O. Il documento è ottimizzato sia per gli utenti nuovi che avanzati.
Tutti i suggerimenti descritti in questo articolo sono utili per ogni distribuzione Linux. Gli utenti del sistema operativo Unix possono anche trovare questo tutorial utile per proteggere i propri sistemi."
Nota: La seguente lista di controllo di Linux Security Resuring è stata inizialmente scritta nel 2019 e aggiornata nel 2022.
Elenco di controllo di Linux Security Induring
POLITICA | Utente domestico | SERVER |
Disabilita SSH | ✔ | ✔/x |
Disabilita l'accesso alla radice SSH | ✔ | ✔ |
Modifica la porta predefinita SSH | ✔ | ✔ |
Disabilita l'autenticazione di accesso alla password SSH | ✔ | ✔ |
Definire le regole del firewall adeguate | ✔ | ✔ |
Implementa IDS (sistema di rilevamento delle intrusioni) | X | ✔ |
Proteggere il BIOS | ✔ | ✔ |
Crittografia del disco | ✔ | X |
Proteggi il sistema dai rootkit | ✔ | ✔ |
Mantieni aggiornato il sistema | ✔ | ✔ |
VPN (rete privata virtuale) | ✔ | X |
Abilita Selinux | ✔ | ✔ |
Implementa honeypot e honeynets | X | ✔ |
Scansiona esternamente il dispositivo per le vulnerabilità | ✔ | ✔ |
Pratiche di sicurezza comuni | ✔ | ✔ |
Disabilita SSH
Il servizio SSH è uno degli obiettivi più utilizzati per gli aggressori. Attraverso l'accesso SSH, un hacker può entrare nel sistema di destinazione per intensificare i privilegi, ottenendo il pieno controllo del sistema. Vale la pena ricordare che gli exploit di esecuzione locale sono più pericolosi degli exploit remoti poiché gli exploit locali non sono filtrati dai firewall.
Sia gli utenti domestici che aziendali devono disattivare tutti i servizi inutili poiché rappresentano le porte per gli hacker per accedere al sistema di destinazione.
La raccomandazione principale è di rimuovere completamente i servizi indesiderati. Se pensi che in futuro potresti utilizzare un servizio attualmente inutile, leggi questo tutorial con istruzioni specifiche sull'identificazione e la disabilitazione dei servizi non utilizzati. Se è necessario mantenere il servizio SSH, continua a leggere di seguito per le istruzioni per proteggerlo.
Disabilita l'accesso alla radice SSH
Come detto nella precedente raccomandazione di disabilitare o rimuovere il servizio SSH, questo servizio può essere vulnerabile a determinati attacchi se configurati erroneamente.
Una misura importante da prendere per garantire l'accesso SSH è disabilitare l'accesso alla radice. Il motivo principale per disabilitare l'accesso al root tramite SSH è che il superutente principale di ogni sistema Linux è una radice; Pertanto, un aggressore già sa che il tuo sistema ha il superutente radice e può usarlo in un attacco di forza bruta che ha bisogno solo per rompere la password. Inoltre, un altro motivo importante per disabilitare l'accesso al root tramite SSH è rendere difficile per un aggressore ottenere l'accesso privilegiato aiutato dagli exploit.
In Linuxhint, abbiamo pubblicato un tutorial su come disabilitare l'accesso alla radice ssh che puoi leggere qui.
Modifica la porta predefinita SSH
Molti aggressori lanciano attacchi enormi e indiscriminati contro obiettivi casuali. Se un utente malintenzionato cerca di identificare in modo massiccio i dispositivi scansionando la porta SSH (22), fallirà contro i sistemi che servono l'accesso SSH attraverso una porta diversa da 22.
Disabilitazione dell'autenticazione della password SSH
L'autenticazione della password SSH è la meno sicura. Altri metodi come l'autenticazione chiave sono consigliati per sostituire l'accesso alla password, che è vulnerabile a molti tipi di attacchi, tra cui la forza bruta, il metodo di attacco più semplice che qualsiasi utente inesperto può essere lanciato. In questo link, è possibile leggere le istruzioni per disabilitare l'autenticazione della password SSH e abilitare l'autenticazione chiave.
Definire le regole corrette di nfTables o iptables
L'implementazione di regole di firewall personalizzate è un must e una misura di base per proteggere il dispositivo. I firewall sono la prima difesa contro il traffico dannoso, le connessioni indesiderate e le scansioni indesiderate che cercano di trovare buchi di sicurezza nel sistema.
Nftables e iptables sono interfacce per gestire e definire le regole del firewall in Linux. Gli utenti domestici possono preferire UFW (firewall semplice), che è un frontend per iptables per rendere più facile la creazione di regole di firewall.
A seconda delle esigenze desktop o del server, le regole del firewall più consigliate includono politiche restrittive che consentono solo il traffico e le connessioni necessarie. Inoltre, i firewall sono utili per il reindirizzamento delle porte predefinite alle porte personalizzate, rendendo più difficile per gli aggressori identificare i servizi abilitati al sistema.
Gli amministratori di sistema possono trovare istruzioni per proteggere i sistemi con iptables su questo link. Gli utenti domestici possono scegliere UFW, che è più facile da gestire e può essere appreso in questo link.
Implementa IDS (sistema di rilevamento delle intrusioni)
IDS (sistema di rilevamento delle intrusioni) porta la sicurezza al livello successivo consentendole di analizzare i pacchetti e rilevare anomalie e accesso non autorizzato al sistema. IDS è un ottimo complemento per i firewall. IDS monitora il traffico di rete alla ricerca di pacchetti dannosi per identificare e segnalare incidenti di sicurezza. Gli ID più popolari sono Snort e OSSEC.
Questa lista di controllo di indurita di sicurezza non consiglia IDS per gli utenti domestici a causa del gran numero di risorse di cui richiedono. Eppure, se ti piacciono le buone risorse, aggiungerle è sempre una buona scelta.
Puoi leggere questo tutorial per iniziare con OSSEC. Per quanto riguarda Snort, a Linuxhint, abbiamo pubblicato diversi tutorial elencati di seguito.
Proteggere il BIOS
Rootkit, Malware e BIOS del server con accesso remoto rappresentano ulteriori vulnerabilità sia per i server che per i dispositivi domestici. Il BIOS può essere violato tramite il codice eseguito dal sistema operativo o tramite canali di aggiornamento per ottenere un accesso non autorizzato o per archiviare i rootkit per sempre, forzando la sostituzione dell'hardware e precludendo il ripristino di backup.
Il modo migliore per proteggere il tuo BIOS è mantenerlo aggiornato, per le quali puoi trovare istruzioni qui.
Crittografare dispositivi di archiviazione e partizioni
Questa è una misura più pertinente per gli utenti desktop che possono perdere i loro computer o essere vittime di furto; È particolarmente utile per gli utenti del laptop per impedire ai ladri di accedere alle informazioni. Oggi quasi ogni sistema operativo supporta il disco e la crittografia delle partizioni; Le distribuzioni Linux consentono di crittografare il disco rigido durante il processo di installazione. Per istruzioni sulla crittografia del disco, controllare l'articolo come crittografare un'unità in Linux.
Proteggi il sistema dai rootkit
I rootkit sono software dannosi che garantiscono aggressori non autorizzati. Sono estremamente difficili da rilevare a causa della loro capacità di nascondersi. Alcuni rootkit ottengono l'accesso al BIOS del sistema che richiede la sostituzione hardware come soluzione. La prevenzione e la rimozione di rootkits sono il software più popolare sono Chrootkit e Rkhunter. Puoi iniziare con Chkrootkit leggendo questo tutorial che include anche istruzioni per Rkhunter.
Mantieni aggiornato il sistema
Sia gli utenti desktop che gli amministratori di sistema devono mantenere aggiornato il sistema per impedire alle versioni vulnerabili di offrire accesso o esecuzione non autorizzati. Inoltre, l'utilizzo del gestore dei pacchetti forniti da sistema operativo per verificare gli aggiornamenti disponibili con scansioni di vulnerabilità può aiutare a rilevare un software vulnerabile che non è stato aggiornato sui repository ufficiali o sul codice vulnerabile che deve essere riscritto. Di seguito sono riportati alcuni tutorial per aggiornare i sistemi operativi Linux e il software installato:
VPN (rete privata virtuale)
Gli utenti di Internet devono essere consapevoli del fatto che gli ISP monitorano tutto il loro traffico e l'unico modo per permetterselo è utilizzare un servizio VPN. L'ISP è in grado di monitorare il traffico sul server VPN ma non dalla VPN alle destinazioni finali. Poiché VPN può influire sulla velocità negativa, questa non è un'opzione consigliata per i server. Per ridurre al minimo l'effetto sulla velocità di connessione, si consiglia di utilizzare un servizio a pagamento. Protonvpn è un'ottima opzione che offre servizi sia gratuiti che a pagamento. Puoi imparare come installare ProtonVPN a questo link.
Abilita Selinux (Linux potenziato dalla sicurezza)
Selinux è un insieme di modifiche del kernel Linux incentrate sulla gestione degli aspetti della sicurezza relativi alle politiche di sicurezza aggiungendo Mac (Mechanism Access Control), RBAC (controllo degli accessi basati su ruolo) e MLS (sicurezza multi-livello) e sicurezza multi-categoria (MCS ). Quando Selinux è abilitato, un'applicazione può accedere solo alle risorse specifiche di cui ha bisogno. Le risorse consentite sono definite attraverso le politiche di sicurezza. L'accesso a porte, processi, file e directory sono controllati attraverso le regole definite su Selinux, che consente o nega le operazioni in base alle politiche di sicurezza. In Linuxhint, abbiamo pubblicato alcuni articoli su questa funzione che sono elencati di seguito.
Implementa honeypot e honeynets
Un honeypot è uno strumento che simula un bersaglio che è davvero un registratore dell'attività degli aggressori. Multipli honeypot che simulano più dispositivi, servizi e applicazioni sono noti come a Honeynet.
Fondamentalmente, honeypot e honeynets sono bersagli falsi sia per distrarre gli aggressori da bersagli reali sia per registrare la loro attività. Puoi imparare come implementare sia honeypot che honeynets qui.
Scansiona esternamente il dispositivo per le vulnerabilità
Una buona pratica per proteggere il tuo sistema è vedere ciò che gli aggressori vedono quando prendono di mira il tuo sistema. Questo può essere ottenuto scansionando il tuo sistema per trovare vulnerabilità. Ci sono molte alternative sul mercato che puoi utilizzare per scansionare il tuo sistema. Alcuni tutorial sono elencati di seguito.
Pratiche comuni
Conclusione
Come puoi vedere nell'elenco di controllo di indurimento della sicurezza di Linux di cui sopra, proteggere il sistema non è un compito facile e richiede numerose misure di sicurezza. Tuttavia, nonostante il numero di attività che gli utenti devono completare per proteggere i propri sistemi, ogni raccomandazione può essere implementata da tutti gli utenti Linux indipendentemente dal loro livello di esperienza leggendo i tutorial collegati su ciascun elemento, che sono ottimizzati per essere comprensibili da nuovi utenti. La maggior parte delle raccomandazioni può essere applicata anche ad altri sistemi operativi come i sistemi BSD. Applicare i suggerimenti numerati dissuaderà sicuramente gli aggressori casuali dal prendere di mira. Un sistema fortemente protetto è meno attraente per gli aggressori.
Spero che questa lista di controllo indurita per la sicurezza sia stata utile per proteggere il tuo sistema. Continua a leggerci per ulteriori tutorial professionali Linux.