Linux-Server von Nayana, einem südkoreanischen Webhosting-Unternehmen, betroffene.

Aus diesem Grund ist es ratsam, das Betriebssystem weiter zu verhärten, um ihm die vielveredelte Sicherheit zu bieten, um Ihre Daten zu schützen.

Tipps zur Härtung von Linux -Serverhärten

Die Sicherung Ihres Linux -Servers ist nicht so kompliziert, wie Sie vielleicht denken. Wir haben eine Liste der besten Sicherheitsrichtlinien zusammengestellt, die Sie implementieren müssen, um die Sicherheit Ihres Systems zu stärken und die Datenintegrität zu erhalten.

1. Softwarepakete regelmäßig aktualisieren

In den Anfangsphasen des Equifax -Verstoßes nutzten Hacker eine weithin bekannte Verwundbarkeit - Apache Streben - Auf dem Webportal der Kundenbeschwerde von Equifax.

Apache Streben ist ein Open-Source-Framework zur Erstellung moderner und eleganter Java-Webanwendungen, die von der Apache Foundation entwickelt wurden. Die Stiftung hat am 7. März 2017 einen Patch veröffentlicht, um die Sicherheitsanfälligkeit zu beheben, und gab eine Erklärung zu diesem Thema ab.

Equifax wurde über die Sicherheitsanfälligkeit informiert und empfohlen, ihre Bewerbung zu patchen, aber leider blieb die Verwundbarkeit bis Juli desselben Jahres nicht zu spät. Die Angreifer konnten Zugriff auf das Netzwerk des Unternehmens erhalten und Millionen vertraulicher Kundenaufzeichnungen aus den Datenbanken einleiten. Als Equifax Wind von dem, was geschah, bekam, waren bereits zwei Monate vergangen.

Also, was können wir daraus lernen??

Bösartige Benutzer oder Hacker untersuchen Ihren Server immer nach möglichen Software -Schwachstellen, die sie dann nutzen können, um Ihr System zu durchbrechen. Um auf der sicheren Seite zu sein, aktualisieren Sie Ihre Software immer auf ihre aktuellen Versionen, um Patches auf vorhandene Schwachstellen anzuwenden.

Wenn Sie rennen Ubuntu oder Debian-basierte Systeme, der erste Schritt besteht in der Regel darin, Ihre Paketlisten oder Repositorys wie gezeigt zu aktualisieren.

$ sudo APT Update 

Um alle Pakete mit verfügbaren Updates zu überprüfen, führen Sie den Befehl aus:

$ sudo APT -Liste -upgradierbar 

Das Upgrade Ihrer Softwareanwendungen auf ihre aktuellen Versionen wie gezeigt:

$ sudo APT -Upgrade 

Sie können diese beiden in einem Befehl wie gezeigt verkettet.

$ sudo APT Update && sudo APT -Upgrade 

Für Rhel & Centos Aktualisieren Sie Ihre Anwendungen, indem Sie den Befehl ausführen:

$ sudo dnf update (Centos 8 / rhel 8) $ sudo yum update (frühere Versionen von Rhel & CentOS) 

Eine weitere praktikable Option besteht darin, automatische Sicherheitsupdates für Ubuntu zu aktivieren und automatische Updates für CentOS / RHEL einzurichten.

2. Entfernen Sie Legacy Communication Services/Protokolle

Trotz seiner Unterstützung für eine Vielzahl von Remote -Protokollen können Legacy -Dienste wie Rlogin, Telnet, TFTP und FTP große Sicherheitsprobleme für Ihr System darstellen. Diese sind alte, veraltete und unsichere Protokolle, in denen Daten in einfachem Text gesendet werden. Wenn diese vorhanden sind, sollten Sie sie wie gezeigt entfernen.

Führen Sie für Ubuntu / Debian-basierte Systeme aus:

$ sudo apt purge telnetd TFTPD TFTPD-HPA XINETD RSH-SERVER RSH-REDONE-SERVER 

Für Rhel / Centos-basierte Systeme, ausführen:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypServe 

3. Schließen Sie unbenutzte Häfen auf der Firewall

Sobald Sie alle unsicheren Dienste entfernt haben.

