- Implementace fyzických, síťových a servisních opatření pro posílení bezpečnosti s cílem snížit riziko útoku.
- Konfigurace firewallu, systémy prevence narušení a pokročilá správa přístupu SSH.
- Použití povinných nástrojů pro řízení přístupu, jako jsou AppArmor a SELinux, k izolaci kritických procesů.
- Důležitost preventivní údržby prostřednictvím automatických aktualizací a šifrování dat.
Když nastavujeme systém Debian, ať už na výkonném serveru, virtuálním počítači nebo dokonce Raspberry Pi, často předpokládáme, že stabilita distribuce je dostatečná. Ale buďme upřímní, Bezpečnost je aktivní proces A ne něco, co si nainstalujete a zapomenete na to. Pokud je váš počítač vystaven internetu, riskujete proti botům a hackerům, kteří nikdy neodpočívají.
Nemusíte být expertem na kybernetickou bezpečnost, abyste útočníkům ztížili situaci. Stačí jen pár úpravy kaleníMůžeme proměnit základnu v digitální bunkr, omezit vstupní body a zajistit, aby i když se někomu podaří vplížit se dovnitř, neměl prostor k manévrování a způsobení škody.
Ochrana hardwaru a fyzické zabezpečení
Zdá se to samozřejmé, ale pokud má někdo fyzický přístup k vašemu počítači, Úroveň bezpečnosti prudce klesáJe zbytečné mít nejlepší firewall, pokud kdokoli může zapojit USB disk a restartovat počítač. Prvním krokem je omezení přístupu k serveru a především chránit BIOS nebo UEFI se silným heslem, aby se zabránilo změnám pořadí spouštění.
Aby se zabránilo úniku dat nebo načítání škodlivého softwaru prostřednictvím periferních zařízení, důrazně se doporučuje zakázat USBTo se provede vytvořením souboru /etc/modprobe.d/no-usb.conf s linkou blacklist usb_storage a aktualizaci původního souborového systému pomocí update-initramfs -u.
Dalším kritickým bodem je ochrana adresářů. /bootAbychom zabránili někomu v manipulaci s jádrem bez povolení, můžeme v souboru nakonfigurovat bod připojení. /etc/fstab jak režim pouze pro čtení (ro)aktivace zápisu pouze tehdy, když potřebujeme provést aktualizaci.
Pokud chceme jít dál, je to nezbytné zašifrovat disky během instalace. Tím je zajištěno, že i v případě krádeže fyzického disku nebo klonování disku budou informace nečitelné. Doporučuje se také deaktivovat resetovací klávesy (jako Ctrl+Alt+Del) pomocí systemctl mask ctrl-alt-del.target aby se zabránilo náhodnému nebo úmyslnému restartu.
Zabezpečení sítě a správa SSH
Internet je bezpochyby největším místem pro vystavení se. Zlatým pravidlem zde je, že méně je víceČím méně aplikací a služeb máte spuštěných, tím méně dveří necháváte otevřených útočníkům. Je nezbytné používat nástroje jako netstat -tunl o ss -tunl bod monitorovat otevřené porty a zavřte vše, co není nezbytně nutné.
SSH přístup je hlavní administrativní brána, takže musí být bezpečný. Zapomeňte na port 22; změnit výchozí port Použití náhodného čísla (například 2324) drasticky snižuje útoky botů. Navíc je nezbytné zakázat přihlášení root a zakázat přístup pomocí prázdných hesel v konfiguračním souboru sshd_config.
Nejbezpečnější způsob přístupu k serveru je prostřednictvím použití veřejných a soukromých klíčůúplné zakázání tradičního ověřování heslem. Pro přidání další vrstvy můžeme nainstalovat Fail2Bankterý automaticky zablokuje IP adresy, které se při pokusu o přihlášení příliš často nezdaří, čímž zmírní útoky hrubou silou.
