Best Practice zur Serveradministration: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
=Updates=
 +
*Updates sind enorm wichtig für die Sicherheit von Servern, Anwendungen und natürlich Netzwerken.
 +
*Im besten Fall bringt ein Softwarehersteller umgehend nach der Entdeckung einer Schwachstellen ein Update heraus,
 +
*So werden Sicherheitslücke geschlossenund somit Angriffe verhindert.
 +
*Das funktioniert leider nur, solange diese Updates auch installiert werden.
 +
*Ein Großteil der Schwachstellen, die wir in Penetrationstests entdecken sind keine neuen Sicherheitslücken.
 +
*Sondern alte Bekannte, denen wir immer wieder über den Weg laufen.
 +
 
=Physische Systemsicherheit=
 
=Physische Systemsicherheit=
 
*Physischen Konsolenzugriff von Linux-Servern schützen.
 
*Physischen Konsolenzugriff von Linux-Servern schützen.
Zeile 6: Zeile 14:
 
*Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
 
*Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
 
*apt löschen xinetd ypserv tftp-server telnet-server rsh-server
 
*apt löschen xinetd ypserv tftp-server telnet-server rsh-server
=Löschen Sie unnötige Pakete Minimieren Sie Software, um Schwachstellen zu minimieren=
+
=Löschen Sie unnötige Pakete, um Schwachstellen zu minimieren=
 
*Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.
 
*Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.
 +
 
=Deaktivieren Sie unerwünschte Dienste vom Server=
 
=Deaktivieren Sie unerwünschte Dienste vom Server=
 
*Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
 
*Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
Zeile 47: Zeile 56:
 
*Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.  
 
*Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.  
 
*Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
 
*Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
*cat /etc/shadow | awk -F: ($2==””){print $1}
+
*cat /etc/shadow | awk -F: '($2==""){print $1}'
 +
 
 
=Überwachung der Benutzeraktivitäten psacct oder acct=
 
=Überwachung der Benutzeraktivitäten psacct oder acct=
*Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln
+
*[[psacct oder acct]]
*Dies können sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
+
 
*Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct
 
 
=Erzwingen stärkerer Passwörter=
 
=Erzwingen stärkerer Passwörter=
*Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden.
+
*[[Libpam cracklib]]
*Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen.
+
 
*Öffnen Sie die folgende Datei mit einem Editor.
 
*vi /etc/pam.d/system-auth
 
Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.
 
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
 
 
=Quelle=
 
=Quelle=
 
*https://www.folio3.com/19-best-practices-and-recommendations-for-linux-server
 
*https://www.folio3.com/19-best-practices-and-recommendations-for-linux-server

Aktuelle Version vom 7. November 2022, 17:01 Uhr

Updates

  • Updates sind enorm wichtig für die Sicherheit von Servern, Anwendungen und natürlich Netzwerken.
  • Im besten Fall bringt ein Softwarehersteller umgehend nach der Entdeckung einer Schwachstellen ein Update heraus,
  • So werden Sicherheitslücke geschlossenund somit Angriffe verhindert.
  • Das funktioniert leider nur, solange diese Updates auch installiert werden.
  • Ein Großteil der Schwachstellen, die wir in Penetrationstests entdecken sind keine neuen Sicherheitslücken.
  • Sondern alte Bekannte, denen wir immer wieder über den Weg laufen.

Physische Systemsicherheit

  • Physischen Konsolenzugriff von Linux-Servern schützen.
  • Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Geräten im BIOS deaktiviert wird.
  • Aktivieren Sie als Nächstes das BIOS-Passwort und schützen Sie auch GRUB mit einem Passwort, um den physischen Zugriff auf Ihr System einzuschränken.

Vermeiden Sie die Verwendung von FTP-, Telnet- und Rlogin/Rsh-Diensten

  • Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
  • apt löschen xinetd ypserv tftp-server telnet-server rsh-server

Löschen Sie unnötige Pakete, um Schwachstellen zu minimieren

  • Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.

Deaktivieren Sie unerwünschte Dienste vom Server

  • Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
  • systemctl list-units --type=service --state=running

Geben Sie Folgendes ein, um den Dienst zu deaktivieren:

  • systemctl stop xyz.service
  • systemctl disable xyz.service

Überprüfen Sie die Listening Network Ports

  • Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
  • Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
  • netstat -tulpn

oder

  • ss -tulpn

oder

  • nmap -sT -O localhost
  • Schalten Sie SELinux oder Apparmor ein

Schalten Sie IPv6 aus

  • Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren

Iptables aktivieren (Firewall)

  • Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
  • Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.

Behalte /boot als schreibgeschützt

  • Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
  • Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.

ICMP- oder Broadcast-Anfrage ignorieren

  • Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.

ICMP-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_all = 1

Broadcast-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_broadcasts = 1

Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen

  • sysctl -p

Backup wichtiger Dateien

  • In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
  • Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.

Überprüfen von Konten auf leere Passwörter

  • Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
  • Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
  • cat /etc/shadow | awk -F: '($2==""){print $1}'

Überwachung der Benutzeraktivitäten psacct oder acct

Erzwingen stärkerer Passwörter

Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=Best_Practice_zur_Serveradministration&oldid=37785