O instalare Linux implicită este comodă, nu sigură. Securizarea serverului Linux este procesul de reducere a suprafeței de atac a unui server și de strângere a configurației sale, astfel încât sondajele inevitabile venite din internet să nu găsească nimic ușor de exploatat. Acest ghid acoperă pașii de securizare care contează cel mai mult în 2026, într-o ordine rezonabilă a priorității.
TL;DR
- SSH este cea mai mare suprafață expusă a ta: folosește autentificarea bazată pe chei, dezactivează autentificarea root și parolele și limitează rata conexiunilor
- Rulează un firewall care refuză implicit totul și oprește fiecare serviciu și port de care nu ai nevoie
- Menține sistemul actualizat automat și aplică securizarea kernelului și a conturilor
- Folosește SELinux sau AppArmor, activează auditarea jurnalelor și evaluează-te după CIS Benchmark pentru distribuția ta
1. Blochează SSH
SSH este modul în care administrezi serverul și modul în care atacatorii încearcă să pătrundă. Securizează-l primul.
- Folosește autentificarea bazată pe chei și dezactivează complet autentificarea prin parolă (
PasswordAuthentication no). - Dezactivează autentificarea root directă (
PermitRootLogin no); autentifică-te ca utilizator obișnuit și foloseștesudo. - Restricționează ce utilizatori se pot autentifica prin SSH.
- Limitează rata și temperează încercările eșuate repetate (de exemplu cu
fail2ban) pentru a atenua atacurile prin forță brută. - Menține SSH pe o versiune întreținută și dezactivează cifrurile slabe și protocoalele învechite.
2. Rulează un firewall care refuză implicit
- Configurează firewallul (
nftables,ufw,firewalldsau CSF) să refuze implicit și să permită doar porturile pe care le servești efectiv. - Expune minimul: de obicei SSH (restricționat), HTTP și HTTPS pentru un server web și nimic altceva.
- Restricționează porturile de administrare la adrese sursă cunoscute sau la un VPN acolo unde este posibil.
3. Minimizează suprafața de atac
- Dezinstalează sau dezactivează serviciile și daemonii pe care nu îi folosești. Fiecare serviciu care ascultă este un potențial punct de intrare.
- Auditează porturile deschise (
ss -tulpn) și confirmă că fiecare este intenționat. - Elimină pachetele și compilatoarele inutile de pe hosturile de producție.
4. Menține sistemul actualizat
- Activează actualizările de securitate automate (
unattended-upgradespe Debian/Ubuntu,dnf-automaticpe sistemele din familia RHEL). - Urmărește datele de sfârșit de viață pentru distribuția ta și fă upgrade înainte ca suportul să se încheie. Rularea unui sistem de operare nesuportat este un risc permanent.
5. Securizează conturile și accesul
- Impune politici puternice de parole și conturi și elimină conturile neutilizate.
- Folosește
sudocu privilegii minime în loc de acces root partajat și jurnalizează utilizarea sudo. - Setează valori
umaskimplicite rezonabile și blochează permisiunile pentru fișierele sensibile. - Ia în considerare autentificarea în doi factori pentru accesul administrativ.
6. Aplică securizarea kernelului și a rețelei
- Ajustează setările
sysctlpentru a reduce riscul la nivel de rețea (de exemplu dezactivând IP source routing și redirecționările ICMP și activând filtrarea reverse-path). - Restricționează accesul la jurnalele și pointerii kernelului și activează mitigările de exploatare disponibile.
- Dezactivează modulele de kernel și sistemele de fișiere neutilizate.
7. Activează controlul obligatoriu al accesului
- Menține SELinux (familia RHEL) sau AppArmor (Debian/Ubuntu) activat și în modul enforcing.
- Rezistă tentației de a-l dezactiva pentru a “face lucrurile să meargă”; în schimb, ajustează sau scrie o politică. MAC limitează pagubele atunci când un serviciu este compromis.
8. Jurnalizare, auditare și integritatea fișierelor
- Activează daemonul de audit Linux (
auditd) pentru a înregistra evenimentele relevante pentru securitate. - Centralizează jurnalele în afara hostului, astfel încât un atacator să nu le poată șterge pur și simplu.
- Implementează monitorizarea integrității fișierelor (de exemplu AIDE) pentru a detecta modificările neașteptate ale fișierelor de sistem.
- Revizuiește jurnalele regulat sau alimentează-le către monitorizare și alertare.
9. Evaluează după CIS Benchmark
Center for Internet Security (CIS) publică benchmark-uri de securizare detaliate, specifice fiecărei distribuții. Folosește CIS Benchmark pentru sistemul tău de operare ca o listă de verificare obiectivă și o analiză a lacunelor; transformă “credem că e securizat” într-o linie de bază măsurabilă pe care o poți audita în timp.
Concluzii cheie
- Începe cu SSH: doar chei, fără autentificare root, limitarea ratei.
- Firewall care refuză implicit și eliminarea fiecărui serviciu de care nu ai nevoie.
- Automatizează aplicarea patch-urilor și aplică securizarea conturilor, a kernelului și a MAC (SELinux/AppArmor).
- Activează auditarea jurnalelor și integritatea fișierelor și evaluează-te după CIS pentru a face securizarea măsurabilă.
Obține securizare de server Linux de la experți
Securizarea unui singur server manual este realizabilă; a o face consecvent pe o întreagă infrastructură, fără a strica aplicațiile, este locul unde expertiza își dovedește valoarea. Serviciul de securizare a serverului Linux acoperă blocarea SSH, arhitectura firewallului, ajustarea kernelului, politica SELinux/AppArmor, analiza lacunelor CIS și un runbook de mentenanță. Pentru o prezentare axată pe firewall, ghidul de securizare a serverelor Linux cu CSF , mai vechi dar încă util, acoperă în detaliu ConfigServer Security & Firewall.
Întrebări frecvente (FAQ)
Care este cel mai important pas de securizare Linux? Blocarea SSH: folosește autentificarea bazată pe chei, dezactivează autentificarea prin parolă și autentificarea root directă și limitează rata încercărilor eșuate. SSH este cel mai frecvent atacat punct de intrare pe un server expus la internet.
Ar trebui să dezactivez SELinux sau AppArmor pentru a rezolva o problemă? Nu. Dezactivarea controlului obligatoriu al accesului elimină un strat major de izolare. În schimb, ajustează sau scrie o politică pentru a permite comportamentul legitim. Menținerea sa în modul enforcing limitează pagubele dacă un serviciu este compromis.
Ce este CIS Benchmark? Un standard de securizare detaliat, specific fiecărei distribuții, publicat de Center for Internet Security. Îți oferă o listă de verificare obiectivă după care să configurezi și să îți auditezi serverele în timp, transformând securizarea în ceva măsurabil.
Mai am nevoie de un firewall dacă hostul meu are un firewall de rețea? Da, folosește-le pe amândouă. Un firewall bazat pe host, care refuză implicit, protejează serverul chiar dacă controalele de rețea sunt configurate greșit sau ocolite și impune principiul de a expune doar porturile pe care le servești efectiv.
Cât de des ar trebui revizuit un server securizat? Regulat, deoarece configurațiile derivează și apar noi vulnerabilități. Reverifică față de linia ta de bază CIS după schimbări semnificative și după un program periodic și menține actualizările de securitate automate activate între timp.
Comentarii