LFCA - Dicas úteis para proteger dados e Linux - Parte 18
- 5041
- 352
- Maurice Champlin
Desde o seu lançamento no início dos anos 90, o Linux ganhou a admiração da comunidade de tecnologia, graças à sua estabilidade, versatilidade, personalização e uma grande comunidade de desenvolvedores de código aberto que trabalham 24 horas por dia para fornecer correções de bugs e melhorias no sistema operacional. Em geral, Linux é o sistema operacional de escolha para nuvem pública, servidores e supercomputadores e quase 75% dos servidores de produção voltados para a Internet são executados no Linux.
Além de alimentar a Internet, o Linux encontrou seu caminho para o mundo digital e não diminuiu desde então. Ele alimenta uma vasta gama de gadgets inteligentes, incluindo smartphones Android, tablets, smartwatches, exibições inteligentes e muito mais.
É Linux que seguro?
O Linux é conhecido por sua segurança de nível superior e é uma das razões pelas quais é uma escolha favorita em ambientes corporativos. Mas aqui está um fato, nenhum sistema operacional é 100% seguro. Muitos usuários acreditam que o Linux é um sistema operacional infalível, que é uma suposição falsa. De fato, qualquer sistema operacional com uma conexão com a Internet é suscetível a possíveis violações e ataques de malware.
Durante seus primeiros anos, o Linux teve um grupo demográfico muito menor na tecnologia e o risco de sofrer de ataques de malware foi remoto. Hoje em dia, o Linux alimenta uma grande parte da Internet, e isso impulsionou o crescimento da paisagem de ameaças. A ameaça de ataques de malware é mais real do que nunca.
Um exemplo perfeito de um ataque de malware aos sistemas Linux é o Erebus Ransomware, Um malware de criptografia de arquivos que afetou perto de 153 servidores Linux de Nayana, uma empresa de hospedagem sul-coreana.
Por esse motivo, é prudente endurecer ainda mais o sistema operacional para dar a segurança muito desejada para proteger seus dados.
Dicas de endurecimento do servidor Linux
Garantir seu servidor Linux não é tão complicado quanto você pode pensar. Compilamos uma lista das melhores políticas de segurança que você precisa implementar para fortalecer a segurança do seu sistema e manter a integridade dos dados.
1. Atualizar pacotes de software regularmente
Nos estágios iniciais da violação do Equifax, os hackers aproveitaram uma vulnerabilidade amplamente conhecida - Apache suportes - No portal da Web de reclamação do cliente da Equifax.
Apache suportes é uma estrutura de código aberto para criar aplicativos da Web modernos e elegantes Java desenvolvidos pela Apache Foundation. A fundação divulgou um patch para corrigir a vulnerabilidade em 7 de março de 2017 e emitiu uma declaração para esse efeito.
Equifax foram notificados da vulnerabilidade e aconselhados a corrigir sua aplicação, mas, infelizmente, a vulnerabilidade permaneceu descolada até julho do mesmo ano em que era tarde demais. Os atacantes conseguiram obter acesso à rede da empresa e exfiltrar milhões de registros confidenciais dos clientes dos bancos de dados. Quando Equifax ficou sem o que estava acontecendo, dois meses já haviam passado.
Então o que podemos aprender com isso?
Usuários ou hackers maliciosos sempre investigarão seu servidor para possíveis vulnerabilidades de software, que eles podem aproveitar para violar seu sistema. Para estar do lado seguro, sempre atualize seu software para as versões atuais para aplicar patches a qualquer vulnerabilidade existente.
Se você estiver correndo Ubuntu Ou sistemas baseados em Debian, o primeiro passo é geralmente atualizar suas listas de pacotes ou repositórios, como mostrado.
$ sudo apt update
Para verificar todos os pacotes com atualizações disponíveis, execute o comando:
$ sudo APT List -Atualizável
A atualização de seus aplicativos de software para as versões atuais, como mostrado:
Atualização de $ sudo apt
Você pode concatenar esses dois em um comando como mostrado.
$ sudo apt update && sudo apt upgrade
Para RHEL & CENTOS Atualize seus aplicativos executando o comando:
$ sudo dnf update (CentOS 8 / rhel 8) $ sudo yum update (versões anteriores do RHEL & CENTOS)
Outra opção viável é habilitar atualizações de segurança automáticas para o Ubuntu e também configurar atualizações automáticas para o CentOS / RHEL.
