Политика | Кућни корисник | Сервер |
Онемогући ССХ | ✔ | Икс |
Онемогућите ССХ роот приступ | Икс | ✔ |
Промените ССХ порт | Икс | ✔ |
Онемогућите пријаву за ССХ лозинку | Икс | ✔ |
Иптаблес | ✔ | ✔ |
ИДС (Систем за откривање упада) | Икс | ✔ |
Сигурност БИОС-а | ✔ | ✔ |
Шифровање диска | ✔ | к / ✔ |
Ажурирање система | ✔ | ✔ |
ВПН (виртуелна приватна мрежа) | ✔ | Икс |
Омогућите СЕЛинук | ✔ | ✔ |
Уобичајена пракса | ✔ | ✔ |
- ССХ приступ
- Заштитни зид (иптаблес)
- Систем за откривање провала (ИДС)
- Сигурност БИОС-а
- Шифровање тврдог диска
- Ажурирање система
- ВПН (виртуелна приватна мрежа)
- Омогућите СЕЛинук (безбедносно побољшани Линук)
- Уобичајена пракса
ССХ приступ
Корисници код куће:
Корисници куће заправо не користе ссх, динамичке ИП адресе и НАТ конфигурације рутера учиниле су алтернативе са обрнутом везом попут ТеамВиевер атрактивнијим. Када се услуга не користи, порт се мора затворити онемогућавањем или уклањањем услуге и применом рестриктивних правила заштитног зида.
Сервери:
За разлику од домаћих корисника који приступају различитим серверима, мрежни администратори су чести ссх / сфтп корисници. Ако морате да омогућите ссх услугу, можете предузети следеће мере:
- Онемогућите роот приступ путем ССХ-а.
- Онемогући пријаву лозинком.
- Промените ССХ порт.
Уобичајене опције конфигурације ССХ Убунту
Иптаблес
Иптаблес је интерфејс за управљање нетфилтером за дефинисање правила заштитног зида. Кућни корисници могу да пређу на УФВ (некомпликовани заштитни зид) који је предњи део за иптаблес да би олакшао стварање правила заштитног зида. Независно од интерфејса, тачка је одмах након подешавања заштитни зид је међу првим променама које се примењују. У зависности од потребе ваше радне површине или сервера, највише се због сигурносних разлога препоручују рестриктивне смернице које дозвољавају само оно што вам треба док блокирате остало. Иптаблес ће се користити за преусмеравање ССХ порта 22 на други, за блокирање непотребних портова, филтрирање услуга и постављање правила за познате нападе.
За више информација о иптаблес проверите: Иптаблес за почетнике
Систем за откривање провала (ИДС)
Због високих ресурса који су им потребни ИДС кућни корисници не користе, али су неопходни на серверима изложеним нападима. ИДС доводи сигурност на следећи ниво омогућавајући анализу пакета. Најпознатији ИДС су Снорт и ОССЕЦ, оба претходно објашњена у ЛинукХинт-у. ИДС анализира саобраћај преко мреже тражећи злонамерне пакете или аномалије, то је алат за надгледање мреже оријентисан на сигурносне инциденте. За упутства о инсталацији и конфигурацији за најпопуларнија ИДС решења погледајте: Конфигуришите Снорт ИДС и Креирајте правила
Први кораци са ОССЕЦ (системом за откривање упада)
Сигурност БИОС-а
Основни програми, малвери и БИОС сервера са удаљеним приступом представљају додатне рањивости за сервере и радне површине. БИОС се може хакирати путем кода извршеног из ОС-а или путем канала за ажурирање како би се добио неовлашћен приступ или заборавили подаци попут сигурносних копија.
Редовно ажурирајте механизме за ажурирање БИОС-а. Омогућите заштиту интегритета БИОС-а.
