Linux ワークステーションのセキュリティを強化する 6 つの方法

＃＃＃導入＃＃＃ 前にも言ったように、安全とは高速道路での運転のようなものです。自分より遅い運転をする人はバカであり、自分より速く運転する人は狂人です。この記事で紹介するガイドラインは、中核となる安全規則の基本的なセットにすぎず、包括的なものではなく、経験、注意、常識に代わるものではありません。組織のコンテキストに合わせて、これらの提案を若干調整する必要があります。 すべてのシステム管理者が実行すべき必要な手順をいくつか示します:

1. Firewire および Thunderbolt モジュールは常に無効にしてください。

• 2. ファイアウォールをチェックして、すべての受信ポートがフィルタリングされていることを確認します。
• 3. ルートメールが確認したアカウントに転送されていることを確認してください。
• 4. オペレーティング システムの自動更新スケジュールを設定するか、リマインダー コンテンツを更新します。
さらに、システムをさらに強化するには、次の最良の手順のいくつかも考慮する必要があります。

1. sshd サービスがデフォルトで無効になっていることを確認します。

2. 一定期間操作が行われないと自動的にロックされるようにスクリーン セーバーを設定します。
3. ログウォッチをインストールします。
4.rkhunter をインストールして使用する
5. 侵入検知システムをインストールする

1.関連モジュールをブラックリストに追加します

Firewire および Thunderbolt モジュールをブラックリストに登録するには、/etc/modprobe.d/blacklist-dma.conf のファイルに次の行を追加します。 リーリー システムが再起動されると、上記のモジュールはブラックリストに登録されます。これらのポートがない場合でも、これを実行しても問題はありません。

2.ルートメール

デフォルトでは、ルートメールは完全にシステムに保存され、多くの場合読まれることはありません。実際に読み取るメールボックスにルート メールを転送するように /etc/aliases を設定してください。そうしないと、重要なシステム通知やレポートを見逃す危険があります。 リーリー

これを編集した後、newaliases を実行してテストして、電子メールが実際に配信されたことを確認します。一部の電子メール プロバイダーは、存在しないドメイン名またはルーティングできないドメイン名からの電子メールを拒否します。この場合、実際に機能するまでメール転送設定を調整する必要があります。 3. ファイアウォール、sshd、リスニング デーモン

デフォルトのファイアウォール設定はディストリビューションによって異なりますが、多くの場合、受信 sshd ポートが許可されます。受信 ssh を許可する正当な理由がない限り、これをフィルタリングして除外し、sshd デーモンを無効にする必要があります。

リーリー

使用する必要がある場合は、いつでも一時的に有効にすることができます。 一般的に、システムには ping に応答する以外にリスニング ポートを含めるべきではありません。これは、ネットワーク レベルでゼロデイ脆弱性から保護するのに役立ちます。

4. 自動更新または通知

自動更新によってシステムが使用できなくなるのではないかと心配するなど、そうしない正当な理由がない限り、自動更新を有効にすることをお勧めします (以前にもこのようなことがあったため、この心配は杞憂ではありません)。少なくとも、利用可能なアップデートの自動通知を有効にする必要があります。ほとんどのディストリビューションでは、このサービスがすでに自動的に実行されているため、おそらく何もする必要はありません。詳細については、ディストリビューションのドキュメントを確認してください。

5. ログを表示する システム上で発生するすべてのアクティビティに細心の注意を払う必要があります。このため、システム上で起こっているすべてのことを示すアクティビティ レポートを毎晩送信するように、logwatch をインストールして構成する必要があります。これは専用の攻撃者から保護することはできませんが、導入する必要がある優れたセーフティ ネット機能です。

注意: 多くの systemd ディストリビューションでは、logwatch に必要な syslog サーバーが自動的にインストールされなくなりました (systemd が独自のログに依存しているため)。そのため、rsyslog をインストールして有効にし、/var/log が使用できないことを確認する必要があります。 logwatch が空になる前に。 6.rkhunter と IDS

それがどのように機能するかを実際に理解し、適切にセットアップするために必要な手順 (データベースを外部メディアに配置する、信頼できる環境からチェックを実行する、システム更新と実行後にハッシュ データベースを忘れずに更新するなど) を講じていない限り、設定変更など）、そうでない場合は、rkhunter や aide や Tripwire などの侵入検知システム (IDS) をインストールしてもあまり役に立ちません。これらの手順を実行したり、ワークステーションでのタスクの実行方法を調整したくない場合、これらのツールは実際のセキュリティ上の利点がなく、問題を引き起こすだけです。

rkhunter をインストールし、夜間に実行することをお勧めします。習得と使用は非常に簡単で、賢い攻撃者を捕まえることはできませんが、自分の間違いを見つけるのには役立ちます。 原題: 9 Ways to Harden Your Linux Workstation After Distro Installation、著者: Konstantin Ryabitsev

以上がLinux ワークステーションのセキュリティを強化する 6 つの方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。