Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Как защитить систему на Linux: главные принципы

22 января 2020

Несмотря на то, что защищенность семейства Linux выше, чем у MS Windows, один этот факт не делает ее неуязвимой. Поэтому в сегодняшней статье мы расскажем о базовой настройке безопасности Linux, а также некоторых методах и технологиях защиты. Публикация рассчитана скорее на джуниоров, но, возможно, поможет освежить в памяти что-то и у тертых Linux-спецов.


Интернет-мануалы

Важнейшая рекомендация – относитесь к любым сетевым инструкциям с долей скепсиса. Увы, зачастую информация в них не только неактуальна, но и вредна. Без понимания того, что конкретно вы делаете, ни в коем случае не копируйте в консоль никакие команды из Интернета. Черпайте информацию из официальных источников – у большинства продуктов все неплохо с документацией, а, если нет, возможно, тем хуже для продуктов.


Ограничение root-доступа

Достаточно популярен совет не использовать для работы root-доступ – т.е. не сидеть под суперпользователем, который имеет фулл хаус прав, что, соответственно, опасно с точки зрения возможности перехвата пароля или фатальности каких-то ошибок.

Поскольку при нормальной работе IT-инфраструктуры компании вы работаете на сервере раз в полгода, ставя обновления или слегка правя конфиги, root-доступ не выглядит столь драматичным, однако лучше соблюдать элементарную технику безопасности: настроить вход на сервер по ключам, пароль от суперпользователя вводить только на супернадежном устройстве, сам пароль – делать максимально сложным, запрограммировать его срок действия и т.д.

Также модифицировав файл /etc/securetty можно ограничить список машин, куда сможет подключаться root-пользователь – для получения всех прав ему потребуется su или sudo. Далее, модифицировав файл /etc/sudoers можно начать получать уведомления о каждом вводе sudo и таким образом расширить свой контроль над доступом к root.


Тестирование обновлений

Необходимость установки обновлений и польза от них являются очевидными, однако, чтобы избежать непредвиденных ситуаций, необходимо сначала устанавливать все апдейты на клон рабочего сервера – это актуально как для отдельных модулей, так и для всей ОС.


Защита файловой системы и ограничение прав доступа

При работе на сервере нескольких пользователей с разных аккаунтов желательно разграничить права доступа к файловой системе, чтобы ограничить зону риска – для этого в каждом дистрибутиве применяется избирательная система доступа. Кроме того, как уже неоднократно говорилось в других статьях, у пользователей не должно быть больше прав, чем им реально необходимо для работы.

Чтобы избегать незапланированной компиляции и активации неизвестного софта желательно, чтобы на сервере был отключен пользовательский доступ ко всем компиляторам.

Еще одной техникой защиты файловой системы является атрибут иммунности, запускаемы командой chattr +i filename и снимаемый chattr -i filename – удалить файл под такой защитой не может даже от root-пользователь.


Настройка фаервола

Главный заслон на пути злоумышленников к доступу к серверу – фаервол, который в Linux представлен интегрированным в ядро netfilter и управляется программой iptables или ufw. Общая рекомендация по работе с ними проста: блокироваться должно все, что не разрешено, а число разрешенного – сокращено до необходимого минимума.

Кроме того имеет смысл использовать и SELinux – дополнительного соглядатая в принудительной системе контроля доступа. От классической избирательной модели на базе ACL его отличает использование специальных политик.

В заключение можно сказать, что этот перечень мер защиты, безусловно, не является исчерпывающим и каждый хороший Linux-сисадмин имеет свои рецепты по защите серверов, однако для начинающих на первых порах будет достаточно соблюдение и этих мер.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг