24 Linuxのセキュリティ強化のためのヒント

Linuxはデフォルトで安全だと誰もが思っています、私は一般的に認識されています（これは物議を醸すトピックです）。 Linuxにはデフォルトでセキュリティモデルが組み込まれています。あなたはそれを開いてより安全なシステムを得るためにそれをカスタマイズする必要があります。 Linuxは管理がより困難ですが、より柔軟で、より多くの設定オプションがあります。

システムの管理者にとって、製品のシステムをより安全にし、ハッカーやハッカーから解放することは常に困難です。これは、Linuxをより安全にするための、またはLinuxシステムを強化するためのトピックに関する最初の記事です。この記事では、Linuxシステムをより安全にするための24の役立つヒントを紹介します。以下のヒントやコツがあなたのシステムを強化するのに役立つことを願っています。

1.物理システムセキュリティ

CD /DVD、外付けデバイス、フロッピードライブからの起動を無効にするようにBIOSを設定します。次に、BIOSパスワードを有効にし、システムへの物理的アクセスを制限するためにGRUBパスワード保護を有効にします。

GRUBパスワードを設定してLinuxサーバーを保護する

2.ディスクパーティション

さまざまなパーティションを使用することが重要です。これにより、起こりうる災害に対してより高いデータセキュリティが保証されます。セックス異なるパーティションを分割することによって、データをグループ化して分離することができます。事故が発生すると、問題のパーティションのデータのみが破壊され、他のパーティションのデータは保持されます。次のようなパーティションを用意したほうがよいでしょう。また、他社製プログラムは別のファイルシステム/optの下にインストールする必要があります。

/

/boot

/usr

/var

/home

/tmp

/opt

3.最小限のパッケージインストール、最小限の脆弱性

本当にすべてのサービスをインストールする必要がありますか。これらのパッケージによって引き起こされる脆弱性を回避するために、無駄なパッケージをインストールすることはお勧めできません。サービスの脆弱性により他のサービスが危険にさらされる可能性があるため、これによりリスクが最小限に抑えられます。システムの脆弱性を最小限に抑えるために、未使用のサービスを見つけて削除するか停止します。実行レベル3で実行されているすべてのサービスを一覧表示するには、‘ chkconfig‘コマンドを使用します。

＃/sbin /chkconfig --list | '3：on'不要なサービスが実行されていることがわかったら、次のコマンドを使用してサービスを停止します。

＃chkconfig serviceName off

YUMやapt-getツールなどのRPMパッケージマネージャを使用して、インストールされているすべてのパッケージを一覧表示し、以下のコマンドを使用してそれらをアンインストールします。

＃yum -yパッケージ名の削除

＃sudo apt-getパッケージ名の削除

5 chkconfigコマンドの例

20 RPMの実際的な例コマンド

20 Linuxパッケージ管理用のLinux YUMコマンド

25パッケージ管理を管理するためのAPT-GETおよびAPT-CACHEコマンド

4.ネットワークの待機ポートを確認します。
<ネットワークコマンド‘ netstat‘を使用すると、開いているすべてのポートと関連プログラムを確認できます。上記の‘ chkconfig‘コマンドを使用して、システム上の不要なネットワークサービスを無効にします。

＃netstat -tulpn

5. SSH（Secure Shell）の使用

Telnetおよびrloginプロトコルはプレーンテキストでのみ使用できます。暗号化されたフォーマットではありません。セキュリティの脆弱性の出現につながります。 SSHは、サーバーと通信するときに暗号化を使用する安全なプロトコルです。

必要な場合以外は、rootアカウントに直接ログインしないでください。 ' sudo'を使用してコマンドを実行してください。 Sudoは/etc /sudoersファイルによって作成され、VIエディタで設定ファイルを開く' visudo'ツールを使用して編集することもできます。

同時に、デフォルトのSSH 22ポート番号を別のより高いポート番号に変更することをお勧めします。メインのSSH設定ファイルを開き、ユーザーアクセスを制限するために次のように変更します。

＃vi /etc /ssh /sshd_config

ルートログインをシャットダウンします。

PermitRootLogin no

特定のユーザー

AllowUsers username < Br>

SSHプロトコルの2番目のバージョンを使用する

プロトコル2

6.システムが最新のものであることを確認する

システムには常に最新バージョンのパッチsecurityが含まれています。修復して使えるカーネル

＃yum updates

＃yum check-update

7. Cronタスクのロック

Cronには、定義を可能にする独自の機能が組み込まれています。誰がタスクを実行できません。これは2つのファイル/etc/cron.allowと/etc/cron.denyによって制御されます。ユーザーをCronでロックするには、名前をcorn.denyに書き込み、cronを実行するときにユーザーがcron.allowに自分の名前を追加できるようにします。すべてのユーザーがトウモロコシを使用できないようにするには、cron.denyの行に' ALL'を追加します。

＃echo ALL>> /etc/cron.deny

8. USB検出を無効にする

多くの場合、システムを保護するためにユーザーによるUSBの使用を制限します。セキュリティとデータ漏洩ファイル「/etc/modprobe.d/no-usb‘」を作成し、次のコマンドを使用してUSBストレージの検出を無効にします。

install usb-storage /bin /true

9. SELinuxを開く

SELinux（Security Enhanced Linux）は、Linuxカーネルが提供する必須のアクセス制御セキュリティメカニズムです。 SELinuxを無効にすると、システムのセキュリティが失われます。システムをネットワークに公開する必要があり、パブリックネットワークにアクセスする必要がある場合は、より慎重に検討する必要があります。

SELinuxには3つの基本的な操作モードがあります：

Enforce：これはSELinuxセキュリティを有効にしたり強制するためのデフォルトのモードです。ライセンスモード：SELinuxはこのモードではセキュリティ対策を強制しません。警告とログ記録のみです。このモードはSELinux関連の問題を解決するとき非常に役に立ちます。オフモード：SELinuxはオフです。

コマンドライン< system-config-selinux>、< getenforce>、< sstatus< lsquo;>または< lsquo; sestatus>を使用して、SEliuxの現在のステータスを表示できます。

＃sestatus

オフモードの場合は、次のコマンドでSELinuxを開きます。

＃setenforce enforcing

設定ファイルを渡すこともできます。 /selinux /config - SELinuxの切り替え操作を実行します。

10. KDEまたはGNOMEデスクトップの削除

KDEやGNOMEなどのX Windowデスクトップを専用のLAMPサーバー上で実行する必要はありません。システムのセキュリティとパフォーマンスを向上させるために、それらを削除または無効にすることができます。 /etc /inittabを開き、実行レベルを3に変更してこれらのデスクトップを閉じます。システムから完全に削除する場合は、次のコマンドを使用できます。

＃yum groupremove" Xウィンドウシステム>

11. IPv6を終了します。 IPv6プロトコルを使用しない場合は、ほとんどのアプリケーションやポリシーでIPv6が使用されていないため、オフにする必要があります。現在はサーバーでは必要ありません。ネットワーク設定ファイルに次の行を追加することで無効にできます。

＃vi /etc /sysconfig /network

NETWORKING_IPV6 = no

IPV6INIT = no

12.古いパスワードの使用を制限します。

これは、ユーザーに古いパスワードを使い続けたくない場合に便利です。古いパスワードファイルは/etc /security /opasswdにあります。あなたはPAMモジュールでこれをすることができます。

RHEL /CentOS /Fedoraで‘ /etc/pam.d/system-auth‘ファイルを開きます。

＃vi /etc/pam.d/system-auth

Ubuntu /Debian /Linux Mintで‘ /etc/pam.d/common-password‘ファイルを開きます。

＃vi /etc/pam.d/common-password

‘ auth‘ブロックに次の行を追加します。

auth enough pam_unix.so likeaul nullok

過去に使用した最後の5つのパスワードをユーザーが再利用できないようにするために、‘ password‘ブロックに次の行を追加します。

パスワードが十分ですpam_unix.so null use_authtok md5 shadow remember = 5

サーバーは最後の5つのパスワードのみを記録します。最近使用した5つの古いパスワードを使用しようとすると、次のエラーメッセージが表示されます。

パスワードはすでに使用されています。別のパスワードを選択してください。

13.ユーザーパスワードの有効期限を確認するにはどうすればよいですか。

Linuxでは、ユーザーのパスワードは暗号化された形式で‘ /etc /shadow‘ファイルに保存されています。ユーザーのパスワードの有効期限が切れているかどうかを確認するには、‘ chage‘コマンドを使用する必要があります。パスワードの最終更新日とパスワード期間の詳細が表示されます。これらの詳細は、ユーザーが自分のパスワードを変更する必要があるかどうかを判断するためのシステムの基礎です。

有効期限や期間など、既存のユーザーの年齢情報を表示するには、次のコマンドを使用します。

#chage -l username

ユーザーのパスワードの有効期限を変更するには、次のコマンドを使用します。

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName