10 zabiegów, którym powinieneś poddać nowego Linuksa przed podłączeniem go do Internetu

Wprowadzenie: Nieważne jakiej dystrybucji używasz - jest co najmniej 10 rzeczy do zrobienia, by właściwie przygotować system operacyjny do połączenia z Internetem.
1. Twój cel
Linuks, tak jak Microsoft Windows, jest zwyczajnie komputerowym systemem operacyjnym. Gdy rozmawiam z przyjaciółmi lub współpracownikami, którzy po raz pierwszy zapoznają się z Linuksem, jest to podstawowy fakt, jaki podkreślam. Linuks nie jest magiczną różdżką, za dotknięciem której znikają wszelkie komputerowe problemy. System ten, podobnie jak Windows, ma swój własny zbiór problemów. Nie istnieje coś takiego jak doskonały lub całkowicie bezpieczny system operacyjny. Czy maszyna będzie desktopem, czy serwerem? Przeznaczenie jest kluczem do zrozumienia jak przeprowadzić instalację i konfigurację Linuksa.
2. Instalacja
W odróżnieniu od Windows, Linuks sam w sobie nie istnieje w wersji serwerowej czy desktopowej. Podczas typowej instalacji Linuksa to do ciebie należy wybór, jakie oprogramowanie chcesz zainstalować, a poprzez to - jaki typ systemu konstruujesz. Z tego powodu musisz uważać na pakiety, które instalator instaluje za ciebie. Na przykład niektóre dystrybucje konfigurują i uruchamiają serwer Samby lub poczty jako część instalacji podstawowej. W zależności od przeznaczenia twojego Linuksa i poziomu bezpieczeństwa, jaki jesteś gotowy zaakceptować, te usługi mogą być niepotrzebne lub wręcz niepożądane. Poświęcanie czasu na zaznajomienie się z instalatorem swojego systemu może zapobiec wielu problemom i/lub reinstalacjom w przyszłości.
3. Zainstaluj i skonfiguruj programowy firewall
Lokalny, programowy firewall może zapewnić doraźny poziom bezpieczeństwa dla każdego typu sieci. Tego typu firewalle pozwalają ci filtrować ruch sieciowy, który przychodzi do twojego komputera, i są dość podobne do Windows Firewall. Pakiet Mandrivy o nazwie Shorewall, oprócz komponentu kernela pod nazwą Netfilter, dostarcza programowego firewalla. Poprzez instalację i konfigurację Shorewalla w trakcie procesu instalacyjnego możesz ograniczyć lub zablokować określony typ ruchu sieciowego, czy to przychodzącego, czy wychodzącego.
Aby dostać się do firewalla w Mandrivie i skonfigurować jego ustawienia użyj polecenia mcc lub wejdź do Centrum Sterowania Mandriva. W opcjach bezpieczeństwa wybierz ikonę firewalla, a zostanie pokazana lista aplikacji, które mogą wymagać dostępu do sieci przez firewall. Na przykład zaznaczenie kratki "Serwer SSH" otworzy port 22 wymagany przez Secure Shell server do bezpiecznego zdalnego dostępu. Istnieje również sekcja zaawansowana, która pozwala na wprowadzenie rzadziej używanych portów. Na przykład wprowadzenie "8000/tcp" otworzy w twoim komputerze port 8000 dla ruchu sieciowego opartego na protokole TCP.
Blokowanie lub dopuszczanie ruchu sieciowego jest jedną z warstw bezpieczeństwa, ale jak zabezpieczyć usługę, która ma zezwolenie na łączenie się z Internetem lub intranetem? Bezpieczeństwo oparte na listach hostów jest kolejną warstwą.
4. Konfiguracja plików /etc/hosts.deny i /etc/hosts.allow
W poprzednim punkcie przyjrzeliśmy się przykładowi otwarcia ruchu sieciowego dla usługi Secure Shell poprzez odblokowanie portu 22 w naszym firewallu. Dla dalszego zabezpieczenia tej usługi przed niechcianym ruchem, czy potencjalnymi włamywaczami, możemy ograniczyć liczbę hostów lub komputerów, które mają prawo łączyć się z tą aplikacją. Pliki /etc/hosts.deny i /etc/hosts.allow pozwalają nam to właśnie uczynić.
Kiedy komputer usiłuje uzyskać dostęp do usługi takiej, jak SSH na twoim świeżo zainstalowanym Linuksie, pliki /etc/hosts.deny i /etc/hosts.allow zostaną przetworzone i dostęp zostanie przyznany bądź nie na podstawie łatwo konfigurowalnych zasad. Dość często dla komputerów biurkowych bardzo dobrym rozwiązaniem jest umieszczenie następującej linijki w pliku /etc/hosts.deny:

ALL: ALL

Taki zapis zablokuje wszystkim hostom dostęp do wszystkich usług. Na pierwszy rzut oka może się to wydawać dość restrykcyjne, ale potem dodamy hosty do pliku /etc/hosts.allow, co pozwoli nam na dostęp do usług. Następujące linijki są przykładami zezwolenia niektórym hostom na dostęp do SSH:

sshd: 192.168.0.1             #allow 192.168.0.1 to access ssh
sshd: somebox.somedomain.com  #allow somebox.somedomain.com to access ssh

Te dwa pliki umożliwiają własne filtrowanie oparte na listach hostów.
5. Wyłącz lub usuń zbędne usługi
Podobnie jak w Windows, w tle mogą być uruchomione usługi, których albo nie chcesz, albo nie potrzebujesz używać. Poprzez wydanie linuksowej komendy chkconfig możesz zobaczyć działające usługi i włączyć lub wyłączyć je w zależności od potrzeb. W usługach, które nie działają, nie można wykorzystać luk bezpieczeństwa i nie zabierają one cennych cykli procesora.
6. Zabezpiecz potrzebne usługi
Jeśli jakieś z usług twojego nowego Linuksa otrzymują połączenia z Internetu, upewnij się, że znasz ich konfigurację i skonfiguruj je odpowiednio. Na przykład, jeśli twój Linuks otrzymuje połączenia SSH upewnij się, że sprawdziłeś plik sshconfig (w Mandrivie to /etc/ssh/sshd_config) i wyłączyłeś opcje takie jak logowanie jako root. Każdy Linuks ma użytkownika root, więc powinieneś wyłączyć logowanie jako root przez SSH, aby uniemożliwić próby złamania hasła konta root metodą siłową.
7. Skonfiguruj opcje bezpieczeństwa sieciowego w kernelu
Jądro Linuksa samo w sobie może zapewnić dodatkowe bezpieczeństwo sieciowe. Zapoznaj się z opcjami w pliku /etc/sysctl.conf i skonfiguruj je odpowiednio. Opcje w tym pliku kontrolują na przykład, jaki typ informacji sieciowej jest zapisany w twoich logach systemowych.
8. Podłącz komputer do rutera
Ruter sprzętowy jest w dzisiejszych czasach dość popularnym elementem sprzętu komputerowego w gospodarstwach domowych. To pierwsza linia bezpieczeństwa sieciowego każdej sieci domowej czy firmowej i sprawia, że wiele komputerów może dzielić jeden stały lub zewnętrzny adres IP. To jest, ogólnie rzecz biorąc, zła wiadomość dla każdego włamywacza czy szkodliwego oprogramowania, gdyż ruter blokuje cały ruch sieciowy, na który konkretnie nie zezwoliłeś. Domowe rutery sieciowe są po prostu mniejszymi wersjami tego, czego duże firmy używają do odseparowania swojej sieci firmowej od Internetu.
9. Uaktualniaj
Dbaj, by oprogramowanie na twoim komputerze było zawsze uaktualnione najnowszymi łatkami bezpieczeństwa, nieważne czy używasz Linuksa, Windows, BSD czy BógWieCzego. Twoja dystrybucja regularnie publikuje w Internecie łatki bezpieczeństwa, które powinieneś stosować. Podobnie jak w przypadku Windows, powinien to być twój pierwszy punkt docelowy w Internecie.
10. Inne oprogramowanie
Twoim drugim internetowym punktem docelowym może być oprogramowanie zabezpieczające lub monitorujące system.
Bastille-Linux jest programem, który może zostać użyty do "wzmocnienia" lub zabezpieczenia pewnych stron twojego nowego Linuksa. Interaktywnie rozwija on politykę bezpieczeństwa, która jest stosowana w systemie i może tworzyć raporty nt. potencjalnych luk bezpieczeństwa. Przede wszystkim jest to wspaniałe narzędzie do nauki szczegółów zabezpieczania twojego Linuksa.
Tripwire jest pakietem programów, które monitorują twoje binaria systemowe pod kątem nieautoryzowanych modyfikacji. Często włamywacz stara się je zmodyfikować, co może być przydatne w poszukiwaniu prób i wykryciu włamania. Zmodyfikowane programy wysyłałyby następnie do ciebie zafałszowane informacje, pozwalając włamywaczowi na przejmowanie kontroli nad twoim systemem.

Ukryj wszystkie komentarze Rozwiń wszystkie Zwiń wszystkie