Cách tăng cường bảo mật cho 1 máy chủ Linux

Hầu hết mọi người đều cho rằng hệ thống bảo mật của Linux đã được cài đặt sẵn và ko nên bắt buộc thay đổi nhiều. Tuy nhiên, Linux sở hữu những mô hình bảo mật riêng cho các ví như khác nhau.Việc lựa tìm chế độ thích hợp sở hữu thể giúp tăng tính bảo mật cho toàn hệ thống. Linux với thể siêu khó điều khiển, tuy nhiên nó lại có nhiều tùy chỉnh thích hợp và linh hoạt.

Việc đảm bảo an toàn cho một hệ thống khỏi các kẻ tấn công luôn là các nhiệm vụ đầy cạnh tranh đối có các quản trị viên. Trong bài viết này, chúng tôi sẽ giới thiệu 25 mẹo để với thể bảo vệ một server Linux hiệu quả hơn, hy vọng sở hữu thể giúp ích cho các người đã và đang dùng hệ điều hành này.

1. Bảo vệ hệ thống vật lý
Loại bỏ những nguy cơ bị boot hệ thống BIOS bằng CD/DVD, đĩa mềm và những đồ vật bên ngoài. Hãy đặt đặt mật khẩu cho BIOS và GRUB để ngăn chặn toàn bộ những kết nối giữa hệ thống có các thiết bị vật lý bên ngoài.
2. Phân vùng ổ cứng
Việc phân chia dữ liệu ko chỉ khiến cho nó được sắp xếp hợp lý hơn, mà còn giúp những dữ liệu được bảo vệ thấp hơn trong giả dụ với sự cố ko mong muốn xảy ra. Khi đó, chỉ với những dữ liệu trong những vùng xảy ra sự cố bị ảnh hưởng, không gây hại tới các gói dữ liệu khác. Một mô hình phân chia bạn với thể học theo, trong đó, các áp dụng của bên đồ vật ba cần được cài vào file ‘/opt’

//boot/usr /var /home/tmp/opt

>>> Xem thêm: máy chủ dell t140



3. Bớt đi những gói dữ liệu ko bắt buộc thiết, tránh lỗ hổng bảo mật
Bạn mang bao giờ tiêu dùng mọi các gói dịch vụ? Theo chúng tôi, bạn bắt buộc bỏ đi những gói tin ko phải thiết để tránh việc bị tấn công phê duyệt những lỗ hổng của gói đó. Hãy đánh giá lại một lượt xem mang những vận dụng nào không phải đến và gỡ chúng đi. Sử dụng lệnh ‘chkconfig’ để sắm những dịch vụ đang được chạy ở mức độ 3

# /sbin/chkconfig --list |grep '3n'

Một khi đã phát hiện ra các dịch vụ ko cần thiết, cái bỏ chúng bằng câu lệnh

# chkcongfig serviceName off

Hoặc có thể sử dụng gói quản lý RPM thí dụ như “yum” hay “apt-get” để liệt kê tất cả các gói tin đã được cài đặt và chiếc bảo chúng bằng những câu lệnh sau

#yum -y remove package-name# sudo apt-get remove package-name

4. Kiểm tra những cổng kết nối mạng
Với sự giúp đỡ của cú pháp ‘netstat’ bạn có thể kiểm tra toàn bộ các cổng kết nối mở và các chương trình mang liên kết ra bên ngoài. Và giống như ở trên, hãy dùng ‘chkcongfig’ để cái bỏ chúng

# netstat -tulpn

5. Sử dụng Secure Shell(SSH)
Các giao thức cũ như Telnet và rlogin chỉ tiêu dùng các text đơn giản để truyền tin, ko có cơ chế mã hóa thông tin. SSH là giao thức an toàn hơn,vì nó sử dụng sẽ mã hóa thông tin trước khi truyền đi trong suốt giai đoạn giao du giữa người tiêu dùng với server. Hãy mở file cấu hình chính của SSH và dùng các cú pháp sau để ngừng đăng nhập của người dùng

# vi /etc/ssh/sshd_config

Loại bỏ Root Login

PermitRootLogin no

Chỉ chấp nhận một vài người sử dụng đặc biệt

AllowUsers username

Sử dụng giao thức SSH version 2

Protocol 2

6, Thường xuyên update hệ thống
Luôn giữ hệ thống của bạn được cập nhật các bản vá,sửa lỗi và nâng cấp phần nhân hệ thống ngay lúc có thể.

# yum update

# yum check-update

>>> Xem thêm: máy chủ hp dl380 gen10



7. Khóa Cronjobs
Cron có các khả năng tự khiến việc, ngoại giả nó cũng cho phép người tiêu dùng tự điều khiển trường hợp như họ muốn. Có thể điều khiển duyệt các file với liên hệ ‘/etc/cron.allow’ và ‘etc/cron.deny’. Thêm tên của một người sử dụng vào cron.deny giả dụ như không muốn họ chỉnh sửa cron, hoặc thêm vào cron.allow nếu cho phép họ dùng cron. Nếu như muốn toàn bộ những người dùng ko thể sử dụng cron, thêm mẫu lệnh ALL vào file ‘cron.deny’

# echo ALL >>/etc/cron.deny

8. Tắt USB stick.
Đã từng siêu nhiều lần xảy ra chuyện chúng ta muốn tránh người tiêu dùng kết nối với hệ thống bằng USB để hạn chế tình trạng trộm cắp thông tin. Hãy tạo một file ‘/etc/modprobe.d/no-usb’ và thêm những loại sau để hệ thống ko nhận các đồ vật USB nữa

install usb-storage /bin/true

9. Sử dụng SELinux
Hệ thống bảo mật nâng cao(SELinux) là 1 cơ chế bảo mật sản xuất ở vùng nhân. Tắt nó đi đồng nghĩa có việc loại bỏ cơ chế bảo vệ ra khỏi hệ thống. Hãy suy nghĩ thật kĩ mỗi lúc muốn tắt nó, đặc trưng trường hợp hệ thống của bạn cần kết nối internet và với chế độ truy hỏi cập là công khai.
SELinux có ba chế độ điều khiển sau:
Enforcing: Chế độ thông thường, kích hoạt SELinux và để nó toàn quyền hoạt động tự do
Permissive: Trong chế độ này, SELinux sẽ bắt buộc gửi những báo cáo cũng như cảnh báo cho người sử dụng trước mỗi hoạt động. Chế độ này vô cùng hữu ích trong trường hợp chuẩn đoán và xử lý giả dụ với sự cố xảy ra.
Disable:tắt SELinux
10. Loại bỏ các màn hình kiểu KDE và GNOME
Rõ ràng là ko buộc phải thiết bắt buộc dùng các màn hình Window như là KDE hay GNOME cho server của bạn. Bạn mang thể tắt hoặc gỡ nó đi để tăng cường bảo mật cho server. Để tắt nó , hãy mở file ‘etc/initab’ và đặt chạy ở mức độ 3. Còn giả dụ muốn cái bỏ hoàn toàn khỏi hệ thống, hãy sử dụng câu lệnh sau:

# yum groupmove "X Window System"

>>> Xem thêm: máy chủ hp dl560 gen10