Best Practice zur Serveradministration: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=Physische Systemsicherheit= *Physischen Konsolenzugriff von Linux-Servern schützen. *Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Ger…“)
 
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
=Updates=
 +
*Updates sind enorm wichtig für die Sicherheit von Servern, Anwendungen und natürlich Netzwerken.
 +
*Im besten Fall bringt ein Softwarehersteller umgehend nach der Entdeckung einer Schwachstellen ein Update heraus,
 +
*So werden Sicherheitslücke geschlossenund somit Angriffe verhindert.
 +
*Das funktioniert leider nur, solange diese Updates auch installiert werden.
 +
*Ein Großteil der Schwachstellen, die wir in Penetrationstests entdecken sind keine neuen Sicherheitslücken.
 +
*Sondern alte Bekannte, denen wir immer wieder über den Weg laufen.
 +
 
=Physische Systemsicherheit=
 
=Physische Systemsicherheit=
 
*Physischen Konsolenzugriff von Linux-Servern schützen.
 
*Physischen Konsolenzugriff von Linux-Servern schützen.
Zeile 6: Zeile 14:
 
*Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
 
*Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
 
*apt löschen xinetd ypserv tftp-server telnet-server rsh-server
 
*apt löschen xinetd ypserv tftp-server telnet-server rsh-server
=Löschen Sie unnötige Pakete Minimieren Sie Software, um Schwachstellen zu minimieren=
+
=Löschen Sie unnötige Pakete, um Schwachstellen zu minimieren=
 
*Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.
 
*Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.
 +
 
=Deaktivieren Sie unerwünschte Dienste vom Server=
 
=Deaktivieren Sie unerwünschte Dienste vom Server=
 
*Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
 
*Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
*sysemc
+
*systemctl list-units --type=service --state=running
# chkconfig –Liste | grep ‘3:on’
 
 
 
 
Geben Sie Folgendes ein, um den Dienst zu deaktivieren:
 
Geben Sie Folgendes ein, um den Dienst zu deaktivieren:
 +
*systemctl stop xyz.service
 +
*systemctl disable xyz.service
  
# Dienst Dienstname stoppen
+
=Überprüfen Sie die Listening Network Ports=
 
+
*Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
# chkconfig serviceName aus
+
*Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
 
+
*netstat -tulpn
6) Überprüfen Sie die Listening Network Ports
+
oder
Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen. Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
+
*ss -tulpn
 
+
oder
# netstat -tulpn
+
*nmap -sT -O localhost
 
+
*Schalten Sie SELinux oder Apparmor ein
ODER verwenden Sie den Befehl ss wie folgt:
 
 
 
$ ss -tulpn
 
 
 
ODER
 
 
 
nmap -sT -O lokaler Host
 
 
 
nmap -sT -O server.example.com
 
 
 
7) Schalten Sie SELinux ein
 
Security-Enhanced Linux (SELinux) ist ein obligatorischer Sicherheitsmechanismus für die Zugriffskontrolle, der im Kernel bereitgestellt wird. Das Deaktivieren von SELinux bedeutet, dass der Sicherheitsmechanismus aus dem System entfernt wird.
 
 
 
Sie können den aktuellen Status des SELinux-Modus über die Befehlszeile mit den Befehlen „system-config-selinux“, „getenforce“ oder „sestatus“ anzeigen.
 
 
 
#Sestatus
 
 
 
Wenn es deaktiviert ist, aktivieren Sie SELinux mit dem folgenden Befehl.
 
 
 
# Durchsetzen von setenforce
 
 
 
Es kann auch über die Datei „/etc/selinux/config“ verwaltet werden, wo Sie es aktivieren oder deaktivieren können.
 
 
 
8) Schalten Sie IPv6 aus
 
Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren
 
 
 
# vi /etc/sysconfig/network
 
 
 
NETWORKING_IPV6=nein
 
 
 
IPV6INIT=nein
 
 
 
 
 
 
 
 
 
9) Iptables aktivieren (Firewall)
 
Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren, dass nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.
 
 
 
# Dienst iptables starten
 
 
 
10) Behalte /boot als schreibgeschützt
 
Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig schreibgeschützt ist. Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien. Öffnen Sie dazu die Datei „/etc/fstab“.
 
 
 
# vi /etc/fstab
 
 
 
Fügen Sie unten die folgende Zeile hinzu, speichern und schließen Sie sie.
 
 
 
LABEL=/boot /boot ext2 defaults,ro 1 2
 
 
 
Bitte beachten Sie, dass Sie die Änderung auf Read-Write zurücksetzen müssen, wenn Sie den Kernel in Zukunft aktualisieren müssen.
 
 
 
11) ICMP- oder Broadcast-Anfrage ignorieren
 
Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.
 
 
 
ICMP-Anfrage ignorieren:
 
  
 +
=Schalten Sie IPv6 aus=
 +
*Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren
 +
=Iptables aktivieren (Firewall)=
 +
*Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
 +
*Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.
 +
=Behalte /boot als schreibgeschützt=
 +
*Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
 +
*Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.
 +
=ICMP- oder Broadcast-Anfrage ignorieren=
 +
*Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.
 +
==ICMP-Anfrage ignorieren==
 
net.ipv4.icmp_echo_ignore_all = 1
 
net.ipv4.icmp_echo_ignore_all = 1
 
+
==Broadcast-Anfrage ignorieren==
Broadcast-Anfrage ignorieren:
 
 
 
 
net.ipv4.icmp_echo_ignore_broadcasts = 1
 
net.ipv4.icmp_echo_ignore_broadcasts = 1
 +
==Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen==
 +
*sysctl -p
 +
=Backup wichtiger Dateien=
 +
*In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
 +
*Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.
 +
=Überprüfen von Konten auf leere Passwörter=
 +
*Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
 +
*Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
 +
*cat /etc/shadow | awk -F: '($2==""){print $1}'
  
Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen
+
=Überwachung der Benutzeraktivitäten psacct oder acct=
 
+
*[[psacct oder acct]]
#sysctl -p
 
 
 
12) Backup wichtiger Dateien
 
In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern und sie für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.
 
 
 
13) Überprüfen von Konten auf leere Passwörter
 
Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat. Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
 
 
 
# Katze /etc/shadow | awk -F: ‘($2==””){print $1}’
 
 
 
14) Überwachung der Benutzeraktivitäten psacct oder acct
 
Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln und sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
 
 
 
Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct
 
 
 
15) Deaktivieren Sie Strg+Alt+Entf in Inittab
 
In den meisten Linux-Distributionen führt das Drücken von „STRG-ALT-ENTF“ zu einem Neustart Ihres Systems. Es ist also keine gute Idee, diese Option zumindest auf Produktionsservern zu aktivieren, wenn jemand dies versehentlich tut.
 
 
 
# Trap STRG-ALT-ENTF
 
 
 
#ca::ctrlaltdel:/sbin/shutdown -t3 -r jetzt
 
 
 
 
 
 
16) Erzwingen stärkerer Passwörter
 
Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden. Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen. Öffnen Sie die folgende Datei mit einem Editor.
 
 
 
# vi /etc/pam.d/system-auth
 
 
 
Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.
 
 
 
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
 
 
 
17) Entfernen Sie KDE/GNOME-Desktops
 
X Windows auf dem Server ist nicht erforderlich. Es gibt keinen Grund, X Windows auf Ihrem dedizierten Server auszuführen. Sie können sie entfernen oder deaktivieren, um die Sicherheit des Servers und die Leistung zu erhöhen.
 
  
yum groupentferne „X Window System“
+
=Erzwingen stärkerer Passwörter=
 +
*[[Libpam cracklib]]
  
Auf CentOS 7/
+
=Quelle=
 +
*https://www.folio3.com/19-best-practices-and-recommendations-for-linux-server

Aktuelle Version vom 7. November 2022, 17:01 Uhr

Updates

  • Updates sind enorm wichtig für die Sicherheit von Servern, Anwendungen und natürlich Netzwerken.
  • Im besten Fall bringt ein Softwarehersteller umgehend nach der Entdeckung einer Schwachstellen ein Update heraus,
  • So werden Sicherheitslücke geschlossenund somit Angriffe verhindert.
  • Das funktioniert leider nur, solange diese Updates auch installiert werden.
  • Ein Großteil der Schwachstellen, die wir in Penetrationstests entdecken sind keine neuen Sicherheitslücken.
  • Sondern alte Bekannte, denen wir immer wieder über den Weg laufen.

Physische Systemsicherheit

  • Physischen Konsolenzugriff von Linux-Servern schützen.
  • Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Geräten im BIOS deaktiviert wird.
  • Aktivieren Sie als Nächstes das BIOS-Passwort und schützen Sie auch GRUB mit einem Passwort, um den physischen Zugriff auf Ihr System einzuschränken.

Vermeiden Sie die Verwendung von FTP-, Telnet- und Rlogin/Rsh-Diensten

  • Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
  • apt löschen xinetd ypserv tftp-server telnet-server rsh-server

Löschen Sie unnötige Pakete, um Schwachstellen zu minimieren

  • Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.

Deaktivieren Sie unerwünschte Dienste vom Server

  • Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
  • systemctl list-units --type=service --state=running

Geben Sie Folgendes ein, um den Dienst zu deaktivieren:

  • systemctl stop xyz.service
  • systemctl disable xyz.service

Überprüfen Sie die Listening Network Ports

  • Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
  • Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
  • netstat -tulpn

oder

  • ss -tulpn

oder

  • nmap -sT -O localhost
  • Schalten Sie SELinux oder Apparmor ein

Schalten Sie IPv6 aus

  • Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren

Iptables aktivieren (Firewall)

  • Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
  • Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.

Behalte /boot als schreibgeschützt

  • Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
  • Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.

ICMP- oder Broadcast-Anfrage ignorieren

  • Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.

ICMP-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_all = 1

Broadcast-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_broadcasts = 1

Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen

  • sysctl -p

Backup wichtiger Dateien

  • In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
  • Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.

Überprüfen von Konten auf leere Passwörter

  • Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
  • Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
  • cat /etc/shadow | awk -F: '($2==""){print $1}'

Überwachung der Benutzeraktivitäten psacct oder acct

Erzwingen stärkerer Passwörter

Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=Best_Practice_zur_Serveradministration&oldid=37785