Endurecimento do servidor Linux

Hoje, para plataformas de computação, o acesso e a abertura são necessários para comunicações pela Web e para equipes de gerenciamento de TI econômicas.

Essa é uma ótima idéia para medidas abrangentes em um mundo repleto de malware, ameaças de hackers e possíveis ladrões de dados.

A maioria das organizações adotará um layout de estratégia de segurança que fornece uma variedade de ferramentas de segurança para sua infraestrutura de TI: firewalls, sandboxes, IPS e IDS, antivírus, mas os ambientes de computação mais seguros têm um estado de segurança “seguro”. ,

Se os dados não precisarem ser armazenados em um servidor da Web Linux público, exclua-os completamente – se não houver dados, eles não poderão ser comprometidos.

Se um usuário não tiver acesso à rede, por exemplo, onde seu servidor Ubuntu estiver indisponível, você não precisa fazer isso – ele precisa acessar os dados para interrompê-los em algum lugar próximo. Este é o primeiro.

Se o seu servidor CentOS não precisar de FTP ou serviços da Web, desative ou exclua-os. Você pode usar o potencial para proteger suas violações.

Simplificando, você precisa fortalecer seus servidores Linux.

Política de segurança rígida do Linux

A beleza do Linux é que ele é acessível e acessível, por isso é fácil começar com um pouco de treinamento ou conhecimento. A comunidade de suporte online será a melhor de todas as tarefas de configuração do Linux ou de correção de problemas que você possa encontrar.

Encontrar e interpretar sua lista de verificação de hardware para seu host Linux pode ser uma excelente pesquisa para um servidor Linux típico.

Política de conta

  • Use o histórico de senhas – 365 dias
  • Idade máxima da senha – 42 dias
  • Senha mínima, senha – 8 caracteres
  • Complexidade de senha – Ativar
  • Duração do bloqueio de conta – 30 minutos
  • Limite de bloqueio de conta – 5 tentativas
  • Redefinir contador de bloqueio de conta – 30 minutos

Edite /etc/pam.d/common-password para definir a política de senha para seu host.

Acesso de segurança

  • Verifique se a versão 2 do SSH está em
  • Desativar o login remoto para o root
  • Apenas grupos permitidos de nome
  • Permitir acesso apenas a dispositivos válidos.
  • Limitar o número de sessões raiz simultâneas a apenas 1 ou 2

editar sshd.config definir as configurações de política SSHD para seu host e /etc/hosts.allow e /etc/hosts.deny controle de acesso. uso de / etc / securetty restringir o acesso root a tty1 ou tty1 e tty2 Somente

Apenas bota segura

Remova as opções de inicialização de um CD ou dispositivo USB para impedir que as configurações do BIOS sejam alteradas.

Proteger com senha /boot/grub/menu.lst arquivo, em seguida, excluir modo de inicialização registro

Desabilitar todos os processos, serviços e daemons desnecessários

É importante verificar quais processos e serviços seu servidor não precisa executar seus aplicativos.

Verifique seu servidor executando ps -ax Equipe e veja o que está funcionando atualmente.

E avalie o estado de lançamento de todos os processos executando chkconfig -list Comando

Desativar todos os serviços desnecessários usando nome do serviço sysv-rc-conf desativado

Restringir permissões para arquivos e pastas confidenciais somente para o root

Assegure-se de que os seguintes programas sensíveis sejam executáveis ​​somente.

  • / etc / fstab
  • / etc / passwd
  • / bin / ping
  • / usr / bin / who
  • / usr / bin / w
  • / usr / bin / locate
  • / usr / bin / whereis
  • / sbin / ifconfig
  • / bin / nano
  • / usr / bin / vi
  • / usr / bin / que
  • / usr / bin / gcc
  • / usr / bin
  • / usr / bin / apt-get
  • / usr / bin / aptitude

Verifique se as seguintes pastas estão disponíveis apenas.

  • / e assim por diante
  • / usr / etc
  • / bin
  • / usr / bin
  • / sbin
  • / usr / sbin
  • / tmp
  • / var / tmp

Desabilitar binários SUID e SGID

Identifique os arquivos SUID e SGID no sistema: (-perm -4000 -o -perm -2000) -print.

Visualize esses arquivos removendo os bits SUID ou SGID usando chmod -s nome do arquivo

Você também deve ter acesso a todos os compiladores no sistema, adicionando-os ao novo grupo “compiladores”.

  • compiladores chgrp * cc *
  • compiladores chgrp * ++ *
  • compiladores chgrp ld
  • compiladores chgrp como

Depois de adicionar ao grupo, restrinja as permissões usando compilador chmod 750

Implementando FIM regular / em tempo real para pastas e arquivos sensíveis

A integridade do arquivo deve ser monitorada para todos os arquivos e pastas para garantir que os direitos e arquivos de acesso não sejam alterados sem aprovação.

Configurar auditoria em um servidor Linux

Assegure-se de que os eventos de segurança sejam verificados e transmitidos para o seu servidor syslog ou SIEM. Alterar arquivo syslog.conf respectivamente.

Fortalecimento geral de variáveis ​​nucleares

Alterar /etc/sysctl.conf um arquivo para definir todas as variáveis ​​do kernel para proteger as configurações, a fim de evitar ataques de spoofing, flood síncrono e DOS.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *