Как усилить защиту Ubuntu Server 18.04 за 5 простых шагов

Linux известен как один из самых безопасных операционные системы доступный. Но это не значит, что вы можете рассчитывать на его максимальную безопасность прямо из коробки. Есть несколько быстрых и простых шагов, которые вы можете предпринять, чтобы сделать вашу платформу еще более безопасной.

Вот пять задач по усилению безопасности, которые нужно выполнить на недавно установленной платформе Ubuntu Server 18.04.

Безопасная общая память

Первое, что вам следует сделать, - это обезопасить общий объем памяти используется в системе. Если вы не знаете, разделяемую память можно использовать для атаки на работающую службу. Из-за этого защитите эту часть системной памяти. Вы можете сделать это, изменив /etc/fstab файл. Вот как:

1. Откройте файл для редактирования, введя команду:

   судо нано / и т. д. / fstab
   

2. Добавьте следующую строку в конец этого файла:

   tmpfs / run / shm tmpfs по умолчанию, noexec, nosuid 0 0
   

3. Сохраните и закройте файл.

4. Чтобы изменения вступили в силу, перезагрузите сервер с помощью этой команды:

   перезагрузка sudo
   

   

Включить вход по SSH только для определенных пользователей

Используйте инструмент Secure Shell (SSH) для входа на удаленные серверы Linux. Хотя SSH по умолчанию достаточно безопасен, вы можете сделать его более безопасным, включив вход по SSH только для определенных пользователей, например, если вы хотите разрешить SSH-вход только для пользователя. Джек, с IP-адреса 192.168.1.162.

Вот как это сделать:

1. Откройте окно терминала.

2. Откройте файл конфигурации SSH для редактирования с помощью этой команды:

   sudo nano / etc / ssh / sshd_config
   

3. Внизу файла добавьте строку:

   AllowUsers [email protected]
   

   

4. Сохраните и закройте файл.

5. Перезапустите sshd с помощью этой команды:

   sudo systemctl перезапустить sshd
   

Secure Shell теперь разрешает доступ только пользователю Джек с IP-адреса 192.168.1.162. Если пользователь, отличный от Джек пытается подключиться к серверу по SSH, им будет предложено ввести пароль, но пароль не будет принят (независимо от того, правильный ли он), и вход будет запрещен.

Вы можете использовать подстановочные знаки, например, для предоставления доступа всем пользователям с определенного IP-адреса. Если вы хотите разрешить всем пользователям вашей локальной сети доступ к серверу через SSH, добавьте следующую строку:

AllowUsers *@192.168.1.*

Перезагрузите SSH-сервер, и все готово.

Включите баннер для входа в систему безопасности

Хотя добавление баннера для входа в систему безопасности может показаться не самой эффективной мерой безопасности, оно имеет свои преимущества. Например, если нежелательный пользователь получает доступ к вашему серверу и видит, что вы включили конкретный информация в баннере входа (предупреждающая их о последствиях своих действий), они могут дважды подумать продолжение. Вот как это настроить:

1. Откройте окно терминала.

2. Выполните команду:

   судо нано /etc/issue.net
   

3. Отредактируйте файл, чтобы добавить подходящее предупреждение.

4. Сохраните и закройте файл.

5. Отключите баннерное сообщение от Message Of The Day (motd). Откройте терминал и введите команду:

   судо нано /etc/pam.d/sshd
   

6. Открыв этот файл для редактирования, закомментируйте следующие две строки (добавив # в начало каждой строки):

   сеанс необязательный pam_motd.so motd = / run / motd.dynamic
   сеанс необязательный pam_motd.so noupdate
   

7. Далее откройте /etc/ssh/sshd_config командой:

   sudo nano / etc / ssh / sshd_config
   

8. Раскомментируйте строку (удалите # условное обозначение):

   Баннер /etc/issue.net
   

9. Сохраните и закройте этот файл.

10. Перезагрузите SSH-сервер с помощью команды:

    sudo systemctl перезапустить sshd
    

11. Когда кто-то входит на ваш сервер с помощью SSH, они видят ваш недавно добавленный баннер, предупреждающий их о любых последствиях дальнейших действий.

    

Ограничить доступ SU

Если не настроено иное, пользователи Linux могут использовать su команда перейти на другого пользователя. Когда они это сделают, они получат привилегии, предоставленные этому другому пользователю. Итак, если пользователь А (имеющий ограниченный доступ к серверу) использует вс изменить на пользователя B (у кого менее ограниченный доступ к серверу), пользователь А теперь пользователь B и может сделать больше с сервером. Из-за этого отключите доступ к команде su. Вот как:

1. Создайте новую группу администраторов на сервере с помощью этой команды:

   sudo groupadd admin
   

2. Добавьте пользователей в эту группу, например, чтобы добавить пользователя Джек в группу. Команда для этого:

   sudo usermod -a -G admin jack
   

   Если вы вошли в систему как пользователь Джек, выйдите из системы и войдите снова, чтобы изменения вступили в силу.

3. Предоставьте доступ к команде su группе администраторов с помощью команды:

   sudo dpkg-statoverride --update --add root admin 4750 / bin / su
   

4. Если вы войдете на свой сервер Ubuntu как пользователь Джек и попытайтесь использовать команду su для переключения на другого пользователя, это разрешено, потому что Джек является членом администратора. Другим пользователям запрещен доступ к команде su.

   

Установить fail2ban

Fail2ban - это система предотвращения вторжений, которая отслеживает файлы журналов и ищет определенные шаблоны, соответствующие неудачной попытке входа в систему. Если с определенного IP-адреса обнаруживается определенное количество неудачных попыток входа в систему (в течение указанного периода времени), fail2ban блокирует доступ с этого IP-адреса.

Вот как установить fail2ban:

1. Откройте окно терминала и выполните эту команду:

   sudo apt-get установить fail2ban
   

2. Каталог /etc/fail2ban содержит основной файл конфигурации, jail.conf. Также в этом каталоге находится подкаталог, тюрьма.d. В jail.conf файл является основным файлом конфигурации и тюрьма.d содержит вторичные файлы конфигурации. Не редактируйте jail.conf файл. Вместо этого создайте новую конфигурацию, которая отслеживает вход в систему по SSH. Введите следующую команду:

   sudo nano /etc/fail2ban/jail.local
   

3. В этот новый файл добавьте следующее содержимое:

   [sshd]
   enabled = true
   порт = 22
   фильтр = sshd
   logpath = /var/log/auth.log
   maxretry = 3
   

   Эта конфигурация включает тюрьму, устанавливает порт SSH для мониторинга на 22, использует фильтр sshd и устанавливает файл журнала для мониторинга.

4. Сохраните и закройте этот файл.

5. Перезапустите fail2ban с помощью команды:

   sudo systemctl перезапуск fail2ban
   

6. Если вы попытаетесь использовать Secure Shell на этом сервере и трижды не сможете войти в систему (установлено по умолчанию с помощью fail2ban), доступ из айпи адрес вы работаете с.