20 Karatteristiċi ta' Sigurtà Utli u Għodda għall-Amministraturi tal-Linux
F'dan l-artikolu, għandna lista ta 'karatteristiċi tas-sigurtà Linux utli li kull amministratur tas-sistema għandu jkun jaf. Aħna naqsmu wkoll xi għodod utli biex ngħinu lill-amministratur tas-sistema jiżgura s-sigurtà fuq is-servers Linux tagħhom.
Il-lista hija kif ġej, u mhijiex organizzata f'xi ordni partikolari.
1. Utent Linux u Ġestjoni tal-Grupp
Il-ġestjoni tal-utenti u tal-gruppi tal-Linux hija aspett bażiku iżda vitali ħafna tal-amministrazzjoni tas-sistema. Innota li utent jista 'jkun persuna jew entità ta' softwer bħal proċessi ta 'web server u sid ta' fajls.
Definizzjoni korretta tal-ġestjoni tal-utent (li tista' tinvolvi d-dettalji tal-kont tal-utent, gruppi li jappartjeni għalihom utent, liema partijiet ta' sistema jista' jaċċessa utent, liema programmi jista' jesegwixxi, infurzar tal-politiki tal-password tal-organizzazzjoni tal-passwords, eċċ.) tista' tgħin lill-amministratur tas-sistema f' l-iżgurar ta' aċċess sigur għas-sistema u tħaddim ta' utenti fi ħdan sistema Linux.
2. Linux PAM
Il-PAM (Pluggable Authentication Modules) huwa sett ta’ libreriji b’saħħtu u flessibbli għall-awtentikazzjoni tal-utent fis-sistema kollha. Kull librerija ta' funzjonijiet li tintbagħat mal-PAM tista' tintuża minn applikazzjoni biex titlob li utent jiġi awtentikat.
Dan jippermetti lil amministratur tas-sistema Linux jiddefinixxi kif l-applikazzjonijiet jawtentikaw lill-utenti. Huwa b'saħħtu, madankollu, u ta 'sfida ħafna biex tifhem, titgħallem u tuża.
3. Firewall ibbażat fuq Server/Host
Linux vapuri bis-subsistema Netfilter li toffri funzjonalitajiet ta 'filtrazzjoni ta' pakketti, kull tip ta 'indirizz tan-netwerk u traduzzjoni tal-port, saffi multipli ta' APIs għal estensjonijiet ta 'partijiet terzi, u aktar.
Is-soluzzjonijiet moderni kollha tal-firewall tal-Linux bħal firewalld, nftables (is-suċċessur tal-iptables), u aktar, uża din is-subsistema għall-filtrazzjoni tal-pakketti biex tgħin tirregola, u tipproteġi, u timblokka t-traffiku tan-netwerk li jidħol jew joħroġ minn sistema Linux.
4. Linux SELinux
Proġett żviluppat oriġinarjament mill-Aġenzija tas-Sigurtà Nazzjonali (NSA) tal-Istati Uniti, Secure Enhanced Linux (jew SELinux fil-qosor) huwa karatteristika avvanzata tas-sigurtà tal-Linux.
Hija arkitettura tas-sigurtà integrata fil-kernel tal-Linux bl-użu tal-Linux Security Modules (LSM). Jissupplimenta l-mudell tradizzjonali tal-kontroll tal-aċċess diskrezzjonali (DAC) Linux billi jipprovdi kontroll tal-aċċess mandatorju (MAC).
Jiddefinixxi d-drittijiet ta 'aċċess u tranżizzjoni ta' kull utent, applikazzjoni, proċess, u fajl fis-sistema; tirregola l-interazzjonijiet ta’ dawn l-entitajiet bl-użu ta’ politika ta’ sigurtà li tispeċifika kemm għandha tkun stretta jew klementi installazzjoni partikolari ta’ sistema Linux.
SELinux jiġi installat minn qabel fuq il-biċċa l-kbira jekk mhux id-distribuzzjonijiet kollha bbażati fuq RHEL bħal Fedora, CentOS-stream, Rocky Linux, AlmaLinux, eċċ.
5. AppArmor
Simili għal SELinux, AppArmor huwa wkoll modulu tas-sigurtà tal-Kontroll tal-Aċċess Mandatorju (MAC) li jipprovdi sistema tas-sigurtà tal-applikazzjoni tal-Linux effettiva u faċli biex tintuża. Ħafna distribuzzjonijiet Linux bħal Debian, Ubuntu, u openSUSE jiġu mal-AppArmor installat.
