Начинающим Двенадцать советов по повышению безопасности Linux

  • Автор темы OneForm
  • Дата начала
  • Просмотров 4202 Просмотров

OneForm

Продавец
93
136
27 Фев 2018
Возможно, вы уделяете внимание безопасности и периодически обновляете систему, но обычно этого недостаточно. Поэтому сегодня мы поделимся двенадцатью советами по повышению безопасности Linux-систем на примере CentOS 7.


Для просмотра ссылки Войди или Зарегистрируйся.
После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:

password required pam_cracklib.so minlen=12 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1


Для просмотра ссылки Войди или Зарегистрируйся

$ rpm -ivh epel-release-7-9.noarch.rpm

После установки репозитория EPEL, вы сможете установить и Tripwire:

$ sudo yum install tripwire

Теперь создайте файл ключей:

$ tripwire-setup-keyfiles

Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.
Когда настройка программы завершена, следует её инициализировать:

$ tripwire --init

Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.
Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.
По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:

$ tripwire --check

И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.
У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так: man tripwire


Для просмотра ссылки Войди или Зарегистрируйся

Просмотреть предопределённые сетевые зоны можно так:

$ firewall-cmd --get-zones
Для просмотра ссылки Войди или Зарегистрируйся
Каждая из этих зон имеет определённый уровень доверия.
Это значение можно обновить следующим образом:

$ firewall-cmd --set-default-zone=<new-name>


Получить подробные сведения о конкретной зоне можно так:

$ firewall-cmd --zone=<zone-name> --list-all

Просмотреть список всех поддерживаемых служб можно следующей командой:

$ firewall-cmd --get-services
Для просмотра ссылки Войди или Зарегистрируйся
Затем можно добавлять в зону новые службы или убирать существующие:

$ firewall-cmd --zone=<zone-name> --add-service=<service-name>
$ firewall-cmd --zone=<zone-name> --remove-service=<service-name>

Можно вывести сведения обо всех открытых портах в любой зоне: $ firewall-cmd --zone=<zone-name> --list-ports

Добавлять порты в зону и удалять их из неё можно так: $ firewall-cmd --zone=<zone-name> --add-port=<port-number/protocol>
$ firewall-cmd --zone=<zone-name> --remove-port=<port-number/protocol>

Можно настраивать и перенаправление портов:

$ firewall-cmd --zone=<zone-name> --add-forward-port=<port-number>
$ firewall-cmd --zone=<zone-name> --remove-forward-port=<port-number>

Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables, при работе с которым службу в похожих ситуациях нужно перезапускать.


Для просмотра ссылки Войди или Зарегистрируйся
Создайте новую группу:

$ groupadd compilerGroup

Затем измените группу бинарных файлов компилятора:

$ chown root:compilerGroup /usr/bin/gcc

И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:

$ chmod 0750 /usr/bin/gcc

Теперь любой пользователь, который попытается использовать gcc, получит сообщение об ошибке.


Для просмотра ссылки Войди или Зарегистрируйся
Атрибут иммутабельности можно удалить такой командой: $ chattr -i /mysсript
Для просмотра ссылки Войди или Зарегистрируйся
Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.
 

OneForm

Продавец
93
136
27 Фев 2018
Часть два

Управление SELinux с помощью aureport


Нередко система принудительного контроля доступа SELinux оказывается, по умолчанию, отключённой. Это не влияет на работоспособность системы, да и работать с SELinux довольно сложно. Однако, ради повышения безопасности, SELinux можно включить, а упростить управление этим механизмом можно, используя aureport.
Утилита aureport позволяет создавать отчёты на основе Для просмотра ссылки Войди или Зарегистрируйся аудита.$ aureport --avc


Для просмотра ссылки Войди или Зарегистрируйся

Список исполняемых файлов можно вывести следующей командой:$ aureport -x


Для просмотра ссылки Войди или Зарегистрируйся

Можно использовать aureport для создания полного отчёта об аутентификации:

$ aureport -au -i


Для просмотра ссылки Войди или Зарегистрируйся

Также можно вывести сведения о неудачных попытках аутентификации:

$ aureport -au --summary -i --failed


Для просмотра ссылки Войди или Зарегистрируйся

Или, возможно, сводку по удачным попыткам аутентификации:$ aureport -au --summary -i --success


Для просмотра ссылки Войди или Зарегистрируйся

Утилита aureport значительно упрощает работу с SELinux.




Для просмотра ссылки Войди или Зарегистрируйся

Самое интересное тут то, что в оповещениях можно найти советы о том, как решать соответствующие проблемы.




Итоги


Надеемся, приведённые здесь советы помогут вам сделать вашу установку Linux безопаснее. Однако, если речь идёт о защите информации, нельзя, применив те или иные меры, считать, что теперь вам ничто не угрожает. К любым программным средствам защиты всегда стоит добавлять бдительность и осторожность.