Các phương pháp bảo mật tốt cho bản phân phối GNU / Linux của bạn

Isaac

4 phút

Bảo mật: ổ khóa trên mạch

Nếu bạn lo lắng về bảo mật trong hệ điều hành của bạn, đây là một số phương pháp hay và mẹo mà bạn có thể phát triển trong bản phân phối GNU / Linux yêu thích của mình để an toàn hơn một chút. Bạn đã biết rằng theo mặc định, hệ thống * nix an toàn hơn Microsoft Windows, nhưng chúng không phải là tuyệt đối. Không có gì là an toàn 100%. Nhưng với sự bảo mật bổ sung đó và với sự trợ giúp của các khuyến nghị này, bạn sẽ bình tĩnh hơn một chút về các cuộc tấn công có thể xảy ra.

Ngoài ra, chúng là những thủ thuật rất đơn giản không phức tạp đối với hầu hết người dùng, nhưng do lười biếng hoặc lười nhác nhiều. Bạn đã biết rằng dành một khoảng thời gian để định cấu hình hệ thống và các chương trình khác một cách thích hợp có thể giúp bạn tiết kiệm đáng sợ. Nếu bạn muốn biết những điều bạn có thể làm để bảo vệ hệ thống của mình, thì đây là các đề xuất của chúng tôi ...

Các 10 điều răn về an toàn:

  1. Luôn tải xuống phần mềm từ các nguồn đáng tin cậy. Và điều đó cũng ngụ ý hình ảnh của bản phân phối của bạn, trình điều khiển và ứng dụng. Ví dụ: nếu bạn tải xuống các ứng dụng, hãy cố gắng sử dụng trung tâm phần mềm của bản phân phối của bạn, các kho lưu trữ chính thức hoặc thất bại đó là trang web chính thức của dự án, nhưng không bao giờ là trang web của bên thứ ba. Điều đó không đảm bảo bất cứ điều gì, họ có thể đã tấn công máy chủ chính thức và thay đổi tệp nhị phân hoặc các nguồn, nhưng ít nhất điều đó phức tạp hơn. Nếu bạn đang cố gắng tải xuống trình điều khiển, bạn có thể thực hiện việc đó từ GitHub nếu chúng là mã nguồn mở hoặc từ trang web chính thức của thiết bị phần cứng nếu chúng là độc quyền. Và đối với trò chơi điện tử ditto, ví dụ, từ Steam của Valve. Điều này sẽ ngăn bạn tải xuống phần mềm có chứa mã độc hại. Hãy nhớ rằng nếu bạn sử dụng Wine, các lỗ hổng của các chương trình Windows đó cũng có thể ảnh hưởng đến bạn ...
  2. Vô hiệu hóa người dùng root khi có thể. Luôn sử dụng sudo.
  3. Không bao giờ sử dụng X Windows hoặc các trình duyệt như nguồn gốc. Các chương trình khác mà bạn không hoàn toàn tin tưởng cũng vậy.
  4. Sử dụng một mật khẩu mạnh. Đó là tối thiểu 8 ký tự. Nó không được tạo thành từ bất kỳ từ nào đã biết, ngày sinh, v.v. Tốt nhất, hãy sử dụng kết hợp chữ thường, chữ hoa, số và ký hiệu. Ví dụ: aWrT-z_M44d0 $
  5. Không sử dụng cùng một mật khẩu cho mọi thứ, nghĩa là tránh mật khẩu chính. Bởi vì nếu họ có thể tìm ra, họ có thể có quyền truy cập vào mọi thứ. Trong khi nếu bưu kiện (hàng rào), họ có thể nhập một hệ thống, nhưng không phải tất cả các dịch vụ.
  6. Gỡ cài đặt tất cả phần mềm mà bạn sẽ không sử dụng. Làm tương tự với các dịch vụ, bạn phải hủy kích hoạt tất cả các dịch vụ mà bạn cho là không cần thiết trong trường hợp của mình. Đóng các cổng bạn không sử dụng.
  7. Nếu bạn nghĩ rằng bạn là nạn nhân của một cuộc tấn công hoặc rằng họ có mật khẩu của bạn, điều đó sẽ ổn thôi thay đổi mật khẩu của bạn. Nếu có thể xác minh hai bước trên hệ thống của bạn, hãy bắt đầu.
  8. Giữ cho hệ thống luôn được cập nhậthoặc là. Các bản vá mới che phủ một số lỗ hổng đã biết. Điều đó sẽ giúp họ không bị lợi dụng.
  9. Không cung cấp quá nhiều chi tiết khi bạn đăng ký các dịch vụ trực tuyến. Tốt hơn là sử dụng ngày tháng hoặc tên giả nếu không nhất thiết phải sử dụng tên thật. Ngoài ra, không đăng chi tiết kỹ thuật hoặc hệ thống trong các diễn đàn công cộng.
  10. Nếu bạn nhận được tin nhắn từ thư có tệp đính kèm hiếm, với các phần mở rộng như .pdf.iso, v.v., không tải xuống bất kỳ thứ gì. Đồng thời tránh duyệt các trang web lạ hoặc tải các chương trình xuất hiện trên đó. Nó cũng bỏ qua các tin nhắn SMS có thể có hoặc bất kỳ loại nào khác yêu cầu kích hoạt lại một dịch vụ hoặc cung cấp mật khẩu của một dịch vụ. Chúng có thể là hành vi lừa đảo.

