25 Tip Keamanan Pengerasan untuk Server Linux
- 957
- 278
- Enrique Purdy
Semua orang mengatakan itu Linux aman secara default dan disepakati untuk beberapa perpanjangan (ini topik yang bisa diperdebatkan). Namun, Linux memiliki model keamanan yang dibangun secara default. Perlu Menyekruni dan Menyesuaikan Sesuai Kebutuhan Anda Yang Dapat Membantu Membuat Sistem Lebih Aman. Linux lebih sulit untuk dikelola tetapi menawarkan lebih banyak opsi fleksibilitas dan konfigurasi.
25 Tip Keamanan dan Pengerasan LinuxMengamankan sistem dalam produksi dari tangan peretas Dan biskuit adalah tugas yang menantang untuk a Administrator sistem. Ini adalah artikel pertama kami yang terkait dengan “Cara Mengamankan Kotak Linux" atau "Mengeraskan kotak Linux“. Dalam posting ini kami akan menjelaskan 25 Tip & Trik yang Berguna untuk mengamankan sistem linux Anda. Semoga, di bawah tip & trik akan membantu Anda memperpanjang untuk mengamankan sistem Anda.
1. Keamanan Sistem Fisik
Konfigurasikan Bios untuk menonaktifkan boot dari CD/DVD, Perangkat eksternal, Floppy drive di dalam Bios. Selanjutnya, aktifkan Bios Kata Sandi & Juga Lindungi Grub dengan kata sandi untuk membatasi akses fisik sistem Anda.
- Atur kata sandi grub untuk melindungi server Linux
2. Partisi disk
Penting untuk memiliki partisi yang berbeda untuk mendapatkan keamanan data yang lebih tinggi jika terjadi bencana yang terjadi. Dengan membuat partisi yang berbeda, data dapat dipisahkan dan dikelompokkan. Ketika kecelakaan yang tidak terduga terjadi, hanya data dari partisi itu yang akan rusak, sementara data pada partisi lain bertahan. Pastikan Anda harus memiliki partisi terpisah berikut dan yakin bahwa aplikasi pihak ketiga harus diinstal pada sistem file terpisah di bawah /memilih.
/ /boot /usr /var /home /tmp /opt
3. Meminimalkan paket untuk meminimalkan kerentanan
Apakah Anda benar -benar ingin semua jenis layanan terpasang?. Disarankan untuk menghindari memasang paket yang tidak berguna untuk menghindari kerentanan dalam paket. Ini dapat meminimalkan risiko bahwa kompromi satu layanan dapat menyebabkan kompromi layanan lainnya. Temukan dan hapus atau nonaktifkan layanan yang tidak diinginkan dari server untuk meminimalkan kerentanan. Menggunakan 'chkconfig'Perintah untuk mengetahui layanan yang sedang berjalan RunLevel 3.
# /sbin /chkconfig --ist | grep '3: on'
Setelah Anda mengetahui bahwa layanan yang tidak diinginkan berjalan, nonaktifkan mereka menggunakan perintah berikut.
# CHKConfig ServiceName Off
Menggunakan RPM Manajer paket seperti “yum" atau "apt-get”Alat untuk mendaftarkan semua paket yang diinstal pada sistem dan menghapusnya menggunakan perintah berikut.
# yum -y hapus nama paket
# sudo apt-get hapus nama paket
- 5 Contoh Perintah CHKConfig
- 20 Contoh Praktis dari Perintah RPM
- 20 Perintah Linux Yum untuk Manajemen Paket Linux
- 25 perintah apt-get dan apt-cache untuk mengelola manajemen paket
4. Periksa port jaringan mendengarkan
Dengan bantuan 'netstat'Perintah jaringan Anda dapat melihat semua port terbuka dan program terkait. Seperti yang saya katakan di atas penggunaan 'chkconfig'Perintah untuk menonaktifkan semua layanan jaringan yang tidak diinginkan dari sistem.
