Безопасность сервера Linux находится на достаточном уровне с момента установки ОС. И это приятно знать, потому что … хакеры никогда не спят! Они как цифровые вандалы. Получают удовольствие – а иногда и деньги – поскольку они причиняют страдания случайным незнакомцам по всей планете.
Любой, кто присматривает за своим сервером, ценит тот факт, что Linux обладает высокой степенью безопасности. Естественно, он не полностью защищен. Но он лучше защищает вас, чем большинство других операционных систем.
Тем не менее, есть много способов улучшить его. Итак, вот несколько практических способов, как вы можете удержать злые орды у ворот. Вероятно, это поможет, если вы раньше работали над веб-сервером. Но не думайте, что вы должны быть техническим гуру или чем-то в этом роде.
Оставьте сетевой порт открытым, и вы можете также выложить приветственный коврик для хакеров. Для обеспечения безопасности веб-хоста вы можете использовать команду «netstat», чтобы сообщить вам, какие сетевые порты в настоящее время открыты. А также какие сервисы ими пользуются. Это должно закрыть другой путь атаки для хакеров.
Вы также можете настроить iptables для деактивации открытых портов. Или просто используйте команду «chkconfig», чтобы закрыть службы, которые вам не нужны. Межсетевые экраны, такие как CSF, позволяют автоматизировать правила iptables, так что вы можете просто сделать это.
Порт SSH обычно равен 22, и именно здесь хакеры ожидают его найти. Чтобы повысить безопасность сервера Linux, измените его на другой номер порта, который вы еще не используете для другой службы. Таким образом, плохим парням будет труднее внедрить вредоносное ПО на ваш сервер. Чтобы внести изменения, просто перейдите в файле /etc/ssh/sshd_config и введите соответствующий номер.
YUM (Yellowdog Updater Modified) – это основной инструмент для управления и обновления Red Hat Enterprise Linux версии 5 и выше. RPM – это менеджер пакетов Red Hat. Вы можете использовать и то, и другое, чтобы поддерживать безопасность вашего Linux-сервера и программные компоненты в актуальном состоянии. Просто используйте apt-get (Ubuntu/Debian) или менеджер (CentOS/RHEL) для обновления до последних версий ваших программных компонентов.
Если вы хотите, вы можете автоматизировать обновления безопасности для Linux-сервера, используя cronjob. Это будет означать, что они устанавливаются, как только они становятся доступными. Вы должны обновить любые панели, но панели обычно делают это автоматически.
Никогда не откладывайте применение исправлений безопасности на своем веб-сервере. Думайте о том, чтобы делать это так, как будто вы оставляете входную дверь открытой весь день Чем дольше он открыт, тем больше вероятность, что кто-то плохой придет и украдет вашу мебель.
В вашем дистрибутиве Linux, вероятно, было множество вещей, которые вы никогда не будете использовать. Так что рассмотрите возможность отсеивания вещей, которые вам не нужны. Все, что вы оставляете, является лишь еще одной потенциальной точкой входа, которой могут воспользоваться незваные гости. Так что держитесь только за те услуги, без которых вы не можете обойтись. После удаления всех вредоносных программ ваш сервер снова будет работать как новый!
IPv6 лучше, чем IPv4, но вы, вероятно, не получите от этого многого – потому что никто другой. Хакеры получают что-то от этого – потому что они используют это для отправки вредоносного трафика. Таким образом, закрытие IPv6 закроет дверь в их лицах. Перейдите в файл /etc/sysconfig/network и измените настройки на NETWORKING_ IPV6=no и IPV6INIT=no. Все просто.
Серверы Linux во всем мире позволяют использовать «root» в качестве имени пользователя. Зная это, хакеры часто пытаются подорвать безопасность веб-хоста, чтобы узнать ваш пароль, прежде чем проскользнуть внутрь. Из-за этого вы не должны входить в систему как пользователь root. На самом деле, вы действительно должны удалить его как опцию, создавая еще один уровень сложности для хакеров. И, таким образом, помешать им обойти вашу безопасность просто счастливой догадкой.
