Linux administratorlary üçin 20 peýdaly howpsuzlyk aýratynlyklary we gurallary


Bu makalada, her ulgam dolandyryjysynyň bilmeli peýdaly Linux howpsuzlyk aýratynlyklarynyň sanawyny bereris. Şeýle hem, ulgam administratoryna Linux serwerlerinde howpsuzlygy üpjün etmek üçin käbir peýdaly gurallary paýlaşýarys.

Sanaw aşakdaky ýaly bolup, haýsydyr bir tertipde tertipleşdirilmedi.

1. Linux ulanyjy we topar dolandyryşy

Linux ulanyjy we topar dolandyryşy ulgam dolandyryşynyň esasy, ýöne örän möhüm tarapy. Ulanyjynyň web serweri we faýllaryň eýesi ýaly adam ýa-da programma üpjünçiligi bolup biljekdigini unutmaň.

Ulanyjyny dogry kesgitlemek kesgitlemesi (ulanyjynyň hasabynyň jikme-jikliklerini, ulanyjynyň haýsy toparlara degişlidigini, ulanyjynyň ulgamyň haýsy böleklerine girip biljekdigini, haýsy programmalary ýerine ýetirip biljekdigini, parol guramasynyň parol syýasatlaryny ýerine ýetirip we ş.m.) ulgam dolandyryjysyna kömek edip biler. Linux ulgamynyň içinde ulanyjylaryň ygtybarly elýeterliligini we işleýşini üpjün etmek.

2. Linux PAM

PAM (Plugable Autentifikasiýa Modullary) ulgam ulanyjylaryny tanamak üçin güýçli we çeýe kitaphanalar toplumy. PAM bilen iberilýän funksiýalaryň her bir kitaphanasy, ulanyjynyň hakykylygyny talap etmek üçin bir programma arkaly ulanylyp bilner.

Bu, Linux ulgam dolandyryjysyna programmalaryň ulanyjylary nädip tassyklaýandygyny kesgitlemäge mümkinçilik berýär. Muňa düşünmek, öwrenmek we ulanmak gaty güýçli we gaty kyn.

3. Serwer/Host esasly Firewall

Linux, paket süzgüç funksiýalaryny, her dürli tor salgysyny we port terjimesini, 3-nji tarap giňeltmeleri üçin köp sanly API-leri we başgalary hödürleýän Netfilter kiçi ulgamy bilen iberýär.

Firewalld, nftables (iptables-iň mirasdüşeri) we başgalar ýaly häzirki zaman Linux firewall çözgütleri, bu kiçi ulgamy Linux ulgamyna girýän ýa-da çykýan ulgam traffigini kadalaşdyrmak, goramak we blokirlemek üçin paket süzgüçleri üçin ulanýar.

4. Linux SELinux

Ilkibaşda Amerikanyň Birleşen Ştatlarynyň Milli Howpsuzlyk Guramasy (NSA), Secure Enhanced Linux (ýa-da gysgaça SELinux) tarapyndan işlenip düzülen taslama ösen Linux howpsuzlyk aýratynlygydyr.

Linux howpsuzlyk modullaryny (LSM) ulanyp, Linux ýadrosyna birleşdirilen howpsuzlyk arhitekturasy. Hökmany giriş gözegçiligini (MAC) üpjün etmek bilen adaty Linux islegli giriş gözegçiligi (DAC) modelini doldurýar.

Ulgamdaky her bir ulanyjynyň, programma, amal we faýlyň giriş we geçiş hukuklaryny kesgitleýär; berlen Linux ulgam gurnamagynyň näderejede berk ýa-da ýumşak bolmalydygyny kesgitleýän howpsuzlyk syýasaty ulanyp, bu guramalaryň özara täsirini dolandyrýar.

SELinux, Fedora, CentOS-stream, Rocky Linux, AlmaLinux we ş.m. ýaly RHEL esasly paýlamalaryň köpüsinde öňünden gurlan.

5. “AppArmor”

SELinux-a meňzeşlikde, “AppArmor” hem täsirli we ulanylmagy aňsat Linux amaly howpsuzlyk ulgamyny üpjün edýän hökmany giriş gözegçiligi (MAC) howpsuzlyk modulydyr. Debian, Ubuntu we openSUSE ýaly Linux paýlamalarynyň köpüsi AppArmor gurnalan.

