Politik | Hemanvändare | Server |
Inaktivera SSH | ✔ | x |
Inaktivera SSH root-åtkomst | x | ✔ |
Ändra SSH-port | x | ✔ |
Inaktivera inloggning för SSH-lösenord | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-säkerhet | ✔ | ✔ |
Diskkryptering | ✔ | x / ✔ |
Systemuppdatering | ✔ | ✔ |
VPN (virtuellt privat nätverk) | ✔ | x |
Aktivera SELinux | ✔ | ✔ |
Vanliga metoder | ✔ | ✔ |
- SSH-åtkomst
- Brandvägg (iptables)
- Intrusion Detection System (IDS)
- BIOS-säkerhet
- Hårddisk kryptering
- Systemuppdatering
- VPN (virtuellt privat nätverk)
- Aktivera SELinux (säkerhetsförbättrad Linux)
- Vanliga metoder
SSH-åtkomst
Hemanvändare:
Hemanvändare använder inte riktigt ssh, dynamiska IP-adresser och router NAT-konfigurationer gjorde alternativ med omvänd anslutning som TeamViewer mer attraktiva. När en tjänst är oanvänd måste porten stängas både genom att inaktivera eller ta bort tjänsten och genom att tillämpa begränsande brandväggsregler.
Servrar:
I motsats till inhemska användare som arbetar med olika servrar är nätverksadministratörer frekventa ssh / sftp-användare. Om du måste hålla din ssh-tjänst aktiverad kan du vidta följande åtgärder:
- Inaktivera root-åtkomst via SSH.
- Inaktivera lösenordsinloggning.
- Ändra SSH-porten.
Vanliga SSH-konfigurationsalternativ Ubuntu
Iptables
Iptables är gränssnittet för att hantera netfilter för att definiera brandväggsregler. Hemanvändare kan trenda till UFW (Uncomplicated Firewall) som är en frontend för iptables för att göra det enkelt att skapa brandväggsregler. Oberoende av gränssnittet är punkten omedelbart efter installationen brandväggen är bland de första ändringarna som gäller. Beroende på ditt skrivbords- eller serverbehov är de mest rekommenderade av säkerhetshänsyn begränsande policyer som endast tillåter det du behöver medan du blockerar resten. Iptables kommer att användas för att omdirigera SSH-port 22 till en annan, för att blockera onödiga portar, filtrera tjänster och sätta regler för kända attacker.
För mer information om iptables check: Iptables för nybörjare
Intrusion Detection System (IDS)
På grund av de höga resurserna de kräver IDS används inte hemanvändare men de är ett måste på servrar som utsätts för attacker. IDS tar säkerheten till nästa nivå som gör det möjligt att analysera paket. Mest kända IDS är Snort och OSSEC, båda tidigare förklarade på LinuxHint. IDS analyserar trafik över nätverket och letar efter skadliga paket eller avvikelser, det är ett nätverksövervakningsverktyg inriktat på säkerhetsincidenter. För instruktioner om installation och konfiguration för de mest populära IDS-lösningarna, se: Konfigurera Snort IDS och skapa regler
Komma igång med OSSEC (Intrusion Detection System)
BIOS-säkerhet
Rootkits, malware och server-BIOS med fjärråtkomst representerar ytterligare sårbarheter för servrar och stationära datorer. BIOS kan hackas via kod som körs från operativsystemet eller genom uppdateringskanaler för att få obehörig åtkomst eller glömma information som säkerhetskopior.
Håll BIOS-uppdateringsmekanismerna uppdaterade. Aktivera BIOS Integrity Protection.
Förstå Boot-processen - BIOS vs UEFI
Hårddiskkryptering
Detta är en åtgärd som är mer relevant för Desktop-användare som kan tappa sin dator eller bli stöldoffer, det är särskilt användbart för bärbara användare. Idag stöder nästan alla operativsystem disk- och partitionskryptering, distributioner som Debian gör det möjligt att kryptera hårddisken under installationsprocessen. För instruktioner om diskkrypteringskontroll: Så här krypterar du en enhet på Ubuntu 18.04
Systemuppdatering
Både stationära användare och sysadmin måste hålla systemet uppdaterad för att förhindra att sårbara versioner erbjuder obehörig åtkomst eller körning. Förutom att använda den OS-tillhandahållna pakethanteraren för att söka efter tillgängliga uppdateringar som kör sårbarhetsskanningar kan det hjälpa att upptäcka sårbar programvara som inte har uppdaterats på officiella förråd eller sårbar kod som behöver skrivas om. Nedan några handledning om uppdateringar:
- Hur man håller Ubuntu 17.10 uppdaterad
- Linux Mint Hur man uppdaterar systemet
- Hur man uppdaterar alla paket på grundläggande operativsystem
VPN (virtuellt privat nätverk)
Internetanvändare måste vara medvetna om att Internetleverantörer övervakar all sin trafik och det enda sättet att ha råd med detta är att använda en VPN-tjänst. Internetleverantören kan övervaka trafiken till VPN-servern men inte från VPN till destinationer. På grund av hastighetsproblem är betalda tjänster det mest rekommenderade, men det finns gratis bra alternativ som https: // protonvpn.com /.
- Bästa Ubuntu VPN
- Hur man installerar och konfigurerar OpenVPN på Debian 9
Aktivera SELinux (säkerhetsförbättrad Linux)
SELinux är en uppsättning av Linux Kernel-modifieringar som fokuserar på att hantera säkerhetsaspekter relaterade till säkerhetspolicyer genom att lägga till MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) och Multi Category Security (MCS). När SELinux är aktiverat kan en applikation bara komma åt de resurser som behövs som anges i en säkerhetspolicy för applikationen. Tillgång till portar, processer, filer och kataloger styrs genom regler som definieras på SELinux som tillåter eller nekar operationer baserat på säkerhetspolicyn. Ubuntu använder AppArmor som alternativ.
- SELinux på Ubuntu-handledning
Vanliga metoder
Säkerhetsfel beror nästan alltid på användarvård. Förutom alla punkter som tidigare har numrerats följer du följande metoder:
- Använd inte root om det inte är nödvändigt.
- Använd aldrig X Windows eller webbläsare som root.
- Använd lösenordshanterare som LastPass.
- Använd bara starka och unika lösenord.
- Försök nej att installera icke-gratis paket eller paket som inte är tillgängliga på officiella förråd.
- Inaktivera oanvända moduler.
- På servrar genomdriva starka lösenord och hindra användare från att använda gamla lösenord.
- Avinstallera oanvänd programvara.
- Använd inte samma lösenord för olika åtkomst.
- Ändra alla standardåtkomstanvändarnamn.
Politik | Hemanvändare | Server |
Inaktivera SSH | ✔ | x |
Inaktivera SSH root-åtkomst | x | ✔ |
Ändra SSH-port | x | ✔ |
Inaktivera inloggning för SSH-lösenord | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-säkerhet | ✔ | ✔ |
Diskkryptering | ✔ | x / ✔ |
Systemuppdatering | ✔ | ✔ |
VPN (virtuellt privat nätverk) | ✔ | x |
Aktivera SELinux | ✔ | ✔ |
Vanliga metoder | ✔ | ✔ |
Jag hoppas att du tyckte att den här artikeln var användbar för att öka din säkerhet. Fortsätt följa LinuxHint för fler tips och uppdateringar om Linux och nätverk.