25 เคล็ดลับความปลอดภัยที่แข็งแกร่งสำหรับเซิร์ฟเวอร์ Linux
ทุกคนบอกว่า Linux มีความปลอดภัยเป็นค่าเริ่มต้น และตกลงที่จะขยายบางส่วน (เป็นหัวข้อที่ถกเถียงกัน) อย่างไรก็ตาม Linux มีโมเดลความปลอดภัยในตัวตามค่าเริ่มต้น จำเป็นต้องปรับแต่งและปรับแต่งตามความต้องการของคุณซึ่งอาจช่วยให้ระบบมีความปลอดภัยมากขึ้น Linux นั้นจัดการได้ยากกว่า แต่ให้ความยืดหยุ่นและตัวเลือกการกำหนดค่ามากกว่า
การรักษาความปลอดภัยระบบในการผลิตจากมือของ แฮกเกอร์ และ แครกเกอร์ ถือเป็นงานที่ท้าทายสำหรับ ผู้ดูแลระบบ นี่เป็นบทความแรกของเราที่เกี่ยวข้องกับ “วิธีการรักษาความปลอดภัยกล่อง Linux” หรือ “การทำให้กล่อง Linux แข็งแกร่งขึ้น“ ในโพสต์นี้ เราจะอธิบาย เคล็ดลับและคำแนะนำที่เป็นประโยชน์ 25 ข้อ เพื่อรักษาความปลอดภัยระบบ Linux ของคุณ หวังว่าคำแนะนำและเคล็ดลับด้านล่างจะช่วยให้คุณรักษาความปลอดภัยระบบของคุณได้
1. ความปลอดภัยของระบบทางกายภาพ
กำหนดค่า BIOS เพื่อปิดใช้งานการบูตจาก ซีดี/ดีวีดี, อุปกรณ์ภายนอก, ฟล็อปปี้ไดรฟ์ ใน BIOS< /แข็งแกร่ง>. จากนั้น เปิดใช้งานรหัสผ่าน BIOS และป้องกัน GRUB ด้วยรหัสผ่านเพื่อจำกัดการเข้าถึงทางกายภาพของระบบของคุณ
- ตั้งรหัสผ่าน GRUB เพื่อปกป้องเซิร์ฟเวอร์ Linux
2. พาร์ติชั่นดิสก์
สิ่งสำคัญคือต้องมีพาร์ติชั่นที่แตกต่างกันเพื่อให้ได้รับความปลอดภัยของข้อมูลที่สูงขึ้น ในกรณีที่เกิดภัยพิบัติใดๆ ด้วยการสร้างพาร์ติชันที่แตกต่างกัน จึงสามารถแยกและจัดกลุ่มข้อมูลได้ เมื่อเกิดอุบัติเหตุที่ไม่คาดคิด เฉพาะข้อมูลของพาร์ติชั่นนั้นเท่านั้นที่จะเสียหาย ในขณะที่ข้อมูลบนพาร์ติชั่นอื่นๆ ยังคงอยู่ ตรวจสอบให้แน่ใจว่าคุณต้องมีพาร์ติชั่นแยกกันดังต่อไปนี้ และควรติดตั้งแอปพลิเคชันบุคคลที่สามบนระบบไฟล์ที่แยกจากกันภายใต้ /opt
/
/boot
/usr
/var
/home
/tmp
/opt
3. ย่อแพ็คเกจให้เล็กที่สุดเพื่อลดช่องโหว่ให้เหลือน้อยที่สุด
คุณต้องการติดตั้งบริการทุกประเภทจริง ๆ หรือไม่?. ขอแนะนำให้หลีกเลี่ยงการติดตั้งแพ็คเกจที่ไม่มีประโยชน์เพื่อหลีกเลี่ยงช่องโหว่ในแพ็คเกจ สิ่งนี้อาจลดความเสี่ยงที่การประนีประนอมของบริการหนึ่งอาจนำไปสู่การประนีประนอมของบริการอื่น ๆ ค้นหาและลบหรือปิดใช้งานบริการที่ไม่พึงประสงค์จากเซิร์ฟเวอร์เพื่อลดช่องโหว่ ใช้คำสั่ง 'chkconfig' เพื่อค้นหาบริการที่ทำงานบน runlevel 3
/sbin/chkconfig --list |grep '3:on'
