Version vom 16. Mai 2022, 07:34 Uhr

Physische Systemsicherheit

Physischen Konsolenzugriff von Linux-Servern schützen.
Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Geräten im BIOS deaktiviert wird.
Aktivieren Sie als Nächstes das BIOS-Passwort und schützen Sie auch GRUB mit einem Passwort, um den physischen Zugriff auf Ihr System einzuschränken.

Vermeiden Sie die Verwendung von FTP-, Telnet- und Rlogin/Rsh-Diensten

Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
apt löschen xinetd ypserv tftp-server telnet-server rsh-server

Löschen Sie unnötige Pakete Minimieren Sie Software, um Schwachstellen zu minimieren

Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.

Deaktivieren Sie unerwünschte Dienste vom Server

Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
sysemc

chkconfig –Liste | grep ‘3:on’

Geben Sie Folgendes ein, um den Dienst zu deaktivieren:

Dienst Dienstname stoppen

chkconfig serviceName aus

Überprüfen Sie die Listening Network Ports

Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
netstat -tulpn

oder

ss -tulpn

oder

nmap -sT -O localhost
Schalten Sie SELinux oder Apparmor ein

Schalten Sie IPv6 aus

Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren

Iptables aktivieren (Firewall)

Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.

Behalte /boot als schreibgeschützt

Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.

ICMP- oder Broadcast-Anfrage ignorieren

Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.

ICMP-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_all = 1

Broadcast-Anfrage ignorieren

net.ipv4.icmp_echo_ignore_broadcasts = 1

Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen

sysctl -p

Backup wichtiger Dateien

In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.

Überprüfen von Konten auf leere Passwörter

Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
cat /etc/shadow | awk -F: ‘($2==””){print $1}’

Überwachung der Benutzeraktivitäten psacct oder acct

Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln
Dies können sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct

Erzwingen stärkerer Passwörter

Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden.
Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen.
Öffnen Sie die folgende Datei mit einem Editor.
vi /etc/pam.d/system-auth

Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

@@ Zeile 19: / Zeile 19: @@
 # chkconfig serviceName aus
-) Überprüfen Sie die Listening Network Ports
+=Überprüfen Sie die Listening Network Ports=
-Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen. Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
+*Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
+*Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
-# netstat -tulpn
+*netstat -tulpn
+oder
-ODER verwenden Sie den Befehl ss wie folgt:
+*ss -tulpn
+oder
-$ ss -tulpn
+*nmap -sT -O localhost
+*Schalten Sie SELinux oder Apparmor ein
-ODER
-nmap -sT -O lokaler Host
-nmap -sT -O server.example.com
-) Schalten Sie SELinux ein
-Security-Enhanced Linux (SELinux) ist ein obligatorischer Sicherheitsmechanismus für die Zugriffskontrolle, der im Kernel bereitgestellt wird. Das Deaktivieren von SELinux bedeutet, dass der Sicherheitsmechanismus aus dem System entfernt wird.
-Sie können den aktuellen Status des SELinux-Modus über die Befehlszeile mit den Befehlen „system-config-selinux“, „getenforce“ oder „sestatus“ anzeigen.
-#Sestatus
-Wenn es deaktiviert ist, aktivieren Sie SELinux mit dem folgenden Befehl.
-# Durchsetzen von setenforce
-Es kann auch über die Datei „/etc/selinux/config“ verwaltet werden, wo Sie es aktivieren oder deaktivieren können.
-) Schalten Sie IPv6 aus
-Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren
-# vi /etc/sysconfig/network
-NETWORKING_IPV6=nein
-IPV6INIT=nein
-) Iptables aktivieren (Firewall)
-Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren, dass nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.
-# Dienst iptables starten
-) Behalte /boot als schreibgeschützt
-Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig schreibgeschützt ist. Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien. Öffnen Sie dazu die Datei „/etc/fstab“.
-# vi /etc/fstab
-Fügen Sie unten die folgende Zeile hinzu, speichern und schließen Sie sie.
-LABEL=/boot /boot ext2 defaults,ro 1 2
-Bitte beachten Sie, dass Sie die Änderung auf Read-Write zurücksetzen müssen, wenn Sie den Kernel in Zukunft aktualisieren müssen.
-) ICMP- oder Broadcast-Anfrage ignorieren
-Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.
-ICMP-Anfrage ignorieren:
+=Schalten Sie IPv6 aus=
+*Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren
+=Iptables aktivieren (Firewall)=
+*Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
+*Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.
+=Behalte /boot als schreibgeschützt=
+*Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
+*Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.
+=ICMP- oder Broadcast-Anfrage ignorieren=
+*Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.
+==ICMP-Anfrage ignorieren==
 net.ipv4.icmp_echo_ignore_all = 1
+==Broadcast-Anfrage ignorieren==
-Broadcast-Anfrage ignorieren:
 net.ipv4.icmp_echo_ignore_broadcasts = 1
+==Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen==
-Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen
+*sysctl -p
+=Backup wichtiger Dateien=
-#sysctl -p
+*In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
+*Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.
-) Backup wichtiger Dateien
+=Überprüfen von Konten auf leere Passwörter=
-In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern und sie für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.
+*Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
+*Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
-) Überprüfen von Konten auf leere Passwörter
+*cat /etc/shadow | awk -F: ‘($2==””){print $1}’
-Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat. Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
+=Überwachung der Benutzeraktivitäten psacct oder acct=
+*Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln
-# Katze /etc/shadow | awk -F: ‘($2==””){print $1}’
+*Dies können sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
+*Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct
-) Überwachung der Benutzeraktivitäten psacct oder acct
+=Erzwingen stärkerer Passwörter=
-Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln und sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
+*Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden.
+*Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen.
-Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct
+*Öffnen Sie die folgende Datei mit einem Editor.
+*vi /etc/pam.d/system-auth
-) Deaktivieren Sie Strg+Alt+Entf in Inittab
+ Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.
-In den meisten Linux-Distributionen führt das Drücken von „STRG-ALT-ENTF“ zu einem Neustart Ihres Systems. Es ist also keine gute Idee, diese Option zumindest auf Produktionsservern zu aktivieren, wenn jemand dies versehentlich tut.
-# Trap STRG-ALT-ENTF
-#ca::ctrlaltdel:/sbin/shutdown -t3 -r jetzt
-) Erzwingen stärkerer Passwörter
-Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden. Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen. Öffnen Sie die folgende Datei mit einem Editor.
-# vi /etc/pam.d/system-auth
-Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.
 /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
-) Entfernen Sie KDE/GNOME-Desktops
-X Windows auf dem Server ist nicht erforderlich. Es gibt keinen Grund, X Windows auf Ihrem dedizierten Server auszuführen. Sie können sie entfernen oder deaktivieren, um die Sicherheit des Servers und die Leistung zu erhöhen.
-yum groupentferne „X Window System“
-Auf CentOS 7/

Best Practice zur Serveradministration: Unterschied zwischen den Versionen