1. Настроить среду предзагрузки до установки Linux
Позаботиться о безопасности системы нужно ещё перед установкой Linux. Вот набор рекомендаций для настройки компьютера, которые стоит учесть и выполнить до установки операционной системы:
- Загрузка в режиме UEFI (не legacy BIOS – о нем подраздел ниже)
- Установить пароль на настройку UEFI
- Активировать режим SecureBoot
- Установить пароль на уровне UEFI для загрузки системы
2. Выбрать подходящий дистрибутив Linux
Скорее всего, вы выберете популярные дистрибутивы — Fedora, Ubuntu, Arch, Debian, или другие близкие ответвления. В любом случае, вам нужно учитывать обязательное наличие этих функций:
- Поддержка принудительного (MAC) и ролевого контроля доступа (RBAC): SELinux/AppArmor/GrSecurity
- Публикация бюллетеней безопасности
- Регулярный выпуск обновлений безопасности
- Криптографическая верификация пакетов
- Поддержка UEFI и SecureBoot
- Поддержка полного нативного шифрования диска
Рекомендации по установке дистрибутивов
Все дистрибутивы отличаются, но существуют моменты, на которые обязательно стоит обратить внимание и выполнить:
- Использовать полное шифрование диска (LUKS) с надёжной ключевой фразой
- Процесс подкачки страниц должен быть зашифрован
- Установить пароль для редактирования boot-загрузчика
- Надёжный пароль на root-доступ
- Использовать аккаунт без привилегий, относящийся к группе администраторов
- Установить для пользователя надёжный пароль, отличный от пароля на root
3. Настроить автоматические обновления безопасности
Один из основных способов обеспечить безопасность операционной системы — обновлять программное обеспечение. Обновления часто исправляют найденные баги и критические уязвимости.
В случае с серверными системами есть риск возникновения сбоев во время обновления, но, по нашему мнению, проблемы можно свести к минимуму, если автоматически устанавливать только обновление безопасности.
Автообновление работает исключительно для установленных из репозиториев, а не скомпилированных самостоятельно пакетов:
- В Debian/Ubuntu для обновлений используется пакет unattended upgrades
- В CentOS для автообновления используется yum-cron
- В Fedora для этих целей есть dnf-automatic
Для обновления используйте любой из доступных RPM-менеджеров пакетов командами:
yum update
или
apt-get update && apt-get upgrade
Также для поддержания безопасности в ядре Linux есть защитные расширения, например, SELinux. Такое расширение поможет сберечь систему от неправильно настроенных или опасных программ.
SELinux — это гибкая система принудительного контроля доступа, которая может работать одновременно с избирательной системой контроля доступа. Запущенные программы получают права на доступ к файлам, сокетам и прочим процессам, и SELinux устанавливает ограничения так, чтобы вредные приложения не смогли сломать систему.
4. Ограничить доступ к внешним системам
Следующий после обновления способ защиты — ограничить доступ к внешним сервисам. Для этого нужно отредактировать файлы /etc/hosts.allow и /etc/hosts.deny.
Вот пример того, как ограничить доступ к telnet и ftp:
В файле /etc/hosts.allow:
hosts.allow
in.telnetd: 123.12.41., 126.27.18., .mydomain.name, .another.name
in.ftpd: 123.12.41., 126.27.18., .mydomain.name, .another.name
Пример сверху позволит выполнять telnet и ftp соединения любому хосту в IP-классах 123.12.41.* и 126.27.18.*, а также хосту с доменами mydomain.name и another.name.
Далее в файле /etc/hosts.deny’:
hosts.deny
in.telnetd: ALL
in.ftpd: ALL
Добавление пользователя с ограниченными правами
Мы не рекомендуем подключаться к серверу от имени пользователя root — он имеет права на выполнение любых команд, даже критических для системы. Поэтому лучше создать пользователя с ограниченными правами и работать через него. Администрирование можно выполнять через sudo (substitute user and do) — это временное повышение прав до уровня администратора.
Как создать нового пользователя:
Создайте пользователя, заменив administrator на желаемое имя и укажите пароль в ответ на соответствующий запрос. Вводимые символы пароля не отображаются в командной строке:
adduser administrator
adduser administrator sudo
sudo apt-get install htop
Создайте пользователя, заменив administrator на желаемое имя, и создайте пароль для его аккаунта:
useradd adminstrator && passwd administrator
usermod –aG wheel administrator
Установите период устаревания паролей командой chage:
chage -M 60 -m 7 -W 7 ИмяПользователя
chage -M 99999 ИмяПользователя
chage <span class="hljs-_">-l</span> ИмяПользователя
{ИмяПользователя}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:
- Minimum_days: Минимальное количество дней до истечения действия пароля.
- Maximum_days: Максимальное количество дней до истечения пароля.
- Warn: Количество дней перед истечением, когда пользователь будет предупреждён о приближающемся дне смены.
- Expire: Точная дата истечения действия логина.
Также стоит ограничить переиспользование старых паролей в модуле pam_unix.so и установить предельное количество неудачных попыток входа пользователя.
Чтобы узнать количество неудачных попыток входа:
faillog
faillog -r -u ИмяПользователя
lock account
passwd <span class="hljs-_">-l</span> ИмяПользователя
unlocak account
passwd -u ИмяПользователя
Убедиться, что у всех пользователей установлены пароли, можно командой:awk -F: <span class="hljs-string">'($2 == "") {print}'</span> /etc/shadow
passwd <span class="hljs-_">-l</span> ИмяПользователя
awk -F: <span class="hljs-string">'($3 == "0") {print}'</span> /etc/passwd
Вы должны увидеть только:root:x:0:0:root:/root:/bin/bash
Если появятся и другие строки, то проверьте, устанавливали ли вы для них UID на 0, ненужные строки удалите.
5. Настроить права доступа для пользователей
После установки паролей стоит убедиться, что все пользователи имеют доступ, соответствующий их рангу и ответственности. В Linux можно устанавливать права доступа на файлы и директории. Так появляется возможность создавать и контролировать различные уровни доступа для разных пользователей.
Категории доступа
Linux основана на работе с несколькими пользователями, поэтому каждый файл принадлежит одному конкретному пользователю. Даже если сервер администрирует один человек, для различных программ создаются несколько аккаунтов.
Просмотреть пользователей в системе можно командой:
cat /etc/passwd
Помимо отдельных аккаунтов существует категория доступа для групп. Каждый файл принадлежит одной группе. Один пользователь может принадлежать к нескольким группам.
groups
Вывести список всех групп в системе, где первое поле означает название группы:
cat /etc/group
Типы доступа
Для категорий пользователей есть возможность устанавливать типы доступа. Обычно это права на запуск, чтение и изменение файла. В Linux типы доступа помечаются с помощью двух видов нотаций: алфавитной и восьмеричной.
В алфавитной нотации разрешения отмечены буквами:
r = чтение
w = изменение
x = запуск
В восьмеричной нотации уровень доступа к файлам определяется числами от 0 до 7, где 0 означает отсутствие доступа, а 7 означает полный доступ на изменение, чтение и выполнение:
4 = чтение
2 = изменение
1 = запуск
6. Использовать ключи для соединения по SSH
Для подключения к хосту по SSH обычно используется аутентификация по паролю. Мы рекомендуем более безопасный способ — вход по паре криптографических ключей. В таком случае закрытый ключ используется вместо пароля, что серьёзно усложнит подбор грубой силой (brute-force).
Для примера создадим пару ключей. Действия нужно выполнять на локальном компьютере, а не на удалённом сервере. В процессе создания ключей вы можете указать пароль для доступа к ним. Если оставите это поле пустым, то не сможете использовать созданные ключи до сохранения их в keychain-менеджер компьютера.
Если вы уже создавали RSA ключи ранее, то пропустите команду генерации. Для проверки cуществующих ключей запустите:
ls ~/.ssh/id_rsa*
Для генерации новых ключей:
ssh-keygen –b 4096
Замените administrator на имя владельца ключа, а 1.1.1.1 на ip-адрес вашего сервера. С локального компьютера введите:
ssh-copy-id [email protected]
Настройка SSH
Вы можете запретить подключаться через SSH от имени root-пользователя, а для получения прав администратора использовать sudo в начале команды. На сервере в файле /etc/ssh/sshd_config нужно найти параметр PermitRootLogin и установить его значение на no.
