10 askelta Linux-palvelimen suojaamiseen tuotantoympäristössä
Linux-palvelimen suojaaminen on olennaista, jotta voimme suojata tietojamme hakkereilta. Mutta palvelimen suojaaminen ei tarvitse olla monimutkainen .Meidän pitäisi ottaa käyttöön menetelmä, joka suojaa palvelimemme yleisimmiltä hyökkäyksiltä yhdessä tehokkaan hallinnoinnin kanssa .
Mutta älä ota asioita itsestäänselvyyksinä. Jopa kaikkein paatuneimmat palvelimet voidaan kaapata hyödyntämällä mitä tahansa haavoittuvaa komponenttia, joka on käynnissä kyseisellä palvelimella.
Asenna mitä tarvitset
Ensimmäinen sääntö on pitää palvelimesi laihana ja keskinkertaisena. Asenna vain ne paketit, joita todella tarvitset. Jos on ei-toivottuja paketteja; puhdista. Mitä vähemmän paketteja, sitä pienempi mahdollisuus on, että koodia ei ole korjattu.
Kytke SELinux päälle
Security-Enhanced Linux (SELinux) on ytimen tarjoama pääsynvalvonnan turvamekanismi.
SELinux tarjoaa 3 perustoimintatilaa :
- Enforcing:
- Permissive: Tässä tilassa SELinux ei pakota järjestelmän tietoturvakäytäntöä, vaan ainoastaan varoittaa ja kirjaa toimintoja.
- Disabled: SELinux on kytketty pois päältä.
Se voidaan hallita tiedostosta ’/etc/selinux/config’, jossa voit ottaa sen käyttöön tai poistaa sen käytöstä.
Secure Console Access
Konsolikäytön suojaaminen
Linux-palvelimien konsolikäytön suojaaminen on varmistettava kytkemällä pois päältä käynnistys ulkoisilta laitteilta, kuten DVD-levyiltä/CD-levyiltä/USB-kynältä, BIOS:n asennuksen jälkeen. Lisäksi ,Aseta BIOSin ja grub-käynnistyslataajan salasana näiden asetusten suojaamiseksi.
Rajoita vanhojen salasanojen käyttöä
Voidaan rajoittaa käyttäjien mahdollisuutta käyttää samoja vanhoja salasanoja. Vanha salasanatiedosto sijaitsee osoitteessa /etc/security/opasswd. Tämä voidaan tehdä käyttämällä PAM-moduulia.
Avaa tiedosto ’/etc/pam.d/system-auth’ RHEL / CentOS / Fedora -käyttöjärjestelmissä.
# vi /etc/pam.d/system-auth
Avaa tiedosto ’/etc/pam.d/common-password’ Ubuntu/Debian/Linux -käyttöjärjestelmissä.
# vi /etc/pam.d/common-password
Add the following line to ’auth’ section.
auth sufficient pam_unix.so likeauth nullok
Add the below line to ’password’ section to disallow a user from re-using last 3 passwords.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=3
Last 3 passwords are remember by server. Jos yrität käyttää 3 viimeistä vanhaa salasanaa, saat virheilmoituksen.