معظم الناس يعتقدون ينكس آمنة، في الواقع، وهذا هو افتراض زائف. تخيل سرقة جهاز الكمبيوتر المحمول في غياب الوضع تعزيزات أمنية. اللص قد يفكر اسم المستخدم الخاص بك هو "الجذر" وكلمة المرور الخاصة بك هي "الطور"، لأن هذا هو مجموعة كلمة المرور الافتراضية التي كتبها كالي، والكثير من الناس قد تم استخدام لم يتم تعديلها.

وسيستفيد كل نظام لينكس من أكبر قدر من السلامة، وخاصة إذا كان يحتوي على بيانات حساسة. 40 النصائح التالية لتبادل العملي لينكس تعزيزات أمنية الخادم معك، نأمل أن تساعدك على أفضل حماية الأمن خادم لينكس لدينا.

1. تشفير البيانات والاتصالات خادم لينكس

يمكن رصد جميع البيانات المرسلة عبر الشبكة. حيثما كان ذلك ممكنا، واستخدام كلمة السر أو مفتاح التشفير / شهادة لنقل البيانات.

• استخدام اللجنة الدائمة، سه، رسينك، أو بالنشر لنقل الملفات. يمكنك أيضا استخدام بعض الأدوات الخاصة مثل: سشفس والصمامات، ونظام الملفات الملقم البعيد أو دليل التثبيت منزلك.
• دعم GnuPG للبيانات، يتم تشفير الاتصال وقعت، مع نظم الإدارة الرئيسية المشتركة، ومجموعة متنوعة من وصول الجمهور دليل وحدة.
• استخدام المسنجر وفعالة من حيث التكلفة، وخفيفة الوزن VPN SSL.
• تكوين وتركيب لايت باد SSL (طبقة الخادم آمنة) HTTPS.
• تكوين وتركيب أباتشي SSL (طبقة الخادم آمنة) HTTPS (mod_ssl).

2. تجنب استخدام FTP، Telnet و غير أمن / خدمات RSH على لينكس

في معظم تكوينات شبكة الاتصال، يمكن لأي شخص على نفس الشبكة باستخدام علبة الشم التقاط أسماء المستخدمين وكلمات السر، FTP / التلنت / آر إس إتش الأوامر ونقل الملفات.

حل مشترك:

استخدام المفتوح، SFTP أو FTPS (FTP عبر SSL)، إضافة إلى تشفير FTP أو TLS لFTP. أدخل الأمر يم التالية لحذف شيكل، آر إس إتش والخدمات التي عفا عليها الزمن أخرى:

# يم محو xinetd ypserv المبسط خادم التلنت خادم آر إس إتش خادم

3. التقليل من حزمة وصلت إلى الحد من مواطن الضعف في لينكس

تجنب تثبيت البرامج غير الضرورية إلى البرمجيات الضعف تجنب. حزم استخدام RPM (مثل يم أو الرابطة بين الحصول على و / أو نظام إدارة حزم دبيان) انظر يضع كل الحزم المثبتة على النظام. حذف كافة الحزم غير المرغوب فيها.

# قائمة يم تثبيت # يم قائمة PACKAGENAME # يم إزالة PACKAGENAME # نظام إدارة حزم دبيان --list # نظام إدارة حزم دبيان --info PACKAGENAME # الرابطة بين الحصول على إزالة PACKAGENAME

4. تأكد من أن كل مثيل نظام VM واحد أو خدمة الشبكة

خدمات الشبكة المختلفة التي تعمل على خادم منفصل أو مثيل VM. وهذا يحد من إمكانية من الخدمات الأخرى للخطر العدد. على سبيل المثال: إذا كان القراصنة يمكن استخدامها بنجاح برنامج مثل تدفق أباتشي، وقال انه وصول إلى الملقم بأكمله، بما في ذلك خدمات أخرى مثل الخلية، PgSQL، ملقمات البريد الإلكتروني.

5. الحفاظ على نواة لينكس والبرمجيات هو حتى الآن

تصحيحات الأمان التطبيق هو جزء هام من الحفاظ على خادم لينكس. بعد الافراج عن التصحيح تحديث آمن في أقرب وقت ممكن.

باستخدام RPM مدير مجموعة (مثل يم و / أو الرابطة بين الحصول على و / أو نظام إدارة حزم دبيان) لبدء كافة التحديثات الأمنية.

# تحديث يم أو # تحديث الرابطة بين الحصول على && الرابطة بين الحصول على ترقية

الامتدادات 6. استخدام لينكس الأمن

لينكس يأتي مع مختلف بقع أمنية لمنع التكوين أو برنامج معطوب. تسمح الظروف، يمكنك استخدام سيلينو أو غيرها من الملحقات الأمنية لينكس لفرض قيود الشبكات وغيرها من البرامج.

7.SELinux

يوفر سيلينو لمراقبة الدخول الإلزامي مرنة (MAC)، MAC تشغيل نواة يحمي النظام من التلف التأثير المحتمل أو تدمير نظام تطبيق الخبيثة.

حساب الجذر 8.Linux لديها سياسة كلمة مرور قوية

استخدام useradd / usermod الأوامر إلى خلق والحفاظ على حساب الجذر. تأكد أن لديك نهج كلمة مرور قوية. على سبيل المثال: كلمة مرور قوية تضم خلط لا يقل عن ثمانية أحرف، والحروف والأرقام، الحروف الخاصة والرسائل ومثل أعلى وأسفل.

9. تعيين كلمة المرور الشيخوخة لمستخدمي لينكس لتحسين الأمن

يعرض الأمر chage في مفصل أحدث المعلومات وانتهاء صلاحية كلمة المرور من تغيير كلمة المرور الماضي. يستخدم النظام هذه التفاصيل لتحديد متى يجب على المستخدم تغيير كلمة المرور الخاصة بهم.

