Возможно, вы уделяете внимание безопасности и периодически обновляете систему, но обычно этого недостаточно. Поэтому сегодня мы поделимся двенадцатью советами по повышению безопасности Linux-систем на примере CentOS 7.
Для просмотра ссылки Войдиили Зарегистрируйся.
После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:
password required pam_cracklib.so minlen=12 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1
Для просмотра ссылки Войдиили Зарегистрируйся
$ rpm -ivh epel-release-7-9.noarch.rpm
После установки репозитория EPEL, вы сможете установить и Tripwire:
$ sudo yum install tripwire
Теперь создайте файл ключей:
$ tripwire-setup-keyfiles
Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.
Когда настройка программы завершена, следует её инициализировать:
$ tripwire --init
Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.
Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.
По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:
$ tripwire --check
И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.
У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так: man tripwire
Для просмотра ссылки Войдиили Зарегистрируйся
Просмотреть предопределённые сетевые зоны можно так:
$ firewall-cmd --get-zones
Для просмотра ссылки Войдиили Зарегистрируйся
Каждая из этих зон имеет определённый уровень доверия.
Это значение можно обновить следующим образом:
$ firewall-cmd --set-default-zone=<new-name>
Получить подробные сведения о конкретной зоне можно так:
$ firewall-cmd --zone=<zone-name> --list-all
Просмотреть список всех поддерживаемых служб можно следующей командой:
$ firewall-cmd --get-services
Для просмотра ссылки Войдиили Зарегистрируйся
Затем можно добавлять в зону новые службы или убирать существующие:
$ firewall-cmd --zone=<zone-name> --add-service=<service-name>
$ firewall-cmd --zone=<zone-name> --remove-service=<service-name>
Можно вывести сведения обо всех открытых портах в любой зоне: $ firewall-cmd --zone=<zone-name> --list-ports
Добавлять порты в зону и удалять их из неё можно так: $ firewall-cmd --zone=<zone-name> --add-port=<port-number/protocol>
$ firewall-cmd --zone=<zone-name> --remove-port=<port-number/protocol>
Можно настраивать и перенаправление портов:
$ firewall-cmd --zone=<zone-name> --add-forward-port=<port-number>
$ firewall-cmd --zone=<zone-name> --remove-forward-port=<port-number>
Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables, при работе с которым службу в похожих ситуациях нужно перезапускать.
Для просмотра ссылки Войдиили Зарегистрируйся
Создайте новую группу:
$ groupadd compilerGroup
Затем измените группу бинарных файлов компилятора:
$ chown root:compilerGroup /usr/bin/gcc
И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:
$ chmod 0750 /usr/bin/gcc
Теперь любой пользователь, который попытается использовать gcc, получит сообщение об ошибке.
Для просмотра ссылки Войдиили Зарегистрируйся
Атрибут иммутабельности можно удалить такой командой: $ chattr -i /mysсript
Для просмотра ссылки Войдиили Зарегистрируйся
Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.
Для просмотра ссылки Войди
После установки этой программы, вы можете перейти в /etc/pam.d/system-auth и ввести примерно следующее:
password required pam_cracklib.so minlen=12 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1
Для просмотра ссылки Войди
$ rpm -ivh epel-release-7-9.noarch.rpm
После установки репозитория EPEL, вы сможете установить и Tripwire:
$ sudo yum install tripwire
Теперь создайте файл ключей:
$ tripwire-setup-keyfiles
Вам предложат ввести сложный пароль для файла ключей. После этого можно настроить Tripwire, внеся изменения в файл /etc/tripwire/twpol.txt. Работать с этим файлом несложно, так как каждая строка оснащена содержательным комментарием.
Когда настройка программы завершена, следует её инициализировать:
$ tripwire --init
Инициализация, в ходе которой выполняется сканирование системы, займёт некоторое время, зависящее от размеров ваших файлов.
Любые модификации защищённых файлов расцениваются как вторжение, администратор будет об этом оповещён и ему нужно будет восстановить систему, пользуясь файлами, в происхождении которых он не сомневается.
По этой причине необходимые изменения системы должны быть подтверждены с помощью Tripwire. Для того, чтобы это сделать, используйте следующую команду:
$ tripwire --check
И вот ещё одна рекомендация, касающаяся Tripwire. Защитите файлы twpol.txt и twcfg.txt. Это повысит безопасность системы.
У Tripwire есть множество параметров и установок. Посмотреть справку по ней можно так: man tripwire
Для просмотра ссылки Войди
Просмотреть предопределённые сетевые зоны можно так:
$ firewall-cmd --get-zones
Для просмотра ссылки Войди
Каждая из этих зон имеет определённый уровень доверия.
Это значение можно обновить следующим образом:
$ firewall-cmd --set-default-zone=<new-name>
Получить подробные сведения о конкретной зоне можно так:
$ firewall-cmd --zone=<zone-name> --list-all
Просмотреть список всех поддерживаемых служб можно следующей командой:
$ firewall-cmd --get-services
Для просмотра ссылки Войди
Затем можно добавлять в зону новые службы или убирать существующие:
$ firewall-cmd --zone=<zone-name> --add-service=<service-name>
$ firewall-cmd --zone=<zone-name> --remove-service=<service-name>
Можно вывести сведения обо всех открытых портах в любой зоне: $ firewall-cmd --zone=<zone-name> --list-ports
Добавлять порты в зону и удалять их из неё можно так: $ firewall-cmd --zone=<zone-name> --add-port=<port-number/protocol>
$ firewall-cmd --zone=<zone-name> --remove-port=<port-number/protocol>
Можно настраивать и перенаправление портов:
$ firewall-cmd --zone=<zone-name> --add-forward-port=<port-number>
$ firewall-cmd --zone=<zone-name> --remove-forward-port=<port-number>
Firewalld — это весьма продвинутый инструмент. Самое примечательное в нём то, что он может нормально работать, например, при внесении изменений в настройки, без перезапусков или остановок службы. Это отличает его от средства iptables, при работе с которым службу в похожих ситуациях нужно перезапускать.
Для просмотра ссылки Войди
Создайте новую группу:
$ groupadd compilerGroup
Затем измените группу бинарных файлов компилятора:
$ chown root:compilerGroup /usr/bin/gcc
И ещё одна важная вещь. Нужно изменить разрешения этих бинарных файлов:
$ chmod 0750 /usr/bin/gcc
Теперь любой пользователь, который попытается использовать gcc, получит сообщение об ошибке.
Для просмотра ссылки Войди
Атрибут иммутабельности можно удалить такой командой: $ chattr -i /mysсript
Для просмотра ссылки Войди
Так можно защищать любые файлы, но помните о том, что если вы обработали таким образом бинарные системные файлы, вы не сможете их обновить до тех пор, пока не снимите флаг иммутабельности.