Lista de verificação de endurecimento da segurança Linux

Lista de verificação de endurecimento da segurança Linux
“Este tutorial enumera práticas e políticas de endurecimento de segurança para usuários domésticos do Linux e administradores de sistema.

Além da lista de verificação de endurecimento da segurança mostrada abaixo, este artigo inclui breves explicações de cada recomendação, incluindo links para tutoriais mostrando como implementá -los com capturas de tela reais de cenário. O documento é otimizado para usuários novos e avançados.

Todas as dicas descritas neste artigo são úteis para cada distribuição Linux. Os usuários do sistema operacional da UNIX também podem achar este tutorial útil para proteger seus sistemas.”

Observação: A seguinte lista de verificação de endurecimento do Linux foi escrita inicialmente em 2019 e atualizada em 2022.

Lista de verificação de endurecimento da segurança Linux

POLÍTICA Usuário doméstico SERVIDOR
Desative ssh ✔/x
Desativar o acesso à raiz SSH
Alterar porta padrão SSH
Desativar a autenticação de login de senha SSH
Defina as regras adequadas do firewall
Implementar IDs (sistema de detecção de intrusões) x
Prenda o BIOS
Criptografia de disco x
Proteger o sistema contra rootkits
Mantenha o sistema atualizado
VPN (rede privada virtual) x
Ativar Selinux
Implementar Honeypots e Honeynets x
Digitalize externamente o seu dispositivo em busca de vulnerabilidades
Práticas de segurança comuns

Desative ssh

O serviço SSH é um dos alvos mais usados ​​para os atacantes. Através do acesso SSH, um hacker pode entrar no sistema de destino para escalar privilégios, obtendo controle total do sistema. Vale a pena lembrar que as explorações de execução locais são mais perigosas do que explorações remotas, já que as explorações locais não são filtradas por firewalls.

Os usuários domésticos e corporativos devem desativar todos os serviços desnecessários, pois representam portas para hackers acessarem o sistema de destino.

A principal recomendação é remover totalmente os serviços indesejados. Se você pensa no futuro que pode usar um serviço atualmente desnecessário, leia este tutorial com instruções específicas sobre como identificar e desativar serviços não utilizados. Se você precisar manter o serviço SSH, continue lendo abaixo as instruções para protegê -lo.

Desativar o acesso à raiz SSH

Como dito na recomendação anterior para desativar ou remover o serviço SSH, este serviço pode ser vulnerável a certos ataques se configurado erroneamente.

Uma medida importante a ser tomada para garantir o acesso SSH é desativar o login da raiz. O principal motivo para desativar o login de raiz através do SSH é que o principal superusuário de todo sistema Linux é uma raiz; Portanto, um invasor já sabe que seu sistema tem o superusuário raiz e pode usá -lo em um ataque de força bruta que precisa apenas para quebrar sua senha. Além disso, outro motivo importante para desativar o acesso raiz através do SSH é dificultar o acesso de um atacante para obter acesso privilegiado auxiliado por explorações.

Na Linuxhint, publicamos um tutorial sobre como desativar o acesso à raiz SSH que você pode ler aqui.

Alterar porta padrão SSH

Muitos atacantes lançam ataques enormes e indiscriminados contra alvos aleatórios. Se um invasor tentar identificar maciçamente dispositivos, digitalizando a porta SSH (22), ele falhará contra sistemas que servem acesso SSH através de uma porta diferente de 22.

Desativando a autenticação de senha SSH

A autenticação de senha ssh é a menos segura. Outros métodos como a autenticação -chave são recomendados para substituir o login de senha, que é vulnerável a muitos tipos de ataques, incluindo força bruta, o método de ataque mais fácil de qualquer usuário inexperiente pode ser lançado. Neste link, você pode ler instruções para desativar a autenticação de senha SSH e ativar a autenticação de chave.

Defina regras adequadas de nftables ou iptables

Implementar regras de firewall personalizadas é uma obrigação e uma medida básica para proteger seu dispositivo. Os firewalls são a primeira defesa contra tráfego malicioso, conexões indesejadas e varreduras indesejadas tentando encontrar orifícios de segurança em seu sistema.

