正如我之前说过,安全好比是在公路上开车――比你开得慢的人都是痴人,比你开得快的人都是疯子。本文介绍的这些原则仅仅一系列底子的中心安全规矩,它们并不全面,也替代不了经历、慎重和知识。你应该稍稍调整这些主张,以合适本企业的环境。
对每个体系管理员来说,以下是应该采纳的一些必要过程:
1.一概禁用Firewire和Thunderbolt模块。
2.查看防火墙,保证全部入站端口已被过滤。
3.保证root邮件转发到你核对的帐户。
4.建立操作体系主动更新时间表,或许更新提示内容。
此外,你还应该考虑其间一些最好采纳的过程,进一步加固体系:
1.核对以保证sshd服务在默许状况下已被禁用。
2.设置屏幕维护程序,在搁置一段时间后主动锁定。
3.装置logwatch。
4.装置和运用rkhunter
5.装置侵略检测体系
1. 把相关模块列入黑名单
想把Firewire和Thunderbolt模块列入黑名单,将下列几行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:
blacklist firewire-coreblacklist thunderbolt
一旦体系重启,上述模块就会被列入黑名单。即使你没有这些端口,这么做也没有什么损害。
2. root邮件
默许状况下,root邮件彻底保存在体系上,往往从不被读取。保证你设置了/etc/aliases,将root邮件转发到你实践读取的邮箱,不然就有或许错失重要的体系告诉和陈述:
# Person who should get root’s mailroot: bob@example.com
这番修改后运转newaliases,对它测验一番,保证邮件的确已送达,因为一些电子邮件供给商会回绝从底子不存在的域名或无法路由的域名发来的电子邮件。假如是这种状况,你需求调整邮件转发装备,直到这的确可行。
3. 防火墙、sshd和侦听看护进程
默许的防火墙设置将依靠你的发行版,可是许多答应入站sshd端口。除非你有一个足够而合理的理由答应入站ssh,不然应该将这个过滤掉,禁用sshd看护进程。
systemctl disable sshd.servicesystemctl stop sshd.service
假如你需求运用它,总是能够暂时发动它。
一般来说,你的体系除了呼应ping外,应该没有任何侦听端口。这将有助于你防备网络层面的零日缝隙。
4. 主动更新或告诉
主张敞开主动更新,除非你有十分足够的理由不这么做,比方忧虑主动更新会导致你的体系无法运用(这种事之前产生过,所以这种忧虑并非毫无根据)。最少,你应该启用主动告诉可用更新的机制。大多数发行版现已让这项服务主动为你运转,所以你很或许没必要进行任何操作。查阅发行版的阐明文档,了解更多内容。
5. 查看日志
你应该亲近重视体系上产生的全部活动。因为这个原因,应该装置logwatch,并对它进行装备,以便每晚发送活动陈述,标明体系上产生的全部活动。这避免不了全身心投入的攻击者,却是一项很好的安全网功用,有必要布置。
请注意:许多systemd发行版不再主动装置logwatch需求的syslog服务器(那是因为systemd依靠自己的日志),所以你需求装置和启用rsyslog,保证/var/log在logwatch具有任何用处之前不是空的。
6. rkhunter和IDS
除非你实在了解作业原理,而且采纳了必要的过程进行合理的设置(比方将数据库放在外部介质上,从可信任的环境运转查看,履行体系更新和装备改变后记住更新哈希数据库,等等),不然装置rkhunter以及aide或tripwire之类的侵略检测体系(IDS)不是很有用。假如你不愿意采纳这些过程、调整在自己的作业站上履行任务的方法,这些东西只会带来费事,没有任何实践的安全优点。
咱们的确主张你应当装置rkhunter、在晚上运转它。它学习和运用起来适当简单;尽管它发现不了奸刁的攻击者,可是可协助你发现自己的过错。
