Linux 워크스테이션 보안을 강화하는 6가지 방법

소개	전에 말했듯이 안전은 고속도로에서 운전하는 것과 같습니다. 자신보다 느리게 운전하는 사람은 바보이고, 자신보다 빨리 운전하는 사람은 미치광이입니다. 이 기사에 제시된 지침은 핵심 안전 규칙의 기본 집합일 뿐이며 포괄적이지 않으며 경험, 주의 및 상식을 대체하지 않습니다. 조직의 상황에 맞게 이러한 제안을 약간 조정해야 합니다.

모든 시스템 관리자가 수행해야 할 몇 가지 필수 단계는 다음과 같습니다.

• 1. Firewire 및 Thunderbolt 모듈을 항상 비활성화하세요.
• 2. 방화벽을 확인하여 모든 인바운드 포트가 필터링되었는지 확인하세요.
• 3. 루트 이메일이 인증한 계정으로 전달되는지 확인하세요.
• 4. 운영 체제 또는 업데이트 알림 콘텐츠에 대한 자동 업데이트 일정을 설정하세요.

또한 시스템을 더욱 강화하기 위해 취할 수 있는 최선의 조치 중 일부도 고려해야 합니다.

• 1. SSHD 서비스가 기본적으로 비활성화되어 있는지 확인하세요.
• 2. 일정 시간 동안 활동이 없으면 화면 보호기가 자동으로 잠기도록 설정하세요.
• 3.로그워치를 설치하세요.
• 4.rkhunter를 설치하고 사용하세요
• 5. 침입 감지 시스템을 설치하세요

1. 블랙리스트 관련 모듈

Firewire 및 Thunderbolt 모듈을 블랙리스트에 추가하려면 /etc/modprobe.d/blacklist-dma.conf의 파일에 다음 줄을 추가하세요.

으아악

시스템이 다시 시작되면 위 모듈이 블랙리스트에 추가됩니다. 이러한 포트가 없더라도 이렇게 해도 아무런 해가 없습니다.

2. 루트 이메일

기본적으로 루트 이메일은 시스템에 완전히 보관되며 읽혀지지 않는 경우가 많습니다. 루트 이메일을 실제로 읽은 편지함으로 전달하도록 /etc/aliases를 설정했는지 확인하십시오. 그렇지 않으면 중요한 시스템 알림 및 보고서가 누락될 위험이 있습니다.

으아악

이 항목을 편집한 후 newaliases를 실행하고 테스트하여 이메일이 실제로 전달되는지 확인하세요. 일부 이메일 제공업체는 존재하지 않거나 라우팅할 수 없는 도메인에서 보낸 이메일을 거부하기 때문입니다. 이 경우 실제로 작동할 때까지 메일 전달 구성을 조정해야 합니다.

3. 방화벽, SSHD 및 청취 데몬

기본 방화벽 설정은 배포판에 따라 다르지만 많은 방화벽이 인바운드 SSHD 포트를 허용합니다. 인바운드 SSH를 허용할 타당하고 타당한 이유가 없으면 이를 필터링하고 sshd 데몬을 비활성화해야 합니다.

으아악

사용해야 하는 경우 언제든지 일시적으로 활성화할 수 있습니다.

일반적으로 시스템에는 핑에 응답하는 것 외에는 수신 포트가 없어야 합니다. 이는 네트워크 수준에서 제로데이 취약점으로부터 보호하는 데 도움이 됩니다.

4. 자동 업데이트 또는 알림

자동 업데이트로 인해 시스템을 사용할 수 없게 될 것이라는 우려 등 타당한 이유가 없는 한 자동 업데이트를 켜는 것이 좋습니다(이전에도 이런 일이 발생했으므로 이러한 걱정은 근거가 없습니다). 최소한 사용 가능한 업데이트에 대한 자동 알림을 활성화해야 합니다. 대부분의 배포판에는 이미 이 서비스가 자동으로 실행되어 있으므로 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 배포판 설명서를 확인하세요.

5. 로그 보기

시스템에서 일어나는 모든 활동을 주의 깊게 관찰해야 합니다. 이러한 이유로 시스템에서 발생하는 모든 활동을 나타내는 야간 활동 보고서를 보내도록 Logwatch를 설치하고 구성해야 합니다. 이는 전담 공격자로부터 보호할 수는 없지만 배포해야 하는 좋은 안전망 기능입니다.

참고: 많은 systemd 배포판은 더 이상 logwatch에 필요한 syslog 서버를 자동으로 설치하지 않습니다(이는 systemd가 자체 로깅에 의존하기 때문입니다). 따라서 rsyslog를 설치 및 활성화하고 logwatch 전에 /var/log가 비어 있지 않은지 확인해야 합니다. 어떤 용도로든 사용됩니다.

6. rkhunter와 IDS

실제로 작동 방식을 이해하고 올바르게 설정하기 위해 필요한 단계를 수행하지 않은 경우(예: 외부 미디어에 데이터베이스 배치, 신뢰할 수 있는 환경에서 검사 실행, 시스템 업데이트 및 구성 변경을 수행한 후 해시 데이터베이스 업데이트 기억, 등), 그렇지 않으면 rkhunter 및 보좌관이나 트립와이어와 같은 침입 탐지 시스템(IDS)을 설치하는 것이 별로 유용하지 않습니다. 이러한 단계를 수행하고 워크스테이션에서 작업을 수행하는 방식을 조정할 의향이 없다면 이러한 도구는 실질적인 보안 이점 없이 문제만 일으킬 뿐입니다.

rkhunter를 설치하고 밤에 실행하는 것이 좋습니다. 배우고 사용하는 것은 매우 쉽습니다. 영리한 공격자를 잡을 수는 없지만 자신의 실수를 발견하는 데 도움이 될 수 있습니다.

원제: Distro 설치 후 Linux 워크스테이션을 강화하는 9가지 방법, 저자: Konstantin Ryabitsev

위 내용은 Linux 워크스테이션 보안을 강화하는 6가지 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!