Итак, все, что вам нужно, это создать отдельное имя пользователя. Затем используйте специальную команду доступа sudo для выполнения команд корневого уровня. Sudo великолепен, потому что вы можете дать его любому пользователю, которому вы хотите иметь команды администратора, но не root-доступ. Потому что вы не хотите ставить под угрозу безопасность, предоставляя им обоим.
Таким образом, вы деактивируете учетную запись root, но перед этим проверьте, что вы создали и авторизовали нового пользователя. Затем перейдите в /etc/ssh/sshd_config в nano или vi, а затем найдите параметр «PermitRootLogin». Измените настройку по умолчанию «да» на «нет», а затем сохраните изменения.
Когда данные перемещаются по вашей сети, хакеры часто пытаются поставить под угрозу безопасность сервера Linux , перехватывая их. Всегда проверяйте, что на вашем сервере и с вашего сервера есть шифрование пароля, сертификаты и ключи. Один из способов сделать это – использовать инструмент шифрования, такой как GnuPG. Он использует систему ключей, чтобы гарантировать, что никто не сможет отследить вашу информацию в пути.
Все файлы, связанные с ядром на сервере Linux, находятся в каталоге «/boot». Стандартный уровень доступа к каталогу – «чтение-запись», но рекомендуется изменить его на «только чтение». Это мешает любому изменять ваши чрезвычайно важные загрузочные файлы.
Просто отредактируйте файл /etc/fstab и добавьте значения по умолчанию LABEL =/boot/boot ext2, строки 1 2 внизу. Он полностью обратим, поэтому вы можете внести изменения в ядре в будущем, вернув его обратно в режим «чтение-запись». Затем, как только вы закончите, вы можете вернуться к «только для чтения».
Пароли всегда проблема безопасности, потому что люди. Люди не могут быть обеспокоены, придумывая много разных паролей – или, возможно, они не могут. Так что же происходит? Они используют одни и те же в разных местах. Или еще хуже – комбинации, которые легко запомнить, такие как «пароль» или «abcde». В основном, подарок хакерам.
Требуйте, чтобы пароли содержали сочетание заглавных и строчных букв, цифр и символов или генерируйте пароли с помощью Linux. Вы можете включить устаревание пароля, чтобы пользователи сбрасывали предыдущие пароли через фиксированные интервалы. Также подумайте о запрете старых паролей, так что, как только люди используют один, он исчезнет навсегда. Команда «faillog» позволяет вам ограничить количество неудачных попыток входа в систему и заблокировать учетные записи пользователей. Это идеально для предотвращения атак грубой силой.
Пароли – ваша первая линия защиты, поэтому убедитесь, что они надежны. Многие люди не знают, как выглядит хороший пароль. Это должно быть сложным, но и достаточно длинным, чтобы сделать его самым сильным.
Итак, каковы «лучшие практики» при настройке паролей?
Пароли, которые вы выбираете, должны повысить безопасность веб-хостинга, будучи непонятными и непростыми для работы. Вы также поможете своим усилиям по обеспечению безопасности, если вы дадите своей учетной записи root (Linux) или RDP (Windows) свой собственный уникальный пароль.
Брандмауэр необходим для безопасности веб-хостинга, потому что это ваша первая линия защиты от злоумышленников, и вы избалованы выбором. NetFilter встроен в ядро Linux. В сочетании с iptables вы можете использовать его для защиты от DDos-атак.
TCPWrapper – это система управления доступом на основе хоста (ACL), которая фильтрует доступ к сети для различных программ. Она имеет проверку имени хоста, стандартизированное ведение журнала и защиту от спуфинга. Брандмауэры, такие как CSF и APF, также широко используются и поставляются с плагинами для популярных панелей.
