EASvZI/Лекции/2.4.510_Hardening_Checklist_for_Linux/podeny.md

# Hardening Checklist for Linux

Linux, как популярная и гибкая операционная система, широко используется на серверах, рабочих станциях и встроенных устройствах. При этом его открытость и настраиваемость требуют особого внимания к вопросам безопасности. Ужесточение (hardening) Linux-системы — это критически важный процесс, направленный на уменьшение поверхности атаки, повышение устойчивости к уязвимостям и обеспечение конфиденциальности данных. В этом докладе мы рассмотрим основные пункты списка действий по ужесточению Linux, которые значительно повысят уровень безопасности вашей системы.

Обновления и патчи:

Регулярные обновления: Автоматическое обновление (с осторожностью): настройка автоматического обновления пакетов (apt, yum, dnf, pacman и т. д.) с учетом возможных проблем несовместимости (особенно для серверов). Ручная проверка и установка обновлений: периодическая ручная проверка доступных обновлений и их установка с учетом важности безопасности и стабильности системы. Обновления ядра: Своевременное обновление ядра: установка обновлений ядра для исправления уязвимостей. Рекомендуется использовать последние стабильные версии. Установка обновлений безопасности: при необходимости установка отдельных обновлений безопасности для критических уязвимостей, требующих немедленного реагирования.

Учетные записи и аутентификация:

Надежные пароли: Требования к сложности паролей: использование сложных паролей, состоящих из комбинации букв (верхнего/нижнего регистра), цифр и специальных символов. Политика сложности паролей: настройка политики сложности паролей (например, с помощью pam_cracklib или pam_passwdqc) для повышения требований к паролям. Смена паролей: регулярная смена паролей (например, каждые 90 дней). Управление учетными записями: Отключение гостевых учетных записей: Отключение неиспользуемых учетных записей, включая гостевые. Ограничение привилегий: назначение минимальных привилегий пользователям и группам. Использование sudo для выполнения задач, требующих прав root. Удаление неиспользуемых учетных записей: удаление учетных записей пользователей, которые больше не нужны. Двухфакторная аутентификация (2FA): Внедрение 2FA для удаленного доступа (SSH): использование 2FA (например, Google Authenticator, FreeOTP, Duo) для аутентификации по SSH для защиты от атак методом подбора пароля. 2FA для привилегированных учетных записей: применение 2FA для учетных записей с правами администратора. SSH-настройка: Отключение аутентификации по паролю (при использовании ключей): Запрет аутентификации по паролю для SSH, если используется аутентификация по ключам. Смена порта SSH (по умолчанию): изменение порта SSH (например, с 22 на другой порт) для усложнения автоматизированных атак. Ограничение доступа к SSH: разрешение доступа к SSH только с определенных IP-адресов или сетей. Использование ключей SSH: использование ключей SSH для безопасной аутентификации без пароля.

Брандмауэр и сетевая безопасность:

Включение и настройка брандмауэра (iptables/nftables/firewalld): Блокировка всех входящих соединений по умолчанию: разрешение только необходимых входящих соединений для работы сервисов. Открытие только необходимых портов: открытие только тех портов, которые необходимы для работы сервисов (например, 80/443 для HTTP/HTTPS, 22 для SSH). Защита от DDoS-атак: использование механизмов защиты от DDoS-атак на уровне брандмауэра и сетевого оборудования. Обновление правил брандмауэра: Регулярная проверка и обновление правил брандмауэра в соответствии с потребностями системы. Сетевая изоляция: использование виртуальных локальных сетей и других методов сетевой изоляции для разделения различных частей сети.

Защита файловой системы:

Ограничение прав доступа к файлам и каталогам: Использование минимально необходимых прав доступа: установка минимально необходимых прав доступа (chmod) к файлам и каталогам. Владение файлами и каталогами: убедитесь, что файлы и каталоги принадлежат соответствующим пользователям и группам. Шифрование дисков (LUKS): Шифрование системного диска: использование LUKS для шифрования дисков для защиты данных в случае кражи или потери устройства. Удаление неиспользуемых служб: Отключение неиспользуемых служб: отключение служб, которые не используются, для уменьшения поверхности атаки. Использование chroot-окружений: использование chroot-окружений для изоляции приложений и сервисов.

Аудит и мониторинг:

Включение аудита (auditd): Настройка аудита событий безопасности: включение аудита для отслеживания действий пользователей, изменений в файлах, неудачных попыток входа и других важных событий. Анализ журналов аудита: регулярный анализ журналов аудита для выявления подозрительной активности. Мониторинг системы (Nagios, Zabbix, Prometheus и др.): Мониторинг производительности и безопасности: использование инструментов мониторинга для отслеживания производительности системы, доступности сервисов и выявления аномалий. Настройка оповещений: настройка оповещений о важных событиях (например, неудачные попытки входа в систему, изменения в файлах).

Удаление ненужного ПО:

Удаление неиспользуемых пакетов: Удаление неиспользуемого ПО: удаление программ, которые больше не используются, для уменьшения поверхности атаки. Использование принципа “минимальной установки”: установка только тех пакетов, которые необходимы для работы системы.

Общие рекомендации:

Регулярная проверка и обновление: Сканирование на уязвимости: использование сканеров уязвимостей (например, Lynis, Nessus) для выявления потенциальных проблем. Проведение пентестов (при возможности): проведение пентестов для оценки безопасности системы. Резервное копирование: Регулярное резервное копирование данных: создание резервных копий данных для восстановления в случае инцидента. Физическая безопасность: Защита физического доступа к серверам: ограничение физического доступа к серверам и другим устройствам.

Заключение:

Проверка безопасности Linux — это непрерывный процесс, требующий постоянного внимания и адаптации к новым угрозам. Применение представленных мер значительно повышает уровень безопасности вашей Linux-системы, снижая риски успешной атаки. Важно помнить, что безопасность — это не статичная категория, а динамичная система, требующая регулярных проверок, обновлений и адаптации к меняющимся условиям. Регулярный аудит, мониторинг и обучение персонала — ключевые компоненты успешной стратегии безопасности.