# netstat -tulpn
- 20 Perintah Netstat untuk Manajemen Jaringan di Linux
5. Gunakan Secure Shell (SSH)
Telnet Dan rlogin Protokol menggunakan teks biasa, bukan format terenkripsi yang merupakan pelanggaran keamanan. Ssh adalah protokol yang aman yang menggunakan teknologi enkripsi selama komunikasi dengan server.
Jangan pernah masuk secara langsung akar kecuali perlu. Menggunakan "sudo”Untuk mengeksekusi perintah. sudo ditentukan dalam /etc/sudoers File juga dapat diedit dengan “Visudo“Utilitas yang terbuka Vi editor.
Ini juga disarankan untuk mengubah default SSH 22 nomor port dengan beberapa nomor port level lebih tinggi lainnya. Buka utama Ssh file konfigurasi dan buat beberapa parameter berikut untuk membatasi pengguna untuk mengakses.
# vi/etc/ssh/sshd_config
Nonaktifkan login root
Imbinrootlogin no
Hanya mengizinkan pengguna tertentu
Nama Pengguna Allowusers
Gunakan versi SSH Protocol 2
Protokol 2
- 5 Praktik Terbaik Untuk Mengamankan dan Melindungi SSH Server
6. Pertahankan sistem diperbarui
Selalu perbarui sistem dengan tambalan rilis terbaru, perbaikan keamanan, dan kernel saat tersedia.
# yum pembaruan # yum check-update
7. Lockdown Cronjobs
Cron memiliki fitur bawaan sendiri, di mana ia memungkinkan untuk menentukan siapa yang mungkin, dan siapa yang mungkin tidak ingin menjalankan pekerjaan. Ini dikendalikan oleh penggunaan file yang dipanggil /etc/cron.mengizinkan Dan /etc/cron.membantah. Untuk mengunci pengguna menggunakan cron, cukup tambahkan nama pengguna cron.membantah dan untuk memungkinkan pengguna menjalankan cron add in cron.mengizinkan mengajukan. Jika Anda ingin menonaktifkan semua pengguna menggunakan cron, tambahkan 'SEMUA'Baris ke cron.membantah mengajukan.
# echo all >>/etc/cron.membantah
- 11 contoh penjadwalan cron di Linux
8. Nonaktifkan USB Stick untuk mendeteksi
Sering kali terjadi bahwa kami ingin membatasi pengguna untuk menggunakan USB tetap dalam sistem untuk melindungi dan mengamankan data dari mencuri. Buat file '/etc/modprobe.D/NO-USB'dan menambahkan baris di bawah ini tidak akan mendeteksi USB penyimpanan.
Instal USB-Storage /Bin /True
9. Nyalakan Selinux
Linux yang ditingkatkan keamanan (Selinux) adalah mekanisme keamanan kontrol akses wajib yang disediakan dalam kernel. Melumpuhkan Selinux berarti menghilangkan mekanisme keamanan dari sistem. Pikirkan dua kali dengan hati -hati sebelum menghapus, jika sistem Anda melekat pada internet dan diakses oleh publik, maka pikirkan lebih banyak lagi tentang itu.
Selinux menyediakan tiga mode operasi dasar dan mereka.
- Menegakkan: Ini adalah mode default yang memungkinkan dan menegakkan Selinux Kebijakan Keamanan di Mesin.
- Permisif: Dalam mode ini, Selinux tidak akan menegakkan kebijakan keamanan pada sistem, hanya tindakan memperingatkan dan log. Mode ini sangat berguna dalam hal pemecahan masalah Selinux Masalah terkait.
- Dengan disabilitas: Selinux dimatikan.
Anda dapat melihat status saat ini Selinux Mode dari baris perintah menggunakan 'Sistem-Config-Selinux','Getenforce' atau 'sestatus'Perintah.
# sestatus
Jika dinonaktifkan, aktifkan Selinux Menggunakan perintah berikut.
# Penegakan setenforce
Itu juga dapat dikelola dari '/etc/selinux/config'File, di mana Anda dapat mengaktifkan atau menonaktifkannya.
