Rumah > Artikel > Tutorial sistem > 6 cara untuk mengeraskan keselamatan stesen kerja Linux anda
Pengenalan | Seperti yang saya katakan sebelum ini, keselamatan adalah seperti memandu di lebuh raya - sesiapa yang memandu lebih perlahan daripada anda adalah bodoh, dan sesiapa yang memandu lebih laju daripada anda adalah gila. Garis panduan yang dibentangkan dalam artikel ini hanyalah set asas peraturan keselamatan teras Ia tidak menyeluruh dan tidak menggantikan pengalaman, berhati-hati dan akal sehat. Anda harus melaraskan sedikit cadangan ini agar sesuai dengan konteks organisasi anda. |
Bagi setiap pentadbir sistem, berikut adalah beberapa langkah perlu yang perlu diambil:
Selain itu, anda juga harus mempertimbangkan beberapa langkah terbaik yang perlu diambil untuk mengeraskan lagi sistem anda:
1. Senarai hitamkan modul berkaitan
Untuk menyenaraihitamkan modul Firewire dan Thunderbolt, tambahkan baris berikut pada fail dalam /etc/modprobe.d/blacklist-dma.conf:
blacklist firewire-core blacklist thunderbolt
Setelah sistem dimulakan semula, modul di atas akan disenaraihitamkan. Walaupun anda tidak mempunyai port ini, tidak ada salahnya melakukan ini.
2. e-mel akarSecara lalai, e-mel akar disimpan sepenuhnya pada sistem dan selalunya tidak pernah dibaca. Pastikan anda menyediakan /etc/aliases untuk memajukan e-mel akar ke peti mel yang sebenarnya anda baca, jika tidak, anda berisiko kehilangan pemberitahuan dan laporan sistem penting:
# Person who should get root’s mail root: [email protected]
Selepas mengedit ini, jalankan newaliases dan ujinya untuk memastikan e-mel itu benar-benar dihantar, kerana sesetengah penyedia e-mel akan menolak e-mel daripada domain yang tidak wujud atau tidak boleh dihalakan. Jika ini berlaku, anda perlu melaraskan konfigurasi pemajuan mel anda sehingga ini benar-benar berfungsi.
3. Firewall, sshd dan daemon mendengarTetapan tembok api lalai akan bergantung pada pengedaran anda, tetapi banyak yang membenarkan port sshd masuk. Melainkan anda mempunyai alasan yang baik dan sah untuk membenarkan ssh masuk, ini harus ditapis keluar dan daemon sshd dilumpuhkan.
systemctl disable sshd.service systemctl stop sshd.service
Anda sentiasa boleh mengaktifkannya buat sementara waktu jika anda perlu menggunakannya.
Secara umumnya, sistem anda tidak sepatutnya mempunyai sebarang port pendengaran selain daripada bertindak balas kepada ping. Ini akan membantu anda melindungi daripada kerentanan sifar hari di peringkat rangkaian.
4. Kemas kini automatik atau pemberitahuanAdalah disyorkan untuk menghidupkan kemas kini automatik melainkan anda mempunyai sebab yang kukuh untuk tidak berbuat demikian, seperti bimbang bahawa kemas kini automatik akan menyebabkan sistem anda tidak dapat digunakan (ini telah berlaku sebelum ini, jadi kebimbangan ini tidak berasas). Sekurang-kurangnya, anda harus mendayakan pemberitahuan automatik kemas kini yang tersedia. Kebanyakan pengedaran sudah mempunyai perkhidmatan ini berjalan secara automatik untuk anda, jadi kemungkinan besar anda tidak perlu melakukan apa-apa. Semak dokumentasi pengedaran anda untuk mengetahui lebih lanjut.
5. Lihat logAnda harus memerhatikan semua aktiviti yang berlaku pada sistem anda. Atas sebab ini, jam tangan log harus dipasang dan dikonfigurasikan untuk menghantar laporan aktiviti setiap malam yang menunjukkan semua yang berlaku pada sistem. Ini tidak akan melindungi daripada penyerang berdedikasi, tetapi ini adalah ciri jaringan keselamatan yang baik yang perlu digunakan.
Sila ambil perhatian: banyak pengedaran systemd tidak lagi memasang pelayan syslog yang diperlukan oleh logwatch secara automatik (itu disebabkan systemd bergantung pada pengelogannya sendiri), jadi anda perlu memasang dan mendayakan rsyslog dan pastikan /var/log tidak kosong sebelum logwatch mempunyai sebarang kegunaan.
6. rkhunter dan IDSMelainkan anda benar-benar memahami cara ia berfungsi dan telah mengambil langkah yang perlu untuk menyediakannya dengan betul (seperti meletakkan pangkalan data pada media luaran, menjalankan semakan daripada persekitaran yang dipercayai, mengingati untuk mengemas kini pangkalan data cincang selepas melakukan kemas kini sistem dan perubahan konfigurasi, dll. dsb.), jika tidak, ia tidak begitu berguna untuk memasang rkhunter dan sistem pengesanan pencerobohan (IDS) seperti pembantu atau tripwire. Jika anda tidak bersedia untuk mengambil langkah ini dan melaraskan cara anda melaksanakan tugas di stesen kerja anda, alatan ini hanya akan menyebabkan masalah tanpa sebarang faedah keselamatan sebenar.
Kami mengesyorkan anda memasang rkhunter dan menjalankannya pada waktu malam. Ia agak mudah untuk dipelajari dan digunakan; walaupun ia tidak akan menangkap penyerang yang bijak, ia boleh membantu anda mengesan kesilapan anda sendiri.
Tajuk asal: 9 Cara Mengeraskan Stesen Kerja Linux Anda Selepas Pemasangan Distro, pengarang: Konstantin Ryabitsev
Atas ialah kandungan terperinci 6 cara untuk mengeraskan keselamatan stesen kerja Linux anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!