Linux/Unix alimenta quasi tutto su Internet . Quasi tutti i siti Web visitati su Internet sono ospitati su un server su cui è in esecuzione Linux. Questi server ospitano dati critici e riservati. Ciò potrebbe includere app e siti Web molto popolari. In questa guida alla protezione avanzata dei server Linux imparerai gli 8 modi migliori per proteggere il tuo server Linux e proteggerlo dagli hacker . Il processo di sicurezza dovrebbe essere sempre semplice e diretto. Gli hacker sono sempre alla ricerca di vulnerabilità che sfruttano per ottenere l'accesso al tuo server.
La sicurezza non è un'impostazione una tantum. Devi monitorare costantemente qualsiasi attività sospetta in corso sul tuo server. Ci sono molti aspetti negativi dell'essere hackerati e la quantità di danni che può causare alla tua azienda è pazzesca. Di seguito condivideremo con te le best practice per proteggere i server dell'ambiente di produzione .
Cominciamo!
La sicurezza dei server Linux è un'abilità molto professionale e molto richiesta. Questo è uno degli argomenti più ricercati su Linux. Il motivo è perché la maggior parte delle app e dei siti Web dell'infrastruttura critica sono in esecuzione su questo sistema operativo.
Molti amministratori di sistema spesso danno per scontata la sicurezza. Se pensi e senti che qualcosa non ti è successo in passato, non dare per scontato che non accadrà mai. La sicurezza/rafforzamento del server Linux consiste in configurazioni/impostazioni che sono best practice comprovate e raccomandazioni per migliorare la sicurezza di un server che esegue Linux.
Proteggendo una Linux Box riduci automaticamente la superficie di attacco per un hacker. Inoltre, meno funzioni svolge un server, minori saranno le possibilità che venga violato. Questo perché ci saranno meno applicazioni da sfruttare. Le vulnerabilità possono verificarsi in qualsiasi giorno e ora. È possibile che le vulnerabilità abbiano più di un decennio ed è solo questione di tempo prima che vengano trovate da un ricercatore di sicurezza.
Se ti interessa la sicurezza, è molto importante l'hardening! Questo assicurerà che il tuo server sia protetto da minacce come gli hacker. I dati dei tuoi clienti saranno al sicuro, non ci saranno tempi di inattività, i servizi funzioneranno 24 ore su 24, 7 giorni su 7 e manterrai la fiducia dei tuoi clienti.
Di seguito è riportata una guida passo passo per la protezione avanzata di Linux. Dopo aver seguito i passaggi seguenti, possiamo assicurarti che il tuo server sarà almeno il 70% più sicuro di quanto non fosse in precedenza. Assicurati di avere sempre un backup prima di apportare qualsiasi modifica. I passaggi seguenti possono essere utilizzati anche come elenco di controllo per assicurarti di aver fatto tutto da parte tua.
Ci sono 101 modi in cui un hacker può hackerare la tua macchina Linux. Ma ci sono 1001 modi per proteggerti dai loro attacchi. Per proteggere la tua console Linux dovrai assicurarti di disabilitarla per l'avvio da dispositivi esterni specifici che sono:
Dovresti disabilitare il processo di avvio delle unità precedenti solo dopo aver configurato il BIOS.
Come misura di sicurezza aggiuntiva, dovresti bloccare il bootloader di grub e il BIOS . Ciò garantirà che le impostazioni di cui sopra non possano essere modificate da chiunque abbia accesso anche fisico ai tuoi sistemi critici.
Questo è un metodo di sicurezza per il controllo dell'accesso in Linux a livello di kernel. Fornisce una gamma di modalità di ciò che può fare.
Di seguito è riportato il comando per modificare la configurazione di SELinux.
Cmd: ”/etc/selinux/config/”
Il comando Netstat ti consente di visualizzare tutte le connessioni attive al tuo server. Questo ti mostrerà tutte le porte aperte e i servizi che stanno usando.
Ti mostrerà un elenco di servizi ed è buona pratica disattivare le porte ai servizi che il tuo server non usa.
CMD per il controllo delle porte aperte: netstat-tunlp
Ora, per disabilitare le porte indesiderate dovrai usare un altro comando .
CMD per disattivare i servizi in Linux: chkconfig Nameofservice off
SSH (Secure Shell) è il modo più sicuro per connettersi al tuo server. Tuttavia, gli hacker sanno su quale porta opera e questa è la 'Porta 22'.
La modifica del numero di porta SSH offre un vantaggio in termini di sicurezza.