10. Hapus desktop KDE/GNOME
Tidak perlu lari X Window desktop seperti Kde atau Gnome di server lampu khusus Anda. Anda dapat menghapus atau menonaktifkannya untuk meningkatkan keamanan server dan kinerja. Untuk menonaktifkan sederhana, buka file '/etc/inittab'dan atur level run ke 3. Jika Anda ingin menghapusnya sepenuhnya dari sistem, gunakan perintah di bawah ini.
# yum groupremove "sistem jendela x"
11. Matikan IPv6
Jika Anda tidak menggunakan IPv6 protokol, maka Anda harus menonaktifkannya karena sebagian besar aplikasi atau kebijakan tidak diperlukan IPv6 protokol dan saat ini tidak diperlukan di server. Buka file konfigurasi jaringan dan tambahkan baris pengikut untuk menonaktifkannya.
# vi/etc/sysconfig/network
Networking_ipv6 = tidak ipv6init = tidak
12. Membatasi pengguna untuk menggunakan kata sandi lama
Ini sangat berguna jika Anda ingin melarang pengguna menggunakan kata sandi lama yang sama. File kata sandi lama terletak di /etc/keamanan/opasswd. Ini dapat dicapai dengan menggunakan Pam modul.
Membuka '/etc/pam.D/System-Auth'File Under Rhel / centos / fedora.
# vi /etc /pam.D/System-Auth
Membuka '/etc/pam.D/Common-Password'File Under Ubuntu/debian/linux mint.
# vi /etc /pam.D/Common-Password
Tambahkan baris berikut ke 'auth' bagian.
auth Pam_unix yang cukup.Jadi LikeAuth Nullok
Tambahkan baris berikut ke 'kata sandibagian untuk melarang pengguna menggunakan kembali terakhir 5 Kata sandinya.
Kata Sandi Pam_unix yang cukup.Jadi nullok use_authtok md5 shadow ingat = 5
Hanya terakhir 5 Kata sandi diingat oleh server. Jika Anda mencoba menggunakan yang terakhir 5 Kata sandi lama, Anda akan mendapatkan kesalahan seperti.
Kata sandi telah digunakan. Pilih yang lain.
13. Cara Memeriksa Kata Sandi Kedaluwarsa Pengguna
Di Linux, kata sandi pengguna disimpan di '/etc/shadow'File dalam format terenkripsi. Untuk memeriksa kedaluwarsa kata sandi pengguna, Anda perlu menggunakan 'Chage' memerintah. Ini menampilkan informasi detail kedaluwarsa kata sandi bersama dengan tanggal perubahan kata sandi terakhir. Rincian ini digunakan oleh sistem untuk memutuskan kapan pengguna harus mengubah kata sandinya.
Untuk melihat informasi penuaan pengguna yang ada seperti tanggal kadaluarsa Dan waktu, Gunakan perintah berikut.
#chage -l nama pengguna
Untuk mengubah penuaan kata sandi dari pengguna mana pun, gunakan perintah berikut.
#chage -m 60 nama pengguna #chage -m 60 -m 7 -W 7 Nama pengguna
Parameter
- -M Tetapkan jumlah hari maksimum
- -M Tetapkan jumlah hari minimum
- -W Tetapkan jumlah hari peringatan
14. Kunci dan Buka Kunci Akun Secara Manual
Fitur kunci dan buka kunci sangat berguna, alih -alih menghapus akun dari sistem, Anda dapat menguncinya selama satu minggu atau sebulan. Untuk mengunci pengguna tertentu, Anda dapat menggunakan perintah ikuti.
# passwd -l AccountName
Catatan : Pengguna yang terkunci masih tersedia untuk akar hanya pengguna. Penguncian dilakukan dengan mengganti kata sandi terenkripsi dengan (!) rangkaian. Jika seseorang yang mencoba mengakses sistem menggunakan akun ini, ia akan mendapatkan kesalahan yang mirip dengan di bawah ini.
