Checkliste für Linux -Sicherheitshärten

Checkliste für Linux -Sicherheitshärten
„Dieses Tutorial zählt die Sicherheitshärtungspraktiken und -richtlinien sowohl für Linux -Heimnutzer als auch für Systemadministratoren auf.

Zusätzlich zur unten gezeigten Sicherheitshärtungs -Checkliste enthält dieser Artikel kurze Erläuterungen jeder Empfehlung, einschließlich Links zu Tutorials, die zeigen, wie sie mit echten Screenshots im Szenario implementiert werden können. Das Dokument ist sowohl für neuartige als auch für fortgeschrittene Benutzer optimiert.

Alle in diesem Artikel beschriebenen Tipps sind für jede Linux -Verteilung nützlich. Benutzer von UNIX -Betriebssystemen finden dieses Tutorial möglicherweise auch nützlich, um ihre Systeme zu schützen.”

Notiz: Die folgende Checkliste für Linux -Sicherheitshärten wurde zunächst im Jahr 2019 geschrieben und im Jahr 2022 aktualisiert.

Checkliste für Linux -Sicherheitshärten

POLITIK HEIMANWENDER SERVER
SSH deaktivieren ✔/x
Deaktivieren Sie den SSH -Root -Zugriff
Ändern Sie den SSH -Standardport
Deaktivieren Sie die SSH -Passwort -Anmeldeauthentifizierung
Definieren Sie die richtigen Firewall -Regeln
IDS implementieren (Intrusion Detection System) X
Sichern Sie das BIOS
Scheibenverschlüsselung X
System vor Rootkits schützen
Halten Sie das System auf dem neuesten Stand
VPN (virtuelles privates Netzwerk) X
Aktivieren Sie Selinux
Honeypots und Honeynets implementieren X
Scannen Sie Ihr Gerät extern nach Schwachstellen
Häufige Sicherheitspraktiken

SSH deaktivieren

Der SSH -Dienst ist eines der am häufigsten verwendeten Ziele für Angreifer. Durch SSH Access kann ein Hacker in das Zielsystem einbrechen, um die Berechtigungen zu eskalieren und die volle Kontrolle über das System zu erhalten. Es lohnt sich daran, daran zu erinnern, dass lokale Ausführungsexploiten gefährlicher sind als abgelegene Exploits, da lokale Exploits nicht durch Firewalls gefiltert werden.

Sowohl Heim- als auch Unternehmensbenutzer müssen alle unnötigen Dienste deaktivieren, da sie Türen für Hacker darstellen, um auf das Zielsystem zuzugreifen.

Die Hauptempfehlung besteht darin, unerwünschte Dienste vollständig zu entfernen. Wenn Sie in Zukunft der Meinung sind, dass Sie einen derzeit unnötigen Dienst verwenden, lesen Sie dieses Tutorial mit spezifischen Anweisungen zur Identifizierung und Deaktivierung ungenutzter Dienste. Wenn Sie den SSH -Service beibehalten müssen, lesen Sie weiter unten, um Anweisungen zu sichern, um ihn zu sichern.

Deaktivieren Sie den SSH -Root -Zugriff

Wie in der vorherigen Empfehlung, den SSH -Dienst zu deaktivieren oder zu entfernen.

Eine wichtige Maßnahme, um den SSH -Zugriff zu sichern, besteht darin, die Stammanmeldung zu deaktivieren. Der Hauptgrund für die Deaktivierung der Root -Anmeldung durch SSH ist, dass der Haupt -Superuser jedes Linux -Systems eine Wurzel ist. Daher weiß ein Angreifer bereits, dass Ihr System den Root -Superuser hat und kann ihn in einem Brute -Force -Angriff verwenden, der nur Ihr Passwort brechen muss. Ein weiterer wichtiger Grund, den Root -Zugriff über SSH zu deaktivieren.

