BonBonSlick
@BonBonSlick
Vanilla Web Architect

Как улучшить безопасность Linux?

Расмотрим чистые версии Debian 10 и (B)Ubuntu 16.

Какие средства и конфигурации необходимо провернуть? К примеру конфиги firewall?

Естественно упустим такие очевидные факты как меньше использовать ксго ролл, прон и прочих пидизрительных сайтов и приложений, репозиториев.
  • Вопрос задан
  • 363 просмотра
Решения вопроса 5
firedragon
@firedragon
Senior .NET developer
Не используйте сервер в качестве машины для пользователя, разработчика и тд. А так ставьте минимальный образ открывайте 22 и 443 порты, устанавливайте сертификат для ssh и закрывайтесь cloudflare
Ответ написан
Insaned
@Insaned
Основное что применимо к системе в целом:
1. Закрыться файрволом
2. Проверить что настроено автообновление
3. Поставить fail2ban на те сервисы которые не закрыты (sshd ?)
3. Для убунты можно canonical-livepatch включить
4. При возможности отказаться от входа по паролю в пользу ключей/2фа итп.
Вот это решает 99.9(9) проблем.
Есть ещё куча параноидальных советов из серии не иметь компилятор на продуктивной машине, но я никогда не сталкивался с ситуациями когда это реально кому-то помогло/помешало.
Но по моему опыту чаще всего линукс-машины атакуют через установленное ПО (типа дырявые php сайты) и там общей рекомендации быть не может надо смотреть
Ответ написан
shambler81
@shambler81 Куратор тега Linux
Боюсь если вы реально собираетесь заняться безопасностью сервера то ответ "никак"
странный с виду ответ но постараюсь объяснить почему именно так.
1. Безопасность оценивается по самому слабому звену в системе.
И это не сама ОС а вы, поскольку сами вы в безопасности ничего не понимаете, а главное это не ваш прямой профель, даже если вы один раз вникните в тему и потратите 30 часов на это, это говорит о том что безопасность вы сделаете на начальном уровне но следить за ней вы все-равно не сможете, поскольку у вас есть и свои работы.
Все что достанется этой безопасности это обновления и то периодически когда вы будите вспоминать о этом.
Опять же частичное поскольку ей нужно заниматься как на самом сервере
так и в вашем ПО включая все движки, все сторонние модули команенты и фреймворки.
По факту выделеных сотрудников на это нет, как следствие все это будет в лучшем случае поделки.
я уже не говорю о своевременном отражение атак и тд и тп.
2. Обновления и тд и тп.
Обновлять продакшен сервер даже со стабильных репок то еще удовольствие, они конечно стабильные но никто не даст вам гарантии 100% что ваш сервер после этого не упадет, прито как по идиотской причине типа устаревание одного из параметров в конфиге.
по этому вам нужен будет еще и второй сервер с идентичными настройками и тд и тп, дабы на нем тестить и толко потом накатывать все на прод.
3. Безопасность тухнет с головы, соответственно доступы только по ключам, отзыв ключей и тд и тп никаких ftp и многго другого
Включая безопасность ваших доступов в кеше браузера, в общем это настолько объемная тема что нужно подвести итог.
Реальная безопасность возможно при наличии ряда специалистов на полный раб день в компании, с узконаправленными высшими образованиями. А так же с комплексом жесточайших мер по средствам ввода вывода в компании.
Вопрос реально у вас на это есть бюджеты ?
Ответ НЕТ.
Следовательно все чтоб будет сделано это ряд мер по увеличению безпасности и не более.
В первую очередь для безопасности вы должны трезво оценивать свой уровень реальной безопасности, уж простите за каламбур.

Это тоже самое когда РФ пишет свою ОС "безопасную" - правда на открытом ядре линукс, и компилирует свой код ( по повышению безопасности) буржуйскими закрытыми компиляторами.
Ответ написан
@voleg4u
http://www.voleg.info/
Запусти OpenSCAP сканнер с желаемым профилем безопасности и почитай репорт. Там будет всё.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы