מערכות לינוקס מאובטחות על ידי תכנון ומספקות כלי ניהול חזקים. אך לא משנה כמה מערכת מעוצבת היטב, האבטחה שלה תלויה במשתמש.

לרוב למתחילים לוקח שנים למצוא את מדיניות האבטחה הטובה ביותר עבור המכונות שלהם. זו הסיבה שאנו משתפים את הטיפים החיוניים הללו להתקשות לינוקס עבור משתמשים חדשים כמוך. נסה אותם.

1. אכוף מדיניות סיסמאות חזקה

סיסמאות הן שיטת האימות העיקרית עבור רוב המערכות. לא משנה אם אתה משתמש ביתי או איש מקצוע, אכיפת סיסמאות מוצקות היא חובה. ראשית, השבת סיסמאות ריקות. לא תאמינו כמה אנשים עדיין משתמשים בהם. 

awk -F: '($ 2 == "") {print}' / etc / shadow

הפעל את הפקודה שלמעלה כשורש כדי להציג לאילו חשבונות סיסמאות ריקות. אם אתה מוצא מישהו עם סיסמה ריקה, נעל את המשתמש מייד. באפשרותך לעשות זאת באמצעות הדברים הבאים. 

passwd -l USERNAME

אתה יכול גם להגדיר הזדקנות סיסמאות כדי להבטיח שמשתמשים לא יכולים להשתמש בסיסמאות ישנות. השתמש בפקודת chage כדי לעשות זאת מהטרמינל שלך. 

chage -l USERNAME

פקודה זו מציגה את תאריך התפוגה הנוכחי. כדי להגדיר תפוגת סיסמא לאחר 30 יום, השתמש בפקודה שלהלן. משתמשים עשויים השתמש במנהלי סיסמאות לינוקס כדי לשמור על אבטחת חשבונות מקוונים.

instagram viewer
8 מנהלי סיסמאות לינוקס הטובים ביותר להישאר בטוחים

זקוק למנהל סיסמאות מאובטח עבור לינוקס? אפליקציות אלה קלות לשימוש ושומרות על הסיסמאות המקוונות שלך.

chage -M 30 USERNAME

2. גיבוי נתונים חיוניים

אם אתה רציני לגבי הנתונים שלך, הגדר גיבויים רגילים. בדרך זו, גם אם המערכת שלך קורסת, אתה יכול לשחזר את הנתונים במהירות. אבל, בחירת שיטת הגיבוי הנכונה היא מכרעת עבור התקשות לינוקס.

אם אתה משתמש ביתי, שיבוט הנתונים לכונן קשיח יכול להספיק. עם זאת, חברות זקוקות למערכות גיבוי מתוחכמות המציעות התאוששות מהירה.

3. הימנע משיטות תקשורת מדור קודם

לינוקס תומכת בשיטות תקשורת מרחוק רבות. עם זאת, שירותי יוניקס מדור קודם כמו telnet, rlogin ו- ftp יכולים להוות בעיות אבטחה חמורות. לכן, נסו להימנע מהם. אתה יכול להסיר אותם כליל כדי להפחית את בעיות האבטחה הקשורות אליהם. 

apt-get - לטהר להסיר את xinetd nis tftpd tftpd-hpa telnetd \
> שרת rsh rsh-redone-server

פקודה זו מסירה כמה שירותים שנמצאים בשימוש נרחב אך מיושן ממכונות אובונטו / דביאן. אם אתה משתמש במערכת מבוססת סל"ד, השתמש במקום זאת במקום זאת. 

מחק יאם xinetd ypserv שרת tftp שרת טלנט שרת rsh

4. מאובטח OpenSSH

פרוטוקול SSH הוא השיטה המומלצת לתקשורת מרחוק עבור לינוקס. הקפד לאבטח את תצורת שרת OpenSSH שלך (sshd). אתה יכול למידע נוסף על הגדרת שרת SSH כאן.

ערוך את /etc/ssh/sshd_config קובץ להגדרת מדיניות אבטחה עבור ssh. להלן כמה מדיניות אבטחה נפוצה שכל אחד יכול להשתמש בה. 

PermitRootLogin no # משבית כניסה לשורש
MaxAuthTries 3 # מגביל את ניסיונות האימות
PasswordAuthentication no # מבטל אימות סיסמה
PermitEmptyPasswords no # משבית סיסמאות ריקות
X11 העברת מספר # מבטלת את העברת ה- GUI
DebianBanner no # disbales banner verbose
AllowUsers *@XXX.X.XXX.0/24 # מגבילים משתמשים לטווח IP

5. הגבל את השימוש ב- CRON

CRON הוא מתזמן עבודה חזק עבור לינוקס. זה מאפשר למנהלים לתזמן משימות בלינוקס באמצעות crontab. לפיכך, חשוב להגביל מי יכול לנהל עבודות CRON. באפשרותך לברר את כל עבודות הצמדה הפעילות עבור משתמש באמצעות הפקודה הבאה. 

crontab -l -u USERNAME

בדוק את המשרות של כל משתמש כדי לברר אם מישהו מנצל את CRON. ייתכן שתרצה לחסום את כל המשתמשים משימוש ב- crontab חוץ ממך. הפעל את הפקודה הבאה לכך. 

הד $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. אכוף מודולי PAM

Linux PAM (Modules Authentication Modules) מציע תכונות אימות חזקות לאפליקציות ושירותים. אתה יכול להשתמש במדיניות PAM שונות כדי לאבטח את הכניסה למערכת. לדוגמה, הפקודות שלמטה מגבילות שימוש חוזר בסיסמה. 