# su - nama akun akun ini saat ini tidak tersedia.
Untuk membuka kunci atau mengaktifkan akses ke akun yang terkunci, gunakan perintah tersebut sebagai. Ini akan menghapus (!) String dengan kata sandi terenkripsi.
# passwd -u AccountName
15. Menegakkan kata sandi yang lebih kuat
Sejumlah pengguna menggunakan kata sandi lembut atau lemah dan kata sandi mereka mungkin diretas dengan a Berbasis Kamus atau serangan brute-force. The 'Pam_cracklib'Modul tersedia di Pam (Modul Otentikasi Pluggable) Tumpukan modul yang akan memaksa pengguna untuk mengatur kata sandi yang kuat. Buka file berikut dengan editor.
Baca juga:
# vi /etc /pam.D/System-Auth
Dan tambahkan baris menggunakan parameter kredit sebagai (lcredit, Ucredit, dcredit dan/atau ocredit masing-masing masing-masing huruf kecil, huruf besar, digit dan lainnya)
/Lib/Security/$ ISA/PAM_CRACKLIB.jadi coba lagi = 3 minlen = 8 lcredit = -1 ucredit = -2 dcredit = -2 ocredit = -1
16. Aktifkan iptables (firewall)
Sangat disarankan untuk mengaktifkan Firewall Linux untuk mengamankan akses yang tidak sah dari server Anda. Menerapkan aturan di ptable untuk filter masuk, outing Dan penerusan paket. Kami dapat menentukan alamat sumber dan tujuan untuk mengizinkan dan menolak secara spesifik UDP/TCP Nomor Port.
- Panduan dan Tips Iptables Dasar
17. Nonaktifkan Ctrl+Alt+Hapus di Inittab
Di sebagian besar distribusi Linux, menekan 'Ctrl-alt-delete ' akan membutuhkan sistem Anda untuk reboot proses. Jadi, bukan ide yang baik untuk mengaktifkan opsi ini setidaknya di server produksi, jika seseorang secara keliru melakukan ini.
Ini didefinisikan dalam '/etc/inittab'File, jika Anda melihat lebih dekat dalam file itu, Anda akan melihat baris yang mirip dengan di bawah ini. Secara default tidak dikomentari. Kami harus berkomentar. Pensinyalan urutan kunci khusus ini akan mematikan sistem.
# Jebakan ctrl -alt -delete #ca :: ctrlaltdel:/sbin/shutdown -t3 -r sekarang
18. Memeriksa Akun untuk Kata Sandi Kosong
Akun apa pun yang memiliki kata sandi kosong berarti dibuka untuk akses tidak sah kepada siapa pun di web dan itu adalah bagian dari keamanan di dalam server Linux. Jadi, Anda harus memastikan semua akun memiliki kata sandi yang kuat dan tidak ada yang memiliki akses resmi. Akun kata sandi kosong adalah risiko keamanan dan itu dapat dengan mudah diretas. Untuk memeriksa apakah ada akun dengan kata sandi kosong, gunakan perintah berikut.
# Cat /etc /Shadow | awk -f: '($ 2 == "") print $ 1'
19. Tampilkan spanduk ssh sebelum login
Selalu merupakan ide yang lebih baik untuk memiliki spanduk hukum atau spanduk keamanan dengan beberapa peringatan keamanan sebelum otentikasi SSH. Untuk mengatur spanduk tersebut, bacalah artikel berikut.
- Tampilkan pesan peringatan SSH kepada pengguna
20. Pantau aktivitas pengguna
Jika Anda berurusan dengan banyak pengguna, maka penting untuk mengumpulkan informasi dari setiap kegiatan pengguna dan proses yang dikonsumsi oleh mereka dan menganalisisnya di lain waktu atau jika ada jenis kinerja, masalah keamanan. Tetapi bagaimana kami dapat memantau dan mengumpulkan informasi kegiatan pengguna.