เมื่อคุณพบว่าบริการที่ไม่พึงประสงค์กำลังทำงานอยู่ ให้ปิดการใช้งานโดยใช้คำสั่งต่อไปนี้
chkconfig serviceName off
ใช้เครื่องมือจัดการแพ็คเกจ RPM เช่น เครื่องมือ “yum” หรือ “apt-get” เพื่อแสดงรายการแพ็คเกจที่ติดตั้งทั้งหมดบนระบบและลบออกโดยใช้ คำสั่งต่อไปนี้
yum -y remove package-name
sudo apt-get remove package-name
- 5 ตัวอย่างคำสั่ง chkconfig
- 20 ตัวอย่างคำสั่ง RPM ที่ใช้งานได้จริง
- 20 คำสั่ง Linux YUM สำหรับการจัดการแพ็คเกจ Linux
- 25 คำสั่ง APT-GET และ APT-CACHE เพื่อจัดการการจัดการแพ็คเกจ
4. ตรวจสอบพอร์ตเครือข่ายการฟัง
ด้วยความช่วยเหลือของคำสั่งเครือข่าย 'netstat' คุณสามารถดูพอร์ตที่เปิดอยู่ทั้งหมดและโปรแกรมที่เกี่ยวข้องได้ ดังที่ได้กล่าวไว้ข้างต้นให้ใช้คำสั่ง 'chkconfig' เพื่อปิดใช้งานบริการเครือข่ายที่ไม่ต้องการทั้งหมดจากระบบ
netstat -tulpn
- 20 คำสั่ง Netstat สำหรับการจัดการเครือข่ายใน Linux
5. ใช้ Secure Shell (SSH)
โปรโตคอล Telnet และ rlogin ใช้ข้อความธรรมดา ไม่ใช่รูปแบบที่เข้ารหัส ซึ่งเป็นการละเมิดความปลอดภัย SSH เป็นโปรโตคอลที่ปลอดภัยที่ใช้เทคโนโลยีการเข้ารหัสระหว่างการสื่อสารกับเซิร์ฟเวอร์
ห้ามเข้าสู่ระบบโดยตรงด้วย root เว้นแต่จำเป็น ใช้ “sudo” เพื่อดำเนินการคำสั่ง sudo ระบุไว้ในไฟล์ /etc/sudoers และสามารถแก้ไขได้ด้วยยูทิลิตี้ “visudo” ซึ่งเปิดขึ้นมาในตัวแก้ไข VI
ขอแนะนำให้เปลี่ยนหมายเลขพอร์ตเริ่มต้น SSH 22 ด้วยหมายเลขพอร์ตระดับที่สูงกว่าอื่นๆ เปิดไฟล์การกำหนดค่า SSH หลักและสร้างพารามิเตอร์ต่อไปนี้เพื่อจำกัดผู้ใช้ในการเข้าถึง
vi /etc/ssh/sshd_config
ปิดการใช้งานการเข้าสู่ระบบรูท
PermitRootLogin no
อนุญาตเฉพาะผู้ใช้ที่ระบุเท่านั้น
AllowUsers username
ใช้เวอร์ชันโปรโตคอล SSH 2
Protocol 2
- 5 แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยและปกป้องเซิร์ฟเวอร์ SSH
6. อัปเดตระบบอยู่เสมอ
คอยอัปเดตระบบด้วยแพตช์ล่าสุด การแก้ไขด้านความปลอดภัย และเคอร์เนลเสมอเมื่อพร้อมใช้งาน
yum updates
yum check-update
7. ล็อคดาวน์ Cronjobs
Cron มีคุณลักษณะในตัว ซึ่งจะช่วยให้ระบุได้ว่าใครสามารถและใครอาจไม่ต้องการทำงาน สิ่งนี้ถูกควบคุมโดยการใช้ไฟล์ชื่อ /etc/cron.allow และ /etc/cron.deny หากต้องการล็อคผู้ใช้โดยใช้ cron เพียงเพิ่มชื่อผู้ใช้ใน cron.deny และอนุญาตให้ผู้ใช้เรียกใช้ cron ให้เพิ่มในไฟล์ cron.allow หากคุณต้องการปิดการใช้งานผู้ใช้ทั้งหมดจากการใช้ cron ให้เพิ่มบรรทัด 'ทั้งหมด' ลงในไฟล์ cron.deny
