В этой статье мы приводим список полезных функций безопасности Linux, которые должен знать каждый системный администратор. Мы также поделимся некоторыми полезными инструментами, которые помогут системному администратору обеспечить безопасность на своих серверах Linux.
Список приведен ниже и не организован в каком-либо определенном порядке.
1. Управление пользователями и группами в Linux
Управление пользователями и группами в Linux – это базовый, но очень важный аспект системного администрирования. Обратите внимание, что пользователем может быть человек или программный объект, например, владелец процессов и файлов веб-сервера.
Корректное определение управления пользователями (которое может включать в себя данные учетной записи пользователя, группы, в которые входит пользователь, к каким частям системы пользователь может получить доступ, какие программы он может выполнять, применение политики паролей и т.д.) может помочь системному администратору в обеспечении безопасного доступа к системе и работе пользователей в системе Linux.
2. Linux PAM
PAM (Pluggable Authentication Modules) – это мощный и гибкий набор библиотек для общесистемной аутентификации пользователей. Каждая библиотека функций, поставляемая с PAM, может быть использована приложением для запроса аутентификации пользователя.
Это позволяет системному администратору Linux определять, как приложения аутентифицируют пользователей. Это мощная система, однако, очень сложная для понимания, изучения и использования.
3. Брандмауэр на базе сервера/хоста
Linux поставляется с подсистемой Netfilter, которая предлагает функции фильтрации пакетов, все виды трансляции сетевых адресов и портов, несколько уровней API для сторонних расширений и многое другое.
Все современные брандмауэры Linux, такие как UFW (Uncomplicated Firewall), firewalld, nftables (наследник iptables ) и другие, используют эту подсистему для фильтрации пакетов, чтобы помочь регулировать, защищать и блокировать сетевой трафик, идущий в или из системы Linux.
4. Linux SELinux
Проект, изначально разработанный Агентством национальной безопасности США (АНБ), Secure Enhanced Linux (или сокращенно SELinux) – это усовершенствованная система безопасности Linux.
Это архитектура безопасности, интегрированная в ядро Linux с помощью Linux Security Modules (LSM). Она дополняет традиционную модель дискреционного контроля доступа Linux (DAC), обеспечивая обязательный контроль доступа (MAC).
Определяет права доступа и перехода каждого пользователя, приложения, процесса и файла в системе; регулирует взаимодействие этих объектов с помощью политики безопасности, которая определяет, насколько строгой или мягкой должна быть данная установка системы Linux.
SELinux предустанавливается на большинство, если не на все дистрибутивы на базе RHEL, такие как Fedora, CentOS-stream, Rocky Linux AlmaLinux и т. д.
5. AppArmor
Подобно SELinux, AppArmor также является модулем безопасности Mandatory Access Control (MAC), который обеспечивает эффективную и простую в использовании систему безопасности приложений Linux. Многие дистрибутивы Linux, такие как Debian Ubuntu и openSUSE поставляются с установленным AppArmor.
Основное отличие AppArmor от SELinux заключается в том, что он основан на путях, позволяет смешивать профили режима принуждения и жалоб. В нем также используются «включенные файлы» для облегчения разработки, кроме того, у него гораздо более низкий барьер для входа.
6. Fail2ban
Fail2ban – это широко используемый инструмент безопасности сервера, который сканирует файлы журналов на наличие IP-адресов, демонстрирующих нездоровую активность, такую как постоянные неудачные попытки входа и т. д., и обновляет правила брандмауэра, чтобы запретить такой IP-адрес на определенное время.
7. ModSecurity Web Application Firewall (WAF)
Разработанный в лаборатории SpiderLabs компании Trustwave, ModSecurity – это бесплатный и открытый движок WAF с мощным и многоплатформенным исходным кодом. Он работает с веб-серверами Apache, NGINX и IIS. Он может помочь системным администраторам и разработчикам веб-приложений, обеспечивая адекватную защиту от целого ряда атак, например, от SQL-инъекций. Он поддерживает фильтрацию и мониторинг HTTP-трафика, ведение журнала и анализ в реальном времени.
8. Журналы безопасности
Журналы безопасности помогают отслеживать события, связанные с безопасностью всей вашей IT-инфраструктуры или отдельной Linux-системы. Эти события включают успешные и неудачные попытки доступа к серверу, приложениям и т.д., активацию IDS, срабатывание предупреждений и многое другое.
Как системный администратор, вы должны определить эффективные и действенные средства управления журналами и придерживаться лучших практик управления журналами безопасности.
9. OpenSSH
OpenSSH – это ведущий инструмент для удаленного входа в систему с помощью сетевого протокола SSH Он обеспечивает безопасную связь между компьютерами, шифруя трафик между ними, тем самым предотвращая вредоносную деятельность киберпреступников.
10. OpenSSL
OpenSSL – популярная криптографическая библиотека общего назначения, доступная в виде инструмента командной строки, реализующая сетевые протоколы Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1) и необходимые для них криптографические стандарты.
Он обычно используется для генерации закрытых ключей, создания CSR (Certificate Signing Requests), установки SSL/TLS-сертификата, просмотра информации о сертификате и многого другого.
11. Система обнаружения вторжений (IDS)
Система IDS – это устройство или программное обеспечение для мониторинга, которое обнаруживает подозрительные действия или нарушения политики и генерирует оповещения при их обнаружении. На основе этих оповещений вы, как системный администратор, аналитик безопасности или любой заинтересованный персонал, можете расследовать проблему и предпринять соответствующие действия для устранения угрозы.
Существует два основных вида IDS: IDS на базе хоста, которая используется для мониторинга одной системы, и IDS на базе сети, которая используется для мониторинга всей сети.
Существует множество программных IDS для Linux, таких как Tripwire, Tiger, AIDE и другие.
12. Средства мониторинга Linux
Чтобы обеспечить доступность различных систем, сервисов и приложений в ИТ-инфраструктуре вашей организации, необходимо следить за ними в режиме реального времени.
Лучший способ добиться этого – инструменты мониторинга Linux, в первую очередь те, которые обладают возможностями обнаружения проблем, создания отчетов и оповещений, такие как Nagios, Zabbix, Icinga 2 и другие.
13. VPN
A VPN (сокращение от Virtual Private Network ) – это механизм шифрования вашего трафика в незащищенных сетях, таких как Интернет. Она обеспечивает безопасное подключение к сети вашей организации через публичный интернет.
14. Средства резервного копирования и восстановления системы и данных
Резервное копирование данных гарантирует, что ваша организация не потеряет важные данные в случае каких-либо незапланированных событий. Инструменты восстановления помогают восстановить данные или системы в более ранний момент времени, чтобы помочь вашей организации оправиться от катастрофы любого масштаба.
15. Инструменты для шифрования данных в Linux
Шифрование – это основной метод защиты данных, который гарантирует, что только авторизованные лица имеют доступ к информации, которая хранится или передается. Вы найдете множество инструментов шифрования данных для систем Linux, которые вы можете использовать для обеспечения безопасности.
16. Lynis – инструмент аудита безопасности
Lynis – это бесплатный, открытый, гибкий и популярный инструмент для аудита безопасности хоста, сканирования и оценки уязвимостей. Он работает в системах Linux и других Unix-подобных операционных системах, таких как Mac OS X.
17. Nmap – сетевой сканер
Nmap (сокращение от Network Mapper ) – это широко используемый, бесплатный, открытый и многофункциональный инструмент безопасности для исследования сети или аудита безопасности. Он является кроссплатформенным, поэтому работает в Linux, Windows и MacOS
18. Wireshark
Wireshark – это полнофункциональный и мощный анализатор сетевых пакетов, который позволяет перехватывать пакеты в реальном времени и сохранять их для последующего анализа.
Он также является кроссплатформенным и работает на Unix-подобных системах, таких как операционные системы на базе Linux, MacOS и Windows.
19. Nikto
Nikto – это мощный веб-сканер с открытым исходным кодом, который сканирует веб-сайт/приложение, виртуальный хост и веб-сервер на предмет известных уязвимостей и неправильной конфигурации.
Перед проведением тестов он пытается определить установленные веб-серверы и программное обеспечение.
20. Обновление Linux
И последнее, но не менее важное: как системный администратор, вы должны регулярно обновлять программное обеспечение, начиная с операционной системы и заканчивая установленными пакетами и приложениями, чтобы гарантировать наличие последних исправлений безопасности.
sudo apt update [On Debian, Ubuntu and Mint] sudo yum update [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux] sudo emerge --sync [On Gentoo Linux] sudo pacman -Syu [On Arch Linux] sudo zypper update [On OpenSUSE]
Этот список короче, чем должен быть. Если вы так считаете, поделитесь с нами другими инструментами, которые заслуживают того, чтобы о них узнали наши читатели.
Комментарии (0)