Разумевање процеса покретања - БИОС вс УЕФИ
Шифровање тврдог диска
Ово је мера релевантнија за кориснике рачунара који могу изгубити рачунар или бити жртве крађе, посебно је корисна за кориснике преносних рачунара. Данас готово сваки ОС подржава шифрирање диска и партиција, дистрибуције попут Дебиана омогућавају шифрирање тврдог диска током процеса инсталације. За упутства о провери шифровања диска: Како шифровати диск на Убунту 18.04
Ажурирање система
И корисници рачунара и сисадмин морају систем одржавати ажурним како би спречили рањиве верзије да нуде неовлашћени приступ или извршавање. Поред тога што употреба ОС-а, управитеља пакета, за проверу доступности исправки које покрећу скенирања рањивости, може помоћи у откривању рањивог софтвера који није ажуриран на службеним спремиштима или рањивом коду који треба поново написати. Испод неколико водича о новостима:
- Како задржати Убунту 17.10 до данас
- Линук Минт Како ажурирати систем
- Како ажурирати све пакете на основном ОС-у
ВПН (виртуелна приватна мрежа)
Корисници Интернета морају бити свесни да ИСП-ови надгледају сав њихов саобраћај и једини начин да то приуште је коришћење ВПН услуге. ИСП је у могућности да надгледа промет на ВПН серверу, али не и са ВПН-а до одредишта. Због проблема са брзином највише се препоручују плаћене услуге, али постоје бесплатне добре алтернативе попут хттпс: // протонвпн.цом /.
- Најбољи Убунту ВПН
- Како инсталирати и конфигурирати ОпенВПН на Дебиану 9
Омогући СЕЛинук (безбедносно побољшани Линук)
СЕЛинук је скуп модификација Линук кернела усредсређених на управљање безбедносним аспектима повезаним са безбедносним политикама додавањем МАЦ (Механизам контроле приступа), РБАЦ (Контрола приступа заснованог на улогама), МЛС (Више нивоа заштите) и Више категорија безбедности (МЦС). Када је омогућен СЕЛинук, апликација може приступити само ресурсима који су јој потребни наведени у безбедносној политици апликације. Приступ портовима, процесима, датотекама и директоријумима контролира се путем правила дефинисаних на СЕЛинук-у која дозвољавају или одбијају операције засноване на сигурносним политикама. Убунту користи АппАрмор као алтернативу.
- СЕЛинук на Убунту водичу
Уобичајена пракса
Готово увек су пропусти у безбедности настали због немара корисника. Поред свих претходно нумерисаних тачака, следите следеће вежбе:
- Не користите роот ако није потребно.
- Никада не користите Кс Виндовс или прегледаче као роот.
- Користите менаџере лозинки попут ЛастПасс-а.
- Користите само јаке и јединствене лозинке.
- Покушајте да не инсталирате неслободне пакете или пакете који нису доступни у службеним спремиштима.
- Онемогућите неискоришћене модуле.
- На серверима примењују јаке лозинке и спречавају кориснике да користе старе лозинке.
- Деинсталирајте неискоришћени софтвер.
- Не користите исте лозинке за различите приступе.
- Промените сва подразумевана корисничка имена.
Политика | Кућни корисник | Сервер |
Онемогући ССХ | ✔ | Икс |
Онемогући ССХ роот приступ | Икс | ✔ |
Промените ССХ порт | Икс | ✔ |
Онемогућите пријаву за ССХ лозинку | Икс | ✔ |
Иптаблес | ✔ | ✔ |
ИДС (Систем за откривање упада) | Икс | ✔ |
Сигурност БИОС-а | ✔ | ✔ |
Шифровање диска | ✔ | к / ✔ |
Ажурирање система | ✔ | ✔ |
ВПН (виртуелна приватна мрежа) | ✔ | Икс |
Омогућите СЕЛинук | ✔ | ✔ |
Уобичајена пракса | ✔ | ✔ |
Надам се да вам је овај чланак био користан за већу сигурност. Пратите ЛинукХинт за више савета и ажурирања о Линуку и умрежавању.