Вы также можете запретить SSH-подключение по вводу пароля, чтобы все пользователи использовали ключи. В файле /etc/ssh/sshd_config укажите для параметра PasswordAuthentification значение no. Если этой строки нет или она закомментирована, то соответственно добавьте или разкомментируйте её.
В Debian или Ubuntu можно ввести:
nano /etc/ssh/sshd_config
...
PasswordAuthentication no
7. Установить сетевые экраны
Недавно была обнаружена новая уязвимость, позволяющая проводить DDoS-атаки на сервера под управлением Linux. Баг в ядре системы появился с версии 3.6 в конце 2012 года. Уязвимость даёт возможность хакерам внедрять вирусы в файлы загрузки, веб-страницы и раскрывать Tor-соединения, причём для взлома не нужно прилагать много усилий — сработает метод IP-спуфинга.
Максимум вреда для зашифрованных соединений HTTPS или SSH — прерывание соединения, а вот в незащищённый трафик злоумышленник может поместить новое содержимое, в том числе вредоносные программы. Для защиты от подобных атак подойдёт firewall.
Блокировать доступ с помощью Firewall
Firewall — это один из самых важных инструментов блокирования нежелательного входящего трафика. Мы рекомендуем пропускать только действительно нужный трафик и полностью запретить весь остальной.
Для фильтрации пакетов в большинстве дистрибутивов Linux есть контроллер iptables. Обычно им пользуются опытные пользователи, а для упрощённой настройки можно использовать утилиты UFW в Debian/Ubuntu или FirewallD в Fedora.
8. Отключить ненужные сервисы
Специалисты из Университета Виргинии рекомендуют отключить все сервисы, которые вы не используете. Некоторые фоновые процессы установлены на автозагрузку и работают до отключения системы. Для настройки этих программ нужно проверить скрипты инициализации. Запуск сервисов может осуществляться через inetd или xinetd.
Если ваша система настроена через inetd, то в файле /etc/inetd.conf вы сможете отредактировать список фоновых программ «демонов», для отключения загрузки сервиса достаточно поставить в начале строки знак «#», превратив её из исполняемой в комментарий.
Если система использует xinetd, то её конфигурация будет в директории /etc/xinetd.d. Каждый файл директории определяет сервис, который можно отключить, указав пункт disable = yes, как в этом примере:
service finger
{
socket_<span class="hljs-built_in">type</span> = stream
<span class="hljs-built_in">wait</span> = no
user = nobody
server = /usr/sbin/in.fingerd
<span class="hljs-built_in">disable</span> = yes
}
Также стоит проверить постоянные процессы, которые не управляются inetd или xinetd. Настроить скрипты запуска можно в директориях /etc/init.d или /etc/inittab.
/etc/rc.d/init.d/inet restart
9. Защитить сервер физически
Невозможно полностью защититься от атак злоумышленника с физическим доступом к серверу. Поэтому необходимо обезопасить помещение, где расположена ваша система. Дата-центры серьёзно следят за безопасностью, ограничивают доступ к серверам, устанавливают камеры слежения и назначают постоянную охрану.
Для входа в дата-центр все посетители должны проходить определенные этапы аутентификации. Также настоятельно рекомендуется использовать датчики движения во всех помещениях центра.
10. Защитить сервер от неавторизованного доступа
Система неавторизованного доступа или IDS собирает данные о конфигурации системы и файлах и в дальнейшем сравнивает эти данные с новыми изменениями, чтобы определить, вредны ли они для системы.
Например, инструменты Tripwire и Aide собирают базу данных о системных файлах и защищают их с помощью набора ключей. Psad используется для отслеживания подозрительной активности с помощью отчётов firewall.
Bro создан для мониторинга сети, отслеживания подозрительных схем действия, сбора статистики, выполнения системных команд и генерация оповещений. RKHunter можно использовать для защиты от вирусов, чаще всего руткитов. Эта утилита проверяет вашу систему по базе известных уязвимостей и может определять небезопасные настройки в приложениях.