تعطيل الشيخوخة كلمة المرور

# Chage -M 99999 اسم المستخدم

الحصول على معلومات انتهاء صلاحية كلمة المرور

# Chage -l اسم المستخدم

تغيير كلمة المرور الشيخوخة أي مستخدم

#chage -M 60 -m 7 -W 7 اسم المستخدم

10. تقييد استعمال كلمة المرور القديمة على لينكس

يمكنك منع جميع المستخدمين لاستخدام لينكس أو إعادة استخدام نفس كلمة المرور القديمة. المعلمات وحدة Pam_unix في عدد من كلمة المرور القديمة غير صالحة للاستعمال يمكن تسجيلها.

11. بعد قفل تسجيل الدخول حساب الجذر فشل

في لينكس، يمكنك استخدام الأمر لعرض faillog faillog قياسية، تعيين قيود فشل تسجيل الدخول يمكن أن تستخدم لصيانة ومكافحة خطأ الحد.

فشل عرض تسجيل الدخول

faillog

فتح الحساب بعد فشل تسجيل الدخول

faillog -r -u اسم المستخدم

ملاحظة: يمكنك استخدام الأمر باسود إلى حسابات قفل وفتح:

# حساب قفل باسود -l اسم المستخدم # حساب Unlocak باسود -u اسم المستخدم

12. تحقق من وجود كلمة مرور حساب فارغة

أدخل الأمر التالي

# AWK -F: '($ 2 == "") {الطباعة}' / الخ / الظل

قفل كل كلمة المرور فارغة لحساب:

# باسود -l اسم الحساب

13. بالإضافة إلى تأكيد أن المستخدم من ROOT، قيمة UID 0

تأكد من أن حساب الجذر فقط لديها UID 0 ولديه الإذن الكامل للوصول إلى النظام.

أدخل الأمر التالي لعرض تعيين UID إلى 0 في جميع الحسابات:

# AWK -F: '($ 3 == "0") {الطباعة}' / الخ / باسود

14. تسجيل الدخول الجذر تعطيل

عدم تسجيل مباشرة في كجذر. استخدام سودو لأداء القيادة على مستوى الجذر عند الحاجة. سودو يعزز إلى حد كبير أمن النظام، في الوقت الذي توفر التدقيق بسيط وتتبع القدرات.

15. خادم الأمن المادي

لحماية خوادم لينكس وصول وحدة البدني. تكوين BIOS وتعطيل تمهيد من جهاز خارجي (مثل USB القلم DVD / CD /). مجموعة BIOS ومحمل الإقلاع نكش كلمة مرور لحماية هذه الإعدادات.

16. الخدمات غير الضرورية تعطيل لينكس

تعطيل كافة الخدمات والشياطين لا لزوم لها. حذف جميع الخدمات غير المرغوب فيها من بدء تشغيل النظام.

أدخل الأمر التالي لسرد كافة الخدمات التي على مستوى المدى # 3 البدء:

# Chkconfig --list | البقرى '3: على'

تعطيل الخدمة، اكتب:

# توقف خدمة SERVICENAME # Chkconfig SERVICENAME قبالة

17. البحث عن منفذ شبكة الاستماع

استخدام الأمر netstat لسرد كافة المنافذ المفتوحة والبرامج المرتبطة بها:

NETSTAT -tulpn

استخدام القيادة chkconfig إلى إيقاف كافة خدمات الشبكة التي لا داعي لها.

18. حذف نظام نوافذ X (X11)

لا تقم بتشغيل X11 على البريد مخصص لينكس على أساس والخادم أباتشي / إنجن إكس الويب. يمكنك تعطيل وإزالة X ويندوز لتحسين الأمن الخادم والأداء.

تحرير / الخ / inittab و أضف تعيين مستوى تشغيل 3. وأخيرا، وإزالة نظام X ويندوز، أدخل:

استخدم الأمر التالي في سينت أو إس 7 / RHEL الخادم 7

# يم groupremove "نظام نوافذ X" # يم مجموعة إزالة "سطح المكتب جنوم" # يم مجموعة إزالة "KDE البلازما مساحات عمل" # يم مجموعة إزالة "Server مع واجهة المستخدم الرسومية" # يم مجموعة إزالة "MATE سطح المكتب"

19. تكوين جدار الحماية استنادا لينكس إيبتبلس وTCPWrappers

فمن المستحسن لتمكين نواة لينكس جدار الحماية لحماية الخادم ضد الوصول غير المصرح به، وحركة المرور تصفية والسماح لحركة المرور الضروري فقط. استخدام TCPWrappers، القائم على المضيف شبكة نظام ACL للوصول إلى شبكة مرشح لشبكة الإنترنت.

20.Linux نواة الأمثل /etc/sysctl.conf

يستخدم ملف /etc/sysctl.conf لتكوين المعلمات النواة في وقت التشغيل من /etc/sysctl.conf قراءة عندما الأحذية لينكس وتطبيق الإعدادات.

مثال /etc/sysctl.conf:

# تشغيل execshield kernel.exec درع = 1 kernel.randomize_va_space = 1 # تمكين حماية الملكية الفكرية بالتحايل net.ipv4.conf.all.rp_filter = 1 # تعطيل IP توجيه المصدر net.ipv4.conf.all.accept_source_route = 0 طلب # البث تجاهل net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.icmp_ignore_bogus_error_messages = 1 # تأكد من الحصول على تسجيل الحزم المغشوش net.ipv4.conf.all.log_martians = 1

المحتوى المترجم: الشبكي: //www.cyberciti.biz/tips/linux-security.html

بعد 20 - شرح انظر