Обычно панели автоматически запрещают анонимный FTP, но в некоторых настройках он включен. Если вы разрешаете кому-либо загружать инкогнито с помощью FTP, то вы подвергаете себя значительному риску безопасности. Потому что это означает, что любой может загрязнить ваш сервер Linux всем, чем захочет. Такие как вредоносные программы или другие нежелательные и потенциально опасные материалы, так что не поддавайтесь искушению. Вы можете отключить анонимную загрузку, изменив настройки конфигурации FTP вашего сервера.
Если вы разделите свои диски, вы будете отделять файлы ОС от пользовательских файлов, файлов tmp и программ. Попробуйте отключить доступ SUID/SGID (nosuid) вместе с двоичными файлами (noexec) в разделе операционной системы.
Протокол передачи файлов (FTP) больше не является безопасным, даже если вы зашифруете свое соединение. FTP и FTPS не защитят вас от перехвата пакетов, когда ваш сетевой трафик регистрируется кем-то другим. Зашифрованы только учетные данные, которые никому не нужны.
SFTP – это «FTP через SSH» (также называемый «защищенный FTP»), и он шифрует все данные, учетные данные и включенные файлы.
Ваш брандмауэр может быть хорошим, но даже самый лучший не будет идеальным. Рано или поздно какое-нибудь неприятное программное обеспечение проскользнет, поэтому вам нужно подготовиться к этому. Антивирусное программное обеспечение является еще одним обязательным включением в ваш арсенал. Это может стоить вам больше денег, но нежелательное вторжение, вероятно, обойдется вам намного дороже. Поэтому мы советуем инвестировать в это.
Это правда, что существуют бесплатные антивирусные программы, но вы получаете то, за что платите. Платное программное обеспечение означает лучшие программисты и большую безопасность. Если ваш бюджет не настолько велик – подумайте об использовании ClamAV и Maldet. Это приложения с открытым исходным кодом, которые хорошо справляются с поиском потенциальных угроз на вашем сервере.
Корневые комплекты являются одним из самых разрушительных вредоносных программ. Они функционируют на уровне операционной системы (ОС), что означает, что они летают под радаром обычных мер безопасности. Корневые комплекты могут открыть доступ к вашему серверу, и вы даже не будете знать, что это происходит. Но с другой стороны, «chrootkit» – это инструмент с открытым исходным кодом, который может обнаружить, попал ли корневой набор. Даже если он его найдет, корневые наборы могут быть исключительно стойкими врагами. Возможно, вам действительно потребуется полностью переустановить операционную систему, чтобы избавиться от всего, что вы нашли.
CMS довольно сложны, поэтому хакеры всегда пытаются использовать лазейки в безопасности с ними. Joomla, Drupal и WordPress, являются чрезвычайно популярными платформами, поэтому разработчики постоянно работают над новыми исправлениями безопасности. Это означает, что обновления важны и должны применяться немедленно. Ваш хост не несет ответственности за содержание вашего сайта. Так что вы должны регулярно обновлять его. И это не помешает время от времени поддерживать это.
Резервное копирование вашего сервера должно быть второй натурой, потому что вам есть что терять. Один из законов вселенной гласит, что если что-то может пойти не так – так и будет. Обычно, когда это наиболее неудобно. Вы не можете оставить это на усмотрение или чтобы ваш хостинг-провайдер сделал резервное копирование для вас.
Рассмотрите возможность использования облачных резервных копий и собственных копий. Это, естественно, означает больше расходов, но это хорошо потраченные деньги. Мы можем гарантировать, что вы не будете думать о стоимости, когда потеряете все и обратитесь к резервной копии для восстановления.
Это много советов, но вам нужно постоянно обновлять безопасность вашего linux-сервера в мире воров и вандалов. Эти презренные существа постоянно заняты работой, всегда стараясь использовать любую дыру в броне сайта. Если вы дадите им минимальную возможность нарушить ваш бизнес, они с радостью воспользуются этим. Поскольку их такая огромная армия, вам нужно убедиться, что у вашего замка чрезвычайно сильная защита.
Сообщите нам, сколько из этих советов вы внедрили, или если у вас есть какие-либо вопросы в комментариях ниже.