1 mese fa · 871a8fdba1
--- a/Лекции/2.4.510_Hardening_Checklist_for_Linux/podenny.md
+++ b/Лекции/2.4.510_Hardening_Checklist_for_Linux/podenny.md
@@ -0,0 +1,11 @@
 
				+В чем разница между автоматическим и ручным обновлением пакетов в Linux с точки зрения безопасности и стабильности системы, и какие факторы следует учитывать при выборе метода обновления?
			
 
				+Автоматическое обновление позволяет компьютеру самостоятельно загружать и устанавливать последние версии систем безопасности без вмешательства пользователя.Это обеспечивает безопасность и бесперебойную работу системы, но может привести к тому, что новая версия софта не запустится, если она не совместима с ранее добавленной опцией.Ручное обновление предполагает установку общего названия пакета в качестве выбранной пользователем альтернативы независимо от значения приоритета альтернатив. В таком режиме система будет придерживаться сделанного пользователем выбора до тех пор, пока он не сделает другой выбор.
			
 
				+
			
 
				+Какие конкретные шаги можно предпринять для усиления защиты SSH-сервера в Linux от атак методом подбора пароля и несанкционированного доступа и почему это так важно?
			
 
				+Отключить вход в систему с правами root.Это важно, так как вход с такими правами обеспечивает неограниченный доступ к системе, которым могут воспользоваться злоумышленники.Вместо входа в систему root рекомендуется создать отдельного пользователя с правами администратора и использовать sudo для выполнения задач.
			
 
				+
			
 
				+Какова роль брандмауэра в Linux и какие основные принципы следует соблюдать при настройке его правил для эффективной защиты системы от нежелательного сетевого трафика?
			
 
				+Роль брандмауэра в Linux заключается в контроле и фильтрации сетевого трафика, чтобы защитить систему от несанкционированных доступов, атак и других угроз.Он может блокировать доступ к различным IP-адресам, определённым подсетям, портам и службам.
			
 
				+
			
 
				+Почему важно ограничивать права доступа к файлам и каталогам в Linux и какие инструменты и методы можно использовать для эффективного управления правами доступа?
			
 
				+Безопасность;Конфиденциальность;Целостность;Защита от потери данных.
			
--- a/Лекции/2.4.510_Hardening_Checklist_for_Linux/podeny.md
+++ b/Лекции/2.4.510_Hardening_Checklist_for_Linux/podeny.md
@@ -0,0 +1,66 @@
 
				+# Hardening Checklist for Linux
			
 
				+
			
 
				+Linux, как популярная и гибкая операционная система, широко используется на серверах, рабочих станциях и встроенных устройствах. При этом его открытость и настраиваемость требуют особого внимания к вопросам безопасности. Ужесточение (hardening) Linux-системы — это критически важный процесс, направленный на уменьшение поверхности атаки, повышение устойчивости к уязвимостям и обеспечение конфиденциальности данных. В этом докладе мы рассмотрим основные пункты списка действий по ужесточению Linux, которые значительно повысят уровень безопасности вашей системы.
			
 
				+
			
 
				+#	Обновления и патчи:
			
 
				+Регулярные обновления:
			
 
				+Автоматическое обновление (с осторожностью): настройка автоматического обновления пакетов (apt, yum, dnf, pacman и т. д.) с учетом возможных проблем несовместимости (особенно для серверов).
			
 
				+Ручная проверка и установка обновлений: периодическая ручная проверка доступных обновлений и их установка с учетом важности безопасности и стабильности системы.
			
 
				+Обновления ядра:
			
 
				+Своевременное обновление ядра: установка обновлений ядра для исправления уязвимостей. Рекомендуется использовать последние стабильные версии.
			
 
				+Установка обновлений безопасности: при необходимости установка отдельных обновлений безопасности для критических уязвимостей, требующих немедленного реагирования.
			
 
				+
			
 
				+#	Учетные записи и аутентификация:
			
 
				+Надежные пароли:
			
 
				+Требования к сложности паролей: использование сложных паролей, состоящих из комбинации букв (верхнего/нижнего регистра), цифр и специальных символов.
			
 
				+Политика сложности паролей: настройка политики сложности паролей (например, с помощью pam_cracklib или pam_passwdqc) для повышения требований к паролям.
			
 
				+Смена паролей: регулярная смена паролей (например, каждые 90 дней).
			
 
				+Управление учетными записями:
			
 
				+Отключение гостевых учетных записей: Отключение неиспользуемых учетных записей, включая гостевые.
			
 
				+Ограничение привилегий: назначение минимальных привилегий пользователям и группам. Использование sudo для выполнения задач, требующих прав root.
			
 
				+Удаление неиспользуемых учетных записей: удаление учетных записей пользователей, которые больше не нужны.
			