# CentOS / RHEL
הד 'סיסמה מספקת pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/system-auth
# אובונטו / דביאן
הד 'סיסמה מספקת pam_unix.so use_authtok md5 shadow remember = 5' >> \
> /etc/pam.d/common-password

הם מגבילים את השימוש בסיסמאות שהיו בשימוש בחמשת השבועות האחרונים. יש הרבה יותר מדיניות PAM המספקות שכבות אבטחה נוספות.

7. הסר חבילות שאינן בשימוש

הסרת חבילות שאינן בשימוש מצמצמת את משטח ההתקפה במחשב שלך. לכן, אנו ממליצים למחוק חבילות שנמצאות בשימוש נדיר. אתה יכול להציג את כל החבילות המותקנות כעת באמצעות הפקודות הבאות. 

רשימת yum מותקנת # CentOS / RHEL 
רשימת apt - מותקנת # אובונטו / דביאן

נניח שברצונך להסיר את החבילה הלא בשימוש vlc. אתה יכול לעשות זאת על ידי הפעלת הפקודות הבאות כשורש. 

yum להסיר vlc # CentOS / RHEL
apt להסיר vlc # אובונטו / דביאן

8. פרמטרים מאובטחים

דרך יעילה נוספת להתקשות של לינוקס היא אבטחת פרמטרי הליבה. אתה יכול להגדיר את הפרמטרים האלה באמצעות sysctl או על ידי שינוי קובץ התצורה. להלן מספר תצורות נפוצות. 

kernel.randomize_va_space = 2 # בסיס כתובת אקראי עבור mmap, heap ו- stack
kernel.panic = 10 אתחול מחדש לאחר 10 שניות בעקבות פאניקה ליבה
net.ipv4.icmp_ignore_bogus_error_responses # מגן על הודעות שגיאה גרועות
net.ipv4.ip_forward = 0 # משבית העברת IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # מתעלם משגיאות ICP

אלה רק כמה תצורות בסיסיות. תלמד דרכים שונות של תצורת ליבות עם ניסיון.

9. הגדר תצורת iptables

גרעיני לינוקס מספקים שיטות סינון חזקות לחבילות רשת באמצעות ה- Netfilter API שלה. אתה יכול להשתמש ב- iptables כדי לקיים אינטראקציה עם API זה ולהגדיר פילטרים מותאמים אישית לבקשות רשת. להלן כמה כללי iptables בסיסיים עבור משתמשים הממוקדים באבטחה. 

- קלט - j REJECT # דוחה את כל הבקשות הנכנסות
-קדימה -j דחה # דחה העברת תעבורה
-קלט -אי לו -j קבל
-A OUTPUT -o lo -j ACCEPT # אפשר תנועה ב- localhost
# אפשר בקשות פינג
-A OUTPUT -p icmp -j ACCEPT # אפשר פינגים יוצאים
# אפשר חיבורים מבוססים / קשורים
-מצב קלט -מ -מדינה הוקמה, קשורה -j קבלה
-מוצא -מ -מדינה - מדינה שהוקמה, קשורה -j קבלה
# אפשר חיפוש DNS
-A OUTPUT -p udp -m udp --dport 53 -j קבל
# אפשר בקשות http / https
-A OUTPUT -p tcp -m tcp -dport 80 -m state - מדינה חדש -j קבלה
-A OUTPUT -p tcp -m tcp - מצב 443 -m - מדינה חדשה -j קבלה
# אפשר גישה ל- SSH
-הכנסה -p tcp -m tcp --port 22 -j קבלה
-A OUTPUT -p tcp -m tcp --port 22 -j קבלה

10. צג יומנים

אתה יכול להשתמש ביומנים כדי להבין טוב יותר את מכונת הלינוקס שלך. המערכת שלך מאחסנת מספר קבצי יומן עבור יישומים ושירותים. אנו מתארים את אלה החיוניים כאן.

  • /var/log/auth.log רושם ניסיונות הרשאה
  • /var/log/daemon.log רושם אפליקציות רקע
  • / var / log / debug logs data debuging
  • /var/log/kern.log רושם נתוני גרעין
  • / var / log / syslog רושם נתוני מערכת
  • / var / log / faillog logs כניסות נכשלו

הטיפים הטובים ביותר להתקשות לינוקס למתחילים

אבטחת מערכת לינוקס אינה קשה כמו שאתה חושב. תוכל להחמיר את האבטחה על ידי ביצוע כמה מהטיפים המוזכרים במדריך זה. תוכלו לשלוט בדרכים נוספות לאבטחת לינוקס ככל שתצברו ניסיון.

אימייל
7 הגדרות פרטיות חיוניות עבור מערכת ההפעלה של Chrome ו- Google Chrome

משתמשים ב- Chromebook, אך חוששים מהפרטיות? התאם את 7 ההגדרות האלה בדפדפן Chrome במערכת ההפעלה של Chrome כדי להישאר מאובטח באופן מקוון.

נושאים קשורים
  • לינוקס
  • אבטחת מחשב
  • לינוקס
  • SSH
על הסופר
רוביעת חוסיין (5 מאמרים פורסמו)

Rubaiat הוא תואר ראשון במדעי המחשב עם תשוקה עזה למקור פתוח. מלבד היותו ותיק של יוניקס, הוא עוסק גם באבטחת רשת, קריפטוגרפיה ותכנות פונקציונלי. הוא אספן מושבע של ספרים יד שנייה ויש לו הערצה בלתי פוסקת לרוק הקלאסי.

עוד מרובאיאת חוסיין

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

צעד אחד נוסף !!!

אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.

.