echo ALL >>/etc/cron.deny
- 11 ตัวอย่างการตั้งเวลา Cron ใน Linux
8. ปิดการใช้งานแท่ง USB เพื่อตรวจจับ
หลายครั้งที่เราต้องการจำกัดผู้ใช้ไม่ให้ใช้แท่ง USB ในระบบเพื่อปกป้องและรักษาความปลอดภัยข้อมูลจากการขโมย สร้างไฟล์ '/etc/modprobe.d/no-usb' และการเพิ่มบรรทัดด้านล่างจะตรวจไม่พบที่เก็บข้อมูล USB
install usb-storage /bin/true
9. เปิด SELinux
Security-Enhanced Linux (SELinux) เป็นกลไกรักษาความปลอดภัยการควบคุมการเข้าถึงภาคบังคับที่มีให้ในเคอร์เนล การปิดใช้งาน SELinux หมายถึงการลบกลไกความปลอดภัยออกจากระบบ คิดให้รอบคอบก่อนที่จะลบ หากระบบของคุณเชื่อมต่อกับอินเทอร์เน็ตและเข้าถึงได้โดยสาธารณะ ให้คิดเพิ่มเติมเกี่ยวกับมัน
SELinux มีโหมดการทำงานพื้นฐานสามโหมดให้เลือก
- การบังคับใช้: นี่คือโหมดเริ่มต้นที่เปิดใช้งานและบังคับใช้นโยบายความปลอดภัย SELinux บนเครื่อง
- อนุญาต: ในโหมดนี้ SELinux จะไม่บังคับใช้นโยบายความปลอดภัยกับระบบ เตือนและบันทึกการดำเนินการเท่านั้น โหมดนี้มีประโยชน์มากในแง่ของการแก้ไขปัญหาที่เกี่ยวข้องกับ SELinux
- ปิดการใช้งาน: SELinux ถูกปิด
คุณสามารถดูสถานะปัจจุบันของโหมด SELinux ได้จากบรรทัดคำสั่งโดยใช้ 'system-config-selinux', 'getenforce' หรือ ' คำสั่งเซสเตตัส'
sestatus
หากปิดใช้งานอยู่ ให้เปิดใช้งาน SELinux โดยใช้คำสั่งต่อไปนี้
setenforce enforcing
นอกจากนี้ยังสามารถจัดการได้จากไฟล์ '/etc/selinux/config' ซึ่งคุณสามารถเปิดหรือปิดใช้งานได้
10. ลบเดสก์ท็อป KDE/GNOME
ไม่จำเป็นต้องเรียกใช้เดสก์ท็อป X Window เช่น KDE หรือ GNOME บนเซิร์ฟเวอร์ LAMP เฉพาะของคุณ คุณสามารถลบหรือปิดการใช้งานเพื่อเพิ่มความปลอดภัยของเซิร์ฟเวอร์และประสิทธิภาพ หากต้องการปิดใช้งานแบบง่ายให้เปิดไฟล์ '/etc/inittab' และตั้งค่าระดับการทำงานเป็น 3 หากคุณต้องการลบออกจากระบบอย่างสมบูรณ์ให้ใช้คำสั่งด้านล่าง
yum groupremove "X Window System"
11. ปิด IPv6
หากคุณไม่ได้ใช้โปรโตคอล IPv6 คุณควรปิดการใช้งานเนื่องจากแอปพลิเคชันหรือนโยบายส่วนใหญ่ไม่จำเป็นต้องใช้โปรโตคอล IPv6 และในปัจจุบันไม่จำเป็นต้องใช้บนเซิร์ฟเวอร์ . ไปที่ไฟล์การกำหนดค่าเครือข่ายและเพิ่มบรรทัดต่อไปนี้เพื่อปิดการใช้งาน
vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no
12. จำกัดผู้ใช้ให้ใช้รหัสผ่านเก่า
สิ่งนี้มีประโยชน์มากหากคุณต้องการไม่อนุญาตให้ผู้ใช้ใช้รหัสผ่านเดิม ไฟล์รหัสผ่านเก่าอยู่ที่ /etc/security/opasswd ซึ่งสามารถทำได้โดยใช้โมดูล PAM
เปิดไฟล์ '/etc/pam.d/system-auth' ภายใต้ RHEL/CentOS/Fedora
vi /etc/pam.d/system-auth
เปิดไฟล์ '/etc/pam.d/common-password' ภายใต้ Ubuntu/Debian/Linux Mint
vi /etc/pam.d/common-password
เพิ่มบรรทัดต่อไปนี้ในส่วน 'auth'
auth sufficient pam_unix.so likeauth nullok
เพิ่มบรรทัดต่อไปนี้ในส่วน 'รหัสผ่าน' เพื่อไม่อนุญาตให้ผู้ใช้นำรหัสผ่าน 5 ล่าสุดของเขาหรือเธอกลับมาใช้ซ้ำ
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5
เซิร์ฟเวอร์จะจดจำรหัสผ่าน 5 ล่าสุดเท่านั้น หากคุณพยายามใช้รหัสผ่านเก่า 5 รายการล่าสุด คุณจะได้รับข้อผิดพลาดเช่น
Password has been already used. Choose another.
13. วิธีตรวจสอบรหัสผ่านหมดอายุของผู้ใช้
ใน Linux รหัสผ่านของผู้ใช้จะถูกจัดเก็บไว้ในไฟล์ '/etc/shadow' ในรูปแบบที่เข้ารหัส หากต้องการตรวจสอบการหมดอายุของรหัสผ่านของผู้ใช้ คุณต้องใช้คำสั่ง 'chage' จะแสดงข้อมูลรายละเอียดการหมดอายุของรหัสผ่านพร้อมกับวันที่เปลี่ยนรหัสผ่านครั้งล่าสุด ระบบจะใช้รายละเอียดเหล่านี้เพื่อตัดสินใจว่าเมื่อใดที่ผู้ใช้จะต้องเปลี่ยนรหัสผ่านของตน
หากต้องการดูข้อมูลอายุของผู้ใช้ที่มีอยู่ เช่น วันหมดอายุ และ เวลา ให้ใช้คำสั่งต่อไปนี้
#chage -l username
หากต้องการเปลี่ยนอายุรหัสผ่านของผู้ใช้ ให้ใช้คำสั่งต่อไปนี้
#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName
พารามิเตอร์
- -M กำหนดจำนวนวันสูงสุด
- -m กำหนดจำนวนวันขั้นต่ำ
- -W กำหนดจำนวนวันที่แจ้งเตือน
14. ล็อคและปลดล็อคบัญชีด้วยตนเอง
คุณสมบัติล็อคและปลดล็อคมีประโยชน์มาก แทนที่จะลบบัญชีออกจากระบบ คุณสามารถล็อคมันเป็นเวลาหนึ่งสัปดาห์หรือหนึ่งเดือนได้ หากต้องการล็อคผู้ใช้รายใดรายหนึ่ง คุณสามารถใช้คำสั่ง follow
passwd -l accountName
หมายเหตุ : ผู้ใช้ที่ถูกล็อคยังคงใช้งานได้สำหรับผู้ใช้ รูท เท่านั้น การล็อคทำได้โดยการแทนที่รหัสผ่านที่เข้ารหัสด้วยสตริง (!) หากมีใครพยายามเข้าสู่ระบบโดยใช้บัญชีนี้ เขาจะได้รับข้อผิดพลาดคล้ายกับด้านล่างนี้
su - accountName
This account is currently not available.