“AppArmor” bilen “SELinux” -yň arasyndaky esasy tapawut, ýol esasly bolmagy, ýerine ýetiriş we arz-şikaýat tertibi profilleriniň garyşmagyna mümkinçilik berýär. Şeýle hem, ösüşi ýeňilleşdirmek üçin\faýllary öz içine alýar, girmek üçin has pes päsgelçilik bar.

6. Fail2ban

şowsuz giriş synanyşyklary we başgalar, şeýle IP adresi belli bir wagt gadagan etmek üçin firewall düzgünlerini täzeleýär.

7. ModSecurity Web Application Firewall (WAF)

Trustwave's SpiderLabs tarapyndan işlenip düzülen ModSecurity erkin we açyk çeşme, güýçli we köp platformaly WAF hereketlendirijisidir. Apache, NGINX we IIS web serwerleri bilen işleýär. Birnäçe hüjümden, mysal üçin SQL sanjymlaryndan ýeterlik howpsuzlygy üpjün edip, ulgam dolandyryjylaryna we web programma döredijilerine kömek edip biler. HTTP traffigini süzmek we gözegçilik, hasaba alyş we real wagt derňewini goldaýar.

Has giňişleýin maglumat üçin göz aýlaň:

  • Debian/Ubuntu-da Nginx üçin ModSecurity-i nädip gurmaly
  • Debian/Ubuntu-da Apache bilen ModSecurity-i nädip sazlamaly

8. Howpsuzlyk surnallary

Howpsuzlyk surnallary, tutuş IT infrastrukturanyňyzyň ýa-da ýekeje Linux ulgamyňyzyň howpsuzlygy we howpsuzlygy bilen baglanyşykly wakalary yzarlamaga kömek edýär. Bu wakalar serwere, programmalara we başga-da üstünlikli we şowsuz synanyşyklary, IDS-i işjeňleşdirmegi, ýüze çykan duýduryşlary we başgalary öz içine alýar.

Ulgam dolandyryjysy hökmünde täsirli we täsirli gündelik dolandyryş gurallaryny kesgitlemeli we howpsuzlyk gündeligini dolandyrmagyň iň oňat tejribelerini goldamaly.

9. OpenSSH

OpenSSH, SSH tor protokoly bilen uzakdan girmek üçin öňdebaryjy birikdiriş guralydyr. Kompýuterleriň arasynda traffigi şifrlemek arkaly howpsuz aragatnaşyga mümkinçilik berýär, şeýlelik bilen kiber jenaýatçylardan zyýanly işleri gadagan edýär.

Ine, OpenSSH serweriňizi goramaga kömek edýän käbir peýdaly gollanmalar:

  • OpenSSH serwerini nädip goramaly we berkitmeli
  • 5 Iň oňat OpenSSH serweri Iň gowy howpsuzlyk amaly
  • Linux-da SSH parolsyz girişini nädip gurmaly

10. OpenSSL

“OpenSSL”, “Secure Sockets Layer” (SSL v2/v3) we Transport Layer Security (TLS v1) ulgam protokollaryny we olar tarapyndan talap edilýän kriptografiýa standartlaryny ýerine ýetirýän buýruk setiri guraly hökmünde elýeterli, umumy maksatly kriptografiýa kitaphanasydyr.

Adatça şahsy açarlary döretmek, CSR-leri döretmek (Şahadatnama gol çekmek haýyşlary), SSL/TLS şahadatnamany gurmak, şahadatnama maglumatlaryny görmek we başgalar ulanylýar.

11. Çozuşy kesgitlemek ulgamy (IDS)

IDS gözegçilik enjamy ýa-da programma üpjünçiligi bolup, şübheli çäreleri ýa-da syýasatyň bozulmalaryny ýüze çykarýar we bu duýduryşlar esasynda ýüze çykarylanda duýduryş döredýär, ulgam dolandyryjysy ýa-da howpsuzlyk analitigi ýa-da degişli işgärler hökmünde bu meseläni derňäp we degişli çäreleri görüp bilersiňiz. howpy aradan aýyrmak üçin.

Esasan iki görnüşli IDS bar: ýeke-täk sistema gözegçilik etmek üçin ýerleşdirilen host-esasly IDS we tutuş tora gözegçilik etmek üçin ýerleşdirilen tor esasly IDS.

Linux üçin AIDE we beýlekiler üçin köp sanly programma üpjünçiligi IDS bar.

