Вы, наверное, слышали, как любое количество поклонников Linux заявляет, что операционная система с открытым исходным кодом является наиболее безопасной на планете — и, возможно, вселенной и в течение всего времени (прошлое, настоящее и будущее).
Я скажу это: хотя Linux — самая безопасная крупная операционная система на рынке, это не означает, что это непроницаемая крепость.
Мне нравится смотреть на это так: если компьютер подключен к сети, он уязвим. Там на самом деле невозможно обойти это, потому что до тех пор, пока есть хакеры, они найдут способы обойти вещи. И с квантовыми вычислениями на горизонте невозможно сказать, сможет ли какая -либо ОС когда -нибудь претендовать на корону безопасности.
К счастью, есть некоторые вещи, которые вы можете сделать с любым дистрибуцией Linux, чтобы сделать его более безопасным. И хотя этот список может показаться немного простым для некоторых, когда вы собираете все это в целом, он работает и работает хорошо.
С учетом сказанного, давайте перейдем к шагам.
Шаг 1: Обновление, обновление, обновление
Я не могу заявить о важности этого. Ты должен регулярно обновлять. Я проверяю обновления ежедневно и, как правило, удивляюсь, что есть что -то доступное почти каждый раз. Я иду на один шаг вперед и создаю псевдоним для процесса обновления, поэтому я могу запустить одну команду, которая обновляет APT, проверяет обновления, применяет обновления, а затем очищается после себя.
Причина, по которой я такой стимул обновления, заключается в том, что обновления почти всегда включают исправления ошибок и исправления безопасности. Из -за этого я всегда хочу, чтобы мои развертывания Linux были как можно более актуальными.
Помните, что псевдоним, который я упомянул? Я добавляю его в свой файл ~/.bash_aliases, и он выглядит так:
Alias update = «Sudo apt-get update & amp; & amp; sudo apt-get upport -y & amp; & amp; sudo apt-get autoremove -y» 1 valie update = «sudo apt-get update & amp;
С этим все, что мне нужно сделать, это тип обновлять В приглашении Bash и нажмите Enter на моей клавиатуре.
Не сутуется на обновления.
Выше вы видите, как обновлять распределения на основе Debian. Если вы используете распределение на основе Fedora, команда:
Обновление Sudo DNF 1 обновление Sudo DNF
Если вы используете распределение на основе арки, команда:
Sudo Pacman -Syu 1 Sudo Pacman -Syu
Шаг 2: Включите и настройте брандмауэр
Вы можете быть удивлены, обнаружив, что брандмауэр вашего распределения отключено по умолчанию. Это означает, что любой трафик может войти и покинуть вашу машину. Вы, вероятно, этого не хотите (особенно, если вы находитесь в занятой рабочей сети). Вы не только хотите включить брандмауэр, но и вы хотите настроить его, чтобы конкретный трафик (например, SSH) мог безопасно войти.
Вы не должны запускать свою систему с отключенным брандмауэром.
Чтобы включить брандмауэр на Ubuntu, команда:
sudo ufw включить 1 sudo ufw включить
Затем вы можете включить SSH -трафик через брандмауэр с командой:
Sudo UFW разрешить ssh 1 sudo ufw разрешить ssh
Если вы используете нестандартный порт для SSH, вы можете пропустить его так:
Sudo UFW разрешить 2222 / tcp 1 sudo ufw разрешить 2222 / tcp
Если вы находитесь в распределении на основе Fedora, позвольте брандмауэру с помощью Sudo с:
Sudo SystemCtl включить -Now FireWalld 1 Sudo SystemCtl Включение
Чтобы пропустить трафик SSH через этот брандмауэр, команда будет:
Sudo Firewall-Cmd-Permanent-Add-Service = SSH 1 Sudo Firewall-Cmd-Permanent-Add-Service = SSH
Вы можете разрешить любое движение, которое вам нужно через брандмауэр, просто держите его до минимума, чтобы оставаться в безопасности.
Шаг 3: Безопасный доступ SSH
Говоря о SSH, хотя он обладает достойным уровнем безопасности из коробки, есть вещи, которые вы можете сделать, чтобы улучшить ее. Например, вы можете редактировать файл/etc/ssh/sshd_config и внести следующие изменения:
- Изменить порт по умолчанию (например, с 22 до 2222)
- Установите «Разрешение
- Убедиться
Обязательно перезапустите службу SSH после внесения изменений со следующими командами:
- Распределения на основе Debian: Sudo SystemCtl перезапустить SSH
- Распределения на основе федоры: Sudo SystemCtl перезапустить SSHD
Вы также должны убедиться, что внедрили аутентификацию ключей SSH. Если вы хотите пойти дальше с этим, вы можете добавить 2FA для доступа SSH и даже добавить Fail2ban, чтобы заблокировать нежелательные соединения SSH.
Шаг 4: Реализуйте политики прочных паролей
Этот почти всегда проскальзывает на обочине. Если вы единственный, кто когда -либо входит в систему, вам не нужно беспокоиться об этом (кроме всегда использования сильных паролей). Если у вас есть несколько пользователей, которые входят в систему, вы захотите не только обеспечить сильные пароли, но и регулярные изменения пароля.
