Physische Systemsicherheit

• Physischen Konsolenzugriff von Linux-Servern schützen.
• Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Geräten im BIOS deaktiviert wird.
• Aktivieren Sie als Nächstes das BIOS-Passwort und schützen Sie auch GRUB mit einem Passwort, um den physischen Zugriff auf Ihr System einzuschränken.

Vermeiden Sie die Verwendung von FTP-, Telnet- und Rlogin/Rsh-Diensten

• Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
• apt löschen xinetd ypserv tftp-server telnet-server rsh-server

Löschen Sie unnötige Pakete Minimieren Sie Software, um Schwachstellen zu minimieren

• Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.

Deaktivieren Sie unerwünschte Dienste vom Server

• Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
• sysemc

1. chkconfig –Liste | grep ‘3:on’

Geben Sie Folgendes ein, um den Dienst zu deaktivieren:

1. Dienst Dienstname stoppen

1. chkconfig serviceName aus

6) Überprüfen Sie die Listening Network Ports Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen. Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.

1. netstat -tulpn

ODER verwenden Sie den Befehl ss wie folgt:

$ ss -tulpn

ODER

nmap -sT -O lokaler Host

nmap -sT -O server.example.com

7) Schalten Sie SELinux ein Security-Enhanced Linux (SELinux) ist ein obligatorischer Sicherheitsmechanismus für die Zugriffskontrolle, der im Kernel bereitgestellt wird. Das Deaktivieren von SELinux bedeutet, dass der Sicherheitsmechanismus aus dem System entfernt wird.

Sie können den aktuellen Status des SELinux-Modus über die Befehlszeile mit den Befehlen „system-config-selinux“, „getenforce“ oder „sestatus“ anzeigen.

1. Sestatus

Wenn es deaktiviert ist, aktivieren Sie SELinux mit dem folgenden Befehl.

1. Durchsetzen von setenforce

Es kann auch über die Datei „/etc/selinux/config“ verwaltet werden, wo Sie es aktivieren oder deaktivieren können.

8) Schalten Sie IPv6 aus Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren

1. vi /etc/sysconfig/network

NETWORKING_IPV6=nein

IPV6INIT=nein

9) Iptables aktivieren (Firewall) Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren, dass nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.

1. Dienst iptables starten

10) Behalte /boot als schreibgeschützt Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig schreibgeschützt ist. Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien. Öffnen Sie dazu die Datei „/etc/fstab“.

1. vi /etc/fstab

Fügen Sie unten die folgende Zeile hinzu, speichern und schließen Sie sie.

LABEL=/boot /boot ext2 defaults,ro 1 2

Bitte beachten Sie, dass Sie die Änderung auf Read-Write zurücksetzen müssen, wenn Sie den Kernel in Zukunft aktualisieren müssen.

11) ICMP- oder Broadcast-Anfrage ignorieren Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.

ICMP-Anfrage ignorieren:

net.ipv4.icmp_echo_ignore_all = 1

Broadcast-Anfrage ignorieren:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen

1. sysctl -p

12) Backup wichtiger Dateien In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern und sie für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.

13) Überprüfen von Konten auf leere Passwörter Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat. Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.

1. Katze /etc/shadow | awk -F: ‘($2==””){print $1}’

14) Überwachung der Benutzeraktivitäten psacct oder acct Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln und sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren

Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct

15) Deaktivieren Sie Strg+Alt+Entf in Inittab In den meisten Linux-Distributionen führt das Drücken von „STRG-ALT-ENTF“ zu einem Neustart Ihres Systems. Es ist also keine gute Idee, diese Option zumindest auf Produktionsservern zu aktivieren, wenn jemand dies versehentlich tut.

1. Trap STRG-ALT-ENTF

1. ca::ctrlaltdel:/sbin/shutdown -t3 -r jetzt

16) Erzwingen stärkerer Passwörter Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden. Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen. Öffnen Sie die folgende Datei mit einem Editor.

1. vi /etc/pam.d/system-auth

Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

17) Entfernen Sie KDE/GNOME-Desktops X Windows auf dem Server ist nicht erforderlich. Es gibt keinen Grund, X Windows auf Ihrem dedizierten Server auszuführen. Sie können sie entfernen oder deaktivieren, um die Sicherheit des Servers und die Leistung zu erhöhen.

yum groupentferne „X Window System“

Auf CentOS 7/