Egy alapértelmezett Linux telepítés kényelmes, nem biztonságos. A Linux szerver hardening az a folyamat, amely csökkenti egy szerver támadási felületét és szigorítja a konfigurációját, hogy az internetről érkező elkerülhetetlen próbálkozások ne találjanak semmi könnyen kihasználhatót. Ez az útmutató bemutatja azokat a hardening lépéseket, amelyek 2026-ban a legfontosabbak, ésszerű fontossági sorrendben.
TL;DR
- Az SSH a legnagyobb kitett felületed: használj kulcsalapú hitelesítést, tiltsd le a root bejelentkezést és a jelszavakat, és korlátozd a kapcsolatok sebességét
- Üzemeltess alapértelmezetten mindent tiltó tűzfalat, és állíts le minden szolgáltatást és portot, amelyre nincs szükséged
- Tartsd a rendszert automatikusan frissítve, és alkalmazz kernel- és fiókmegerősítést
- Használj SELinux-ot vagy AppArmor-t, engedélyezd az auditnaplózást, és mérd magad a disztribúciódra vonatkozó CIS Benchmark-hoz
1. Zárd le az SSH-t
Az SSH az, ahogyan a szervert adminisztrálod, és ahogyan a támadók próbálnak bejutni. Ezt erősítsd meg először.
- Használj kulcsalapú hitelesítést, és teljesen tiltsd le a jelszavas hitelesítést (
PasswordAuthentication no). - Tiltsd le a közvetlen root bejelentkezést (
PermitRootLogin no); jelentkezz be normál felhasználóként, és használjsudo-t. - Korlátozd, hogy mely felhasználók jelentkezhetnek be SSH-n keresztül.
- Korlátozd a sebességet és fékezd az ismétlődő sikertelen próbálkozásokat (például
fail2bansegítségével), hogy tompítsd a brute-force támadásokat. - Tartsd az SSH-t karbantartott verzión, és tiltsd le a gyenge titkosításokat és az elavult protokollokat.
2. Üzemeltess alapértelmezetten tiltó tűzfalat
- Állítsd be a tűzfalat (
nftables,ufw,firewalldvagy CSF) úgy, hogy alapértelmezetten tiltson, és csak azokat a portokat engedélyezze, amelyeket ténylegesen kiszolgálsz. - A minimumot tedd elérhetővé: jellemzően SSH (korlátozva), HTTP és HTTPS egy webszerverhez, semmi mást.
- Korlátozd a felügyeleti portokat ismert forráscímekre vagy egy VPN-re, ahol lehetséges.
3. Minimalizáld a támadási felületet
- Távolítsd el vagy tiltsd le azokat a szolgáltatásokat és démonokat, amelyeket nem használsz. Minden figyelő szolgáltatás potenciális belépési pont.
- Auditáld a nyitott portokat (
ss -tulpn), és győződj meg róla, hogy mindegyik szándékos. - Távolítsd el a felesleges csomagokat és fordítókat a produkciós hostokról.
4. Tartsd a rendszert frissítve
- Engedélyezd az automatikus biztonsági frissítéseket (
unattended-upgradesDebian/Ubuntu esetén,dnf-automatica RHEL-családba tartozó rendszereken). - Kövesd a disztribúciód életciklus végi dátumait, és frissíts, mielőtt a támogatás megszűnik. Egy nem támogatott operációs rendszer üzemeltetése állandó kockázat.
5. Erősítsd meg a fiókokat és a hozzáférést
- Kényszeríts ki erős jelszó- és fiókszabályzatokat, és távolítsd el a nem használt fiókokat.
- Használj
sudo-t a legkisebb jogosultsággal a megosztott root hozzáférés helyett, és naplózd a sudo használatát. - Állíts be ésszerű
umaskalapértékeket, és zárold az érzékeny fájlok jogosultságait. - Fontold meg a kétfaktoros hitelesítést az adminisztrációs hozzáféréshez.
6. Alkalmazz kernel- és hálózatmegerősítést
- Hangold a
sysctlbeállításokat a hálózati szintű kockázat csökkentésére (például az IP source routing és az ICMP átirányítások letiltásával, valamint a reverse-path szűrés engedélyezésével). - Korlátozd a hozzáférést a kernelnaplókhoz és mutatókhoz, és engedélyezd az elérhető exploit-mérsékléseket.
- Tiltsd le a nem használt kernelmodulokat és fájlrendszereket.
7. Engedélyezd a kötelező hozzáférés-vezérlést
- Tartsd a SELinux-ot (RHEL-család) vagy az AppArmor-t (Debian/Ubuntu) engedélyezve és enforcing módban.
- Állj ellen a kísértésnek, hogy letiltsd, csak hogy “működjenek a dolgok”; ehelyett igazítsd vagy írd meg a szabályzatot. A MAC korlátozza a kárt, ha egy szolgáltatást kompromittálnak.
8. Naplózás, auditálás és fájlintegritás
- Engedélyezd a Linux audit démont (
auditd) a biztonsági szempontból releváns események rögzítésére. - Központosítsd a naplókat a hoston kívülre, hogy egy támadó ne törölhesse őket egyszerűen.
- Telepíts fájlintegritás-monitorozást (például AIDE), hogy észleld a rendszerfájlok váratlan módosításait.
- Rendszeresen tekintsd át a naplókat, vagy tápláld be őket a monitorozásba és riasztásba.
9. Mérd magad a CIS Benchmark-hoz
A Center for Internet Security (CIS) részletes, disztribúció-specifikus hardening benchmarkokat tesz közzé. Használd az operációs rendszeredhez tartozó CIS Benchmark -ot objektív ellenőrzőlistaként és résanalízisként; ez a “szerintünk meg van erősítve” állítást mérhető alapvonallá alakítja, amelyhez képest idővel auditálhatsz.
Legfontosabb tanulságok
- Kezdd az SSH-val: csak kulcsok, nincs root bejelentkezés, sebességkorlátozás.
- Alapértelmezetten tiltó tűzfal, és minden felesleges szolgáltatás eltávolítása.
- Automatizáld a frissítéseket, és alkalmazz fiók-, kernel- és MAC- (SELinux/AppArmor) megerősítést.
- Engedélyezd az auditnaplózást és a fájlintegritást, és mérd magad a CIS-hez, hogy a hardening mérhető legyen.
Szerezz szakértői Linux szerver hardeninget
Egyetlen szerver kézi megerősítése elérhető; ennek következetes elvégzése egy egész szerverparkon, az alkalmazások megtörése nélkül, ott térül meg a szakértelem. A Linux szerver hardening szolgáltatás lefedi az SSH lezárást, a tűzfalarchitektúrát, a kernelhangolást, a SELinux/AppArmor szabályzatot, a CIS résanalízist és egy karbantartási runbookot. Egy tűzfalközpontú bemutatóért a régebbi, de még mindig hasznos Linux szerverek CSF-fel való biztosításáról szóló útmutató részletesen tárgyalja a ConfigServer Security & Firewall-t.
Gyakran ismételt kérdések (GYIK)
Mi a legfontosabb Linux hardening lépés? Az SSH lezárása: használj kulcsalapú hitelesítést, tiltsd le a jelszavas bejelentkezést és a közvetlen root bejelentkezést, és korlátozd a sikertelen próbálkozások sebességét. Az SSH a leggyakrabban támadott belépési pont egy internetre néző szerveren.
Le kellene tiltanom a SELinux-ot vagy az AppArmor-t egy probléma megoldásához? Nem. A kötelező hozzáférés-vezérlés letiltása egy fontos elszigetelési réteget távolít el. Ehelyett igazítsd vagy írd meg a szabályzatot a jogos viselkedés engedélyezéséhez. Az enforcing módban tartása korlátozza a kárt, ha egy szolgáltatást kompromittálnak.
Mi az a CIS Benchmark? Egy részletes, disztribúció-specifikus hardening szabvány, amelyet a Center for Internet Security tesz közzé. Objektív ellenőrzőlistát ad, amelyhez konfigurálhatsz és amellyel idővel auditálhatod a szervereidet, mérhetővé téve a hardeninget.
Szükségem van még tűzfalra, ha a hostomnak van hálózati tűzfala? Igen, használd mindkettőt. Egy hoston alapuló, alapértelmezetten tiltó tűzfal akkor is védi a szervert, ha a hálózati vezérlők rosszul vannak konfigurálva vagy megkerülik őket, és érvényesíti azt az elvet, hogy csak azokat a portokat teszed elérhetővé, amelyeket ténylegesen kiszolgálsz.
Milyen gyakran kell felülvizsgálni egy megerősített szervert? Rendszeresen, mert a konfigurációk elcsúsznak, és új sérülékenységek jelennek meg. Ellenőrizd újra a CIS alapvonaladhoz képest jelentős változtatások után és rendszeres időközönként, és tartsd bekapcsolva az automatikus biztonsági frissítéseket a köztes időszakban.
Hozzászólások