Например, вы можете заставить регулярное изменение пароля с помощью возраст командовать так:
Sudo chage -e 30 leigh 1 sudo chage -e 30 leigh
Приведенная выше команда истекает к паролю каждые 30 дней для пользователя Leigh.
Вы также можете обеспечить соблюдение политик пароля (что немного сложнее). Для этого сначала установите инструмент Libpam-Pwquality. Если он еще не установлен в вашей системе, вы можете установить его из стандартного репозитория, как это:
sudo apt-get установить libpam-pwquatals libpwquality1 -y 1 sudo apt-get установить libpam-pwquarte libpwquality1 -y
или
Sudo dnf установить libpwquality -y 1 sudo dnf установить libpwquality -y
После установки откройте необходимый файл конфигурации для редактирования с помощью команды:
- На распределении на основе Ubuntu: sudo nano /etc/pam.d/common-password
- На распределении на основе Fedora: Sudo Nano /etc/pam.d/system-uth
Найдите линию:
пароль требуется pam_pwquality.so retry = 3 1 пароль
Давайте создадим политику со следующими требованиями:
- Минимальная длина = 8
- maxrepeat = 3
- ucredit = по крайней мере одна буква прописного
- lcredit = по крайней мере одна строчная буква
- dcredit = по крайней мере один числовой символ
- ocredit = по крайней мере один специальный персонаж
- Difok = не менее 4 изменений между старым и новым паролем
- deact_username включено
- eRection_for_root включен
Для этого замените пароль требуется pam_pwquality.so retry = 3 строить следующее:
пароль requisite pam_pwquality.so retry = 3 minlen = 8 maxrepeat = 3 ucredit = -1 lcredit = -1 dcredit = -1 ocredit = -1 difok = 4 deace_usernam lcredit = -1 dcredit = -1 ocredit = -1 difok = 4 decuce_username inforce_for_root
Если вы попытаетесь либо создать нового пользователя, либо изменить пароль пользователя, новая политика будет выполнена.
Шаг 5: Включить автоматические обновления безопасности
Вы можете (и должны) также включить автоматические обновления безопасности. Делая это, вы можете быть уверены, что все обновления, которые относятся к безопасности, будут автоматически установлены в фоновом режиме и регулярно.
В распределениях на основе Ubuntu автоматические обновления могут быть включены в приложение Software & Updates на вкладке «Обновления». Выберите ежедневно в раскрывающемся списке «Автоматическая проверка для обновлений», а затем выберите «Загрузить и установить и установить» в раскрывающемся списке «Когда есть обновления безопасности» (рисунок 1).
Рисунок 1: Включение автоматических обновлений на POP! _OS Linux (которое основано на Ubuntu).
С Fedora вы должны предпринять несколько дополнительных шагов. Во -первых, вы должны установить приложение с:
SUDO DNF Установка DNF -Automatic -y 1 SUDO DNF Установка DNF -Automatic -y
Откройте файл конфигурации с:
sudo nano /etc/dnf/automatic.conf 1 sudo nano /etc/dnf/automatic.conf
В этом файле ищите следующую строку:
Apply_updates = no 1 Apply_updates = нет
Изменить это на:
Apply_updates = yes 1 Apply_updates = да
Далее ищите линию:
UPGRADE_TYPE = по умолчанию 1 upgrade_type = по умолчанию
Установить это на следующее:
UPGRADE_TYPE = Security 1 UPGRADGE_TYPE = Security
Наконец, вы можете установить систему, чтобы уведомить вас о том, что обновление было применено путем настройки [email] раздел. Вам понадобится адрес электронной почты и хост для использования для сервера. Я настроил это, используя Google Gmail SMTP -серверы, и это работает нормально. Если вы пойдете по маршруту Google, вам нужно создать пароль приложения для работы.
Сохраните и закройте файл, и ваша система установлена.
Одна вещь, которую нужно иметь в виду (и это важно), это то, что вы должны нет Используйте автоматические обновления в развертываниях сервера. Вместо этого запустите эти обновления вручную (и регулярно), либо используйте автоматический инструмент, такой как Ansible. Ваши серверы должны быть максимально безопасными, а автоматические обновления могут быть не лучшим путем для ваших систем.
Также обратите внимание, что с помощью Fedora автоматические обновления иногда не могут быть завершены до тех пор, пока не произойдет перезагрузка (потому что именно так Fedora обрабатывает определенные обновления).
Там вы идете: пять простых шагов для обеспечения практически любой системы Linux. Есть более сложные методы и шаги, которые вы можете предпринять, но эти пять заставит вас начать на правой ноге.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Джек Уоллен-это то, что происходит, когда генеральный разум с умом с современным Snark. Джек — искатель истины и писатель слов с квантовым механическим карандашом и разрозненным ударом звука и души. Хотя он проживает … читайте больше от Джека Валлена
