Лучшие практики безопасности в Linux

Question

Какие рекомендации по безопасности вы бы настоятельно рекомендовали при обслуживании сервера Linux?
(то есть вызвать брандмауэр, отключить ненужные службы, остерегаться исполняемых файлов suid и т. д.)

Также: есть ли определенная ссылка на Selinux?

РЕДАКТИРОВАТЬ: Да, я планирую разместить машину в Интернете, по крайней мере с openvpn, ssh и apache (на данный момент, без динамического контента), и предоставить доступ к оболочке для некоторых людей.

Answer 1

Для SELinux я нашел SELinux By Example , чтобы быть действительно полезным. В нем подробно рассказывается о том, как сохранить безопасность, насколько это возможно, и он довольно хорошо написан для такой широкой темы.

В общем, хотя:

• Отключите все, что вам не нужно. Чем шире область атаки, тем больше вероятность нарушения.
• Используйте слой системы обнаружения вторжений (IDS) перед любыми значимыми серверами.
• Храните серверы в другой зоне безопасности, отличной от вашей внутренней сети.
• Разверните обновления как можно быстрее.
• Будьте в курсе 0-дневных атак для ваших удаленно доступных приложений.

Answer 2

Документ NSA «Руководство по безопасности NSA для RHEL5» доступен по адресу:

http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf

, что довольно полезно и, по крайней мере, систематично.

Answer 3

Краткий ответ, это зависит. Это зависит от того, для чего вы его используете, что, в свою очередь, влияет на то, сколько усилий вы должны приложить для обеспечения безопасности.

В ответах на этот вопрос есть несколько полезных советов: Защита веб-сервера linux для публичного доступа

Если вы не выбрасываете коробку в Интернет, некоторые из этих ответов не будут актуальны. если вы подбрасываете его в Интернет и , где размещается что-то даже смутное, интересное, эти ответы слишком утомительны для вас.

Answer 4

• Ограничьте программное обеспечение только теми, которые вы действительно используете
• Ограничение прав пользователей с помощью sudo, ACL, возможностей ядра и политик SELinux / AppArmor / PaX
• Принудительно использовать жесткие пароли (без понятных человеку слов, без дат дня рождения и т. Д.)
• Создание LXC-хонернеров, тюрьм для chroot или vserver для «опасных» приложений
• Установите несколько IDS, например, Snort для сетевого трафика и OSSEC для анализа логов
• Мониторинг сервера
• Зашифруйте свои разумные данные (truecrypt - дар богов)
• Патч вашего ядра с GRSecurity: это добавляет действительно хороший уровень паранойи

Это более или менее то, что я бы сделал.

Редактировать: я добавил несколько идей, которые ранее забыл назвать ...

Answer 5

Цели: Самое сложное - всегда определять ваши цели безопасности. В остальном все относительно просто.

Зондирование / исследования: Рассмотрим тот же подход, который использовали бы злоумышленники, то есть разведку сети (для этого довольно полезно namp).

Дополнительная информация: SELinux - пример полезной книги, найти хороший централизованный источник информации SELinux по-прежнему сложно. У меня есть небольшой список полезных ссылок, которые я нахожу полезными время от времени http://delicious.com/reverand_13/selinux

Полезное решение / инструменты: Как и то, что большинство людей скажет меньше, тем больше. Для разборной коробки с SELinux из коробки я бы предложил клип (http://oss.tresys.com/projects/clip). Мой друг использовал его в академической симуляции, в которой коробка подверглась прямому нападению со стороны других участников. благоприятно для указанной коробки.

Возможно, вы захотите ознакомиться с написанием политики SELinux. Модульная политика также может помочь. Вам могут помочь такие инструменты, как SLIDE и seedit (еще не пробовал).

Answer 6

1.) Включение только необходимых и соответствующих портов.

2.) Регулярное сканирование входных и выходных сетевых данных

3.) Регулярное сканирование IP-адресов, обращающихся к серверу, и проверка наличия каких-либо необычных действий с данными, связанных с этими IP-адресами, обнаруженными в журналах / трассировках

4.) Если на сервере должны присутствовать некоторые важные и конфиденциальные данные и код, возможно, они могут быть зашифрованы

-AD

Answer 7

Не используйте DNS-сервер, если нет необходимости. BIND был горячей точкой проблем безопасности и эксплойтов.