|
|
@@ -0,0 +1,66 @@
|
|
|
+# Hardening Checklist for Linux
|
|
|
+
|
|
|
+Linux, как популярная и гибкая операционная система, широко используется на серверах, рабочих станциях и встроенных устройствах. При этом его открытость и настраиваемость требуют особого внимания к вопросам безопасности. Ужесточение (hardening) Linux-системы — это критически важный процесс, направленный на уменьшение поверхности атаки, повышение устойчивости к уязвимостям и обеспечение конфиденциальности данных. В этом докладе мы рассмотрим основные пункты списка действий по ужесточению Linux, которые значительно повысят уровень безопасности вашей системы.
|
|
|
+
|
|
|
+# Обновления и патчи:
|
|
|
+Регулярные обновления:
|
|
|
+Автоматическое обновление (с осторожностью): настройка автоматического обновления пакетов (apt, yum, dnf, pacman и т. д.) с учетом возможных проблем несовместимости (особенно для серверов).
|
|
|
+Ручная проверка и установка обновлений: периодическая ручная проверка доступных обновлений и их установка с учетом важности безопасности и стабильности системы.
|
|
|
+Обновления ядра:
|
|
|
+Своевременное обновление ядра: установка обновлений ядра для исправления уязвимостей. Рекомендуется использовать последние стабильные версии.
|
|
|
+Установка обновлений безопасности: при необходимости установка отдельных обновлений безопасности для критических уязвимостей, требующих немедленного реагирования.
|
|
|
+
|
|
|
+# Учетные записи и аутентификация:
|
|
|
+Надежные пароли:
|
|
|
+Требования к сложности паролей: использование сложных паролей, состоящих из комбинации букв (верхнего/нижнего регистра), цифр и специальных символов.
|
|
|
+Политика сложности паролей: настройка политики сложности паролей (например, с помощью pam_cracklib или pam_passwdqc) для повышения требований к паролям.
|
|
|
+Смена паролей: регулярная смена паролей (например, каждые 90 дней).
|
|
|
+Управление учетными записями:
|
|
|
+Отключение гостевых учетных записей: Отключение неиспользуемых учетных записей, включая гостевые.
|
|
|
+Ограничение привилегий: назначение минимальных привилегий пользователям и группам. Использование sudo для выполнения задач, требующих прав root.
|
|
|
+Удаление неиспользуемых учетных записей: удаление учетных записей пользователей, которые больше не нужны.
|
|
|
+Двухфакторная аутентификация (2FA):
|
|
|
+Внедрение 2FA для удаленного доступа (SSH): использование 2FA (например, Google Authenticator, FreeOTP, Duo) для аутентификации по SSH для защиты от атак методом подбора пароля.
|
|
|
+2FA для привилегированных учетных записей: применение 2FA для учетных записей с правами администратора.
|
|
|
+SSH-настройка:
|
|
|
+Отключение аутентификации по паролю (при использовании ключей): Запрет аутентификации по паролю для SSH, если используется аутентификация по ключам.
|
|
|
+Смена порта SSH (по умолчанию): изменение порта SSH (например, с 22 на другой порт) для усложнения автоматизированных атак.
|
|
|
+Ограничение доступа к SSH: разрешение доступа к SSH только с определенных IP-адресов или сетей.
|
|
|
+Использование ключей SSH: использование ключей SSH для безопасной аутентификации без пароля.
|
|
|
+# Брандмауэр и сетевая безопасность:
|
|
|
+Включение и настройка брандмауэра (iptables/nftables/firewalld):
|
|
|
+Блокировка всех входящих соединений по умолчанию: разрешение только необходимых входящих соединений для работы сервисов.
|
|
|
+Открытие только необходимых портов: открытие только тех портов, которые необходимы для работы сервисов (например, 80/443 для HTTP/HTTPS, 22 для SSH).
|
|
|
+Защита от DDoS-атак: использование механизмов защиты от DDoS-атак на уровне брандмауэра и сетевого оборудования.
|
|
|
+Обновление правил брандмауэра: Регулярная проверка и обновление правил брандмауэра в соответствии с потребностями системы.
|
|
|
+Сетевая изоляция: использование виртуальных локальных сетей и других методов сетевой изоляции для разделения различных частей сети.
|
|
|
+# Защита файловой системы:
|
|
|
+Ограничение прав доступа к файлам и каталогам:
|
|
|
+Использование минимально необходимых прав доступа: установка минимально необходимых прав доступа (chmod) к файлам и каталогам.
|
|
|
+Владение файлами и каталогами: убедитесь, что файлы и каталоги принадлежат соответствующим пользователям и группам.
|
|
|
+Шифрование дисков (LUKS):
|
|
|
+Шифрование системного диска: использование LUKS для шифрования дисков для защиты данных в случае кражи или потери устройства.
|
|
|
+Удаление неиспользуемых служб:
|
|
|
+Отключение неиспользуемых служб: отключение служб, которые не используются, для уменьшения поверхности атаки.
|
|
|
+Использование chroot-окружений: использование chroot-окружений для изоляции приложений и сервисов.
|
|
|
+# Аудит и мониторинг:
|
|
|
+Включение аудита (auditd):
|
|
|
+Настройка аудита событий безопасности: включение аудита для отслеживания действий пользователей, изменений в файлах, неудачных попыток входа и других важных событий.
|
|
|
+Анализ журналов аудита: регулярный анализ журналов аудита для выявления подозрительной активности.
|
|
|
+Мониторинг системы (Nagios, Zabbix, Prometheus и др.):
|
|
|
+Мониторинг производительности и безопасности: использование инструментов мониторинга для отслеживания производительности системы, доступности сервисов и выявления аномалий.
|
|
|
+Настройка оповещений: настройка оповещений о важных событиях (например, неудачные попытки входа в систему, изменения в файлах).
|
|
|
+# Удаление ненужного ПО:
|
|
|
+Удаление неиспользуемых пакетов:
|
|
|
+Удаление неиспользуемого ПО: удаление программ, которые больше не используются, для уменьшения поверхности атаки.
|
|
|
+Использование принципа “минимальной установки”: установка только тех пакетов, которые необходимы для работы системы.
|
|
|
+# Общие рекомендации:
|
|
|
+Регулярная проверка и обновление:
|
|
|
+Сканирование на уязвимости: использование сканеров уязвимостей (например, Lynis, Nessus) для выявления потенциальных проблем.
|
|
|
+Проведение пентестов (при возможности): проведение пентестов для оценки безопасности системы.
|
|
|
+Резервное копирование:
|
|
|
+Регулярное резервное копирование данных: создание резервных копий данных для восстановления в случае инцидента.
|
|
|
+Физическая безопасность:
|
|
|
+Защита физического доступа к серверам: ограничение физического доступа к серверам и другим устройствам.
|
|
|
+# Заключение:
|
|
|
+Проверка безопасности Linux — это непрерывный процесс, требующий постоянного внимания и адаптации к новым угрозам. Применение представленных мер значительно повышает уровень безопасности вашей Linux-системы, снижая риски успешной атаки. Важно помнить, что безопасность — это не статичная категория, а динамичная система, требующая регулярных проверок, обновлений и адаптации к меняющимся условиям. Регулярный аудит, мониторинг и обучение персонала — ключевые компоненты успешной стратегии безопасности.
|