Id-differenza ewlenija bejn AppArmor u SELinux hija li hija bbażata fuq il-mogħdija, tippermetti t-taħlit tal-profili tal-modalità tal-infurzar u l-ilment. Jimpjega wkoll \inkludi fajls biex jiffaċilita l-iżvilupp, minbarra li għandu ostaklu ferm aktar baxx għad-dħul.
6. Fail2ban
tentattivi ta' login fallew u aktar, u jaġġorna r-regoli tal-firewall biex jipprojbixxi tali indirizz IP għal żmien speċifikat.
7. ModSecurity Web Application Firewall (WAF)
Żviluppat minn SpiderLabs ta' Trustwave, ModSecurity hija magna WAF b'xejn u open-source, qawwija u b'ħafna pjattaformi. Jaħdem mas-servers tal-web Apache, NGINX u IIS. Jista 'jgħin lill-amministraturi tas-sistema u lill-iżviluppaturi tal-applikazzjonijiet tal-web billi jipprovdi sigurtà adegwata kontra firxa ta' attakki, pereżempju, injezzjonijiet SQL. Jappoġġja l-iffiltrar u l-monitoraġġ tat-traffiku HTTP, il-qtugħ, u l-analiżi f'ħin reali.
Għal aktar informazzjoni, iċċekkja:
- Kif tinstalla ModSecurity għal Nginx fuq Debian/Ubuntu
- Kif Twaqqaf ModSecurity b'Apache fuq Debian/Ubuntu
8. Żkuk tas-Sigurtà
Ir-reġistri tas-sigurtà jgħinu biex iżżomm kont tal-avvenimenti speċifikament relatati mas-sigurtà u s-sikurezza tal-infrastruttura tal-IT kollha tiegħek jew sistema Linux waħda. Dawn l-avvenimenti jinkludu tentattivi ta 'suċċess u falluti biex jaċċessaw server, applikazzjonijiet, u aktar, attivazzjoni ta' IDS, twissijiet attivati, u ħafna aktar.
Bħala amministratur tas-sistema, għandek bżonn tidentifika għodod effettivi u effiċjenti ta' ġestjoni taz-zkuk u ssostni l-aħjar prattiki ta' ġestjoni ta' log tas-sigurtà.
9. OpenSSH
OpenSSH huwa l-għodda ewlenija ta' konnettività għal login mill-bogħod bil-protokoll tan-netwerk SSH. Jippermetti komunikazzjoni sigura bejn il-kompjuters billi jikkripta t-traffiku bejniethom u b'hekk tkeċċi attivitajiet malizzjużi miċ-ċiberkriminali.
Hawn huma xi gwidi utli biex jgħinuk tiżgura s-server OpenSSH tiegħek:
- Kif Tiżgura u Tibbies OpenSSH Server
- 5 L-Aħjar Prattiċi ta' Sigurtà OpenSSH Server
- Kif Issettja l-Login SSH mingħajr Password fil-Linux
10. OpenSSL
OpenSSL hija librerija tal-kriptografija popolari u għal skopijiet ġenerali, li hija disponibbli bħala għodda tal-linja tal-kmand li timplimenta l-protokolli tan-netwerk tas-Secure Sockets Layer (SSL v2/v3) u s-Sigurtà tas-Saff tat-Trasport (TLS v1) u l-istandards tal-kriptografija relatati meħtieġa minnhom.
Huwa komunement użat biex jiġġenera ċwievet privati, joħloq CSRs (Talbiet għall-Ffirmar taċ-Ċertifikati), tinstalla ċ-ċertifikat SSL/TLS tiegħek, tara l-informazzjoni taċ-ċertifikat, u ħafna aktar.
11. Sistema ta 'Sejbien ta' Intrużjoni (IDS)
IDS huwa apparat jew softwer ta' monitoraġġ li jiskopri attivitajiet suspettużi jew ksur tal-politika u jiġġenera twissijiet meta jiġu skoperti abbażi ta' dawn it-twissijiet, bħala amministratur tas-sistema jew analista tas-sigurtà, jew kwalunkwe persunal ikkonċernat, tista' tinvestiga l-kwistjoni u tieħu l-azzjonijiet xierqa biex tirrimedja t-theddida.
Hemm l-aktar żewġ tipi ta 'IDS: IDS ibbażati fuq il-host li skjerati biex jimmonitorjaw sistema waħda u IDS ibbażati fuq in-netwerk li huwa skjerat biex jimmonitorja netwerk kollu.
Hemm bosta IDS ibbażati fuq softwer għal Linux bħal AIDE, u oħrajn.
12. Għodod ta 'Monitoraġġ tal-Linux
Biex tiżgura d-disponibbiltà tad-diversi sistema, servizzi u applikazzjonijiet fi ħdan l-infrastruttura tal-IT tal-organizzazzjoni tiegħek, trid iżżomm għajnejk fuq dawn l-entitajiet f’ħin reali.
U l-aħjar mod biex jinkiseb dan huwa permezz ta 'Icinga 2, u aktar.
13. Linux VPN Għodod
VPN (qosor għal Netwerk Privat Virtwali) huwa mekkaniżmu għall-kriptaġġ tat-traffiku tiegħek fuq netwerks mhux siguri bħall-internet. Jipprovdi konnessjoni tal-internet sigura man-netwerk tal-organizzazzjoni tiegħek fuq l-internet pubbliku.
Iċċekkja din il-gwida biex twaqqaf malajr VPN fis-sħaba: Kif Oħloq is-Server VPN IPsec Tiegħek stess fil-Linux
14. Għodod ta' Backup u Restore tas-Sistema u tad-Data
Il-backup tad-dejta jiżgura li l-organizzazzjoni tiegħek ma titlifx id-dejta kritika f'każ ta' xi avveniment mhux ippjanat. Għodod ta’ rkupru jgħinuk tirrestawra d-dejta jew is-sistemi f’punt aktar bikri fiż-żmien biex jgħinu lill-organizzazzjoni tiegħek tirkupra minn diżastru ta’ kwalunkwe kobor.
Hawn huma xi artikli utli dwar l-għodod tal-backup tal-Linux:
- 25 Utilitajiet ta' Backup Pendenti għal Sistemi Linux
- 7 Għodod tal-Aqwa Sors Miftuħ \Klonazzjoni/Backup tad-Disk għal Servers Linux
- Irrilassa-u-Irkupra – Agħmel backup u rkupra Sistema Linux
- Kif tikklona jew tagħmel backup tad-disk Linux billi tuża Clonezilla
15. Għodod tal-Encryption tad-Data Linux
Il-kriptaġġ huwa teknika ta' sigurtà ewlenija fil-protezzjoni tad-dejta li tiżgura li l-partijiet awtorizzati biss ikollhom aċċess għall-informazzjoni li tkun maħżuna jew fi transitu. Issib numru kbir ta 'għodod ta' kriptaġġ tad-dejta hemmhekk għal sistemi Linux li tista 'tisfrutta għas-sigurtà.
16. Lynis – Għodda tal-Awditjar tas-Sigurtà
Lynis hija għodda ta' verifika u skanjar u valutazzjoni tal-vulnerabbiltà b'xejn, ta' sors miftuħ, flessibbli u popolari. Hija taħdem fuq sistemi Linux u sistemi operattivi oħra bħal Unix bħal Mac OS X.
17. Nmap – Skaner tan-Netwerk
Nmap (qosra għal Network Mapper) hija għodda ta' sigurtà użata ħafna, b'xejn, b'sors miftuħ u b'ħafna karatteristiċi għall-esplorazzjoni tan-netwerk jew verifika tas-sigurtà. Huwa cross-platform, għalhekk jaħdem fuq Linux, Windows, u Mac OS X.
18. Wireshark
Wireshark huwa analizzatur tal-pakketti tan-netwerk b'saħħtu u b'saħħtu, li jippermetti l-qbid dirett ta' pakketti li jistgħu jiġu ssejvjati għal analiżi aktar tard/offline.
Huwa wkoll cross-platform u jaħdem fuq sistemi simili Unix bħal sistemi operattivi bbażati fuq Linux, Mac OSX, u wkoll Windows.
19. Nikto
Nikto huwa skaner tal-web b'saħħtu u open-source li jiskenja websajt/applikazzjoni, host virtwali, u web server għal vulnerabbiltajiet magħrufa u konfigurazzjoni ħażina.
Jipprova jidentifika s-servers tal-web installati u s-softwer qabel ma jwettaq xi testijiet.
20. Aġġornament tal-Linux
Fl-aħħar iżda mhux l-inqas, bħala amministratur tas-sistema, għandek twettaq aġġornamenti regolari tas-softwer sa mis-sistema operattiva għal pakketti u applikazzjonijiet installati, biex tiżgura li jkollok l-aħħar soluzzjonijiet ta’ sigurtà f’posthom.
$ sudo apt update [On Debian, Ubuntu and Mint] $ sudo yum update [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux] $ sudo emerge --sync [On Gentoo Linux] sudo pacman -Syu [On Arch Linux] $ sudo zypper update [On OpenSUSE]
Dak kollu li kellna għalik. Din il-lista hija iqsar milli suppost. Jekk taħseb hekk, aqsam magħna aktar għodod li jixirqilhom li jkunu magħrufa mill-qarrejja tagħna permezz tal-formola ta 'feedback hawn taħt.