Seguire i passaggi seguenti per modificare la numero di porta SSH predefinito in Linux:
Promemoria: quando accedi di nuovo utilizzando SSH, utilizza il nuovo numero di porta. Supponiamo che fosse il numero di porta che abbiamo fornito nell'esempio precedente, quindi sarà, [email protected]-p 2211.
È consigliato da molti professionisti ed è anche una buona pratica comprovata che non dovresti mai eseguire SSH con un account di superutente/root. Devi disabilitare l'accesso root tramite SSH sul server.
Per disabilitare il login root sul tuo server Linux per una maggiore sicurezza segui i passaggi seguenti:
Ti consiglio di provare se funziona. Non disconnettersi dal terminale esistente. Apri un nuovo terminale, prova a connetterti di nuovo e quindi esci.
Come regola generale, dovresti non riutilizzare mai le vecchie password. Puoi facilmente impedire agli utenti di utilizzare le loro vecchie password sulla stessa macchina.
La posizione del vecchio file delle password è: /etc/security/opasswd . Questo può essere modificato solo utilizzando il modulo PAM in Linux.
Seguire i passaggi seguenti per limitare l'uso di vecchie password:
Per RHEL (Red Hat Enterprise Linux), CentOS e Fedora :
Per Debian e Ubuntu:
Dopo aver aperto la posizione del vecchio password, procedi come segue:
Dovresti installare solo i pacchetti di cui hai bisogno. NON installare pacchetti che potresti non aver bisogno o utilizzare sulla tua macchina Linux. I pacchetti possono avere vulnerabilità che possono compromettere il tuo sistema. Non hai bisogno di molti servizi contemporaneamente installati sul tuo sistema.
Dovrai trovare tutti i pacchetti inutilizzati/indesiderati sul tuo server Linux. Ciò ridurrà anche la superficie di attacco per un hacker. Meno servizi hai installato, minori sono le possibilità che tu sia vulnerabile a un attacco.
Segui i passaggi seguenti per disabilitare i pacchetti che non ti servono:
Puoi anche utilizzare il gestore di pacchetti RPM per YUM o APT-GET . Questo ti mostrerà anche un elenco di tutti i pacchetti disponibili installati.
Per rimuovere i pacchetti con YUM:
Per rimuovere i pacchetti usando apt-get:
Ti fa installare sempre il l'ultima versione di qualsiasi software in esecuzione. Questo include anche qualsiasi importante aggiornamento di Linux. Ogni giorno emergono vulnerabilità del kernel che necessitano di patch.
Le correzioni di sicurezza sono fondamentali per la tua infrastruttura. Sono un salvavita e hanno molti vantaggi per la salute del tuo sistema.
Per aggiornare il tuo server Linux, esegui i seguenti comandi nella riga di comando:
Suggerimenti per la sicurezza Linux bonus:
Nota: ci sono molte differenti distribuzioni/versioni di Linux. Questo include Ubuntu, CentOS, RHEL, Mint, Arch, OpenSUSE e Debian. Il tutorial sopra dovrebbe funzionare su tutti e ci saranno solo lievi modifiche alla CLI.
Altre guide Linux:
La sicurezza è vitale per qualsiasi parte della nostra vita e del nostro lavoro digitale. Devi mantenere tutto aggiornato, sicuro e crittografato. Non dovresti mai ignorare la sicurezza, specialmente su un server di produzione o un ambiente live.
Gli hacker sono sempre alla ricerca di server Linux vulnerabili sul web. Spero che ti sia piaciuto leggere la precedente guida all'hardening di Linux e imparato a proteggere il tuo server Linux nel 2021 seguendo le best practice e gli standard. Puoi anche salvare questa pagina come PDF e leggerla quando necessario o utilizzarla come riferimento. Puoi anche usarlo come uno script se combini tutti i comandi insieme.
Conosci altri Suggerimenti per la sicurezza di Linux ? Per favore condividili qui sotto nei commenti con noi!
Microsoft ha rilasciato il sistema operativo Windows 11 di nuova generazione nell'ultimo mese di ottobre…
Sembra che alcuni degli sfortunati utenti di Windows stiano riscontrando l'errore "Un masterizzatore di dischi…
Windows ha un'utilità integrata chiamata System File Checker o SFC che esegue la scansione dell'intero…
Il sistema operativo Windows è la piattaforma più popolare per scopi didattici e lavorativi ampiamente…
FIX 2: eseguire un ripristino del sistema:FIX 3: Esegui Controllo file di sistema:FIX 4: Aggiorna…
Il Nitro 5 è un ingombrante laptop da gioco da 2,4 kg, come è tipico…