6 Möglichkeiten, die Sicherheit Ihrer Linux-Workstation zu erhöhen

Einführung

Wie ich bereits sagte, ist Sicherheit wie das Fahren auf der Autobahn – jeder, der langsamer fährt als man, ist ein Idiot, und jeder, der schneller fährt als man, ist ein Wahnsinniger. Die in diesem Artikel vorgestellten Richtlinien stellen lediglich grundlegende Sicherheitsregeln dar. Sie erheben keinen Anspruch auf Vollständigkeit und ersetzen nicht Erfahrung, Vorsicht und gesunden Menschenverstand. Sie sollten diese Vorschläge leicht anpassen, um sie an den Kontext Ihrer Organisation anzupassen.

Für jeden Systemadministrator sind hier einige notwendige Schritte, die unternommen werden sollten:

• 1. Deaktivieren Sie immer Firewire- und Thunderbolt-Module.
• 2. Überprüfen Sie die Firewall, um sicherzustellen, dass alle eingehenden Ports gefiltert wurden.
• 3. Stellen Sie sicher, dass die Root-E-Mail an das von Ihnen bestätigte Konto weitergeleitet wird.
• 4. Richten Sie einen automatischen Update-Zeitplan für das Betriebssystem ein oder aktualisieren Sie den Erinnerungsinhalt.

Darüber hinaus sollten Sie einige der besten Schritte zur weiteren Absicherung Ihres Systems in Betracht ziehen:

• 1. Stellen Sie sicher, dass der SSHD-Dienst standardmäßig deaktiviert ist.
• 2. Stellen Sie den Bildschirmschoner so ein, dass er nach einer gewissen Zeit der Inaktivität automatisch gesperrt wird.
• 3. Installieren Sie Logwatch.
• 4. Installieren und verwenden Sie rkhunter
• 5. Installieren Sie ein Einbruchmeldesystem

1. Relevante Module auf die schwarze Liste setzen

Um Firewire- und Thunderbolt-Module auf die schwarze Liste zu setzen, fügen Sie der Datei in /etc/modprobe.d/blacklist-dma.conf die folgenden Zeilen hinzu:

blacklist firewire-core
blacklist thunderbolt

Sobald das System neu startet, werden die oben genannten Module auf die schwarze Liste gesetzt. Auch wenn Sie nicht über diese Ports verfügen, kann dies nicht schaden.

2. Root-E-Mail

Standardmäßig bleiben Root-E-Mails vollständig im System und werden oft nie gelesen. Stellen Sie sicher, dass Sie /etc/aliases so einrichten, dass Root-E-Mails an das Postfach weitergeleitet werden, das Sie tatsächlich lesen. Andernfalls besteht die Gefahr, dass Sie wichtige Systembenachrichtigungen und -berichte verpassen:

# Person who should get root’s mail
root:           [email protected]

Führen Sie nach der Bearbeitung newaliases aus und testen Sie es, um sicherzustellen, dass die E-Mail tatsächlich zugestellt wird, da einige E-Mail-Anbieter E-Mails von Domänen ablehnen, die nicht existieren oder nicht weitergeleitet werden können. In diesem Fall müssen Sie Ihre E-Mail-Weiterleitungskonfiguration anpassen, bis dies tatsächlich funktioniert.

3. Firewall, SSHD und Listening-Daemon

Die Standard-Firewall-Einstellungen hängen von Ihrer Distribution ab, aber viele erlauben eingehende SSHD-Ports. Sofern Sie keinen guten und triftigen Grund haben, eingehendes SSH zuzulassen, sollte dies herausgefiltert und der SSHD-Daemon deaktiviert werden.

systemctl disable sshd.service
systemctl stop sshd.service

Sie können es jederzeit vorübergehend aktivieren, wenn Sie es benötigen.

Im Allgemeinen sollte Ihr System keine anderen Überwachungsports haben als die, die auf Pings reagieren. Dies hilft Ihnen, sich auf Netzwerkebene vor Zero-Day-Schwachstellen zu schützen.

4. Automatische Updates oder Benachrichtigungen

Es wird empfohlen, automatische Updates zu aktivieren, es sei denn, Sie haben einen sehr guten Grund, dies nicht zu tun, z. B. wenn Sie befürchten, dass automatische Updates Ihr System unbrauchbar machen (dies ist schon einmal vorgekommen, daher ist diese Sorge nicht unbegründet). Zumindest sollten Sie die automatische Benachrichtigung über verfügbare Updates aktivieren. Bei den meisten Distributionen wird dieser Dienst bereits automatisch für Sie ausgeführt, sodass Sie höchstwahrscheinlich nichts tun müssen. Weitere Informationen finden Sie in der Dokumentation Ihrer Distribution.

5. Protokoll anzeigen

Sie sollten alle Aktivitäten auf Ihrem System genau im Auge behalten. Aus diesem Grund sollte Logwatch so installiert und konfiguriert sein, dass es nächtliche Aktivitätsberichte sendet, die alle auf dem System stattfindenden Aktivitäten anzeigen. Dies bietet keinen Schutz vor gezielten Angreifern, ist aber eine gute Sicherheitsnetzfunktion, die eingesetzt werden muss.

Bitte beachten Sie: Viele Systemd-Distributionen installieren den von Logwatch benötigten Syslog-Server nicht mehr automatisch (das liegt daran, dass Systemd auf seine eigene Protokollierung angewiesen ist). Daher müssen Sie rsyslog installieren und aktivieren und sicherstellen, dass /var/log vor Logwatch nicht leer ist hat irgendeinen Nutzen.

6. rkhunter und IDS

Es sei denn, Sie verstehen wirklich, wie es funktioniert, und haben die notwendigen Schritte unternommen, um es ordnungsgemäß einzurichten (z. B. das Platzieren der Datenbank auf externen Medien, das Ausführen von Prüfungen in einer vertrauenswürdigen Umgebung, das Vergessen, die Hash-Datenbank nach der Durchführung von Systemaktualisierungen und Konfigurationsänderungen zu aktualisieren, usw. usw.), andernfalls ist es nicht sehr sinnvoll, rkhunter und ein Intrusion Detection System (IDS) wie Aide oder Tripwire zu installieren. Wenn Sie nicht bereit sind, diese Schritte zu unternehmen und die Art und Weise, wie Sie Aufgaben auf Ihrer Workstation ausführen, anzupassen, werden diese Tools nur Probleme verursachen, ohne dass sich die Sicherheit wirklich verbessert.

Wir empfehlen Ihnen, rkhunter zu installieren und nachts auszuführen. Es ist ziemlich einfach zu erlernen und zu verwenden; auch wenn es keine cleveren Angreifer fängt, kann es Ihnen helfen, Ihre eigenen Fehler zu erkennen.

Originaltitel: 9 Ways to Harden Your Linux Workstation After Distro Installation, Autor: Konstantin Ryabitsev

Das obige ist der detaillierte Inhalt von6 Möglichkeiten, die Sicherheit Ihrer Linux-Workstation zu erhöhen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!