50 лучших советов по усилению безопасности Linux: комплексный контрольный список

Linux поддерживает большую часть Интернета и значительное количество рабочих станций по всему миру. Одной из основных причин постоянно растущей популярности систем Linux и BSD является их надежная политика в отношении безопасности. Системы Linux по своей сути трудно взломать из-за лежащих в их основе принципов проектирования. Однако ни одна система не является неуязвимой, и если вы не усилите защиту своей рабочей станции или сервера Linux до уровня новейших стандартов, вы, скорее всего, станете жертвой различных типов атак и/или утечки данных. Вот почему мы изложили 50 советов по усилению защиты Linux, которые помогут вам повысить безопасность вашего сервера на новый уровень.

Безопасность стала неотъемлемой частью компьютерного мира. В результате усиление защиты вашей личной рабочей станции, а также безопасности сервера является обязательным. Так что продолжайте читать и максимально используйте приведенные ниже советы для повышения безопасности вашего компьютера с Linux.

Документирование информации о хосте может оказаться чрезвычайно полезным в долгосрочной перспективе. Если вы намерены поддерживать одну и ту же систему в течение долгого времени, скорее всего, в какой-то момент все пойдет не так. Однако если вы документируете свою рабочую станцию ​​или сервер прямо со дня ее установки, вы будете иметь четкое представление об общей инфраструктуре системы и применяемых политиках.

Включите приведенную ниже информацию о системе в свою документацию. Не стесняйтесь добавлять некоторые дополнения в зависимости от требований вашего сервера.

Вам следует защитить свой BIOS, используя соответствующий пароль, чтобы другие пользователи не могли получить доступ к настройкам или изменить их. Поскольку доступ к меню BIOS на современных материнских платах довольно прост, конечные пользователи могут переопределить существующие настройки и манипулировать конфиденциальными конфигурациями.

Кроме того, пользователи также могут использовать загрузочные системы для доступа к данным вашего хоста. Это также может представлять угрозу целостности вашего сервера. Вы можете полностью отключить USB-устройства, используя следующую команду.

Загрузку USB также можно отключить в меню BIOS. Однако это не обязательно, если вы используете личную рабочую станцию, к которой другие пользователи не имеют доступа.

Шифрование вашего дискового хранилища может оказаться очень полезным в долгосрочной перспективе. Это предотвратит утечку данных в случае кражи или вмешательства третьих лиц. К счастью, существует множество инструментов шифрования Linux, которые упрощают эту задачу для администраторов.

Кроме того, современные дистрибутивы Linux предлагают администраторам шифровать файловую систему Linux во время процесса установки. Однако вы должны знать, что шифрование может повлиять на производительность и, вероятно, затруднит восстановление данных.

Поскольку данные, передаваемые по сети, можно легко собрать и проанализировать с помощью инструментов безопасности с открытым исходным кодом, шифрование данных должно быть вашим главным приоритетом в процессе усиления защиты Linux. Многие устаревшие инструменты передачи данных не используют надлежащее шифрование и, следовательно, могут сделать ваши данные уязвимыми.

Для удаленной передачи данных всегда следует использовать службы безопасной связи, такие как ssh, scp, rsync или sftp. Linux также позволяет пользователям монтировать удаленные файловые системы с помощью специальных инструментов, таких как Fuse или sshfs. Попробуйте использовать шифрование GPG для шифрования и подписи ваших данных. Другие инструменты Linux, предлагающие услуги шифрования данных, включают OpenVPN, Lighthttpd SSL, Apache SSL и Let's Encrypt.

Большое количество устаревших программ Unix не обеспечивают необходимой безопасности во время передачи данных. К ним относятся FTP, Telnet, rlogin и rsh. Независимо от того, защищаете ли вы свой сервер Linux или личную систему, прекратите использовать эти службы навсегда.

Вы можете использовать другие альтернативы для задач передачи данных этого типа. Например, такие службы, как OpenSSH, SFTP или FTPS, гарантируют, что передача данных происходит по защищенному каналу. Некоторые из них используют шифрование SSL или TLS для защиты передачи данных. Вы можете использовать приведенные ниже команды для удаления устаревших служб, таких как NIS, telnet и rsh, из вашей системы.

Используйте первую команду для дистрибутивов на основе RPM, таких как RHEL и Centos, или для любой системы, использующей менеджер пакетов yum. Вторая команда работает в системах на базе Debian/Ubuntu.