Bei LinuxHint haben wir ein Tutorial zum Deaktivieren des SSH -Root -Zugriffs veröffentlicht, den Sie hier lesen können.

Ändern Sie den SSH -Standardport

Viele Angreifer starten massive, wahllose Angriffe gegen zufällige Ziele. Wenn ein Angreifer versucht, Geräte massiv zu identifizieren, indem er den SSH -Port (22) scannt, wird er gegen Systeme, die SSH -Zugriff über einen anderen Port als 22 bedienen.

Deaktivieren der SSH -Kennwortauthentifizierung

Die SSH -Passwort -Authentifizierung ist die am wenigsten sicher. Weitere Methoden wie die wichtigste Authentifizierung werden empfohlen, um die Kennwort -Anmeldung zu ersetzen, was für viele Arten von Angriffen anfällig ist, einschließlich Brute Force, der einfachsten Angriffsmethode, die jeder unerfahrene Benutzer starten kann. In diesem Link können Sie Anweisungen lesen, um die SSH -Kennwortauthentifizierung zu deaktivieren und die Schlüsselauthentifizierung zu aktivieren.

Definieren Sie ordnungsgemäße Nftables oder Iptables -Regeln

Das Implementieren benutzerdefinierter Firewall -Regeln ist ein Muss und ein grundlegendes Maß, um Ihr Gerät zu sichern. Firewalls sind die erste Verteidigung gegen böswilligen Verkehr, unerwünschte Verbindungen und unerwünschte Scans, die versuchen, Sicherheitslöcher in Ihrem System zu finden.

Nftables und Iptables sind Schnittstellen zum Verwalten und Definieren von Firewall -Regeln unter Linux. Heimnutzer bevorzugen möglicherweise UFW (unkomplizierte Firewall), was für Iptables ein Frontend ist, um die Erstellung von Firewall-Regeln benutzerfreundlicher zu gestalten.

Abhängig von Ihren Desktop- oder Serveranforderungen umfassen die meisten empfohlenen Firewall -Regeln restriktive Richtlinien, die nur benötigte Datenverkehr und Verbindungen ermöglichen. Außerdem sind Firewalls nützlich, um Standardports in benutzerdefinierte Ports umzuleiten, sodass Angreifer es schwieriger machen, Ihre systemfähigen Dienste zu identifizieren.

Systemadministratoren können Anweisungen finden, um Systeme mit Iptables unter diesem Link zu sichern. Heimnutzer können UFW wählen, was einfacher zu verwalten ist und unter diesem Link gelernt werden kann.

IDS implementieren (Intrusion Detection System)

IDS (Intrusion Detection System) bringt die Sicherheit auf die nächste Ebene, sodass sie Pakete analysieren und Anomalien erkennen und nicht autorisierten Zugriff auf das System erfassen können. IDS ist eine großartige Ergänzung für Firewalls. IDs überwacht den Netzwerkverkehr, der nach böswilligen Paketen sucht, um Sicherheitsvorfälle zu identifizieren und zu melden. Die beliebtesten IDs sind schnaubend und OSSEC.

Diese Checkliste für Sicherheitshärten empfiehlt IDs für Heimnutzer aufgrund der großen Anzahl von Ressourcen, die sie benötigen. Wenn Sie jedoch gute Ressourcen genießen, ist das Hinzufügen immer eine gute Wahl.

Sie können dieses Tutorial lesen, um mit OSSEC zu beginnen. In Bezug.

  • Installieren Sie Snort Intrusion Detection System Ubuntu
  • Konfigurieren Sie Snort -IDs und erstellen Sie Regeln
  • Schnupfenbenachrichtigungen

Sichern Sie das BIOS

RootKits, Malware und Server -BIOS mit Remote -Zugriff stellen zusätzliche Schwachstellen sowohl für Server als auch für inländische Geräte dar. Das BIOS kann über Code gehackt werden, das aus dem Betriebssystem ausgeführt wird, oder über Aktualisierungskanäle, um unbefugten Zugriff zu erhalten oder Rootkits für immer zu speichern, Hardware -Ersatz zu erzwingen und die Wiederherstellung der Sicherung auszuschließen.

Der beste Weg, um Ihr BIOS zu schützen, besteht darin, es auf dem neuesten Stand zu halten, für den Sie hier Anweisungen finden können.

Verschlüsseln Sie Speichergeräte und Partitionen

Dies ist eine relevantere Maßnahme für Desktop -Benutzer, die ihre Computer verlieren oder Opfer von Diebstahl sein können. Für Laptop -Benutzer ist es besonders nützlich, zu verhindern, dass Diebe auf Informationen zugreifen. Heute unterstützt fast jedes Betriebssystem die Verschlüsselung der Festplatte und Partition. Linux -Verteilungen ermöglichen es, die Festplatte während des Installationsprozesses zu verschlüsseln. Für Anweisungen zur Festplattenverschlüsselung finden Sie den Artikel, wie Sie ein Laufwerk unter Linux verschlüsseln können.

System vor Rootkits schützen

Rootkits sind bösartige Software, die Angreifer nicht autorisierter Zugriff gewährt. Sie sind extrem schwer zu erkennen, weil sie sich verstecken können. Einige RootKits erhalten Zugriff auf das System -BIOS, das als Lösung einen Hardwareersatz benötigt. Rootkits Prävention und Entfernung Die beliebteste Software sind Chrootkit und Rkhunter. Sie können mit Chkrootkit beginnen, indem Sie dieses Tutorial lesen, das auch Anweisungen für rkhunter enthält.

Halten Sie das System auf dem neuesten Stand

Sowohl Desktop -Benutzer als auch Systemadministratoren müssen das System auf dem neuesten Stand halten, um zu verhindern. Darüber hinaus kann die Verwendung des OS-bereitgestellten Paketmanagers zur Überprüfung der verfügbaren Updates zur Erkenntnis von Sicherheitslücken bei der Erkennung von schutzbedürftigen Software, die nicht über offizielle Repositorys oder anfällige Code aktualisiert wurde, die neu geschrieben werden müssen. Im Folgenden finden Sie einige Tutorials, um Linux -Betriebssysteme und installierte Software zu aktualisieren:

  • Wie überprüfe ich nach Updates zu Debian 11?
  • Wie man Kernel in Debian 11 Bullseye aktualisiert
  • So aktualisieren und aktualisieren Sie CentOs 8
  • Linux Mint So aktualisieren Sie das System
  • CentOS -Update
  • Installieren oder ein Upgrade auf den neuesten Linux -Kernel auf Ubuntu 20 installieren.04 & Linux Mint 20

VPN (virtuelles privates Netzwerk)

Internetnutzer müssen sich bewusst sein, dass ISPs ihren gesamten Datenverkehr überwachen und sich dies nur leisten können, indem sie einen VPN -Dienst nutzen. Der ISP ist in der Lage, den Datenverkehr auf den VPN -Server zu überwachen, jedoch nicht vom VPN auf endgültige Ziele. Da VPN die Geschwindigkeit negativ beeinflussen kann, ist dies keine empfohlene Option für Server. Um den Effekt auf die Verbindungsgeschwindigkeit zu minimieren, wird empfohlen, einen kostenpflichtigen Dienst zu nutzen. ProtonVPN ist eine großartige Option, die sowohl kostenlose als auch kostenlose Dienstleistungen anbietet. Sie können lernen, wie Sie ProtonVPN unter diesem Link installieren.

