6 cara untuk mengeraskan keselamatan stesen kerja Linux anda

Pengenalan

Seperti yang saya katakan sebelum ini, keselamatan adalah seperti memandu di lebuh raya - sesiapa yang memandu lebih perlahan daripada anda adalah bodoh, dan sesiapa yang memandu lebih laju daripada anda adalah gila. Garis panduan yang dibentangkan dalam artikel ini hanyalah set asas peraturan keselamatan teras Ia tidak menyeluruh dan tidak menggantikan pengalaman, berhati-hati dan akal sehat. Anda harus melaraskan sedikit cadangan ini agar sesuai dengan konteks organisasi anda.

Bagi setiap pentadbir sistem, berikut adalah beberapa langkah perlu yang perlu diambil:

• 1 Sentiasa lumpuhkan modul Firewire dan Thunderbolt.
• 2. Periksa tembok api untuk memastikan semua port masuk telah ditapis.
• 3 Pastikan e-mel akar dimajukan ke akaun yang anda sahkan.
• 4. Sediakan jadual kemas kini automatik untuk sistem pengendalian atau kemas kini kandungan peringatan.

Selain itu, anda juga harus mempertimbangkan beberapa langkah terbaik yang perlu diambil untuk mengeraskan lagi sistem anda:

• 1 Periksa untuk memastikan perkhidmatan sshd dilumpuhkan secara lalai.
• 2. Tetapkan penyelamat skrin untuk dikunci secara automatik selepas tempoh tidak aktif.
• 3. Pasang jam tangan.
• 4. Pasang dan gunakan rkhunter
• 5. Pasang sistem pengesanan pencerobohan

1. Senarai hitamkan modul berkaitan

Untuk menyenaraihitamkan modul Firewire dan Thunderbolt, tambahkan baris berikut pada fail dalam /etc/modprobe.d/blacklist-dma.conf:

blacklist firewire-core
blacklist thunderbolt

Setelah sistem dimulakan semula, modul di atas akan disenaraihitamkan. Walaupun anda tidak mempunyai port ini, tidak ada salahnya melakukan ini.

2. e-mel akar

Secara lalai, e-mel akar disimpan sepenuhnya pada sistem dan selalunya tidak pernah dibaca. Pastikan anda menyediakan /etc/aliases untuk memajukan e-mel akar ke peti mel yang sebenarnya anda baca, jika tidak, anda berisiko kehilangan pemberitahuan dan laporan sistem penting:

# Person who should get root’s mail
root:           [email protected]

Selepas mengedit ini, jalankan newaliases dan ujinya untuk memastikan e-mel itu benar-benar dihantar, kerana sesetengah penyedia e-mel akan menolak e-mel daripada domain yang tidak wujud atau tidak boleh dihalakan. Jika ini berlaku, anda perlu melaraskan konfigurasi pemajuan mel anda sehingga ini benar-benar berfungsi.

3. Firewall, sshd dan daemon mendengar

Tetapan tembok api lalai akan bergantung pada pengedaran anda, tetapi banyak yang membenarkan port sshd masuk. Melainkan anda mempunyai alasan yang baik dan sah untuk membenarkan ssh masuk, ini harus ditapis keluar dan daemon sshd dilumpuhkan.

systemctl disable sshd.service
systemctl stop sshd.service

Anda sentiasa boleh mengaktifkannya buat sementara waktu jika anda perlu menggunakannya.

Secara umumnya, sistem anda tidak sepatutnya mempunyai sebarang port pendengaran selain daripada bertindak balas kepada ping. Ini akan membantu anda melindungi daripada kerentanan sifar hari di peringkat rangkaian.

4. Kemas kini automatik atau pemberitahuan

Adalah disyorkan untuk menghidupkan kemas kini automatik melainkan anda mempunyai sebab yang kukuh untuk tidak berbuat demikian, seperti bimbang bahawa kemas kini automatik akan menyebabkan sistem anda tidak dapat digunakan (ini telah berlaku sebelum ini, jadi kebimbangan ini tidak berasas). Sekurang-kurangnya, anda harus mendayakan pemberitahuan automatik kemas kini yang tersedia. Kebanyakan pengedaran sudah mempunyai perkhidmatan ini berjalan secara automatik untuk anda, jadi kemungkinan besar anda tidak perlu melakukan apa-apa. Semak dokumentasi pengedaran anda untuk mengetahui lebih lanjut.

5. Lihat log

Anda harus memerhatikan semua aktiviti yang berlaku pada sistem anda. Atas sebab ini, jam tangan log harus dipasang dan dikonfigurasikan untuk menghantar laporan aktiviti setiap malam yang menunjukkan semua yang berlaku pada sistem. Ini tidak akan melindungi daripada penyerang berdedikasi, tetapi ini adalah ciri jaringan keselamatan yang baik yang perlu digunakan.

Sila ambil perhatian: banyak pengedaran systemd tidak lagi memasang pelayan syslog yang diperlukan oleh logwatch secara automatik (itu disebabkan systemd bergantung pada pengelogannya sendiri), jadi anda perlu memasang dan mendayakan rsyslog dan pastikan /var/log tidak kosong sebelum logwatch mempunyai sebarang kegunaan.

6. rkhunter dan IDS

Melainkan anda benar-benar memahami cara ia berfungsi dan telah mengambil langkah yang perlu untuk menyediakannya dengan betul (seperti meletakkan pangkalan data pada media luaran, menjalankan semakan daripada persekitaran yang dipercayai, mengingati untuk mengemas kini pangkalan data cincang selepas melakukan kemas kini sistem dan perubahan konfigurasi, dll. dsb.), jika tidak, ia tidak begitu berguna untuk memasang rkhunter dan sistem pengesanan pencerobohan (IDS) seperti pembantu atau tripwire. Jika anda tidak bersedia untuk mengambil langkah ini dan melaraskan cara anda melaksanakan tugas di stesen kerja anda, alatan ini hanya akan menyebabkan masalah tanpa sebarang faedah keselamatan sebenar.

Kami mengesyorkan anda memasang rkhunter dan menjalankannya pada waktu malam. Ia agak mudah untuk dipelajari dan digunakan; walaupun ia tidak akan menangkap penyerang yang bijak, ia boleh membantu anda mengesan kesilapan anda sendiri.

Tajuk asal: 9 Cara Mengeraskan Stesen Kerja Linux Anda Selepas Pemasangan Distro, pengarang: Konstantin Ryabitsev

Atas ialah kandungan terperinci 6 cara untuk mengeraskan keselamatan stesen kerja Linux anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!