Az Ubuntu Server 18.04 keményítése 5 egyszerű lépésben

Linux köztudottan az egyik legbiztonságosabb operációs rendszer elérhető. Ez azonban nem jelenti azt, hogy a dobozból a lehető legbiztonságosabb lesz. Néhány gyors, egyszerű lépést megtehet annak érdekében, hogy platformja még biztonságosabb legyen.

Íme öt biztonságnövelő feladat, amelyeket egy frissen telepített Ubuntu Server 18.04 platformon kell végrehajtani.

Biztonságos megosztott memória

Az egyik első dolog, amit meg kell tennie, a megosztott adatok biztonsága memória használják a rendszeren. Ha nem tud róla, a megosztott memória használható egy futó szolgáltatás elleni támadásban. Emiatt biztosítsa a rendszermemória ezen részét. Ezt úgy teheti meg, hogy módosítja a /etc/fstab fájlt. Itt van, hogyan:

1. Nyissa meg a fájlt szerkesztésre a következő parancs kiadásával:

   sudo nano /etc/fstab
   

2. Adja hozzá a következő sort a fájl aljához:

   tmpfs /run/shm tmpfs alapértelmezett, noexec, nosuid 0 0
   

3. Mentse és zárja be a fájlt.

4. A változtatások életbe léptetéséhez indítsa újra a szervert ezzel a paranccsal:

   sudo újraindítás
   

   

Az SSH bejelentkezés engedélyezése csak meghatározott felhasználók számára

A Secure Shell (SSH) eszközzel jelentkezhet be távoli Linux-kiszolgálóira. Bár az SSH alapértelmezés szerint meglehetősen biztonságos, biztonságosabbá teheti, ha csak bizonyos felhasználók számára engedélyezi az SSH-bejelentkezést, például ha csak az SSH-belépést szeretné engedélyezni a felhasználó számára. Jack, IP-címről 192.168.1.162.

Ezt a következőképpen teheti meg:

1. Nyisson meg egy terminál ablakot.

2. Nyissa meg az SSH konfigurációs fájlt szerkesztéshez ezzel a paranccsal:

   sudo nano /etc/ssh/sshd_config
   

3. A fájl aljára adja hozzá a következő sort:

   AllowUsers [email protected]
   

   

4. Mentse és zárja be a fájlt.

5. Indítsa újra az sshd-t ezzel a paranccsal:

   sudo systemctl indítsa újra az sshd-t
   

A Secure Shell mostantól csak a felhasználó általi belépést engedélyezi Jack IP címről 192.168.1.162. Ha a felhasználó nem Jack Megpróbál SSH-t küldeni a szerverre, akkor a rendszer jelszót kér, de a jelszót a rendszer nem fogadja el (függetlenül attól, hogy helyes-e), és megtagadják a belépést.

Használhat helyettesítő karaktereket, például hozzáférést biztosíthat az összes felhasználónak egy adott IP-címről. Ha azt szeretné, hogy a helyi hálózat minden felhasználója hozzáférjen a szerverhez SSH-n keresztül, adja hozzá a következő sort:

AllowUsers *@192.168.1.*

Indítsa újra az SSH-kiszolgálót, és már mehet is.

Tartalmazzon biztonsági bejelentkezési szalaghirdetést

Bár a biztonsági bejelentkezési szalaghirdetés hozzáadása nem tűnik a leghatékonyabb biztonsági intézkedésnek, ennek vannak előnyei. Például, ha egy nem kívánt felhasználó hozzáfér a szerveréhez, és ha látja, hogy adott bejelentkezési szalaghirdetésben (figyelmezve őket tetteik következményeire), kétszer is meggondolhatják folytatva. A következőképpen állíthatja be:

1. Nyissa meg a terminál ablak.

2. Adja ki a parancsot:

   sudo nano /etc/issue.net
   

3. Szerkessze a fájlt a megfelelő figyelmeztetés hozzáadásához.

4. Mentse és zárja be a fájlt.

5. Tiltsa le a szalaghirdetést a Nap üzenete (motd) alkalmazásból. Nyisson meg egy terminált, és adja ki a következő parancsot:

   sudo nano /etc/pam.d/sshd
   

6. Ha ez a fájl szerkesztésre nyitva van, írja be megjegyzésekkel a következő két sort (adjon hozzá egy # minden sor elejére):

   munkamenet opcionális pam_motd.so motd=/run/motd.dynamic
   munkamenet opcionális pam_motd.so noupdate
   

7. Következő, nyissa meg /etc/ssh/sshd_config paranccsal:

   sudo nano /etc/ssh/sshd_config
   

8. Törölje a sor megjegyzését (távolítsa el a # szimbólum):

   Banner /etc/issue.net
   

9. Mentse el és zárja be a fájlt.

10. Indítsa újra az SSH-kiszolgálót a következő paranccsal:

    sudo systemctl indítsa újra az sshd-t
    

11. Amikor valaki SSH használatával jelentkezik be a szerverére, látja az újonnan hozzáadott szalaghirdetést, amely figyelmezteti a további lépések következményeire.

    

SU hozzáférés korlátozása

Hacsak nincs másként konfigurálva, a Linux-felhasználók használhatják a su parancsot hogy másik felhasználóra váltson. Amikor ezt megteszik, megkapják az adott másik felhasználónak biztosított jogosultságokat. Tehát ha felhasználó A (akinek korlátozott hozzáférése van a szerverhez) használja su felhasználóra váltani B (akinek kevésbé korlátozott hozzáférése van a szerverhez), felhasználó A most felhasználó B és többet tud tenni a szerveren. Emiatt tiltsa le a su parancs elérését. Itt van, hogyan:

1. Hozzon létre egy új rendszergazdai csoportot a szerveren ezzel a paranccsal:

   sudo groupadd admin
   

2. Felhasználók hozzáadása ehhez a csoporthoz, például felhasználó hozzáadásához Jack a csoporthoz. A parancs ehhez a következő:

   sudo usermod -a -G rendszergazdai jack
   

   Ha felhasználóként van bejelentkezve Jack, jelentkezzen ki, majd jelentkezzen be, hogy a változtatások életbe lépjenek.

3. Adjon hozzáférést a su parancshoz az adminisztrációs csoportnak a következő paranccsal:

   sudo dpkg-statooverride --update --add root admin 4750 /bin/su
   

4. Ha felhasználóként jelentkezik be az Ubuntu szerverére Jack és próbálja meg a su paranccsal váltani egy másik felhasználóra, ez megengedett, mert Jack az admin tagja. A többi felhasználó nem férhet hozzá a su parancshoz.

   

Telepítse a fail2ban-t

A Fail2ban egy behatolás-megelőzési rendszer, amely figyeli a naplófájlokat, és megkeresi a sikertelen bejelentkezési kísérletnek megfelelő mintákat. Ha bizonyos számú sikertelen bejelentkezést észlel egy adott IP-címről (meghatározott időn belül), a fail2ban blokkolja a hozzáférést az adott IP-címről.

A fail2ban telepítése a következőképpen történik:

1. Nyisson meg egy terminálablakot, és adja ki ezt a parancsot:

   sudo apt-get install fail2ban
   

2. A címtár /etc/fail2ban tartalmazza a fő konfigurációs fájlt, jail.conf. Szintén ebben a könyvtárban van az alkönyvtár, börtön.d. Az jail.conf fájl a fő konfigurációs fájl és börtön.d tartalmazza a másodlagos konfigurációs fájlokat. Ne szerkessze a jail.conf fájlt. Ehelyett hozzon létre egy új konfigurációt, amely figyeli az SSH-bejelentkezéseket. Írja be a következő parancsot:

   sudo nano /etc/fail2ban/jail.local
   

3. Ehhez az új fájlhoz adja hozzá a következő tartalmat:

   [sshd]
   engedélyezve = igaz
   port = 22
   szűrő = sshd
   logpath = /var/log/auth.log
   maxretry = 3
   

   Ez a konfiguráció lehetővé teszi a börtönt, 22-re állítja a figyelendő SSH-portot, használja az sshd-szűrőt, és beállítja a figyelendő naplófájlt.

4. Mentse el és zárja be a fájlt.

5. Indítsa újra a fail2ban-t a következő paranccsal:

   sudo systemctl restart fail2ban
   

6. Ha megkísérli Secure Shell-t a kiszolgálóra, és háromszor meghiúsul a bejelentkezés (a fail2ban alapértelmezettként állítja be), a hozzáférés blokkolva lesz a IP-cím től dolgozol.