Dasar | Pengguna rumah | Pelayan |
Lumpuhkan SSH | ✔ | x |
Lumpuhkan akses root SSH | x | ✔ |
Tukar port SSH | x | ✔ |
Lumpuhkan log masuk SSH | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Sistem Pengesanan Pencerobohan) | x | ✔ |
Keselamatan BIOS | ✔ | ✔ |
Penyulitan Cakera | ✔ | x / ✔ |
Kemas kini sistem | ✔ | ✔ |
VPN (Rangkaian Peribadi Maya) | ✔ | x |
Dayakan SELinux | ✔ | ✔ |
Amalan biasa | ✔ | ✔ |
- Akses SSH
- Firewall (iptables)
- Sistem Pengesanan Pencerobohan (IDS)
- Keselamatan BIOS
- Penyulitan cakera keras
- Kemas kini sistem
- VPN (Rangkaian Peribadi Maya)
- Dayakan SELinux (Linux yang Dipertingkatkan Keamanan)
- Amalan biasa
Akses SSH
Pengguna rumah:
Pengguna rumah tidak betul-betul menggunakan ssh, alamat IP dinamik dan konfigurasi NAT penghala membuat alternatif dengan sambungan terbalik seperti TeamViewer lebih menarik. Apabila perkhidmatan tidak digunakan, port mesti ditutup baik dengan mematikan atau membuang perkhidmatan dan dengan menerapkan peraturan firewall yang ketat.
Pelayan:
Berbeza dengan pekerja domestik yang mengakses pelayan yang berbeza, pentadbir rangkaian adalah pengguna ssh / sftp yang kerap. Sekiranya anda mesti memastikan perkhidmatan ssh anda diaktifkan, anda boleh mengambil langkah-langkah berikut:
- Lumpuhkan akses root melalui SSH.
- Lumpuhkan log masuk kata laluan.
- Tukar port SSH.
Pilihan Konfigurasi SSH Umum Ubuntu
Iptables
Iptables adalah antara muka untuk menguruskan netfilter untuk menentukan peraturan firewall. Pengguna rumah mungkin beralih ke UFW (Firewall Tidak Komplikasi) yang merupakan frontend bagi iptables untuk memudahkan pembuatan peraturan firewall. Tidak bergantung pada antara muka, titik tersebut segera setelah pemasangan firewall adalah antara perubahan pertama yang berlaku. Bergantung pada keperluan desktop atau pelayan anda, yang paling disyorkan kerana masalah keselamatan adalah dasar yang membatasi hanya yang anda perlukan semasa menyekat yang lain. Iptables akan digunakan untuk mengarahkan port SSH 22 ke port yang lain, untuk menyekat port yang tidak perlu, menyaring perkhidmatan dan menetapkan peraturan untuk serangan yang diketahui.
Untuk maklumat lebih lanjut mengenai iptables periksa: Iptables untuk pemula
Sistem Pengesanan Pencerobohan (IDS)
Oleh kerana sumber daya yang tinggi mereka memerlukan IDS tidak digunakan oleh pengguna rumah tetapi mereka harus menjadi pelayan yang terdedah kepada serangan. IDS membawa keselamatan ke tahap seterusnya yang memungkinkan untuk menganalisis paket. IDS yang paling dikenali adalah Snort dan OSSEC, keduanya dijelaskan sebelumnya di LinuxHint. IDS menganalisis lalu lintas melalui rangkaian mencari paket atau anomali yang berniat jahat, ini adalah alat pemantauan rangkaian yang berorientasi pada insiden keselamatan. Untuk arahan mengenai pemasangan dan konfigurasi untuk 2 penyelesaian IDS yang paling popular, periksa: Konfigurasikan Snort IDS dan Buat Peraturan
Bermula dengan OSSEC (Sistem Pengesanan Pencerobohan)
Keselamatan BIOS
Rootkit, perisian hasad dan BIOS pelayan dengan akses jauh mewakili kelemahan tambahan untuk pelayan dan desktop. BIOS boleh diretas melalui kod yang dijalankan dari OS atau melalui saluran kemas kini untuk mendapatkan akses tanpa izin atau melupakan maklumat seperti sandaran keselamatan.
Pastikan kemas kini mekanisme kemas kini BIOS. Dayakan Perlindungan Integriti BIOS.