12. Linux gözegçilik gurallary

Guramaňyzyň IT infrastrukturasynyň çäginde dürli ulgamyň, hyzmatlaryň we amaly programmalaryň elýeterliligini üpjün etmek üçin bu guramalara real wagt gözegçilik etmeli.

Muňa ýetmegiň iň gowy usuly Icinga 2 we başgalar.

13. Linux VPN gurallary

VPN (Wirtual Hususy Tor üçin gysga) internet ýaly ygtybarly ulgamlarda traffigiňizi şifrlemek mehanizmi. Jemgyýetçilik interneti arkaly guramaňyzyň toruna ygtybarly internet birikmesini üpjün edýär.

Bulutda VPN-i çalt gurmak üçin şu gollanmany gözden geçiriň: Linux-da öz IPsec VPN serwerini nädip döretmeli

14. Ulgam we maglumatlary ätiýaçlandyrmak we gurallary dikeltmek

Maglumatlaryň ätiýaçlyk nusgasy meýilleşdirilmedik hadysalar ýüze çykan halatynda guramaňyzyň möhüm maglumatlary ýitirmezligini üpjün edýär. Dikeldiş gurallary guramaňyza islendik ululykdaky betbagtçylykdan gutulmak üçin maglumatlary ýa-da ulgamlary has irki döwürde dikeltmäge kömek edýär.

Linux ätiýaçlyk gurallary barada käbir peýdaly makalalar:

  • Linux ulgamlary üçin 25 ätiýaçlyk kömekçi enjamlar
  • Linux serwerleri üçin iň oňat 7 açyk çeşme\Disk klonlaşdyryş/ätiýaçlyk gurallary
  • Dynç alyň we dikeldiň - Linux ulgamyny ätiýaçlaň we dikeldiň
  • Clonezilla ulanyp Linux diski nädip klonlamaly ýa-da ätiýaçlamaly

15. Linux maglumatlary şifrlemek gurallary

Şifrlemek, maglumatlary goramagyň iň ygtybarly usuly bolup, diňe ygtyýarly taraplaryň saklanýan ýa-da üstaşyr maglumatlara elýeterliligini üpjün edýär. Howpsuzlyk üçin ulanyp boljak Linux ulgamlary üçin köp sanly maglumatlary şifrlemek gurallaryny taparsyňyz.

16. Lynis - Howpsuzlyk barlag guraly

Lynis erkin, açyk çeşme, çeýe we meşhur öý howpsuzlygy barlagy we gowşak goralanlygy barlamak we baha bermek guralydyr. Linux ulgamlarynda we Mac OS X ýaly Unix ýaly beýleki operasiýa ulgamlarynda işleýär.

17. Nmap - Tor skaneri

Nmap (Network Mapper üçin gysga) torda gözleg ýa-da howpsuzlyk barlagy üçin giňden ulanylýan, erkin, açyk çeşme we aýratynlyklara baý howpsuzlyk guralydyr. Bu platforma, şonuň üçin Linux, Windows we Mac OS X-da işleýär.

18. Wireshark

Wireshark, doly/güýçli tor paket analizatory bolup, soňra/awtonom derňew üçin saklanyp bilinjek paketleri göni ele almaga mümkinçilik berýär.
Şeýle hem, platforma bolup, Linux esasly operasiýa ulgamlary, Mac OSX we Windows ýaly Unix ýaly ulgamlarda işleýär.

19. Nikto

Nikto, belli bir gowşaklyklar we ýalňyş konfigurasiýa üçin web sahypasyny/programmany, wirtual hosty we web serwerini skanerleýän güýçli, açyk çeşme web skaneridir.

Synag geçirmezden ozal gurlan web serwerlerini we programma üpjünçiligini kesgitlemäge synanyşýar.

20. Linux täzelenmesi

Iň soňkusy, ulgam dolandyryjysy hökmünde iň soňky howpsuzlyk düzedişleriniň bardygyny anyklamak üçin operasiýa ulgamyndan başlap, gurnalan paketlere we amaly programmalara çenli yzygiderli programma üpjünçiligini täzelemeli.

$ sudo apt update         [On Debian, Ubuntu and Mint]
$ sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
$ sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
$ sudo zypper update      [On OpenSUSE]    

Bu siziň üçin bar zat. Bu sanaw bolmalysy ýaly gysga. Şeýle pikir edýän bolsaňyz, aşakdaky seslenme formasy arkaly okyjylarymyza mälim bolmaly has köp gural bilen paýlaşyň.