Nftables e iptables são interfaces para gerenciar e definir regras de firewall no Linux. Os usuários domésticos podem preferir o UFW (firewall não complicado), que é um front-end para iptables para tornar a criação de regras do firewall mais amigável.

Dependendo da sua área de trabalho ou do servidor, a maioria das regras de firewall recomendada inclui políticas restritivas, permitindo apenas o tráfego e as conexões necessárias. Além disso, os firewalls são úteis para redirecionar portas padrão para portas personalizadas, dificultando a identificação de seus serviços habilitados para o sistema.

Os administradores do sistema podem encontrar instruções para proteger sistemas com iptables neste link. Os usuários domésticos podem escolher o UFW, que é mais fácil de gerenciar e pode ser aprendido neste link.

Implementar IDs (sistema de detecção de intrusões)

O IDS (sistema de detecção de intrusões) traz a segurança para o próximo nível, permitindo analisar pacotes e detectar anomalias e acesso não autorizado ao sistema. IDS é um ótimo complemento para firewalls. IDs monitora o tráfego de rede em busca de pacotes maliciosos para identificar e relatar incidentes de segurança. Os IDs mais populares são buidos e ossecos.

Esta lista de verificação de endurecimento de segurança não recomenda IDs para usuários domésticos devido ao grande número de recursos que eles exigem. No entanto, se você gosta de bons recursos, adicioná -los é sempre uma boa escolha.

Você pode ler este tutorial para começar com o Assec. Em relação ao Snort, no Linuxhint, publicamos vários tutoriais listados abaixo.

  • Instale o sistema de detecção de intrusões do bufo ubuntu
  • Configure IDs de Snort e crie regras
  • Alertas de bufar

Prenda o BIOS

Rootkits, malware e bios de servidores com acesso remoto representam vulnerabilidades adicionais para servidores e dispositivos domésticos. O BIOS pode ser invadido através do código executado no sistema operacional ou através de canais de atualização para obter acesso não autorizado ou armazenar rootkits para sempre, forçando a substituição de hardware e impedindo a restauração de backup.

A melhor maneira de proteger seu BIOS é mantê -lo atualizado, para o qual você pode encontrar instruções aqui.

Criptografar dispositivos e partições de armazenamento

Esta é uma medida mais relevante para os usuários de mesa que podem perder seus computadores ou serem vítimas de roubo; É especialmente útil para os usuários de laptops impedir que os ladrões acessem informações. Hoje, quase todos os sistemas operacionais suportam a criptografia de disco e partição; As distribuições Linux permitem criptografar o disco rígido durante o processo de instalação. Para obter instruções sobre criptografia de disco, verifique o artigo como criptografar uma unidade no Linux.

Proteger o sistema contra rootkits

Rootkits são software malicioso que concede aos atacantes acesso não autorizado. Eles são extremamente difíceis de detectar devido à sua capacidade de se esconder. Alguns rootkits têm acesso ao BIOS do sistema que exige substituição de hardware como solução. Prevenção e remoção de rootkits A maioria dos softwares populares são Chrootkit e Rkhunter. Você pode começar com o Chkrootkit lendo este tutorial, que também inclui instruções para o RKHunter.

Mantenha o sistema atualizado

Os usuários de desktop e os administradores do sistema devem impedir o sistema atualizado para impedir que as versões vulneráveis ​​ofereçam acesso ou execução não autorizada. Além disso, o uso do gerenciador de pacotes fornecido por OS para verificar as atualizações disponíveis em execução de varreduras de vulnerabilidades pode ajudar a detectar software vulnerável que não foi atualizado em repositórios oficiais ou código vulnerável que precisa ser reescrito. Abaixo estão alguns tutoriais para atualizar sistemas operacionais Linux e software instalado:

  • Como faço para verificar se há atualizações no Debian 11?
  • Como atualizar o kernel no Debian 11 Bullseye
  • Como atualizar e atualizar o CentOS 8
  • Linux Mint Como atualizar o sistema
  • Atualização do CentOS
  • Instale ou atualize para o último kernel Linux no Ubuntu 20.04 & Linux Mint 20