Memahami proses Boot - BIOS vs UEFI
Penyulitan cakera keras
Ini adalah langkah yang lebih relevan bagi pengguna Desktop yang mungkin kehilangan komputer, atau menjadi mangsa kecurian, sangat berguna untuk pengguna komputer riba. Hari ini hampir setiap OS menyokong enkripsi Disk dan partition, pengedaran seperti Debian memungkinkan untuk menyulitkan hard disk semasa proses pemasangan. Untuk arahan mengenai penyulitan enkripsi cakera: Cara Mengenkripsi Pemacu di Ubuntu 18.04
Kemas kini sistem
Kedua-dua pengguna desktop dan sysadmin harus memperbarui sistem untuk mencegah versi rentan dari menawarkan akses atau pelaksanaan yang tidak sah. Selain menggunakan pengurus pakej yang disediakan OS untuk memeriksa kemas kini yang tersedia menjalankan imbasan kerentanan dapat membantu mengesan perisian rentan yang tidak dikemas kini di repositori rasmi atau kod rentan yang perlu ditulis ulang. Di bawah beberapa tutorial mengenai kemas kini:
- Cara Menjaga Ubuntu 17.10 sehingga Tarikh
- Linux Mint Cara Mengemas kini Sistem
- Cara Mengemas kini Semua Pakej pada OS dasar
VPN (Rangkaian Peribadi Maya)
Pengguna internet mesti sedar bahawa ISP memantau semua lalu lintas mereka dan satu-satunya cara untuk mendapatkannya adalah dengan menggunakan perkhidmatan VPN. ISP dapat memantau lalu lintas ke pelayan VPN tetapi tidak dari VPN ke destinasi. Oleh kerana masalah kelajuan, perkhidmatan berbayar adalah yang paling disyorkan, tetapi ada alternatif baik percuma seperti https: // protonvpn.com /.
- VPN Ubuntu terbaik
- Cara Memasang dan Mengkonfigurasi OpenVPN pada Debian 9
Dayakan SELinux (Linux yang Dipertingkatkan Keamanan)
SELinux adalah sekumpulan modifikasi Kernel Linux yang difokuskan untuk menguruskan aspek keselamatan yang berkaitan dengan polisi keselamatan dengan menambahkan MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) dan Multi Category Security (MCS). Apabila SELinux diaktifkan, aplikasi hanya dapat mengakses sumber yang diperlukan yang ditentukan pada kebijakan keselamatan untuk aplikasi tersebut. Akses ke port, proses, fail dan direktori dikendalikan melalui peraturan yang ditentukan pada SELinux yang membenarkan atau menolak operasi berdasarkan polisi keselamatan. Ubuntu menggunakan AppArmor sebagai alternatif.
- SELinux di Ubuntu Tutorial
Amalan biasa
Hampir selalu kegagalan keselamatan disebabkan oleh kecuaian pengguna. Sebagai tambahan kepada semua titik yang dihitung sebelumnya ikuti amalan berikut:
- Jangan gunakan root kecuali jika perlu.
- Jangan sekali-kali menggunakan X Windows atau penyemak imbas sebagai root.
- Gunakan pengurus kata laluan seperti LastPass.
- Gunakan kata laluan yang kuat dan unik sahaja.
- Cuba tidak untuk memasang pakej yang tidak percuma atau pakej yang tidak tersedia di repositori rasmi.
- Lumpuhkan modul yang tidak digunakan.
- Pada pelayan, tegaskan kata laluan yang kuat dan cegah pengguna daripada menggunakan kata laluan lama.
- Nyahpasang perisian yang tidak digunakan.
- Jangan gunakan kata laluan yang sama untuk akses yang berbeza.
- Tukar semua nama pengguna akses lalai.
Dasar | Pengguna rumah | Pelayan |
Lumpuhkan SSH | ✔ | x |
Lumpuhkan akses root SSH | x | ✔ |
Tukar port SSH | x | ✔ |
Lumpuhkan log masuk SSH | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Sistem Pengesanan Pencerobohan) | x | ✔ |
Keselamatan BIOS | ✔ | ✔ |
Penyulitan Cakera | ✔ | x / ✔ |
Kemas kini sistem | ✔ | ✔ |
VPN (Rangkaian Peribadi Maya) | ✔ | x |
Dayakan SELinux | ✔ | ✔ |
Amalan biasa | ✔ | ✔ |
Saya harap artikel ini berguna untuk meningkatkan keselamatan anda. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux dan rangkaian.