Segurar o Linux Server é essencial para proteger os nossos dados contra os hackers. Mas proteger um servidor não precisa ser complicado. Devemos adotar um método que proteja nosso servidor dos ataques mais freqüentes, juntamente com uma administração eficiente .
No entanto, não tome as coisas como garantidas. Até mesmo os servidores mais duros podem ser sequestrados explorando qualquer componente vulnerável rodando nesse servidor.
Instale o que você precisa
A primeira regra é manter o seu servidor enxuto e maldoso. Instale apenas os pacotes que você realmente precisa. Se houver pacotes indesejados; purge. Quanto menos os pacotes menos hipóteses tem de descompactar o código.
Voltar no SELinux
Security-Enhanced Linux (SELinux) é um mecanismo de segurança de controlo de acesso fornecido no kernel.
SELinux fornece 3 modos básicos de operação :
- Enforcing: Este é o modo padrão que ativa e reforça a política de segurança do SELinux na máquina.
- Permissivo: Neste modo, o SELinux não reforça a política de segurança no sistema, apenas avisa e registra ações.
- Desativado: SELinux está desligado.
Pode ser gerido a partir do ficheiro ‘/etc/selinux/config’, onde pode activá-lo ou desactivá-lo.
Secure Console Access
Deve proteger o acesso à consola dos servidores Linux desactivando o arranque a partir de dispositivos externos, tais como DVDs / CDs / caneta USB após a configuração da BIOS. Também, configure a senha da BIOS e do gerenciador de boot do grub para proteger essas configurações.
Restringir o uso de senhas antigas
Podemos restringir os usuários a usar as mesmas senhas antigas. O arquivo de senhas antigas está localizado em /etc/security/opasswd. Isto pode ser feito usando o módulo PAM.
Abrir ficheiro ‘/etc/pam.d/system-auth’ em RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Abrir ficheiro ‘/etc/pam.d/common-password’ em Ubuntu/Debian/Linux.
# vi /etc/pam.d/common-password
Adicionar a seguinte linha à secção ‘auth’.
auth sufficient pam_unix.so likeauth nullok
Adicionar a linha abaixo à secção ‘password’ para não permitir que um utilizador reutilize as últimas 3 passwords.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=3
As últimas 3 passwords são lembradas pelo servidor. Se você tentou usar qualquer uma das 3 últimas senhas antigas, você receberá um erro como.
Verificar portas de escuta
Utilizar o comando ‘netstat’ para visualizar as portas abertas e os serviços correspondentes .
netstat -tunlp
Desabilite os serviços indesejados do sistema usando o comando ‘chkconfig’ e feche as portas que não são necessárias.
chkconfig serviceName off
Disable Root login
Não é aconselhável ssh no seu servidor como superusuário(root). Devemos desativar o ssh como usuário root no servidor, mas antes de fazer isso, vamos criar um usuário com poderes de sudo para que você possa entrar no servidor e realizar tarefas administrativas. Uma vez conectado ao servidor, você sempre pode mudar o usuário para root, se necessário.
Criar um novo usuário :
useradd user1
Criar senha para o usuário adicionado :
passwd user1
Fornecer permissões sudo para o novo usuário adicionado :
echo 'user1 ALL=(ALL) ALL' >> /etc/sudoers
SSH para o servidor com o novo usuário e garantir que o login funcione.
Vamos agora desactivar o login root, o que significa que ninguém pode fazer ssh ou login no servidor como utilizador root. Para fazer isso, abra o arquivo de configuração do sshd:
nano /etc/ssh/sshd_conf
Próximo, descomente a linha que diz
PermitRootLogin no