10 Linux-herdetips for nybegynnere SysAdmins

Linux-systemer er sikre av design og gir robuste administrasjonsverktøy. Men uansett hvor godt designet et system er, avhenger sikkerheten av brukeren.

Nybegynnere tar ofte år for å finne de beste sikkerhetspolicyene for maskinene sine. Derfor deler vi disse viktige Linux herdingstipsene for nye brukere som deg. Prøv dem.

1. Håndheve sterke passordregler

Passord er den primære autentiseringsmetoden for de fleste systemer. Uansett om du er hjemmebruker eller profesjonell, er det et must å håndheve solide passord. Deaktiver først tomme passord. Du vil ikke tro hvor mange som fremdeles bruker dem.

awk -F: '($ 2 == "") {print}' / etc / shadow

Kjør kommandoen ovenfor som rot for å se hvilke kontoer som har tomme passord. Hvis du finner noen med et tomt passord, må du låse brukeren med en gang. Du kan gjøre dette ved å bruke følgende.

passwd -l BRUKERNAVN

Du kan også konfigurere aldring av passord for å sikre at brukere ikke kan bruke gamle passord. Bruk chage-kommandoen til å gjøre dette fra terminalen din.

chage -l USERNAME

Denne kommandoen viser gjeldende utløpsdato. For å angi passordutløp etter 30 dager, bruk kommandoen nedenfor. Brukere kan bruk Linux-passordadministratorer for å sikre online-kontoer.

De 8 beste Linux-passordbehandlerne for å holde seg sikre

Trenger du en sikker passordbehandling for Linux? Disse appene er enkle å bruke og holder dine passord på nettet trygge.

chage -M 30 BRUKERNAVN

2. Sikkerhetskopier viktige data

Hvis du er seriøs med dataene dine, kan du konfigurere regelmessige sikkerhetskopier. På denne måten, selv om systemet krasjer, kan du gjenopprette dataene raskt. Men å velge riktig sikkerhetskopimetode er avgjørende for Linux herding.

Hvis du er hjemmebruker, kloning av dataene til en harddisk kunne være tilstrekkelig. Bedrifter trenger imidlertid sofistikerte backup-systemer som tilbyr rask gjenoppretting.

3. Unngå eldre kommunikasjonsmetoder

Linux støtter mange eksterne kommunikasjonsmetoder. Men eldre Unix-tjenester som telnet, rlogin og ftp kan utgjøre alvorlige sikkerhetsproblemer. Så prøv å unngå dem. Du kan fjerne dem helt for å redusere sikkerhetsproblemene knyttet til dem.

apt-get - purge fjern xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Denne kommandoen fjerner noen mye brukte, men utdaterte tjenester fra Ubuntu / Debian-maskiner. Hvis du bruker et RPM-basert system, bruk følgende i stedet.

yum slett xinetd ypserv tftp-server telnet-server rsh-server

4. Sikker OpenSSH

SSH-protokollen er den anbefalte metoden for ekstern kommunikasjon for Linux. Sørg for å sikre OpenSSH server (sshd) konfigurasjonen. Du kan lære mer om å sette opp en SSH-server her.

Rediger /etc/ssh/sshd_config fil for å angi sikkerhetsretningslinjer for ssh. Nedenfor er noen vanlige sikkerhetsregler som alle kan bruke.

PermitRootLogin no # deaktiverer root login
MaxAuthTries 3 # begrenser autentiseringsforsøk
PasswordAuthentication no # deaktiverer passordgodkjenning
PermitEmptyPasswords no # deaktiverer tomme passord
X11Forwarding no # deaktiverer GUI-overføring
DebianBanner no # disbales verbose banner
AllowUsers *@XXX.X.XXX.0/24 # begrenser brukere til et IP-område

5. Begrens bruk av CRON

CRON er en robust jobbplanlegger for Linux. Det gjør det mulig for admins å planlegge oppgaver i Linux ved hjelp av crontab. Dermed er det avgjørende å begrense hvem som kan kjøre CRON-jobber. Du kan finne ut alle aktive cronjobs for en bruker ved å bruke følgende kommando.

crontab -l -u BRUKERNAVN

Sjekk jobbene for hver bruker for å finne ut om noen utnytter CRON. Det kan være lurt å blokkere alle brukere fra å bruke crontab bortsett fra deg. Kjør følgende kommando til dette.

ekko $ (whoami) >> /etc/cron.d/cron.allow
# ekko ALLE >> /etc/cron.d/cron.deny

6. Håndheve PAM-moduler

Linux PAM (Pluggable Authentication Modules) tilbyr kraftige autentiseringsfunksjoner for apper og tjenester. Du kan bruke forskjellige PAM-policyer for å sikre systemets pålogging. For eksempel begrenser kommandoer nedenfor gjenbruk av passord.

