Best Practice zur Serveradministration
Version vom 16. Mai 2022, 07:40 Uhr von Thomas.will (Diskussion | Beiträge) (→Deaktivieren Sie unerwünschte Dienste vom Server)
Physische Systemsicherheit
- Physischen Konsolenzugriff von Linux-Servern schützen.
- Konfigurieren Sie das BIOS so, dass das Booten von CD/DVD, externen Geräten im BIOS deaktiviert wird.
- Aktivieren Sie als Nächstes das BIOS-Passwort und schützen Sie auch GRUB mit einem Passwort, um den physischen Zugriff auf Ihr System einzuschränken.
Vermeiden Sie die Verwendung von FTP-, Telnet- und Rlogin/Rsh-Diensten
- Verwenden Sie ein sicheres Medium, um Dateien wie scp, sftp usw. zu übertragen und andere Dienste wie ftp, telnet usw. zu löschen.
- apt löschen xinetd ypserv tftp-server telnet-server rsh-server
Löschen Sie unnötige Pakete Minimieren Sie Software, um Schwachstellen zu minimieren
- Es ist wichtig, unnötige Pakete zu löschen, um die Schwachstelle zu minimieren.
Deaktivieren Sie unerwünschte Dienste vom Server
- Deaktivieren Sie alle unnötigen Dienste und Daemons (Dienste, die im Hintergrund ausgeführt werden).
- systemctl list-units --type=service
Geben Sie Folgendes ein, um den Dienst zu deaktivieren:
- systemctl stop xyz.service
- systemctl disable xyz.service
Überprüfen Sie die Listening Network Ports
- Mit Hilfe des Netzwerkbefehls „netstat“ können Sie alle offenen Ports und zugehörigen Programme anzeigen.
- Wie ich oben sagte, verwenden Sie den Befehl „chkconfig“, um alle unerwünschten Netzwerkdienste vom System zu deaktivieren.
- netstat -tulpn
oder
- ss -tulpn
oder
- nmap -sT -O localhost
- Schalten Sie SELinux oder Apparmor ein
Schalten Sie IPv6 aus
- Wenn Sie kein IPv6-Protokoll verwenden, sollten Sie es deaktivieren
Iptables aktivieren (Firewall)
- Für Best Practices wird empfohlen, die Server-Firewall so zu aktivieren und zu konfigurieren
- Es sollten nur nur bestimmte Ports zugelassen werden, die erforderlich sind, und alle verbleibenden Ports blockiert werden.
Behalte /boot als schreibgeschützt
- Der Linux-Kernel und die zugehörigen Dateien befinden sich im /boot-Verzeichnis, das standardmäßig nicht schreibgeschützt ist.
- Wenn Sie es auf schreibgeschützt ändern, verringert sich das Risiko einer nicht autorisierten Änderung kritischer Boot-Dateien.
ICMP- oder Broadcast-Anfrage ignorieren
- Fügen Sie die folgende Zeile in der Datei „/etc/sysctl.conf“ hinzu, um Ping- oder Broadcast-Anforderungen zu ignorieren.
ICMP-Anfrage ignorieren
net.ipv4.icmp_echo_ignore_all = 1
Broadcast-Anfrage ignorieren
net.ipv4.icmp_echo_ignore_broadcasts = 1
Laden Sie neue Einstellungen oder Änderungen, indem Sie den folgenden Befehl ausführen
- sysctl -p
Backup wichtiger Dateien
- In einem Produktionssystem ist es notwendig, wichtige Dateien zu sichern
- Dies sollte man für die Notfallwiederherstellung in einem Sicherheitstresor, an einem entfernten Standort oder extern aufzubewahren.
Überprüfen von Konten auf leere Passwörter
- Sie müssen sicherstellen, dass alle Konten starke Passwörter haben und niemand autorisierten Zugriff hat.
- Leere Passwortkonten sind Sicherheitsrisiken und können leicht gehackt werden.
- cat /etc/shadow | awk -F: ‘($2==””){print $1}’
Überwachung der Benutzeraktivitäten psacct oder acct
- Wenn Sie mit vielen Benutzern zu tun haben, ist es wichtig, die Informationen über die Aktivitäten und Prozesse der einzelnen Benutzer zu sammeln
- Dies können sie zu einem späteren Zeitpunkt oder im Falle von Leistungs- oder Sicherheitsproblemen zu analysieren
- Überwachen Sie die Benutzeraktivität mit den Befehlen psacct oder acct
Erzwingen stärkerer Passwörter
- Eine Reihe von Benutzern verwenden weiche oder schwache Passwörter, und ihr Passwort könnte mit Wörterbuch-basierten oder Brute-Force-Angriffen gehackt werden.
- Das ‘pam_cracklib‘-Modul ist im PAM-Modulstapel (Pluggable Authentication Modules) verfügbar, der den Benutzer dazu zwingt, starke Passwörter festzulegen.
- Öffnen Sie die folgende Datei mit einem Editor.
- vi /etc/pam.d/system-auth
Und fügen Sie eine Zeile mit Kreditparametern wie (lcredit, ucredit, dcredit und/oder ocredit bzw. Kleinbuchstaben, Großbuchstaben, Ziffern und andere) hinzu.
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1