25 เคล็ดลับความปลอดภัยที่แข็งแกร่งสำหรับเซิร์ฟเวอร์ Linux

คุณต้องการติดตั้งบริการทุกประเภทจริง ๆ หรือไม่?. ขอแนะนำให้หลีกเลี่ยงการติดตั้งแพ็คเกจที่ไม่มีประโยชน์เพื่อหลีกเลี่ยงช่องโหว่ในแพ็คเกจ สิ่งนี้อาจลดความเสี่ยงที่การประนีประนอมของบริการหนึ่งอาจนำไปสู่การประนีประนอมของบริการอื่น ๆ ค้นหาและลบหรือปิดใช้งานบริการที่ไม่พึงประสงค์จากเซิร์ฟเวอร์เพื่อลดช่องโหว่ ใช้คำสั่ง 'chkconfig' เพื่อค้นหาบริการที่ทำงานบน runlevel 3

/sbin/chkconfig --list |grep '3:on'

เมื่อคุณพบว่าบริการที่ไม่พึงประสงค์กำลังทำงานอยู่ ให้ปิดการใช้งานโดยใช้คำสั่งต่อไปนี้

chkconfig serviceName off

ใช้เครื่องมือจัดการแพ็คเกจ RPM เช่น เครื่องมือ “yum” หรือ “apt-get” เพื่อแสดงรายการแพ็คเกจที่ติดตั้งทั้งหมดบนระบบและลบออกโดยใช้ คำสั่งต่อไปนี้

yum -y remove package-name

sudo apt-get remove package-name

1. 5 ตัวอย่างคำสั่ง chkconfig
2. 20 ตัวอย่างคำสั่ง RPM ที่ใช้งานได้จริง
3. 20 คำสั่ง Linux YUM สำหรับการจัดการแพ็คเกจ Linux
4. 25 คำสั่ง APT-GET และ APT-CACHE เพื่อจัดการการจัดการแพ็คเกจ

4. ตรวจสอบพอร์ตเครือข่ายการฟัง

ด้วยความช่วยเหลือของคำสั่งเครือข่าย 'netstat' คุณสามารถดูพอร์ตที่เปิดอยู่ทั้งหมดและโปรแกรมที่เกี่ยวข้องได้ ดังที่ได้กล่าวไว้ข้างต้นให้ใช้คำสั่ง 'chkconfig' เพื่อปิดใช้งานบริการเครือข่ายที่ไม่ต้องการทั้งหมดจากระบบ

netstat -tulpn

1. 20 คำสั่ง Netstat สำหรับการจัดการเครือข่ายใน Linux

5. ใช้ Secure Shell (SSH)

โปรโตคอล Telnet และ rlogin ใช้ข้อความธรรมดา ไม่ใช่รูปแบบที่เข้ารหัส ซึ่งเป็นการละเมิดความปลอดภัย SSH เป็นโปรโตคอลที่ปลอดภัยที่ใช้เทคโนโลยีการเข้ารหัสระหว่างการสื่อสารกับเซิร์ฟเวอร์

ห้ามเข้าสู่ระบบโดยตรงด้วย root เว้นแต่จำเป็น ใช้ “sudo” เพื่อดำเนินการคำสั่ง sudo ระบุไว้ในไฟล์ /etc/sudoers และสามารถแก้ไขได้ด้วยยูทิลิตี้ “visudo” ซึ่งเปิดขึ้นมาในตัวแก้ไข VI

ขอแนะนำให้เปลี่ยนหมายเลขพอร์ตเริ่มต้น SSH 22 ด้วยหมายเลขพอร์ตระดับที่สูงกว่าอื่นๆ เปิดไฟล์การกำหนดค่า SSH หลักและสร้างพารามิเตอร์ต่อไปนี้เพื่อจำกัดผู้ใช้ในการเข้าถึง

vi /etc/ssh/sshd_config

ปิดการใช้งานการเข้าสู่ระบบรูท

PermitRootLogin no

อนุญาตเฉพาะผู้ใช้ที่ระบุเท่านั้น

AllowUsers username

ใช้เวอร์ชันโปรโตคอล SSH 2

Protocol 2

1. 5 แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยและปกป้องเซิร์ฟเวอร์ SSH