Hơn nữa, Tôi cũng khuyên bạn một điều khác:

Chính sách Đối với người dùng bình thường
 Đối với một máy chủ
Tắt giao thức SSH Có, nếu bạn không sử dụng nó. Trong mọi trường hợp, hãy tắt quyền truy cập root, đặt mật khẩu mạnh và thay đổi cổng mặc định. Không, nó thường được yêu cầu để quản trị từ xa. Nhưng bạn có thể đảm bảo nó với một cấu hình tốt.
Định cấu hình iptables Bạn nên có ít nhất một số quy tắc cơ bản được xác định. Điều cần thiết là phải có một hệ thống quy tắc phức tạp để bảo vệ máy chủ.
IDS Không cần. Có, bạn nên có các hệ thống bảo vệ phụ trợ như IDS, v.v.
Bảo mật vật lý / khởi động Việc đặt mật khẩu cho BIOS / UEFI và GRUB của bạn là không cần thiết, nhưng sẽ không có hại gì. Điều cần thiết là hạn chế truy cập thông qua bảo vệ vật lý.
Mã hóa dữ liệu Nó không phải là điều cần thiết, nhưng bạn nên mã hóa ổ đĩa của mình. Nó sẽ phụ thuộc vào từng trường hợp. Trong một số trường hợp thì điều đó nên được thực hiện, ở một số trường hợp khác thì không. Hoặc có thể chỉ trên một số phân vùng. Nó sẽ phụ thuộc vào loại máy chủ.
VPN Bạn nên sử dụng VPN được định cấu hình cho bộ định tuyến của mình để tất cả các thiết bị bạn kết nối sẽ được bảo mật. Hoặc ít nhất, làm điều đó trong một trong những bạn sử dụng nhiều nhất. Không, do bản chất của máy chủ, nó không được đặt sau VPN.
Bật SELinux hoặc AppArmor Có, bạn nên cấu hình nó. Vâng, nó là điều cần thiết.
Giám sát các quyền, thuộc tính và có chính sách quản trị tốt. Khuyến khích. Thiết yếu.

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   mlpbcn dijo
    trước 4 năm

    Bài viết rất hay, nhưng bây giờ bạn phải giải thích rõ ràng cách thực hiện tất cả những lời khuyên bạn đưa ra, bởi vì tôi không biết có bao nhiêu lời khuyên trong số đó đã được thực hiện và tôi đã sử dụng Linux được khoảng 10 năm. Và tôi cho rằng những gì bài viết này trình bày là cực kỳ quan trọng và bạn không chỉ nên nói những gì phải làm mà còn giải thích cách thực hiện nó.

    Trả lời mlpbcn
  2.   Daniel dijo
    trước 4 năm

    Một bài viết rất hay, một video demo sẽ rất hay và sẽ giúp ích cho tất cả người dùng GNU / Linux cả người mới và người nâng cao. Lời chào hỏi.

    Trả lời Daniel
  3.   Aradnix dijo
    trước 4 năm

    Lời khuyên nói chung là tốt, nhưng có một lỗ hổng gần đây với sudo, bên cạnh những lời chỉ trích, đây là một chi tiết không nên bỏ qua vì nhiều bản phân phối vẫn chưa sửa nó, bản vá cho sudo không phải ở khắp nơi.

    Điều khác là có một số mẹo mâu thuẫn với những gì đã nói trong đoạn thứ hai bởi vì chúng không tầm thường hoặc đơn giản, ví dụ, các quy tắc tối thiểu mà một người dùng bình thường nên cấu hình là gì? Hoặc IDS là gì, nó có mặc định không, nó bị vô hiệu hóa như thế nào? Dành cho những ai quan tâm, bảo mật vật lý được kích hoạt khi khởi động như thế nào? thu thập dữ liệu của tôi và thực sự tôn trọng quyền riêng tư của tôi? Đó không phải là một câu hỏi dễ trả lời.

    SElinux ở Fedora nhiều năm trước, họ là một nỗi đau trong những quả bóng và việc cấu hình nó không hề dễ dàng, một lần nữa bạn phải giải thích cách thực hiện và / hoặc với App Armor cũng vậy. Cuối cùng, làm thế nào để bạn có một chính sách quản trị tốt? có tính đến việc nhiều người dùng ở xa hồ sơ sysadmin có thể có ý tưởng rõ ràng hơn về vấn đề này.

    Tôi hy vọng rằng bài viết này là phần nổi của tảng băng chìm của một số người khác về bảo mật, nơi nó đi sâu vào các khuyến nghị này mà mặc dù chúng đúng, chúng không rõ ràng và cũng không đơn giản đối với một số lượng lớn người dùng.

    Trả lời Aradnix
  4.   Fernando dijo
    trước 4 năm

    Xin chào, tôi đồng ý với những người khác một chút giải thích về một số chủ đề được thảo luận sẽ không có hại. Nhưng có lẽ chúng ta đang làm hỏng sự ngạc nhiên hahaha. Chúc mừng và bài viết hay.

    Trả lời Fernando