|
|
@@ -0,0 +1,30 @@
|
|
|
+# Hardening Checklist for Linux
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Введение
|
|
|
+Hardening (ужесточение безопасности) — это процесс уменьшения поверхности атаки операционной системы. Чеклист представляет собой набор конкретных действий, которые должны быть выполнены после установки Linux. В отличие от общих руководств, данный чеклист ориентирован на серверные среды и рабочие станции с высокими требованиями к конфиденциальности.
|
|
|
+
|
|
|
+1. Обновление системы и управление пакетами
|
|
|
+Первым шагом всегда идёт синхронизация репозиториев и установка критических обновлений. Используйте apt update && apt upgrade (Debian/Ubuntu) или dnf update (RHEL). Необходимо настроить автоматические обновления безопасности через unattended-upgrades или dnf-automatic. Удалите неиспользуемые пакеты: apt autoremove, а также удалите компиляторы (gcc, make), если они не нужны для повседневной работы.
|
|
|
+
|
|
|
+2. Управление учётными записями и паролями
|
|
|
+Отключите вход для root через SSH: в файле /etc/ssh/sshd_config установите PermitRootLogin no. Создайте обычного пользователя с правами sudo. Настройте политику паролей через pam_pwquality.so (минимальная длина 12 символов, включая цифры и спецсимволы). Используйте fail2ban для блокировки IP после нескольких неудачных попыток входа. Обязательно проверьте отсутствие пользователей с пустым паролем: awk -F: '($2 == "") {print}' /etc/shadow.
|
|
|
+
|
|
|
+3. Настройка межсетевого экрана и защита сети
|
|
|
+Включите и настройте ufw (Uncomplicated Firewall) или nftables. Пример политики: запретить всё, разрешить SSH (порт 22) и HTTP/HTTPS (80,443). Запретите переадресацию IPv4, если сервер не является маршрутизатором: sysctl -w net.ipv4.ip_forward=0. Отключите неиспользуемые сетевые службы, например, rpcbind, cups. Также рекомендуется включить защиту от спуфинга: net.ipv4.conf.all.rp_filter=1.
|
|
|
+
|
|
|
+4. Контроль целостности файлов и аудит
|
|
|
+Установите AIDE (Advanced Intrusion Detection Environment) или Tripwire. Инициализируйте базу данных эталонных хеш-сумм для критичных файлов (/bin, /etc, /sbin). Настройте ежедневный запуск проверки через cron. Включите системный аудит через auditd для мониторинга изменений /etc/passwd, /etc/sudoers, а также неудачных попыток доступа. Регулярно анализируйте логи через journalctl и logwatch.
|
|
|
+
|
|
|
+5. Ограничение ресурсов и удаление привилегий
|
|
|
+Используйте ulimit для предотвращения fork-бомб и DoS-атак: ограничьте максимальное количество процессов для пользователей. Настройте AppArmor (Ubuntu/Debian) или SELinux (RHEL/Fedora) в режиме enforcing. Для служб, работающих от root, создавайте отдельные непривилегированные пользователей через systemd (опции User= и Group=). Запретите использование ядерных модулей, если они не нужны, добавив install <модуль> /bin/true в /etc/modprobe.d/.
|
|
|
+
|
|
|
+6. Проверка открытых портов и процессов
|
|
|
+Регулярно (ежедневно) выполняйте ss -tulpn и netstat -tulpn, чтобы выявить подозрительные службы, слушающие на неожиданных портах. Используйте lsof -i для идентификации процессов, открывших сетевые сокеты. Интегрируйте эти проверки в скрипты мониторинга (Nagios, Zabbix). Любой неизвестный процесс, потребляющий аномально много CPU или памяти, должен быть расследован с помощью chkrootkit или rkhunter.
|
|
|
+
|
|
|
+7. Резервное копирование и безопасное хранение
|
|
|
+Завершающий элемент чеклиста — настройка автоматического резервного копирования конфигурационных файлов (/etc, /var/log, домашние каталоги администраторов). Используйте rsync с ssh-ключами без пароля (но с ограничением команд в authorized_keys). Храните резервные копии на отдельном зашифрованном носителе или в S3 с серверным шифрованием. Проверяйте восстановление хотя бы раз в квартал.
|
|
|
+
|
|
|
+Заключение
|
|
|
+Применение данного чеклиста снижает риск компрометации системы примерно на 70-80% по статистике CIS. Важно помнить, что hardening — это не разовая акция, а непрерывный процесс: чеклист должен пересматриваться и дополняться после каждого обновления дистрибутива или изменения архитектуры приложения.
|