หากต้องการปลดล็อคหรือเปิดใช้งานการเข้าถึงบัญชีที่ถูกล็อคให้ใช้คำสั่งเป็น การดำเนินการนี้จะลบสตริง (!) ที่มีรหัสผ่านที่เข้ารหัส
passwd -u accountName
15. การบังคับใช้รหัสผ่านที่รัดกุมยิ่งขึ้น
ผู้ใช้จำนวนหนึ่งใช้รหัสผ่านที่คาดเดาง่ายหรืออ่อนแอ และรหัสผ่านของพวกเขาอาจถูกแฮ็กด้วยการโจมตีแบบตามพจนานุกรมหรือแบบดุร้าย โมดูล 'pam_cracklib' มีอยู่ในโมดูล PAM (โมดูลการตรวจสอบสิทธิ์แบบเสียบได้) ซึ่งจะบังคับให้ผู้ใช้ตั้งรหัสผ่านที่รัดกุม เปิดไฟล์ต่อไปนี้ด้วยโปรแกรมแก้ไข
อ่านเพิ่มเติม:
vi /etc/pam.d/system-auth
และเพิ่มบรรทัดโดยใช้พารามิเตอร์เครดิตเป็น (lcredit, ucredit, dcredit และ/หรือ ocredit ตามลำดับตัวพิมพ์เล็ก , ตัวพิมพ์ใหญ่, ตัวเลข และอื่นๆ)
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
16. เปิดใช้งาน Iptables (ไฟร์วอลล์)
ขอแนะนำอย่างยิ่งให้เปิดใช้งาน ไฟร์วอลล์ Linux เพื่อรักษาความปลอดภัยการเข้าถึงเซิร์ฟเวอร์ของคุณโดยไม่ได้รับอนุญาต ใช้กฎใน iptables เพื่อกรองแพ็กเก็ต ขาเข้า, ขาออก และ การส่งต่อ เราสามารถระบุที่อยู่ต้นทางและปลายทางเพื่ออนุญาตและปฏิเสธในหมายเลขพอร์ต udp/tcp เฉพาะ
- คำแนะนำและเคล็ดลับ IPTables พื้นฐาน
17. ปิดการใช้งาน Ctrl+Alt+Delete ใน Inittab
ใน Linux ส่วนใหญ่ การกด 'CTRL-ALT-DELETE' จะทำให้ระบบของคุณรีบูตกระบวนการ ดังนั้นจึงไม่ใช่ความคิดที่ดีที่จะเปิดใช้งานตัวเลือกนี้อย่างน้อยบนเซิร์ฟเวอร์ที่ใช้งานจริง หากมีคนทำสิ่งนี้โดยไม่ตั้งใจ
สิ่งนี้ถูกกำหนดไว้ในไฟล์ '/etc/inittab' หากคุณดูไฟล์นั้นอย่างใกล้ชิด คุณจะเห็นบรรทัดคล้ายกับด้านล่าง โดยค่าเริ่มต้นบรรทัดจะไม่ถูกใส่เครื่องหมายความคิดเห็น เราต้องแสดงความเห็นออกมา การส่งสัญญาณลำดับคีย์เฉพาะนี้จะปิดระบบ
Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
18. การตรวจสอบบัญชีเพื่อหารหัสผ่านที่ว่างเปล่า
บัญชีใดก็ตามที่มีรหัสผ่านว่างเปล่า หมายความว่าบัญชีนั้นเปิดให้เข้าถึงใครก็ตามบนเว็บโดยไม่ได้รับอนุญาต และเป็นส่วนหนึ่งของการรักษาความปลอดภัยภายในเซิร์ฟเวอร์ Linux ดังนั้นคุณต้องตรวจสอบให้แน่ใจว่าบัญชีทั้งหมดมีรหัสผ่านที่รัดกุมและไม่มีใครมีสิทธิ์เข้าถึง บัญชีรหัสผ่านที่ว่างเปล่าถือเป็นความเสี่ยงด้านความปลอดภัยและสามารถแฮ็กได้ง่าย หากต้องการตรวจสอบว่ามีบัญชีใดที่มีรหัสผ่านว่างเปล่าหรือไม่ ให้ใช้คำสั่งต่อไปนี้