6. อัปเดตระบบอยู่เสมอ

คอยอัปเดตระบบด้วยแพตช์ล่าสุด การแก้ไขด้านความปลอดภัย และเคอร์เนลเสมอเมื่อพร้อมใช้งาน

yum updates
yum check-update

7. ล็อคดาวน์ Cronjobs

Cron มีคุณลักษณะในตัว ซึ่งจะช่วยให้ระบุได้ว่าใครสามารถและใครอาจไม่ต้องการทำงาน สิ่งนี้ถูกควบคุมโดยการใช้ไฟล์ชื่อ /etc/cron.allow และ /etc/cron.deny หากต้องการล็อคผู้ใช้โดยใช้ cron เพียงเพิ่มชื่อผู้ใช้ใน cron.deny และอนุญาตให้ผู้ใช้เรียกใช้ cron ให้เพิ่มในไฟล์ cron.allow หากคุณต้องการปิดการใช้งานผู้ใช้ทั้งหมดจากการใช้ cron ให้เพิ่มบรรทัด 'ทั้งหมด' ลงในไฟล์ cron.deny

echo ALL >>/etc/cron.deny

1. 11 ตัวอย่างการตั้งเวลา Cron ใน Linux

8. ปิดการใช้งานแท่ง USB เพื่อตรวจจับ

หลายครั้งที่เราต้องการจำกัดผู้ใช้ไม่ให้ใช้แท่ง USB ในระบบเพื่อปกป้องและรักษาความปลอดภัยข้อมูลจากการขโมย สร้างไฟล์ '/etc/modprobe.d/no-usb' และการเพิ่มบรรทัดด้านล่างจะตรวจไม่พบที่เก็บข้อมูล USB

install usb-storage /bin/true

9. เปิด SELinux

Security-Enhanced Linux (SELinux) เป็นกลไกรักษาความปลอดภัยการควบคุมการเข้าถึงภาคบังคับที่มีให้ในเคอร์เนล การปิดใช้งาน SELinux หมายถึงการลบกลไกความปลอดภัยออกจากระบบ คิดให้รอบคอบก่อนที่จะลบ หากระบบของคุณเชื่อมต่อกับอินเทอร์เน็ตและเข้าถึงได้โดยสาธารณะ ให้คิดเพิ่มเติมเกี่ยวกับมัน

SELinux มีโหมดการทำงานพื้นฐานสามโหมดให้เลือก

1. การบังคับใช้: นี่คือโหมดเริ่มต้นที่เปิดใช้งานและบังคับใช้นโยบายความปลอดภัย SELinux บนเครื่อง
2. อนุญาต: ในโหมดนี้ SELinux จะไม่บังคับใช้นโยบายความปลอดภัยกับระบบ เตือนและบันทึกการดำเนินการเท่านั้น โหมดนี้มีประโยชน์มากในแง่ของการแก้ไขปัญหาที่เกี่ยวข้องกับ SELinux
3. ปิดการใช้งาน: SELinux ถูกปิด

คุณสามารถดูสถานะปัจจุบันของโหมด SELinux ได้จากบรรทัดคำสั่งโดยใช้ 'system-config-selinux', 'getenforce' หรือ ' คำสั่งเซสเตตัส'

sestatus

หากปิดใช้งานอยู่ ให้เปิดใช้งาน SELinux โดยใช้คำสั่งต่อไปนี้

setenforce enforcing

นอกจากนี้ยังสามารถจัดการได้จากไฟล์ '/etc/selinux/config' ซึ่งคุณสามารถเปิดหรือปิดใช้งานได้

