10 pași pentru a securiza serverul Linux pentru mediul de producție
Securizarea serverului Linux este esențială pentru a ne proteja datele de hackeri. Dar securizarea unui server nu trebuie să fie complicată .ar trebui să adoptăm o metodă care să ne protejeze serverul de cele mai frecvente atacuri împreună cu o administrare eficientă .
Cu toate acestea, nu luați lucrurile de la sine. Chiar și cele mai întărite servere pot fi deturnate prin exploatarea oricărei componente vulnerabile care rulează pe acel server.
Instalați ceea ce aveți nevoie
Prima regulă este să vă păstrați serverul simplu și eficient. Instalați doar acele pachete de care aveți cu adevărat nevoie. Dacă există pachete nedorite; epurați. Cu cât mai puține pachete, cu atât mai puține șanse de a avea cod nepotrivit.
Activați SELinux
Security-Enhanced Linux (SELinux) este un mecanism de securitate de control al accesului furnizat în kernel.
SELinux oferă 3 moduri de operare de bază :
- Enforcing: Acesta este modul implicit care activează și aplică politica de securitate SELinux pe mașină.
- Permisiv: În acest mod, SELinux nu va aplica politica de securitate pe sistem, ci doar avertizează și înregistrează acțiunile.
- Dezactivat: SELinux este dezactivat.
Se poate gestiona din fișierul ‘/etc/selinux/config’, unde îl puteți activa sau dezactiva.
Secure Console Access
Trebuie să protejați accesul la consola serverelor Linux prin dezactivarea pornirii de pe dispozitive externe, cum ar fi DVD-uri / CD-uri / pen USB, după configurarea BIOS. De asemenea ,setați parola BIOS și a încărcătorului de boot grub pentru a proteja aceste setări.
Restricționați utilizarea parolelor vechi
Puteți restricționa utilizatorii să utilizeze aceleași parole vechi. Fișierul de parole vechi se află la /etc/security/opasswd. Acest lucru se poate face prin utilizarea modulului PAM.
Deschideți fișierul ‘/etc/pam.d/system-auth’ sub RHEL / CentOS / Fedora.
# vi /etc/pam.d/system-auth
Deschideți fișierul ‘/etc/pam.d/common-password’ sub Ubuntu/Debian/Linux.
# vi /etc/pam.d/common-password
Adaugați următoarea linie la secțiunea ‘auth’.
auth sufficient pam_unix.so likeauth nullok
Adaugați linia de mai jos la secțiunea ‘password’ pentru a nu permite unui utilizator să reutilizeze ultimele 3 parole.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=3
Ultimele 3 parole sunt reținute de server. Dacă încercați să utilizați oricare dintre ultimele 3 parole vechi, veți primi o eroare de genul.