В этом руководстве перечислены начальные меры безопасности как для пользователей настольных компьютеров, так и для системных администраторов, управляющих серверами.

В руководстве указывается, когда рекомендация адресована домашним или профессиональным пользователям. Несмотря на то, что нет подробных объяснений или инструкций по применению каждого элемента, в конце каждого из них вы найдете полезные ссылки с руководствами.

ПолитикаДомашний пользовательСервер
Отключение SSHx
Отключение доступа root по SSHx
Смена SSH портаx
Отключение входа по SSH по паролюx
Iptables
IDS (Intrusion Detection System)x
Безопасность BIOS
Шифрование дискаx/✔
Системные обновления
VPN (Virtual Private Network)x
Включение SELinux
Общие практики

Доступ по SSH

Домашние пользователи:

Домашние пользователи на самом деле не используют ssh, динамические IP-адреса и конфигурации NAT маршрутизатора сделали альтернативы с обратным подключением, такие как TeamViewer, более привлекательными.

Когда служба не используется, порт должен быть закрыт как путем отключения или удаления службы, так и путем применения ограничительных правил брандмауэра.

Серверы

В отличие от домашних пользователей, работающих с разными серверами, сетевые администраторы часто используют ssh/sftp.

Если вам необходимо оставить службу ssh включенной, вы можете принять следующие меры:

  • Отключить root-доступ через SSH.
  • Отключить вход по паролю.
  • Изменить порт SSH.

Iptables

Iptables – это интерфейс для управления netfilter для определения правил брандмауэра.

Домашние пользователи Ubuntu могут склоняться к UFW (несложный брандмауэр), который является интерфейсом для iptables, упрощающим создание правил брандмауэра.

Независимо от интерфейса, сразу после настройки брандмауэр применяется в первую очередь.

В зависимости от потребностей вашего компьютера или сервера наиболее рекомендуемыми из соображений безопасности являются ограничительные политики, разрешающие только то, что вам нужно, и блокирующие все остальное.

Iptables будет использоваться для перенаправления SSH-порта 22 на другой порт, для блокировки ненужных портов, фильтрации служб и установки правил для известных атак.

Intrusion Detection System (IDS)

Из-за того, что им требуются большие ресурсы, IDS не используются домашними пользователями, но они необходимы на серверах, подверженных атакам.

IDS выводит безопасность на новый уровень, позволяя анализировать пакеты.

Наиболее известными IDS являются Snort и OSSEC, о которых ранее рассказывалось на ITsec for You.

IDS анализирует трафик в сети в поисках вредоносных пакетов или аномалий, это инструмент сетевого мониторинга, ориентированный на инциденты безопасности.

Безопасность BIOS

BIOS можно взломать с помощью кода, выполняемого из ОС, или через каналы обновления, чтобы получить несанкционированный доступ или удалить информацию, такую как резервные копии безопасности.

Обновляйте механизмы обновления BIOS.

Включите защиту целостности BIOS.

Шифрование жесткого диска

Эта мера более актуальна для пользователей настольных компьютеров, которые могут потерять свой компьютер или стать жертвой кражи, она особенно полезна для пользователей портативных компьютеров.

Сегодня почти каждая ОС поддерживает шифрование дисков и разделов, такие дистрибутивы, как Debian, позволяют шифровать жесткий диск в процессе установки.

Системные обновления

И пользователи настольных компьютеров, и системный администратор должны поддерживать систему в актуальном состоянии, чтобы уязвимые версии не вовремя обновлялись.

Помимо использования предоставленного ОС диспетчера пакетов для проверки доступных обновлений, запуск сканирования уязвимостей может помочь обнаружить уязвимое программное обеспечение, которое не было обновлено в официальных репозиториях, или уязвимый код, который необходимо переписать.

VPN (виртуальная частная сеть)

Пользователи Интернета должны знать, что интернет-провайдеры контролируют весь их трафик, и единственный способ позволить себе это – использовать службу VPN.

Интернет-провайдер может отслеживать трафик к серверу VPN, но не от VPN к пунктам назначения.

Включить SELinux (Security-Enhanced Linux)

SELinux – это набор модификаций ядра Linux, ориентированный на управление аспектами безопасности, связанными с политиками безопасности, путем добавления MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) и Multi Category Security (MCS).

Когда SELinux включен, приложение может получить доступ только к тем ресурсам, которые ему необходимы, указанным в политике безопасности для приложения.

Доступ к портам, процессам, файлам и каталогам контролируется с помощью правил, определенных в SELinux, которые разрешают или запрещают операции на основе политик безопасности.

Ubuntu использует AppArmor в качестве альтернативы.

Общие практики

Почти всегда сбои в системе безопасности происходят из-за халатности пользователя.

Дополнительно ко всем пунктам, пронумерованным ранее, выполните следующие действия:

  • Не используйте root без необходимости.
  • Никогда не используйте иксовые окна или браузеры от рута.
  • Используйте менеджеры паролей, такие как например KeePass, KeePassXC, Pass.
  • Используйте только надежные и уникальные пароли.
  • Старайтесь не устанавливать несвободные пакеты или пакеты, недоступные в официальных репозиториях.
  • Отключите неиспользуемые модули.
  • На серверах применяйте надежные пароли и не позволяйте пользователям использовать старые пароли.
  • Удалите неиспользуемое программное обеспечение.
  • Не используйте одни и те же пароли для разных сервисов.
  • Измените все имена пользователей доступа по умолчанию.

Надеюсь, вы нашли эту статью полезной для повышения вашей безопасности.