cat /etc/shadow | awk -F: '($2==""){print $1}'
19. แสดงแบนเนอร์ SSH ก่อนเข้าสู่ระบบ
เป็นความคิดที่ดีกว่าเสมอที่จะมีแบนเนอร์ทางกฎหมายหรือแบนเนอร์ความปลอดภัยพร้อมคำเตือนด้านความปลอดภัยก่อนการตรวจสอบสิทธิ์ SSH หากต้องการตั้งค่าแบนเนอร์ดังกล่าวให้อ่านบทความต่อไปนี้
- แสดงข้อความเตือน SSH แก่ผู้ใช้
20. ตรวจสอบกิจกรรมของผู้ใช้
หากคุณกำลังติดต่อกับผู้ใช้จำนวนมาก สิ่งสำคัญคือต้องรวบรวมข้อมูลของกิจกรรมผู้ใช้แต่ละรายและกระบวนการที่พวกเขาใช้ และวิเคราะห์พวกเขาในภายหลัง หรือในกรณีที่มีปัญหาด้านประสิทธิภาพหรือความปลอดภัยใดๆ แต่เราจะติดตามและรวบรวมข้อมูลกิจกรรมของผู้ใช้ได้อย่างไร
มีเครื่องมือที่มีประโยชน์สองอย่างที่เรียกว่า 'psacct' และ 'acct' ใช้สำหรับตรวจสอบกิจกรรมและกระบวนการของผู้ใช้บนระบบ เครื่องมือเหล่านี้ทำงานในพื้นหลังของระบบและติดตามกิจกรรมของผู้ใช้แต่ละรายการบนระบบและทรัพยากรที่ใช้โดยบริการต่างๆ เช่น Apache, MySQL, SSH, FTP ฯลฯ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้ง การกำหนดค่า และการใช้งาน โปรดไปที่ URL ด้านล่าง
- ตรวจสอบกิจกรรมของผู้ใช้ด้วยคำสั่ง psacct หรือ acct
21. ตรวจสอบบันทึกอย่างสม่ำเสมอ
ย้ายบันทึกในเซิร์ฟเวอร์บันทึกเฉพาะ ซึ่งอาจป้องกันไม่ให้ผู้บุกรุกแก้ไขบันทึกในเครื่องได้อย่างง่ายดาย ด้านล่างนี้คือชื่อไฟล์บันทึกเริ่มต้นของ Common Linux และการใช้งาน:
- /var/log/message – ในกรณีที่มีบันทึกของระบบทั้งหมดหรือบันทึกกิจกรรมปัจจุบัน
- /var/log/auth.log – บันทึกการตรวจสอบสิทธิ์
- /var/log/kern.log – บันทึกเคอร์เนล
- /var/log/cron.log – บันทึก Crond (งาน cron)
- /var/log/maillog – บันทึกเซิร์ฟเวอร์เมล
- /var/log/boot.log – บันทึกการบูตระบบ
- /var/log/mysqld.log – ไฟล์บันทึกเซิร์ฟเวอร์ฐานข้อมูล MySQL
- /var/log/secure – บันทึกการตรวจสอบสิทธิ์