Aktivieren Sie Selinux (Security-verstärktes Linux)

Selinux ist ein Satz von Linux-Kernel-Modifikationen, die sich auf die Verwaltung von Sicherheitsaspekten im Zusammenhang mit Sicherheitsrichtlinien durch Hinzufügen von MAC (Mechanism Access Control), RBAC (rollenbasierte Zugriffskontrolle) und MLS (Multi-Level Security) und Multi-Kategorien-Sicherheit (MCS (MCS) konzentrieren, die sich auf die Verwaltung von Sicherheitsaspekten konzentrieren, die sich konzentrieren. ). Wenn Selinux aktiviert ist, kann eine Anwendung nur auf die angegebenen Ressourcen zugreifen, die sie benötigt. Zulässige Ressourcen werden durch Sicherheitsrichtlinien definiert. Der Zugriff auf Ports, Prozesse, Dateien und Verzeichnisse werden durch Regeln gesteuert, die auf Selinux definiert sind, die Operationen basierend auf den Sicherheitsrichtlinien ermöglichen oder verweigern. Bei LinuxHint haben wir einige Artikel zu dieser Funktion veröffentlicht, die unten aufgeführt sind.

  • Selinux (Security Enhanced Linux) auf Debian
  • Ein Anfängerleitfaden zu Selinux auf CentOs

Honeypots und Honeynets implementieren

Ein Honeypot ist ein Tool, das ein Ziel simuliert, das wirklich ein Rekorder der Aktivität von Angreifern ist. Mehrere Honeypots simulieren mehrere Geräte, Dienste und Anwendungen als a Honeynet.

Grundsätzlich sind Honeypots und Honeynets gefälschte Ziele, um Angreifer von realen Zielen abzulenken und ihre Aktivität aufzuzeichnen. Sie können lernen, wie Sie hier sowohl Honeypots als auch Honeynets implementieren.

Scannen Sie Ihr Gerät extern nach Schwachstellen

Eine gute Praxis, um Ihr System sicher zu halten, besteht darin, zu sehen, was Angreifer sehen, wenn sie auf Ihr System abzielen. Dies kann erreicht werden, indem Ihr System gescannt wird, um Schwachstellen zu finden. Es gibt viele Alternativen auf dem Markt, mit dem Sie Ihr System scannen können. Einige Tutorials sind unten aufgeführt.

  • So scannen Sie mit NMAP nach Diensten und Schwachstellen
  • Erste Schritte mit Nikto Schwachstellenscanner
  • Installation von NEXPOLS -Schwachstellenscanner auf Debian/Ubuntu

Gemeinsame Praktiken

  • Verwenden Sie Wurzel nicht, es sei denn erforderlich.
  • Verwenden Sie niemals X -Fenster oder Browser als Root.
  • Verwenden Sie Kennwortmanager wie LastPass.
  • Verwenden Sie nur starke und eindeutige Passwörter.
  • Versuchen Sie, nicht freie Pakete oder nicht verfügbare Pakete unter offiziellen Linux-Repositories zu installieren.
  • Deaktivieren Sie unbenutzte Module.
  • Erzwingen Sie auf Servern starke Passwörter und verhindern Sie, dass Benutzer alte Passwörter verwenden.
  • Unbenutzte Software deinstallieren.
  • Verwenden Sie nicht die gleichen Passwörter für verschiedene Zugriffe.
  • Ändern Sie alle Standard -Zugriffs -Benutzernamen.

Abschluss

Wie Sie in der oben genannten Checkliste für Linux -Sicherheitshärten sehen können, ist der Schutz des Systems keine leichte Aufgabe und erfordert zahlreiche Sicherheitsmaßnahmen. Trotz der Anzahl der Aufgaben, die Benutzer ausführen müssen, um ihre Systeme zu sichern. Die meisten Empfehlungen können auch auf andere Betriebssysteme wie BSD -Systeme angewendet werden. Wenn Sie die numerierten Tipps anwenden, werden zufällige Angreifer definitiv davon abgehalten. Ein stark geschütztes System ist für Angreifer weniger attraktiv.

Ich hoffe. Lesen Sie uns weiter für zusätzliche Linux -professionelle Tutorials.