Ada dua alat yang berguna yang disebut 'psacct' Dan 'acct'digunakan untuk memantau aktivitas dan proses pengguna pada suatu sistem. Alat -alat ini berjalan dalam latar belakang sistem dan terus menerus melacak setiap aktivitas pengguna pada sistem dan sumber daya yang dikonsumsi oleh layanan seperti Apache, Mysql, Ssh, Ftp, dll. Untuk informasi lebih lanjut tentang instalasi, konfigurasi dan penggunaan, kunjungi URL di bawah ini.
- Pantau aktivitas pengguna dengan perintah psacct atau acct
21. Tinjau log secara teratur
Pindahkan log di server log khusus, ini dapat mencegah penyusup untuk dengan mudah memodifikasi log lokal. Di bawah ini adalah nama file log default linux umum dan penggunaannya:
- /var/log/pesan - Di mana seluruh log sistem atau log aktivitas saat ini tersedia.
- /var/log/auth.catatan - Log otentikasi.
- /var/log/kern.catatan - Log kernel.
- /var/log/cron.catatan - Log crond (pekerjaan cron).
- /var/log/maillog - Log Server Mail.
- /var/log/boot.catatan - Log Boot Sistem.
- /var/log/mysqld.catatan - File log server database mysql.
- /var/log/aman - Log otentikasi.
- /var/log/utmp atau /var/log/wtmp : File catatan login.
- /var/log/yum.loG: File log yum.
22. Cadangan File Penting
Dalam sistem produksi, perlu untuk mengambil cadangan file penting dan menyimpannya di lemari besi pengaman, situs jarak jauh atau di luar kantor untuk pemulihan bencana.
23. Nic Bonding
Ada dua jenis mode di Nic ikatan, perlu disebutkan dalam antarmuka ikatan.
- Mode = 0 - Usul
- Mode = 1 - Aktif dan cadangan
Nic Bonding membantu kita menghindari satu titik kegagalan. Di dalam Nic Ikatan, kami mengikat dua atau lebih Kartu Ethernet Jaringan bersama -sama dan membuat satu antarmuka virtual tunggal di mana kami dapat menetapkan AKU P alamat untuk berbicara dengan server lain. Jaringan kami akan tersedia jika satu Kartu NIC turun atau tidak tersedia karena alasan apa pun.
Baca juga : Buat ikatan saluran NIC di Linux
24. Simpan /boot sebagai baca saja
Kernel Linux dan file terkaitnya /boot direktori yang secara default sebagai Baca tulis. Mengubahnya menjadi hanya baca Mengurangi risiko modifikasi file boot kritis yang tidak sah. Untuk melakukan ini, buka "/etc/fstabFile.
# vi /etc /fstab
Tambahkan baris berikut di bagian bawah, simpan dan tutup.
Label = /boot /boot ext2 default, ro 1 2
Harap dicatat bahwa Anda perlu mengatur ulang perubahan ke baca-tulis jika Anda perlu meningkatkan kernel di masa mendatang.
25. Abaikan permintaan ICMP atau siaran
Tambahkan baris berikut di “/etc/sysctl.confFile untuk diabaikan ping atau siaran meminta.
Abaikan permintaan ICMP: net.IPv4.icmp_echo_ignore_all = 1 abaikan permintaan siaran: net.IPv4.icmp_echo_ignore_broadcasts = 1
Muat pengaturan atau perubahan baru, dengan menjalankan perintah berikut
#sysctl -p
Jika Anda telah melewatkan keamanan atau tip pengerasan yang penting dalam daftar di atas, atau Anda memiliki tip lain yang perlu dimasukkan dalam daftar. Harap kirimkan komentar Anda di kotak komentar kami. Tecmint selalu tertarik untuk menerima komentar, saran serta diskusi untuk perbaikan.
- « Aktifkan Akun Anonim untuk Server ProfTPD di RHEL/CENTOS 7
- Memahami Linux Shell dan Tip Bahasa Scripting Basic Shell - Bagian I »