 
				+Двухфакторная аутентификация (2FA):
			
 
				+Внедрение 2FA для удаленного доступа (SSH): использование 2FA (например, Google Authenticator, FreeOTP, Duo) для аутентификации по SSH для защиты от атак методом подбора пароля.
			
 
				+2FA для привилегированных учетных записей: применение 2FA для учетных записей с правами администратора.
			
 
				+SSH-настройка:
			
 
				+Отключение аутентификации по паролю (при использовании ключей): Запрет аутентификации по паролю для SSH, если используется аутентификация по ключам.
			
 
				+Смена порта SSH (по умолчанию): изменение порта SSH (например, с 22 на другой порт) для усложнения автоматизированных атак.
			
 
				+Ограничение доступа к SSH: разрешение доступа к SSH только с определенных IP-адресов или сетей.
			
 
				+Использование ключей SSH: использование ключей SSH для безопасной аутентификации без пароля.
			
 
				+#	Брандмауэр и сетевая безопасность:
			
 
				+Включение и настройка брандмауэра (iptables/nftables/firewalld):
			
 
				+Блокировка всех входящих соединений по умолчанию: разрешение только необходимых входящих соединений для работы сервисов.
			
 
				+Открытие только необходимых портов: открытие только тех портов, которые необходимы для работы сервисов (например, 80/443 для HTTP/HTTPS, 22 для SSH).
			
 
				+Защита от DDoS-атак: использование механизмов защиты от DDoS-атак на уровне брандмауэра и сетевого оборудования.
			
 
				+Обновление правил брандмауэра: Регулярная проверка и обновление правил брандмауэра в соответствии с потребностями системы.
			
 
				+Сетевая изоляция: использование виртуальных локальных сетей и других методов сетевой изоляции для разделения различных частей сети.
			
 
				+#	Защита файловой системы:
			
 
				+Ограничение прав доступа к файлам и каталогам:
			
 
				+Использование минимально необходимых прав доступа: установка минимально необходимых прав доступа (chmod) к файлам и каталогам.
			
 
				+Владение файлами и каталогами: убедитесь, что файлы и каталоги принадлежат соответствующим пользователям и группам.
			
 
				+Шифрование дисков (LUKS):
			
 
				+Шифрование системного диска: использование LUKS для шифрования дисков для защиты данных в случае кражи или потери устройства.
			
 
				+Удаление неиспользуемых служб:
			
 
				+Отключение неиспользуемых служб: отключение служб, которые не используются, для уменьшения поверхности атаки.
			
 
				+Использование chroot-окружений: использование chroot-окружений для изоляции приложений и сервисов.
			
 
				+#	Аудит и мониторинг:
			
 
				+Включение аудита (auditd):
			
 
				+Настройка аудита событий безопасности: включение аудита для отслеживания действий пользователей, изменений в файлах, неудачных попыток входа и других важных событий.
			
 
				+Анализ журналов аудита: регулярный анализ журналов аудита для выявления подозрительной активности.
			
 
				+Мониторинг системы (Nagios, Zabbix, Prometheus и др.):
			
 
				+Мониторинг производительности и безопасности: использование инструментов мониторинга для отслеживания производительности системы, доступности сервисов и выявления аномалий.
			
 
				+Настройка оповещений: настройка оповещений о важных событиях (например, неудачные попытки входа в систему, изменения в файлах).
			
 
				+#	Удаление ненужного ПО:
			
 
				+Удаление неиспользуемых пакетов:
			
 
				+Удаление неиспользуемого ПО: удаление программ, которые больше не используются, для уменьшения поверхности атаки.
			
 
				+Использование принципа “минимальной установки”: установка только тех пакетов, которые необходимы для работы системы.
			
 
				+#	Общие рекомендации:
			
 
				+Регулярная проверка и обновление:
			
 
				+Сканирование на уязвимости: использование сканеров уязвимостей (например, Lynis, Nessus) для выявления потенциальных проблем.
			
 
				+Проведение пентестов (при возможности): проведение пентестов для оценки безопасности системы.
			
 
				+Резервное копирование:
			
 
				+Регулярное резервное копирование данных: создание резервных копий данных для восстановления в случае инцидента.
			
 
				+Физическая безопасность:
			
 
				+Защита физического доступа к серверам: ограничение физического доступа к серверам и другим устройствам.
			
 
				+#	Заключение:
			
 
				+Проверка безопасности Linux — это непрерывный процесс, требующий постоянного внимания и адаптации к новым угрозам. Применение представленных мер значительно повышает уровень безопасности вашей Linux-системы, снижая риски успешной атаки. Важно помнить, что безопасность — это не статичная категория, а динамичная система, требующая регулярных проверок, обновлений и адаптации к меняющимся условиям. Регулярный аудит, мониторинг и обучение персонала — ключевые компоненты успешной стратегии безопасности.