- /var/log/utmp หรือ /var/log/wtmp : ไฟล์บันทึกการเข้าสู่ระบบ
- /var/log/yum.log: ไฟล์บันทึกของ Yum
22. การสำรองไฟล์สำคัญ
ในระบบที่ใช้งานจริง จำเป็นต้องสำรองไฟล์สำคัญและเก็บไว้ในตู้นิรภัย ไซต์ระยะไกล หรือนอกสถานที่เพื่อการกู้คืนจากภัยพิบัติ
23. การเชื่อมต่อ NIC
มีโหมดสองประเภทในการเชื่อม NIC ซึ่งจำเป็นต้องกล่าวถึงในอินเทอร์เฟซการเชื่อม
- mode=0 – ราวด์โรบิน
- mode=1 – ใช้งานอยู่และสำรองข้อมูล
การเชื่อมโยง NIC ช่วยให้เราหลีกเลี่ยงความล้มเหลวเพียงจุดเดียว ในการเชื่อมโยง NIC เราจะเชื่อมโยง การ์ดเครือข่ายอีเทอร์เน็ต สองตัวขึ้นไปเข้าด้วยกัน และสร้างอินเทอร์เฟซเสมือนเดียวที่เราสามารถกำหนดที่อยู่ IP เพื่อพูดคุยกับผู้อื่นได้ เซิร์ฟเวอร์ เครือข่ายของเราจะใช้งานได้ในกรณีที่ การ์ด NIC หนึ่งใบหยุดทำงานหรือไม่สามารถใช้งานได้ไม่ว่าด้วยเหตุผลใดก็ตาม
อ่านเพิ่มเติม : สร้างการเชื่อมโยงช่อง NIC ใน Linux
24. ให้ /boot เป็นแบบอ่านอย่างเดียว
เคอร์เนล Linux และไฟล์ที่เกี่ยวข้องอยู่ในไดเร็กทอรี /boot ซึ่งตามค่าเริ่มต้นจะเป็น อ่าน-เขียน การเปลี่ยนเป็นแบบ อ่านอย่างเดียว ช่วยลดความเสี่ยงในการแก้ไขไฟล์บูตที่สำคัญโดยไม่ได้รับอนุญาต ในการดำเนินการนี้ ให้เปิดไฟล์ “/etc/fstab”
vi /etc/fstab
เพิ่มบรรทัดต่อไปนี้ที่ด้านล่าง บันทึกและปิด
LABEL=/boot /boot ext2 defaults,ro 1 2
โปรดทราบว่าคุณจะต้องรีเซ็ตการเปลี่ยนแปลงเป็นแบบอ่าน-เขียน หากคุณต้องการอัพเกรดเคอร์เนลในอนาคต
25. ละเว้น ICMP หรือคำขอออกอากาศ
เพิ่มบรรทัดต่อไปนี้ในไฟล์ “/etc/sysctl.conf” เพื่อละเว้นคำขอ ping หรือ broadcast
Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1
Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1
โหลดการตั้งค่าหรือการเปลี่ยนแปลงใหม่โดยใช้คำสั่งต่อไปนี้
#sysctl -p
หากคุณพลาดเคล็ดลับการรักษาความปลอดภัยหรือเคล็ดลับการเสริมความแข็งแกร่งที่สำคัญในรายการด้านบน หรือมีเคล็ดลับอื่นใดที่จำเป็นต้องรวมไว้ในรายการ กรุณาส่งความคิดเห็นของคุณในช่องแสดงความคิดเห็นของเรา TecMint สนใจรับความคิดเห็น คำแนะนำ ตลอดจนการอภิปรายเพื่อการปรับปรุงอยู่เสมอ