Rafforzamento del server Linux
[ad_1]
Per le piattaforme informatiche odierne, la facilità di accesso e l’apertura sono essenziali per le comunicazioni basate sul Web e per i team di gestione IT dotati di risorse snelle.
Ciò è direttamente in contrasto con la crescente necessità di misure di sicurezza complete in un mondo pieno di malware, minacce di hacking e potenziali ladri di dati.
La maggior parte delle organizzazioni adotterà una strategia di sicurezza a più livelli, fornendo tutte le misure di protezione disponibili per la propria infrastruttura IT – firewall, sandbox, IPS e IDS, antivirus – ma gli ambienti informatici più sicuri sono quelli con una posizione di sicurezza “dal basso” .
Se i dati non devono essere archiviati sul server Web Linux rivolto al pubblico, rimuoverli completamente: se i dati non sono presenti, non possono essere compromessi.
Se un utente non ha bisogno di accedere a determinati sistemi o parti della rete, ad esempio, dove si trova la tua server farm Ubuntu sicura, revoca i suoi privilegi per farlo: ha bisogno di sistemi di accesso per rubare dati, quindi impediscigli di avvicinarsi esso in primo luogo.
Allo stesso modo, se il tuo server CentOS non necessita di servizi FTP o Web, disabilitali o rimuovili. Riduci i potenziali vettori di violazioni della sicurezza ogni volta che riduci i mezzi di accesso.
Per dirla semplicemente, devi rafforzare i tuoi server Linux.
Sfondo della politica di rafforzamento di Linux
La bellezza di Linux è che è così accessibile e liberamente disponibile che è facile metterlo in funzione con pochissima formazione o conoscenza. La community di supporto basata sul Web fornisce tutti i suggerimenti e le esercitazioni di cui avrai mai bisogno per eseguire qualsiasi attività di configurazione di Linux o risolvere i problemi che potresti riscontrare.
Trovare e interpretare la giusta lista di controllo per la protezione avanzata per i tuoi host Linux può ancora essere una sfida, quindi questa guida ti offre una lista di controllo concisa su cui lavorare, che comprende le misure di protezione più prioritarie per un tipico server Linux.
Norme sull’account
- Imponi la cronologia delle password – 365 giorni
- Età massima della password – 42 giorni
- Lunghezza minima della password – 8 caratteri
- Complessità della password – Abilitare
- Durata del blocco dell’account – 30 minuti
- Soglia di blocco dell’account – 5 tentativi
- Ripristina il contatore di blocco dell’account – 30 minuti
Modifica /etc/pam.d/common-password per definire i parametri della politica della password per il tuo host.
Sicurezza di accesso
- Assicurarsi che SSH versione 2 sia in uso
- Disattiva gli accessi root remoti
- Abilita AllowGroups solo per i nomi di gruppo consentiti
- Consenti l’accesso solo ai dispositivi validi
- Limita il numero di sessioni root simultanee solo a 1 o 2
Modificare sshd.config per definire i parametri della politica SSHD per il tuo host e /etc/hosts.allow E /etc/hosts.deny per controllare l’accesso. Utilizzo /etc/security per limitare l’accesso root a tty1 O tty1 E tty2 soltanto.
Solo avvio protetto
Rimuovere le opzioni per l’avvio da CD o dispositivi USB e proteggere con password il computer per impedire la modifica delle opzioni del BIOS.
Proteggi con password il /boot/grub/menu.lst file, quindi rimuovere il file avvio in modalità di ripristino iscrizione.
Disabilita tutti i processi, i servizi e i demoni non necessari
Ogni sistema è unico, quindi è importante esaminare quali processi e servizi non sono necessari per il tuo server per eseguire le tue applicazioni.
Valuta il tuo server eseguendo il file ps -ax comando e vedere cosa è in esecuzione attualmente.
Allo stesso modo, valutare lo stato di avvio di tutti i processi eseguendo a chkconfig-elenco comando.
Disabilita tutti i servizi non necessari utilizzando il file sysv-rc-conf nome-servizio disattivato
Limita le autorizzazioni su file e cartelle sensibili solo a root
Assicurati che i seguenti programmi sensibili siano eseguibili solo come root
- /etc/fstab
- /etc/password
- /bin/ping
- /usr/bin/chi
- /usr/bin/w
- /usr/bin/locate
- /usr/bin/whereis
- /sbin/ifconfig
- /bin/nano
- /usr/bin/vi
- /usr/bin/che
- /usr/bin/gcc
- /usr/bin/make
- /usr/bin/apt-get
- /usr/bin/aptitude
Assicurarsi che le seguenti cartelle siano solo accesso root
- /eccetera
- /usr/ecc
- /bidone
- /usr/bin
- /sbin
- /usr/sbin
- /tmp
- /var/tmp
Disattiva i binari SUID e SGID
Identificare i file SUID e SGID nel sistema: find / \( -perm -4000 -o -perm -2000 \) -print.
Rendere questi file sicuri rimuovendo i bit SUID o SGID utilizzando chmod -s nome file
Dovresti anche limitare l’accesso a tutti i compilatori sul sistema aggiungendoli a un nuovo gruppo di “compilatori”.
- compilatori chgrp *cc*
- compilatori chgrp *++*
- compilatori chgrp ld
- chgrp compilatori come
Una volta aggiunto al gruppo, limitare le autorizzazioni utilizzando a compilatore chmod 750
Implementa FIM regolare/in tempo reale su cartelle e file sensibili
L’integrità dei file deve essere monitorata per tutti i file e le cartelle per garantire che le autorizzazioni e i file non vengano modificati senza approvazione.
Configurare il controllo sul server Linux
Assicurati che gli eventi di sicurezza chiave vengano controllati e inoltrati al tuo server syslog o SIEM. Modifica il file syslog.conf di conseguenza.
Indurimento generale delle variabili del kernel
Modifica il /etc/sysctl.conf file per impostare tutte le variabili del kernel su impostazioni sicure per prevenire spoofing, syn flood e attacchi DOS.
[ad_2]
Source by Mark Kedgley