Linux System Hardening: 10-те най-важни съвета за подобряване на сигурността

Процесът hardening на системата може да бъде започнат още по време на инсталирането на операционната система или дори по-рано. Това трябва да стане по време на фазата на конфигуриране на необходимите ресурси. Всяка една инсталирана услуга (service), като например база данни, трябва да бъде индивидуално стартирана и проверена в процеса на инсталация – независимо от това дали става става дума за физическа или виртуална машина. Целта е да се избегнат ситуации, при които грешка дори и само в една единствена услуга може да доведе до срив в цялата система.

В рамките на харденинга също така трябва да се повиши и физическата защита на самата машина, например по отношение на достъпа до сървъра, отварянето на сървърните шкафове, и т.н. Паролите за достъп по подразбиране са критични. С помощта на операционната система Kali например, атакуващият може да използва стандартните потребителско име и парола за достъп (root с парола toor), ако те не са предварително променени и по този начин да получи пълен достъп до сървъра.  

Още преди инсталирането на операционната система достъпът до BIOS трябва да бъде защитен със силна парола. След завършване на инсталацията, трябва да се изключи функцията за стартиране на системата от външен носител. Ако контролът на физическия достъп е на достатъчно високо ниво, би било трудно да се осъществи пробив в сигурността. Ако обаче има дори една уязвимост в системата, може да има тежки последствия за компанията. Сигурната сървърна инфраструктура е важна част от успешния бизнес, тъй като повечето системи съхраняват поверителни данни, които трябва да бъдат защитени.

Ядрото на Linux е значително сложна система и от гледна точка на сигурността, файлови системи, мрежи, процеси и др. трябва да бъдат интегрирани в подходяща система за сигурност. От конкретно използваното ядро зависи кои hardening задачи трябва да се изпълнят с висок приоритет. Тук сме обобщили десет от основните стратегии за защита на Linux сървъри. Някои от тях може да изглеждат очевидни, но често биват лекомислено пропуснати за удобство или поради липса на време.

​

​10-те най-важни съвета за подобряване на сигурността на Linux системи

1. SSH оптимизация

SSH протоколът позволява осъществяването на сигурен трансфер на данни между сървър и клиент. Тъй като SSH е вратата към операционната система, тя трябва да бъде защитена като се изключи root-достъпа през SSH и да се  премине изцяло към автентикация със SSH ключ, както и да се активира воденето на подробен лог на достъпа.

2. Актуализации и кръпки

След първото стартиране системата трябва да бъдат инсталирани последните актуализации. Освен това, трябва да е налице и стратегия за редовно обновяване и patch-инг на системата.

3. Бекъп стратегия

Също така трябва да има добре обмислена стратегия за бекъп и възстановяване. Това e важно не само в случай на физическо увреждане на сървъра, но и в случай на  повредени данни, хакерски атаки и други.

4. Права на достъпа

Когато повече потребители осъществяват достъп до Linux сървъра, трябва да се обърне голямо внимание на сигурното управление на правата за достъп. Рестриктивното ограничаване на правата, свързани с достъпа до файлове и директории не само води до по-високо ниво на сигурност, но и подобрява съответствието с GDPR регламента на ЕС.

5. SELinux

Разширението на ядрото SELinux (Security Enhanced Linux) имплементира гъвкавият механизъм Mandatory Access Control (MAC), чрез който се управляват правата на потребителите за обекти като socket-и, файлове и процеси.

6. Защита на BIOS

BIOS винаги трябва да бъде защитен със силна парола, за да не могат да бъдат променени или изключени настройките за сигурност в BIOS.

7. Разделяне на твърдия диск на дялове

Правилното разделяне на твърдите дискове допринася за висока производителност и сигурност в случай на повреда в системата.

8. Настройване на защитната стена (firewall)

Поддържането на IT инфраструктура без защитна стена е равносилно на игра на руска рулетка  – едва ли има някой несъгласен с това. Конфигурацията на защитната стена е от съществено значение за недопускането на нежелани посетители във вашата мрежа. Също така, не разчитайте изцяло на това, че Вашата защитна стена ще се погрижи за всичко. Други начини за защита на мрежата включват деактивиране на пренасочването на IP адреси и redirects.

9. Услуги за автентикация

Услуги за автентикация като Kerberos защитават сървърите и крайните точки от атаки тип „man-in-the-middle“. Всеки потребител и всяка услуга имат своя собствена парола, която трябва да бъде въведена за автентикация при влизане в системата. По този начин Kerberos защитава комуникацията, а също и обмена на данни между различни крайни устройства.

10. Криптиране на носителите на данни

Криптирането на твърди дискове и други носители на данни гарантира, че вашите данни няма да могат да бъдат прочетени дори при кражби или хакерски атаки. Това е особено важно за поверителни фирмени данни.

Прилагането на подходящи политики за hardening на Linux системи относно осигуряването на по-голяма сигурност на сървърите представлява само една начална стъпка. Последователното внедряване и непрекъснатото поддържане и оптимизиране са също толкова важни. Въпреки че провеждането на редовни проверки на системите с помощта на предварително изготвени контролни списъци (Checklists) е свързано с допълнителни разходи, компаниите не би трябвало да го пренебрегват и игнорират. Интезитетът на кибератаките нараства в последните години и спестяването от подобни превантивни мерки за контрол на сигурността биха могли да доведат до значително по-високи разходи в даден момент.