Linux-szerver keményítése - Védd meg a szervereidet
Professzionális Linux-szerverkeményítés, amely túlmutat az alapértelmezett konfigurációkon. Auditálom és biztonságossá teszem az SSH-t, a tűzfalakat, a kernelparamétereket, a kötelező hozzáférés-vezérlést és a szolgáltatások kitettségét a CIS-benchmarkokat követve.
A Linux-szerver keményítése egy alapértelmezett telepítést biztonságos, támadásálló rendszerré alakít. A dobozból kivett Linux-konfigurációk a kompatibilitást helyezik a biztonság elé, így az SSH jelszavas hitelesítéssel, futó szükségtelen szolgáltatásokkal és megengedő tűzfalszabályokkal marad. A Linux-szerverkeményítési szolgáltatásom auditálja a teljes konfigurációdat a CIS-benchmarkokkal és az iparági legjobb gyakorlatokkal szemben, majd megvalósítja azokat a keményítési intézkedéseket, amelyek csökkentik a támadási felületedet anélkül, hogy tönkretennék az alkalmazásaidat.
Az alapértelmezett Linux-konfigurációk nem biztonságosak
Az SSH a legnagyobb támadási felületed
Az alapértelmezett SSH-konfigurációk engedélyezik a jelszavas hitelesítést, a root bejelentkezést, és a 22-es porton figyelnek. Az automatizált brute-force botok naponta milliószor ostromolják ezeket az alapértelmezéseket. SSH-keményítés nélkül csak idő kérdése.
Szükségtelen futó szolgáltatások
Az alapértelmezett Linux-telepítések olyan szolgáltatásokat engedélyeznek, amelyekre nincs szükséged: Avahi, CUPS, NFS, rpcbind és mások. Minden futó szolgáltatás egy támadási felület. Ha nincs rá szükség, nem szabadna futnia.
Gyenge hozzáférés-vezérlés
Az alapértelmezett sudoers-konfigurációk, a megosztott szolgáltatásfiókok és a hiányzó SELinux/AppArmor házirendek triviálissá teszik a jogosultságkiterjesztést egy olyan támadó számára, aki kezdeti hozzáférést szerez.
Mit fed le a Linux-szerverkeményítésem
SSH-lezárás
Csak kulcsos hitelesítés, letiltott root bejelentkezés, IP-engedélyezőlista, portváltás, kapcsolati sebességkorlátozás és fail2ban-konfiguráció. Először a legtöbbet támadott vektort zárom le.
Tűzfalarchitektúra
Megfelelő iptables/nftables szabályok default-deny házirendekkel, sebességkorlátozással és naplózással. Csak a kifejezetten szükséges portok nyitottak, ahol releváns, forrás-IP-korlátozásokkal.
Kernelkeményítés
sysctl-hangolás a hálózati verem védelméhez (SYN cookie-k, ICMP-korlátozások, IP-hamisítás megelőzése), ASLR-kényszerítés és core dump-korlátozások.
Kötelező hozzáférés-vezérlés
SELinux- vagy AppArmor-konfiguráció a szolgáltatások körülhatárolásához és egy kompromittálódás hatósugarának korlátozásához. Még ha egy támadó hozzáférést is szerez egy szolgáltatáshoz, a MAC-házirendek blokkolják a laterális mozgást.
Igazodás a CIS-benchmarkokhoz
Minden keményítési intézkedés a CIS-benchmark kontrolljaihoz van rendelve Ubuntuhoz, Debianhoz, RHEL-hez vagy CentOS-hez. Olyan dokumentációt kapsz, amely kielégíti a megfelelőségi auditorokat.
Audit-naplózás és monitorozás
Auditd-konfiguráció a fájlhozzáféréshez, a jogosultságkiterjesztéshez és a bejelentkezési eseményekhez. Logrotation beállítása és útmutatás a központosított naplótovábbításhoz a SIEM-integrációhoz.
A Linux-szerverkeményítés folyamata
Alapvonal-felmérés
Auditálom a jelenlegi szerverkonfigurációt: OS-verzió, futó szolgáltatások, nyitott portok, felhasználói fiókok, sudo-konfiguráció és telepített csomagok.
CIS-benchmark hiányelemzés
Az automatizált és manuális CIS-benchmark pontozás súlyossági besorolásokkal azonosít minden eltérést a biztonsági alapvonalaktól.
Keményítés megvalósítása
Megvalósítom az összes keményítési intézkedést: SSH-lezárás, tűzfalszabályok, szolgáltatások letiltása, kernelhangolás, fájlrendszer-jogosultságok és MAC-házirendek.
Alkalmazás-kompatibilitási tesztelés
A keményítés után ellenőrzöm, hogy az összes alkalmazásod és szolgáltatásod továbbra is helyesen működik. A keményítés nem teheti tönkre a produkciós munkaterheléseket.
Dokumentáció és átadás
Minden elvégzett változtatás, a konfigurációs fájlok teljes dokumentációja, és egy karbantartási runbook a folyamatos biztonsághoz.
A keményítés eredményei
SSH-keményítés
sshd_config lezárás, csak kulcsos hitelesítés, fail2ban-konfiguráció és kapcsolati sebességkorlátozás.
Tűzfalszabályok
iptables/nftables szabálykészlet default-deny házirenddel, dokumentált kivételekkel és sebességkorlátozással.
Kernel-biztonsági hangolás
sysctl.conf keményítés a hálózati veremhez, a memóriavédelemhez és a fájlrendszer-biztonsághoz.
MAC-házirend-konfiguráció
SELinux- vagy AppArmor-profilok az összes futó szolgáltatáshoz, engedélyezett enforcement móddal.
CIS-megfelelőségi jelentés
CIS-benchmark pontszámok előtte/utána, minden kontroll dokumentálva.
Karbantartási runbook
Folyamatos karbantartási eljárások: foltozási stratégia, naplóellenőrzés és konfigurációeltérés-észlelés.
Gyakran ismételt kérdések a Linux-szerver keményítéséről
Tönkreteszi a szerverkeményítés az alkalmazásaimat?
Nem. A véglegesítés előtt minden változtatást tesztelek a futó alkalmazásaiddal szemben. A keményítést fokozatosan alkalmazom, minden változtatást kompatibilitás szempontjából ellenőrizve. Ha egy keményítési intézkedés ütközik egy jogos alkalmazáskövetelménnyel, dokumentálom a kivételt, és helyette kompenzáló kontrollokat valósítok meg.
Mely Linux-disztribúciókat támogatod?
Az Ubuntu Servert, a Debiant, a RHEL-t, a CentOS Streamet, a Rocky Linuxot, az AlmaLinuxot és az Amazon Linuxot támogatom. CIS-benchmarkok elérhetők mindezen disztribúciókhoz, és a keményítési eljárásokat az egyes disztribúciók csomagkezelő és szolgáltatáskezelő rendszereihez igazítom.
Keményíted a felhőszervereket (AWS, Azure, GCP)?
Igen. A felhőpéldányoknak OS-szintű keményítésre van szükségük a felhőbiztonsági csoportokon és az IAM-házirendeken felül. Megkeményítem a Linux OS-t a példányon belül, és átvizsgálom a felhőszintű biztonsági beállításokat, hogy biztosítsam, hogy mindkét réteg együtt működik.
Mennyi ideig tart a Linux-szerver keményítése?
Egyetlen szerver általában 2-3 munkanapot vesz igénybe, beleértve a felmérést, a keményítést, a tesztelést és a dokumentációt. Az azonos konfigurációjú több szerver az automatizálás segítségével gyorsabban elvégezhető. A sok szolgáltatást tartalmazó összetett környezetek további időt igényelnek a kompatibilitási teszteléshez.
SELinuxot vagy AppArmort használjak?
A SELinux erősebb, és ez az alapértelmezett a RHEL-alapú disztribúciókon. Az AppArmor könnyebben konfigurálható, és ez az alapértelmezett az Ubuntun/Debianon. Azt javaslom, hogy azt használd, amellyel a disztribúciód érkezik, és konfiguráld megfelelően, ahelyett hogy váltanál, kivéve, ha konkrét megfelelőségi követelményeid vannak.
Keményítsd meg a Linux-szervereidet a következő támadás előtt
Az alapértelmezett Linux-konfigurációkat a könnyű beállításra tervezték, nem a biztonságra. Minden nap, amikor a szervereid keményítés nélkül futnak, sebezhetők az automatizált támadásokkal, a brute force-szal és a jogosultságkiterjesztéssel szemben. Hadd zárjam le őket rendesen.
Lépj kapcsolatba