10. ลบเดสก์ท็อป KDE/GNOME

ไม่จำเป็นต้องเรียกใช้เดสก์ท็อป X Window เช่น KDE หรือ GNOME บนเซิร์ฟเวอร์ LAMP เฉพาะของคุณ คุณสามารถลบหรือปิดการใช้งานเพื่อเพิ่มความปลอดภัยของเซิร์ฟเวอร์และประสิทธิภาพ หากต้องการปิดใช้งานแบบง่ายให้เปิดไฟล์ '/etc/inittab' และตั้งค่าระดับการทำงานเป็น 3 หากคุณต้องการลบออกจากระบบอย่างสมบูรณ์ให้ใช้คำสั่งด้านล่าง

yum groupremove "X Window System"

11. ปิด IPv6

หากคุณไม่ได้ใช้โปรโตคอล IPv6 คุณควรปิดการใช้งานเนื่องจากแอปพลิเคชันหรือนโยบายส่วนใหญ่ไม่จำเป็นต้องใช้โปรโตคอล IPv6 และในปัจจุบันไม่จำเป็นต้องใช้บนเซิร์ฟเวอร์ . ไปที่ไฟล์การกำหนดค่าเครือข่ายและเพิ่มบรรทัดต่อไปนี้เพื่อปิดการใช้งาน

vi /etc/sysconfig/network

NETWORKING_IPV6=no
IPV6INIT=no

12. จำกัดผู้ใช้ให้ใช้รหัสผ่านเก่า

สิ่งนี้มีประโยชน์มากหากคุณต้องการไม่อนุญาตให้ผู้ใช้ใช้รหัสผ่านเดิม ไฟล์รหัสผ่านเก่าอยู่ที่ /etc/security/opasswd ซึ่งสามารถทำได้โดยใช้โมดูล PAM

เปิดไฟล์ '/etc/pam.d/system-auth' ภายใต้ RHEL/CentOS/Fedora

vi /etc/pam.d/system-auth

เปิดไฟล์ '/etc/pam.d/common-password' ภายใต้ Ubuntu/Debian/Linux Mint

vi /etc/pam.d/common-password

เพิ่มบรรทัดต่อไปนี้ในส่วน 'auth'

auth        sufficient    pam_unix.so likeauth nullok

เพิ่มบรรทัดต่อไปนี้ในส่วน 'รหัสผ่าน' เพื่อไม่อนุญาตให้ผู้ใช้นำรหัสผ่าน 5 ล่าสุดของเขาหรือเธอกลับมาใช้ซ้ำ

password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

เซิร์ฟเวอร์จะจดจำรหัสผ่าน 5 ล่าสุดเท่านั้น หากคุณพยายามใช้รหัสผ่านเก่า 5 รายการล่าสุด คุณจะได้รับข้อผิดพลาดเช่น

Password has been already used. Choose another.

13. วิธีตรวจสอบรหัสผ่านหมดอายุของผู้ใช้

ใน Linux รหัสผ่านของผู้ใช้จะถูกจัดเก็บไว้ในไฟล์ '/etc/shadow' ในรูปแบบที่เข้ารหัส หากต้องการตรวจสอบการหมดอายุของรหัสผ่านของผู้ใช้ คุณต้องใช้คำสั่ง 'chage' จะแสดงข้อมูลรายละเอียดการหมดอายุของรหัสผ่านพร้อมกับวันที่เปลี่ยนรหัสผ่านครั้งล่าสุด ระบบจะใช้รายละเอียดเหล่านี้เพื่อตัดสินใจว่าเมื่อใดที่ผู้ใช้จะต้องเปลี่ยนรหัสผ่านของตน

หากต้องการดูข้อมูลอายุของผู้ใช้ที่มีอยู่ เช่น วันหมดอายุ และ เวลา ให้ใช้คำสั่งต่อไปนี้

#chage -l username

หากต้องการเปลี่ยนอายุรหัสผ่านของผู้ใช้ ให้ใช้คำสั่งต่อไปนี้

#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

พารามิเตอร์

1. -M กำหนดจำนวนวันสูงสุด
2. -m กำหนดจำนวนวันขั้นต่ำ
3. -W กำหนดจำนวนวันที่แจ้งเตือน

