Hver ny Linux systemadministrator skal lære et par centrale begreber før dykke ned i operativsystemet og dets applikationer. Denne korte guide giver en oversigt over nogle af de væsentlige sikkerhedsforanstaltninger, som hver root-brugeren skal vide. Alle råd følger de bedste sikkerhedspraksis, der er bemyndiget af samfundet og industrien.
Master det grundlæggende i Linux Administration
Hver håbefulde Linux systemadministrator, der ønsker at sikre deres computere skal starte fra det grundlæggende. De mest grundlæggende trin indebærer oprettelse af en god sikkerhedspolitik, som skal følges af alle brugere og indført på alle tilgængelige enheder i arbejdsmiljøet. Dette udtryk bruges til at henvise til begge principper, som følges af brugerne af indretningerne, samt applikationer og operativsystem konfiguration. Afhængigt af de begrænsninger betingelser kan anlægges på forskellige typiske funktioner, som brugerne ville forvente på en desktop-konfiguration. Men på arbejdspladsen, de kan være uhensigtsmæssigt eller farligt, hvis følsomme oplysninger er adgang eller anvendes.
Den mest grundlæggende sikkerhed konfiguration, hvor alle systemadministratorer starte er konfigurationen af brugerkonti. Ifølge de bedste sikkerhedspraksis hver priviligeret bruger (at det nogen, der ikke rod) bør begrænses til at få adgang kun tjenester og udstyr (Brug af foruddefinerede brugergrupper) som er betroet til at blive brugt i deres arbejde. Alt andet skal underkendt. Bruger kontrol slutter ikke her - en god regel at følge er, at hver enkelt person skal være i besiddelse af en enkelt konto. Netværkstjenester bør være bundet til en bestemt konto, der har tilladelser kun til de tjenester og hardware, som det er forbundet.
De fleste systemadministratorer foreslår også, at ingen rent faktisk login som root. Der er flere måder at udføre administrativt uden at bruge root-kontoen. Populære værktøjer, der hjælper i denne henseende er det hans (stedfortræder bruger) og sudo (stedfortræder bruger gøre) kommandoer.
En vigtig ting er at lære og beherske filtilladelser de UNIX-stil. Unix-lignende operativsystemer og deres fordelinger giver mulighed for stor kontrol over de enkelte filer og mapper, og lære, hvad chmod Der er behov for værdier for god sikkerhed i de forskellige system mapper er et meget vigtigt skridt i at sikre et system.
Systemadministratorer kan naturligvis ikke komme videre uden at vide i dybden de vigtigste grundlæggende kommandoer - ls, cd, mv, ps, mand, røre, lokalisere, hans, chown, kat, cp, mkdir, chmod, dato, tager, grep, ssh, rmdir, rm, pwd, passwd, mere, dræbe, top, df og etc.
Også glem ikke om de alle vigtige teksteditorer såsom vi(m), emacs, nano og pico.
De Minimum Linux sikkerhedsforanstaltninger
Sandsynligvis en af de vigtigste aspekter af at arbejde med et mål GNU / Linux-distribution er en korrekt anvendelse ledelse. Afhængig af fordelingen basen vil der være en anden pakke management utility installeret. Alle systemadministratorer skal vide, hvordan du installerer, opdatere og fjerne programmer ved hjælp af disse værktøjer. Lokale brugere bør ikke være tilladt at installere tredjepartsprogrammer selv som malware ofte forklædt som legitime applikationer. Hackere har sådanne yderligere software repositories at inficere tusindvis af computere over hele verden med farlige virus.
Proaktiv sikkerhed er en vigtig egenskab, der typisk ansat ved at oprette kryptering. Sørg for at lære om de forskellige kryptering muligheder i GNU / Linux. Glem ikke at sikre, at du altid bruger sikker måde adgang, når der arbejdes på afstand. OpenSSH er den mest udbredte implementering af SSH standard, og det giver effektive funktioner, der tillader administratorer at fjernstyre udføre kommandoer, adgang grafisk software og administrere alle afhængige maskiner.
Det næste skridt er at sikre, at alt kan inddrives. De forskellige GNU / Linux-distributioner tilbyder rige konfigurationsmuligheder i opsætning af cron job, der kan hjælpe med at skabe daglige backups (både lokale og remote) og automatisere en række af de mest almindeligt anvendte administrative opgaver.
Linux Security afhængig af disse komponenter
Den absolut afgørende for enhver netværkssikkerhed er den grundige konfiguration af firewall. Linux-kernen bruger netfilter rammer, der omfatter avancerede konfigurationsmuligheder til opsætning pakkefiltrering, port oversættelse, Network Address Translation (NAT) og andre relaterede indstillinger.
En anden vigtig faktor at overveje er brugen af ansøgningen isolation under anvendelse af forskellige metoder, der er tilgængelige på Linux-systemer. Systemadministratorer kan bruge Obligatorisk Access Control (MAC) som er den mest grundlæggende form, der er almindeligt anvendt af alle. Andre valgmuligheder omfatter den moderne virtualisering og containere (Docker) metoder, der bliver mere og mere populære. Ved test enklere software nogle brugere foretrækker også at bruge chroot nytte. Systemadministratorer skal blive fortrolig med den populære SELinux ramme, som giver tilstrækkelige midler til opsætning af politikker og tilladelser for begge konti og programmer.
Hold øje med de fælles Linux sikkerhedstrusler
Ved opsætning af sikkerhedsfunktionerne i maskinerne alle administratorer bør bemærke, at der er nogle unikke egenskaber, der tilskrives Linux malware:
- Alle programmer er normalt distribueres gennem repositories eller læse made pakker. Når tredjepartsleverandører føjes til pakken management utility administratorerne bør være ekstra omhyggelig med at gennemgå sikkerheden på vedligeholder(s) og pakkerne. I nogle tilfælde kan det være sikrere at kompilere koden fra den oprindelige kilde.
- Alle filer skal have relevante tilladelser, før de kan blive henrettet.
- Mest populære bruger programmer som LibreOffice og de forskellige email-klienter ikke kører indlejrede filer eller makroer som standard som en sikkerhedsforanstaltning.
- De fleste moderne webbrowsere bede om brugerens samtykke, før du installerer eller aktivere eventuelle tredjeparts plugins.
- Hacker angreb kan ske. Og når de gør kriminelle kan kompromittere kritiske hosting steder såsom pakken repositories, billeder kan downloades og andre vigtige filer. Altid kontrollere, at den fil, du downloader, installere eller brug er legitim.
- Svag sikkerhed kan forårsage ikke bare lokal skade, men også hele netværket og endda globale forstyrrelser. Det bedste eksempel er den Mirai botnet der er mærket som en af de største angreb, vi har set i de sidste par år.
Redaktionel note:
Fra tid til anden, SensorsTechForum funktioner gæst artikler af internetsikkerhed og INFOSEC ledere og entusiaster som dette indlæg. Udtalelserne i disse gæst stillinger, dog, er helt de af bidragydende forfatter, og kan afvige de SensorsTechForum.