VPN (rede privada virtual)

Os usuários da Internet devem estar cientes de que os ISPs monitoram todo o seu tráfego e a única maneira de pagar isso é usando um serviço VPN. O ISP é capaz de monitorar o tráfego para o servidor VPN, mas não da VPN para destinos finais. Como a VPN pode afetar a velocidade negativamente, essa não é uma opção recomendada para servidores. Para minimizar o efeito na velocidade de conexão, é recomendável usar um serviço pago. Protonvpn é uma ótima opção que oferece serviços gratuitos e pagos. Você pode aprender a instalar Protonvpn neste link.

Ativar Selinux (Linux com segurança)

O Selinux é um conjunto de modificações no kernel do Linux, focado no gerenciamento de aspectos de segurança relacionados às políticas de segurança, adicionando MAC (Mecanismo Acesso ao controle), RBAC (controle de acesso baseado em função) e MLS (segurança multinível) e segurança de várias categorias (MCS ). Quando o Selinux está ativado, um aplicativo só pode acessar os recursos especificados necessários. Os recursos permitidos são definidos por meio de políticas de segurança. Acesso a portas, processos, arquivos e diretórios são controlados por meio de regras definidas no Selinux, que permite ou nega operações com base nas políticas de segurança. Na Linuxhint, publicamos alguns artigos sobre esse recurso que estão listados abaixo.

  • Selinux (Security Enhanced Linux) no Debian
  • Um guia para iniciantes para Selinux no CentOS

Implementar Honeypots e Honeynets

Um honeypot é uma ferramenta simulando um alvo que é realmente um gravador da atividade dos atacantes. Vários honeypots simulando vários dispositivos, serviços e aplicativos são conhecidos como um Honeynet.

Basicamente, Honeypots e Honeynets são alvos falsos para distrair atacantes de alvos reais e registrar sua atividade. Você pode aprender a implementar honeypots e honeynets aqui.

Digitalize externamente o seu dispositivo em busca de vulnerabilidades

Uma boa prática para manter seu sistema seguro é ver o que os atacantes veem quando visam seu sistema. Isso pode ser alcançado com a digitalização do seu sistema para encontrar vulnerabilidades. Existem muitas alternativas no mercado que você pode usar para digitalizar seu sistema. Alguns tutoriais estão listados abaixo.

  • Como procurar serviços e vulnerabilidades com NMAP
  • Introdução ao scanner de vulnerabilidade Nikto
  • Instalando o scanner de vulnerabilidade Nexpose no Debian/Ubuntu

Práticas comuns

  • Não use root, a menos que seja necessário.
  • Nunca use x janelas ou navegadores como raiz.
  • Use gerentes de senha como o LastPass.
  • Use senhas fortes e únicas apenas.
  • Tente não instalar pacotes não livres ou pacotes indisponíveis em repositórios oficiais do Linux.
  • Desativar módulos não utilizados.
  • Nos servidores, aplique senhas fortes e impedem que os usuários usem senhas antigas.
  • Desinstale o software não utilizado.
  • Não use as mesmas senhas para acessos diferentes.
  • Alterar todos os nomes de usuário de acesso padrão.

Conclusão

Como você pode ver na lista de verificação de endurecimento da segurança do Linux acima, proteger o sistema não é uma tarefa fácil e requer inúmeras medidas de segurança. No entanto, apesar do número de tarefas que os usuários precisam concluir para proteger seus sistemas, cada recomendação pode ser implementada por todos os usuários do Linux independentemente de seu nível de experiência, lendo os tutoriais vinculados em cada item, que são otimizados para serem compreensíveis por novos usuários. A maioria das recomendações também pode ser aplicada a outros sistemas operacionais, como sistemas BSD. A aplicação das dicas numeradas definitivamente dissuadirá atacantes aleatórios de segmentar você. Um sistema fortemente protegido é menos atraente para os atacantes.

Espero que esta lista de verificação de endurecimento de segurança tenha sido útil para você proteger seu sistema. Continue lendo -nos para tutoriais profissionais de Linux adicionais.