2. Remover serviços/protocolos de comunicação herdada
Apesar de seu apoio a uma infinidade de protocolos remotos, serviços herdados como Rlogin, Telnet, TFTP e FTP podem representar enormes problemas de segurança para o seu sistema. Estes são protocolos antigos, desatualizados e inseguros, onde os dados são enviados em texto simples. Se estiverem existentes, considere removê -los como mostrado.
Para sistemas baseados em Ubuntu / Debian, execute:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redona-server
Para RHEL / CENTOS-sistemas baseados, execute:
$ sudo yum apagar xinetd tftp-server telnet-server rsh-server ypServ
3. Fechar portos não utilizados no firewall
Depois de remover todos os serviços inseguros, é importante digitalizar seu servidor em busca de portas abertas e fechar quaisquer portas não utilizadas que possam ser usadas um ponto de entrada por hackers.
Suponha que você queira bloquear a porta 7070 no firewall da UFW. O comando para isso será:
$ sudo ufw negar 7070/tcp
Em seguida, recarregue o firewall para que as mudanças entrem em vigor.
$ sudo ufw recarregar
Para firewalld, execute o comando:
$ sudo firewall-cmd--remove-port = 7070/tcp-permanente
E lembre -se de recarregar o firewall.
$ sudo firewall-cmd--reload
Em seguida, verifique as regras do firewall como mostrado:
$ sudo firewall-cmd-list-all
4. Protocolo SSH seguro
O protocolo SSH é um protocolo remoto que permite que você se conecte com segurança a dispositivos em uma rede. Embora seja considerado seguro, as configurações padrão não são suficientes e alguns ajustes extras são necessários para impedir ainda mais usuários maliciosos de violar seu sistema.
Temos um guia abrangente sobre como endurecer o protocolo SSH. Aqui estão os principais destaques.
- Configurar Login SSH sem senha e ativar a autenticação privada/pública.
- Desativar o login de raiz remota SSH.
- Desative os logins SSH de usuários com senhas vazias.
- Desativar a autenticação por senha completamente e manter a autenticação de chave privada/pública ssh.
- Limite o acesso a usuários SSH específicos.
- Configure um limite para tentativas de senha.
5. Instale e ativar Fail2ban
Fail2ban é um sistema de prevenção de intrusões de código aberto que protege seu servidor de ataques de força bruta. Ele protege seu sistema Linux proibindo IPS que indicam atividades maliciosas, como muitas tentativas de login. Fora da caixa, ele é enviado com filtros para serviços populares como o Apache WebServer, VSFTPD e SSH.
Temos um guia sobre como configurar Fail2ban para fortalecer ainda mais o protocolo SSH.
6. Aplicar a força da senha usando o módulo PAM
Reutilizar senhas ou usar senhas fracas e simples prejudica bastante a segurança do seu sistema. Você aplica uma política de senha, usa o pam_cracklib para definir ou configurar os requisitos de força de senha.
Usando o módulo PAM, você pode definir a força da senha editando o /etc/pam.D/System-Auth arquivo. Por exemplo, você pode definir a complexidade de senha e impedir a reutilização de senhas.
7. Instale um certificado SSL/TLS
Se você estiver executando um site, sempre certifique -se de proteger seu domínio usando um certificado SSL/ TLS para criptografar dados trocados entre o navegador dos usuários e o servidor da web.
8. Desativar protocolos de criptografia fracos e teclas de cifra
Depois de criptografar seu site, considere também desativar protocolos de criptografia fracos. No momento da redação deste guia, o mais recente protocolo é TLS 1.3, qual é o protocolo mais comum e amplamente utilizado. Versões anteriores como TLS 1.0, TLS 1.2 e SSLV1 para SSLV3 foram associados a vulnerabilidades conhecidas.
[Você também pode gostar: como ativar o TLS 1.3 em Apache e Nginx]
Empacotando
Esse foi um resumo de algumas das etapas que você pode tomar para garantir a segurança e a privacidade dos dados para o seu sistema Linux.
Torne -se um Associado de TI certificado pela Fundação Linux (LFCA)- « Sistema operacional LFCA Entendering Linux - Parte 1
- Como conectar o nginx ao php-fpm usando o soquete UNIX ou TCP/IP »