# CentOS / RHEL
ekko 'passord tilstrekkelig pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
ekko 'passord tilstrekkelig pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

De begrenser bruken av passord som har blitt brukt de siste fem ukene. Det er mange flere PAM-policyer som gir ekstra lag med sikkerhet.

7. Fjern ubrukte pakker

Fjerning av ubrukte pakker reduserer angrepsoverflaten på maskinen din. Så vi anbefaler at du sletter sjelden brukte pakker. Du kan se alle installerte pakker ved hjelp av kommandoene nedenfor.

yum-listen er installert # CentOS / RHEL 
apt-liste - installert # Ubuntu / Debian

Si at du vil fjerne den ubrukte pakken vlc. Du kan gjøre dette ved å kjøre følgende kommandoer som root.

yum fjerne vlc # CentOS / RHEL
apt fjerne vlc # Ubuntu / Debian

8. Sikre kjerneparametere

En annen effektiv måte å herde Linux på er å sikre kjerneparametrene. Du kan konfigurere disse parametrene ved hjelp av sysctl eller ved å endre konfigurasjonsfilen. Nedenfor er noen vanlige konfigurasjoner.

kernel.randomize_va_space = 2 # randomnize adressebase for mmap, heap og stack
kernel.panic = 10 # omstart etter 10 sekunder etter en kjernepanikk
net.ipv4.icmp_ignore_bogus_error_responses # beskytter dårlige feilmeldinger
net.ipv4.ip_forward = 0 # deaktiverer IP-videresending
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignorerer ICP-feil

Dette er bare noen grunnleggende konfigurasjoner. Du vil lære forskjellige måter for kjernekonfigurasjon med erfaring.

9. Konfigurer iptables

Linux-kjerner gir robuste filtreringsmetoder for nettverkspakker via Netfilter API. Du kan bruke iptables til å samhandle med dette API-et og sette opp egendefinerte filtre for nettverksforespørsler. Nedenfor er noen grunnleggende iptables-regler for sikkerhetsfokuserte brukere.

-E INNGANG -j AVVIS # avvis alle innkommende forespørsler
-E VIDERE -j AVVIS # avvis trafikksending
-E INNGANG -i lo -j AKSEPT
-A OUTPUT -o lo -j ACCEPT # tillat trafikk på localhost
# tillat pingforespørsler
-A OUTPUT -p icmp -j ACCEPT # tillate utgående pinger
# tillat etablerte / relaterte forbindelser
-E INNGANG -m tilstand --stat ESTABLISERT, RELATERT -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
# tillat DNS-oppslag
-A UTGANG -p udp -m udp --dport 53 -j ACCEPT
# tillat http / https forespørsler
-A UTGANG -p tcp -m tcp --port 80 -m tilstand --stat NYTT -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
# tillat SSH-tilgang
-E INNGANG -p tcp -m tcp --dport 22 -j ACCEPT
-A UTGANG -p tcp -m tcp --dport 22 -j ACCEPT

10. Overvåk logger

Du kan bruke logger for å gi bedre mening om Linux-maskinen din. Systemet ditt lagrer flere loggfiler for apper og tjenester. Vi skisserer de viktigste her.

• /var/log/auth.log logger autorisasjonsforsøk
• /var/log/daemon.log logger bakgrunnsapper
• / var / log / feilsøkingslogger feilsøkingsdata
• /var/log/kern.log logger kjernedata
• / var / log / syslog logger systemdata
• / var / log / faillog logs mislyktes pålogginger

Beste Linux herdingstips for nybegynnere

Å sikre et Linux-system er ikke så vanskelig som du tror. Du kan herde sikkerheten ved å følge noen av tipsene som er nevnt i denne guiden. Du vil mestre flere måter å sikre Linux når du får erfaring.

7 Viktige personverninnstillinger for Chrome OS og Google Chrome

Bruker du en Chromebook, men bekymret for personvern? Juster disse 7 innstillingene i Chrome-nettleseren på Chrome OS for å holde deg sikker online.

Om forfatteren