Angenommen, Sie möchten den Port blockieren 7070 Auf der UFW -Firewall. Der Befehl dafür wird:

$ sudo ufw deny 7070/tcp 

Laden Sie dann die Firewall neu, damit die Änderungen wirksam werden können.

$ sudo UFW Reload 

Führen Sie für Firewall den Befehl aus:

$ sudo firewall-cmd-remove-port = 7070/tcp --permanent 

Und denken Sie daran, die Firewall neu zu laden.

$ sudo firewall-cmd-Reload 

Überprüfen Sie dann die Firewall-Regeln wie gezeigt:

$ sudo firewall-cmd-list-alle 

4. Sichern Sie das SSH -Protokoll

Das SSH -Protokoll ist ein Remote -Protokoll, mit dem Sie sich sicher eine Verbindung zu Geräten in einem Netzwerk herstellen können. Obwohl es als sicher angesehen wird, reichen die Standardeinstellungen nicht aus und einige zusätzliche Verbesserungen sind erforderlich, um böswillige Benutzer weiterhin davon abzuhalten, Ihr System zu verstoßen.

Wir haben einen umfassenden Leitfaden zum Härten des SSH -Protokolls. Hier sind die wichtigsten Highlights.

• Konfigurieren Sie das kennwortlose SSH -Login und aktivieren Sie die private/öffentliche Schlüsselauthentifizierung.
• Deaktivieren Sie die SSH -Remote -Root -Anmeldung.
• Deaktivieren Sie SSH -Anmeldungen von Benutzern mit leeren Passwörtern.
• Deaktivieren Sie die Kennwortauthentifizierung insgesamt und halten Sie sich an die SSH -Authentifizierung von privaten/öffentlichen Schlüssel.
• Begrenzen Sie den Zugriff auf bestimmte SSH -Benutzer.
• Konfigurieren Sie eine Grenze für Passwortversuche.

5. Installieren und Aktivieren von Fail2ban

Fail2ban ist ein Open-Source-Intrusion-Präventionssystem, das Ihren Server vor Bruteforce-Angriffen schützt. Es schützt Ihr Linux -System durch Verbot von IPs. Außerhalb der Box wird es mit Filtern für beliebte Dienste wie Apache Webserver, VSFTPD und SSH geliefert.

Wir haben eine Anleitung zum Konfigurieren von Fail2ban, um das SSH -Protokoll weiter zu stärken.

6. Durchsetzen der Kennwortstärke mithilfe des PAM -Moduls

Wiederverwenden von Passwörtern oder Verwendung schwacher und einfacher Passwörter untergräbt die Sicherheit Ihres Systems stark. Sie erzwingen eine Passwortrichtlinie und verwenden die Anforderungen an die Kennwortstärke PAM_CRACKLIB, um die Kennwortstärke festzulegen oder zu konfigurieren.

Mit dem PAM -Modul können Sie die Kennwortstärke definieren, indem Sie die bearbeiten /etc/pam.D/System-Auth Datei. Sie können beispielsweise die Komplexität des Kennworts festlegen und die Wiederverwendung von Passwörtern verhindern.

7. Installieren Sie ein SSL/TLS -Zertifikat

Wenn Sie eine Website ausführen.

8. Deaktivieren Sie schwache Verschlüsselungsprotokolle und Chiffreschlüssel

Wenn Sie Ihre Website verschlüsseln, sollten Sie auch schwache Verschlüsselungsprotokolle deaktivieren. Zum Zeitpunkt des Schreibens dieses Leitfadens ist das neueste Protokoll Tls 1.3, Das ist das häufigste und am häufigsten verwendete Protokoll. Frühere Versionen wie TLS 1.0, tls 1.2 und SSLV1 bis SSLV3 wurden mit bekannten Schwachstellen in Verbindung gebracht.

[Sie mögen auch mögen: So aktivieren Sie TLS 1.3 in Apache und Nginx]

Einpacken

Dies war eine Zusammenfassung einiger Schritte, die Sie ausführen können, um die Datensicherheit und die Datenschutz für Ihr Linux -System zu gewährleisten.