Pokud nepotřebujete protokol IPv6, nejlepší je… zakažte to v souboru sysctl.conf Přidání řádků disable_ipv6 zjednodušuje správu sítě a eliminuje zbytečné vektory útoků. Integrace systému s Sondy IDS a IPS y auditovat zabezpečení vaší lokální sítě k detekci podezřelých bočních pohybů.
Optimalizace služeb a snižování expozice
Produkční server by neměl mít grafické prostředí; vynutit spuštění počítače v negrafickém režimu Šetří zdroje a eliminuje zranitelný software. Pokud jde o registr, je vhodné nakonfigurovat... RsysLog odeslat kopii protokolů na externí server, čímž se zabrání útočníkovi ve vymazání jejich stop na lokálním systému.
Aby se zabránilo útokům nulového dne, je to chytré. skrýt verzi softwaru které používáme. V Nginxu stačí použít server_tokens off; a v Apache nakonfigurujte ServerSignature OffTakto útočník nebude přesně vědět, jakou verzi máme, a bude pro něj mnohem těžší najít kompatibilní exploit.
Zajímavou možností je také řízení provozu ICMP (ping). Blok ping Použití IPTABLES nebo UFW může zařízení při počátečním skenování učinit méně viditelným. Pro hlubší ochranu aplikací je vhodné použít WAF (brána webové aplikace) Je to nezbytné, pokud spravujeme HTTP provoz.
Nemůžeme zapomenout na správu uživatelů. Je obrovskou chybou ponechat výchozí heslaMusíme vytvořit specifické uživatele s omezenými oprávněními a naučit se Jak bezpečně používat Sudo v Linuxu a smažte všechny výchozí účty (například uživatele „pi“ na Raspberry Pi), abyste zabránili triviálnímu přístupu.
Pokročilé nástroje pro řízení a izolaci
Pro správu oprávnění na úrovni procesů máme systémy povinné kontroly přístupu (MAC). AppArmor Je integrován do moderních verzí Debianu a umožňuje omezit, ke kterým souborům nebo cestám má každá aplikace přístup. Pokud potřebujeme něco ještě výkonnějšího a podrobnějšího, můžeme se rozhodnout pro SELinuxJeho konfigurace je však složitější a vyžaduje předchozí odinstalování AppArmoru.
Další brilantní strategií je izolace pomocí kontejnerůPoužití Dockeru nebo Podmanu umožňuje každé službě běžet ve vlastním prostředí, což zabraňuje tomu, aby zranitelnost v jedné webové službě ohrozila zbytek operačního systému. Aby se tyto kontejnery udržovaly aktuální bez komplikací, používají se nástroje jako Strážní věž Automatizují aktualizace.
Pokud jde o firewall, nástroj UFW (Nekomplikovaný firewall) Je to ideální volba pro začátečníky. Doporučená konfigurace je ve výchozím nastavení zakázat veškerý příchozí provoz a povolit pouze specifické porty které potřebujeme (například upravený SSH port nebo 80/443 pro web), a to navíc k povolení provozu v rámci lokální sítě.
A konečně, je nezbytné udržovat software aktuální. V Debianu musíme zajistit, aby bezpečnostní úložiště je nakonfigurováno en sources.listAutomatizujte tento proces pomocí unattended-upgrades Zajišťuje instalaci kritických záplat, aniž bychom museli každý den ručně zasahovat.
Úplná bezpečnost neexistuje, ale použitím robustní šifrování diskuPřísnou správou uživatelů, zabezpečením přístupu přes SSH a izolací služeb pomocí kontejnerů a AppArmoru minimalizujeme oblast útoku. Udržování systému v aktuálním stavu a monitorování otevřených portů jsou postupy, které odlišují zranitelný server od skutečně profesionálního.
Vášnivý spisovatel o světě bytů a technologií obecně. Rád sdílím své znalosti prostřednictvím psaní, a to je to, co budu dělat v tomto blogu, ukážu vám všechny nejzajímavější věci o gadgetech, softwaru, hardwaru, technologických trendech a dalších. Mým cílem je pomoci vám orientovat se v digitálním světě jednoduchým a zábavným způsobem.