14. ล็อคและปลดล็อคบัญชีด้วยตนเอง

คุณสมบัติล็อคและปลดล็อคมีประโยชน์มาก แทนที่จะลบบัญชีออกจากระบบ คุณสามารถล็อคมันเป็นเวลาหนึ่งสัปดาห์หรือหนึ่งเดือนได้ หากต้องการล็อคผู้ใช้รายใดรายหนึ่ง คุณสามารถใช้คำสั่ง follow

passwd -l accountName

หมายเหตุ : ผู้ใช้ที่ถูกล็อคยังคงใช้งานได้สำหรับผู้ใช้ รูท เท่านั้น การล็อคทำได้โดยการแทนที่รหัสผ่านที่เข้ารหัสด้วยสตริง (!) หากมีใครพยายามเข้าสู่ระบบโดยใช้บัญชีนี้ เขาจะได้รับข้อผิดพลาดคล้ายกับด้านล่างนี้

su - accountName
This account is currently not available.

หากต้องการปลดล็อคหรือเปิดใช้งานการเข้าถึงบัญชีที่ถูกล็อคให้ใช้คำสั่งเป็น การดำเนินการนี้จะลบสตริง (!) ที่มีรหัสผ่านที่เข้ารหัส

passwd -u accountName

15. การบังคับใช้รหัสผ่านที่รัดกุมยิ่งขึ้น

ผู้ใช้จำนวนหนึ่งใช้รหัสผ่านที่คาดเดาง่ายหรืออ่อนแอ และรหัสผ่านของพวกเขาอาจถูกแฮ็กด้วยการโจมตีแบบตามพจนานุกรมหรือแบบดุร้าย โมดูล 'pam_cracklib' มีอยู่ในโมดูล PAM (โมดูลการตรวจสอบสิทธิ์แบบเสียบได้) ซึ่งจะบังคับให้ผู้ใช้ตั้งรหัสผ่านที่รัดกุม เปิดไฟล์ต่อไปนี้ด้วยโปรแกรมแก้ไข

อ่านเพิ่มเติม:

vi /etc/pam.d/system-auth

และเพิ่มบรรทัดโดยใช้พารามิเตอร์เครดิตเป็น (lcredit, ucredit, dcredit และ/หรือ ocredit ตามลำดับตัวพิมพ์เล็ก , ตัวพิมพ์ใหญ่, ตัวเลข และอื่นๆ)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. เปิดใช้งาน Iptables (ไฟร์วอลล์)

ขอแนะนำอย่างยิ่งให้เปิดใช้งาน ไฟร์วอลล์ Linux เพื่อรักษาความปลอดภัยการเข้าถึงเซิร์ฟเวอร์ของคุณโดยไม่ได้รับอนุญาต ใช้กฎใน iptables เพื่อกรองแพ็กเก็ต ขาเข้า, ขาออก และ การส่งต่อ เราสามารถระบุที่อยู่ต้นทางและปลายทางเพื่ออนุญาตและปฏิเสธในหมายเลขพอร์ต udp/tcp เฉพาะ

1. คำแนะนำและเคล็ดลับ IPTables พื้นฐาน

17. ปิดการใช้งาน Ctrl+Alt+Delete ใน Inittab

ใน Linux ส่วนใหญ่ การกด 'CTRL-ALT-DELETE' จะทำให้ระบบของคุณรีบูตกระบวนการ ดังนั้นจึงไม่ใช่ความคิดที่ดีที่จะเปิดใช้งานตัวเลือกนี้อย่างน้อยบนเซิร์ฟเวอร์ที่ใช้งานจริง หากมีคนทำสิ่งนี้โดยไม่ตั้งใจ

สิ่งนี้ถูกกำหนดไว้ในไฟล์ '/etc/inittab' หากคุณดูไฟล์นั้นอย่างใกล้ชิด คุณจะเห็นบรรทัดคล้ายกับด้านล่าง โดยค่าเริ่มต้นบรรทัดจะไม่ถูกใส่เครื่องหมายความคิดเห็น เราต้องแสดงความเห็นออกมา การส่งสัญญาณลำดับคีย์เฉพาะนี้จะปิดระบบ

Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. การตรวจสอบบัญชีเพื่อหารหัสผ่านที่ว่างเปล่า

บัญชีใดก็ตามที่มีรหัสผ่านว่างเปล่า หมายความว่าบัญชีนั้นเปิดให้เข้าถึงใครก็ตามบนเว็บโดยไม่ได้รับอนุญาต และเป็นส่วนหนึ่งของการรักษาความปลอดภัยภายในเซิร์ฟเวอร์ Linux ดังนั้นคุณต้องตรวจสอบให้แน่ใจว่าบัญชีทั้งหมดมีรหัสผ่านที่รัดกุมและไม่มีใครมีสิทธิ์เข้าถึง บัญชีรหัสผ่านที่ว่างเปล่าถือเป็นความเสี่ยงด้านความปลอดภัยและสามารถแฮ็กได้ง่าย หากต้องการตรวจสอบว่ามีบัญชีใดที่มีรหัสผ่านว่างเปล่าหรือไม่ ให้ใช้คำสั่งต่อไปนี้

cat /etc/shadow | awk -F: '($2==""){print $1}'

19. แสดงแบนเนอร์ SSH ก่อนเข้าสู่ระบบ

เป็นความคิดที่ดีกว่าเสมอที่จะมีแบนเนอร์ทางกฎหมายหรือแบนเนอร์ความปลอดภัยพร้อมคำเตือนด้านความปลอดภัยก่อนการตรวจสอบสิทธิ์ SSH หากต้องการตั้งค่าแบนเนอร์ดังกล่าวให้อ่านบทความต่อไปนี้

1. แสดงข้อความเตือน SSH แก่ผู้ใช้

20. ตรวจสอบกิจกรรมของผู้ใช้

หากคุณกำลังติดต่อกับผู้ใช้จำนวนมาก สิ่งสำคัญคือต้องรวบรวมข้อมูลของกิจกรรมผู้ใช้แต่ละรายและกระบวนการที่พวกเขาใช้ และวิเคราะห์พวกเขาในภายหลัง หรือในกรณีที่มีปัญหาด้านประสิทธิภาพหรือความปลอดภัยใดๆ แต่เราจะติดตามและรวบรวมข้อมูลกิจกรรมของผู้ใช้ได้อย่างไร

มีเครื่องมือที่มีประโยชน์สองอย่างที่เรียกว่า 'psacct' และ 'acct' ใช้สำหรับตรวจสอบกิจกรรมและกระบวนการของผู้ใช้บนระบบ เครื่องมือเหล่านี้ทำงานในพื้นหลังของระบบและติดตามกิจกรรมของผู้ใช้แต่ละรายการบนระบบและทรัพยากรที่ใช้โดยบริการต่างๆ เช่น Apache, MySQL, SSH, FTP ฯลฯ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้ง การกำหนดค่า และการใช้งาน โปรดไปที่ URL ด้านล่าง

1. ตรวจสอบกิจกรรมของผู้ใช้ด้วยคำสั่ง psacct หรือ acct

21. ตรวจสอบบันทึกอย่างสม่ำเสมอ

ย้ายบันทึกในเซิร์ฟเวอร์บันทึกเฉพาะ ซึ่งอาจป้องกันไม่ให้ผู้บุกรุกแก้ไขบันทึกในเครื่องได้อย่างง่ายดาย ด้านล่างนี้คือชื่อไฟล์บันทึกเริ่มต้นของ Common Linux และการใช้งาน:

1. /var/log/message – ในกรณีที่มีบันทึกของระบบทั้งหมดหรือบันทึกกิจกรรมปัจจุบัน
2. /var/log/auth.log – บันทึกการตรวจสอบสิทธิ์
3. /var/log/kern.log – บันทึกเคอร์เนล
4. /var/log/cron.log – บันทึก Crond (งาน cron)
5. /var/log/maillog – บันทึกเซิร์ฟเวอร์เมล
6. /var/log/boot.log – บันทึกการบูตระบบ
7. /var/log/mysqld.log – ไฟล์บันทึกเซิร์ฟเวอร์ฐานข้อมูล MySQL
8. /var/log/secure – บันทึกการตรวจสอบสิทธิ์
9. /var/log/utmp หรือ /var/log/wtmp : ไฟล์บันทึกการเข้าสู่ระบบ
10. /var/log/yum.log: ไฟล์บันทึกของ Yum

22. การสำรองไฟล์สำคัญ

ในระบบที่ใช้งานจริง จำเป็นต้องสำรองไฟล์สำคัญและเก็บไว้ในตู้นิรภัย ไซต์ระยะไกล หรือนอกสถานที่เพื่อการกู้คืนจากภัยพิบัติ

23. การเชื่อมต่อ NIC

มีโหมดสองประเภทในการเชื่อม NIC ซึ่งจำเป็นต้องกล่าวถึงในอินเทอร์เฟซการเชื่อม

1. mode=0 – ราวด์โรบิน
2. mode=1 – ใช้งานอยู่และสำรองข้อมูล

การเชื่อมโยง NIC ช่วยให้เราหลีกเลี่ยงความล้มเหลวเพียงจุดเดียว ในการเชื่อมโยง NIC เราจะเชื่อมโยง การ์ดเครือข่ายอีเทอร์เน็ต สองตัวขึ้นไปเข้าด้วยกัน และสร้างอินเทอร์เฟซเสมือนเดียวที่เราสามารถกำหนดที่อยู่ IP เพื่อพูดคุยกับผู้อื่นได้ เซิร์ฟเวอร์ เครือข่ายของเราจะใช้งานได้ในกรณีที่ การ์ด NIC หนึ่งใบหยุดทำงานหรือไม่สามารถใช้งานได้ไม่ว่าด้วยเหตุผลใดก็ตาม

อ่านเพิ่มเติม : สร้างการเชื่อมโยงช่อง NIC ใน Linux

24. ให้ /boot เป็นแบบอ่านอย่างเดียว

เคอร์เนล Linux และไฟล์ที่เกี่ยวข้องอยู่ในไดเร็กทอรี /boot ซึ่งตามค่าเริ่มต้นจะเป็น อ่าน-เขียน การเปลี่ยนเป็นแบบ อ่านอย่างเดียว ช่วยลดความเสี่ยงในการแก้ไขไฟล์บูตที่สำคัญโดยไม่ได้รับอนุญาต ในการดำเนินการนี้ ให้เปิดไฟล์ “/etc/fstab”

vi /etc/fstab

เพิ่มบรรทัดต่อไปนี้ที่ด้านล่าง บันทึกและปิด

LABEL=/boot     /boot     ext2     defaults,ro     1 2

โปรดทราบว่าคุณจะต้องรีเซ็ตการเปลี่ยนแปลงเป็นแบบอ่าน-เขียน หากคุณต้องการอัพเกรดเคอร์เนลในอนาคต

25. ละเว้น ICMP หรือคำขอออกอากาศ

เพิ่มบรรทัดต่อไปนี้ในไฟล์ “/etc/sysctl.conf” เพื่อละเว้นคำขอ ping หรือ broadcast

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

โหลดการตั้งค่าหรือการเปลี่ยนแปลงใหม่โดยใช้คำสั่งต่อไปนี้

#sysctl -p

หากคุณพลาดเคล็ดลับการรักษาความปลอดภัยหรือเคล็ดลับการเสริมความแข็งแกร่งที่สำคัญในรายการด้านบน หรือมีเคล็ดลับอื่นใดที่จำเป็นต้องรวมไว้ในรายการ กรุณาส่งความคิดเห็นของคุณในช่องแสดงความคิดเห็นของเรา TecMint สนใจรับความคิดเห็น คำแนะนำ ตลอดจนการอภิปรายเพื่อการปรับปรุงอยู่เสมอ