Egy alapértelmezett Linux telepítés kényelmes, nem biztonságos. A Linux szerver hardening az a folyamat, amely csökkenti egy szerver támadási felületét és szigorítja a konfigurációját, hogy az internetről érkező elkerülhetetlen próbálkozások ne találjanak semmi könnyen kihasználhatót. Ez az útmutató bemutatja azokat a hardening lépéseket, amelyek 2026-ban a legfontosabbak, ésszerű fontossági sorrendben.

TL;DR

  • Az SSH a legnagyobb kitett felületed: használj kulcsalapú hitelesítést, tiltsd le a root bejelentkezést és a jelszavakat, és korlátozd a kapcsolatok sebességét
  • Üzemeltess alapértelmezetten mindent tiltó tűzfalat, és állíts le minden szolgáltatást és portot, amelyre nincs szükséged
  • Tartsd a rendszert automatikusan frissítve, és alkalmazz kernel- és fiókmegerősítést
  • Használj SELinux-ot vagy AppArmor-t, engedélyezd az auditnaplózást, és mérd magad a disztribúciódra vonatkozó CIS Benchmark-hoz

1. Zárd le az SSH-t

Az SSH az, ahogyan a szervert adminisztrálod, és ahogyan a támadók próbálnak bejutni. Ezt erősítsd meg először.

  • Használj kulcsalapú hitelesítést, és teljesen tiltsd le a jelszavas hitelesítést (PasswordAuthentication no).
  • Tiltsd le a közvetlen root bejelentkezést (PermitRootLogin no); jelentkezz be normál felhasználóként, és használj sudo-t.
  • Korlátozd, hogy mely felhasználók jelentkezhetnek be SSH-n keresztül.
  • Korlátozd a sebességet és fékezd az ismétlődő sikertelen próbálkozásokat (például fail2ban segítségével), hogy tompítsd a brute-force támadásokat.
  • Tartsd az SSH-t karbantartott verzión, és tiltsd le a gyenge titkosításokat és az elavult protokollokat.

2. Üzemeltess alapértelmezetten tiltó tűzfalat

  • Állítsd be a tűzfalat (nftables, ufw, firewalld vagy CSF) úgy, hogy alapértelmezetten tiltson, és csak azokat a portokat engedélyezze, amelyeket ténylegesen kiszolgálsz.
  • A minimumot tedd elérhetővé: jellemzően SSH (korlátozva), HTTP és HTTPS egy webszerverhez, semmi mást.
  • Korlátozd a felügyeleti portokat ismert forráscímekre vagy egy VPN-re, ahol lehetséges.

3. Minimalizáld a támadási felületet

  • Távolítsd el vagy tiltsd le azokat a szolgáltatásokat és démonokat, amelyeket nem használsz. Minden figyelő szolgáltatás potenciális belépési pont.
  • Auditáld a nyitott portokat (ss -tulpn), és győződj meg róla, hogy mindegyik szándékos.
  • Távolítsd el a felesleges csomagokat és fordítókat a produkciós hostokról.

4. Tartsd a rendszert frissítve

  • Engedélyezd az automatikus biztonsági frissítéseket (unattended-upgrades Debian/Ubuntu esetén, dnf-automatic a RHEL-családba tartozó rendszereken).
  • Kövesd a disztribúciód életciklus végi dátumait, és frissíts, mielőtt a támogatás megszűnik. Egy nem támogatott operációs rendszer üzemeltetése állandó kockázat.

5. Erősítsd meg a fiókokat és a hozzáférést

  • Kényszeríts ki erős jelszó- és fiókszabályzatokat, és távolítsd el a nem használt fiókokat.
  • Használj sudo-t a legkisebb jogosultsággal a megosztott root hozzáférés helyett, és naplózd a sudo használatát.
  • Állíts be ésszerű umask alapértékeket, és zárold az érzékeny fájlok jogosultságait.
  • Fontold meg a kétfaktoros hitelesítést az adminisztrációs hozzáféréshez.

6. Alkalmazz kernel- és hálózatmegerősítést

  • Hangold a sysctl beállításokat a hálózati szintű kockázat csökkentésére (például az IP source routing és az ICMP átirányítások letiltásával, valamint a reverse-path szűrés engedélyezésével).
  • Korlátozd a hozzáférést a kernelnaplókhoz és mutatókhoz, és engedélyezd az elérhető exploit-mérsékléseket.
  • Tiltsd le a nem használt kernelmodulokat és fájlrendszereket.

7. Engedélyezd a kötelező hozzáférés-vezérlést

  • Tartsd a SELinux-ot (RHEL-család) vagy az AppArmor-t (Debian/Ubuntu) engedélyezve és enforcing módban.
  • Állj ellen a kísértésnek, hogy letiltsd, csak hogy “működjenek a dolgok”; ehelyett igazítsd vagy írd meg a szabályzatot. A MAC korlátozza a kárt, ha egy szolgáltatást kompromittálnak.

8. Naplózás, auditálás és fájlintegritás

  • Engedélyezd a Linux audit démont (auditd) a biztonsági szempontból releváns események rögzítésére.
  • Központosítsd a naplókat a hoston kívülre, hogy egy támadó ne törölhesse őket egyszerűen.
  • Telepíts fájlintegritás-monitorozást (például AIDE), hogy észleld a rendszerfájlok váratlan módosításait.
  • Rendszeresen tekintsd át a naplókat, vagy tápláld be őket a monitorozásba és riasztásba.

9. Mérd magad a CIS Benchmark-hoz

A Center for Internet Security (CIS) részletes, disztribúció-specifikus hardening benchmarkokat tesz közzé. Használd az operációs rendszeredhez tartozó CIS Benchmark -ot objektív ellenőrzőlistaként és résanalízisként; ez a “szerintünk meg van erősítve” állítást mérhető alapvonallá alakítja, amelyhez képest idővel auditálhatsz.

Legfontosabb tanulságok

  • Kezdd az SSH-val: csak kulcsok, nincs root bejelentkezés, sebességkorlátozás.
  • Alapértelmezetten tiltó tűzfal, és minden felesleges szolgáltatás eltávolítása.
  • Automatizáld a frissítéseket, és alkalmazz fiók-, kernel- és MAC- (SELinux/AppArmor) megerősítést.
  • Engedélyezd az auditnaplózást és a fájlintegritást, és mérd magad a CIS-hez, hogy a hardening mérhető legyen.

Szerezz szakértői Linux szerver hardeninget

Egyetlen szerver kézi megerősítése elérhető; ennek következetes elvégzése egy egész szerverparkon, az alkalmazások megtörése nélkül, ott térül meg a szakértelem. A Linux szerver hardening szolgáltatás lefedi az SSH lezárást, a tűzfalarchitektúrát, a kernelhangolást, a SELinux/AppArmor szabályzatot, a CIS résanalízist és egy karbantartási runbookot. Egy tűzfalközpontú bemutatóért a régebbi, de még mindig hasznos Linux szerverek CSF-fel való biztosításáról szóló útmutató részletesen tárgyalja a ConfigServer Security & Firewall-t.

Gyakran ismételt kérdések (GYIK)

Mi a legfontosabb Linux hardening lépés? Az SSH lezárása: használj kulcsalapú hitelesítést, tiltsd le a jelszavas bejelentkezést és a közvetlen root bejelentkezést, és korlátozd a sikertelen próbálkozások sebességét. Az SSH a leggyakrabban támadott belépési pont egy internetre néző szerveren.

Le kellene tiltanom a SELinux-ot vagy az AppArmor-t egy probléma megoldásához? Nem. A kötelező hozzáférés-vezérlés letiltása egy fontos elszigetelési réteget távolít el. Ehelyett igazítsd vagy írd meg a szabályzatot a jogos viselkedés engedélyezéséhez. Az enforcing módban tartása korlátozza a kárt, ha egy szolgáltatást kompromittálnak.

Mi az a CIS Benchmark? Egy részletes, disztribúció-specifikus hardening szabvány, amelyet a Center for Internet Security tesz közzé. Objektív ellenőrzőlistát ad, amelyhez konfigurálhatsz és amellyel idővel auditálhatod a szervereidet, mérhetővé téve a hardeninget.

Szükségem van még tűzfalra, ha a hostomnak van hálózati tűzfala? Igen, használd mindkettőt. Egy hoston alapuló, alapértelmezetten tiltó tűzfal akkor is védi a szervert, ha a hálózati vezérlők rosszul vannak konfigurálva vagy megkerülik őket, és érvényesíti azt az elvet, hogy csak azokat a portokat teszed elérhetővé, amelyeket ténylegesen kiszolgálsz.

Milyen gyakran kell felülvizsgálni egy megerősített szervert? Rendszeresen, mert a konfigurációk elcsúsznak, és új sérülékenységek jelennek meg. Ellenőrizd újra a CIS alapvonaladhoz képest jelentős változtatások után és rendszeres időközönként, és tartsd bekapcsolva az automatikus biztonsági frissítéseket a köztes időszakban.