🍚 🍽️ 🏮 Linuxシステムの保護：10のヒント 😊 💛 🌓

2015年の年次LinuxCon会議で、GNU / Linuxカーネルの作成者であるLinus Torvaldsが、システムセキュリティに関する彼の見解を共有しました。彼は、あるコンポーネントの誤動作の場合に次の層が問題をカバーするように、適切な保護によって特定のバグの存在の影響を緩和する必要性を強調しました。

この記事では、実用的な観点からこのトピックを明らかにします。

/写真デイブアレン CC

Linuxディストリビューションの選択とインストールに関する事前設定と推奨事項から始めましょう。
次に、保護のシンプルで効果的なポイントについて説明します-セキュリティシステムの更新。
次に、プログラムとユーザーの制限を設定する方法を見ていきます。
SSH経由でサーバーへの接続を保護する方法。
ファイアウォールを設定し、不要なトラフィックを制限する例を次に示します。
最後の部分では、不要なプログラムとサービスを無効にする方法、サーバーを侵入者からさらに保護する方法について説明します。

1. Linuxをインストールする前に、プリブート環境をセットアップします

Linuxをインストールする前に、システムのセキュリティに注意する必要があります。ここに、オペレーティングシステムをインストールする前に考慮し、従う必要があるコンピューターのセットアップに関する一連の推奨事項を示します。

UEFIブート（レガシーBIOSではありません-以下のサブセクションを参照）
UEFIを構成するためのパスワードを設定します
SecureBootモードを有効にする
UEFIパスワードを設定してシステムを起動します

2.適切なLinuxディストリビューションを選択します

おそらく、人気のあるディストリビューション（Fedora、Ubuntu、Arch、Debian、またはその他の関連ブランチ）を選択するでしょう。いずれにせよ、これらの機能の必須の存在を考慮する必要があります。

強制（MAC）および役割ベースのアクセス制御（RBAC）のサポート：SELinux / AppArmor / GrSecurity
セキュリティ速報を発行する
セキュリティ更新プログラムの定期的なリリース
暗号パケット検証
UEFIおよびSecureBootのサポート
完全なネイティブディスク暗号化のサポート

配布インストールの推奨事項

すべてのディストリビューションは異なりますが、次の点に注意して実行する必要があります。

強力なパスフレーズでフルディスク暗号化（LUKS）を使用する
ページングプロセスは暗号化する必要があります
ブートローダーを編集するためのパスワードを設定する
強力なルートパスワード
管理者グループに属する特権のないアカウントを使用する
rootパスワードとは異なる強力なパスワードをユーザーに設定します

3.自動セキュリティ更新を構成する

オペレーティングシステムのセキュリティを確保する主な方法の1つは、ソフトウェアを更新することです。更新により、見つかったバグや重大な脆弱性が修正されることがよくあります。

サーバーシステムの場合、更新中に障害が発生するリスクがありますが、セキュリティの更新のみが自動的にインストールされると、問題を最小限に抑えることができます。

自動更新は、リポジトリからインストールされたパッケージに対してのみ機能し、自己コンパイルされたパッケージに対しては機能しません。

Debian / Ubuntuは無人アップグレードパッケージを更新に使用します
CentOSはyum-cronを使用して自動更新します
Fedoraはこの目的のためにdnf-automaticを持っています。

アップグレードするには、使用可能なRPMパッケージマネージャーのいずれかを次のコマンドで使用します。

yum update

または

 apt-get update && apt-get upgrade

Linuxは、新しい更新の通知を電子メールで送信するように構成できます。

Linuxカーネルには、セキュリティを維持するためのセキュリティ拡張機能（SELinuxなど）もあります。このような拡張機能は、不適切に構成されたプログラムや危険なプログラムからシステムを保護するのに役立ちます。

SELinuxは、選択的アクセス制御システムと同時に動作できる柔軟な強制アクセス制御システムです。実行中のプログラムはファイル、ソケット、その他のプロセスにアクセスし、SELinuxは制限を設定して有害なアプリケーションがシステムを破壊できないようにします。

4.外部システムへのアクセスを制限する

更新後の次の保護方法は、外部サービスへのアクセスを制限することです。これを行うには、/ etc / hosts.allowおよび/etc/hosts.denyファイルを編集します。

telnetおよびftpへのアクセスを制限する方法の例を次に示します。

/etc/hosts.allowファイルで：

 hosts.allow in.telnetd: 123.12.41., 126.27.18., .mydomain.name, .another.name in.ftpd: 123.12.41., 126.27.18., .mydomain.name, .another.name

上記の例では、IPクラス123.12.41。*および126.27.18。*の任意のホスト、およびドメインmydomain.nameおよびanother.nameを持つホストへのtelnetおよびftp接続を作成できます。

/etc/hosts.deny 'ファイルでさらに：

 hosts.deny in.telnetd: ALL in.ftpd: ALL

制限ユーザーの追加

ルートとしてサーバーに接続することはお勧めしません -システムにとって重要なコマンドを実行する権利があります。したがって、制限された権限を持つユーザーを作成し、それを通して作業することをお勧めします。管理は、sudo（代替ユーザーおよびdo）を介して実行できます。これは、管理者レベルへの一時的な特権の昇格です。

新しいユーザーを作成する方法：

DebianおよびUbuntuの場合：

管理者を目的の名前に置き換えてユーザーを作成し、対応する要求に応じてパスワードを入力します。入力したパスワード文字はコマンドラインに表示されません。

 adduser administrator

ユーザーをsudoグループに追加します。

 adduser administrator sudo

これで、管理者権限が必要なコマンドを実行するときに、sudoプレフィックスを使用できます。次に例を示します。

 sudo apt-get install htop

CentOSおよびFedoraの場合：

管理者を目的の名前に置き換えてユーザーを作成し、アカウントのパスワードを作成します。

 useradd adminstrator && passwd administrator

ユーザーをwheelグループに追加して、sudo権限を付与します。

 usermod –aG wheel administrator

強力なパスワードのみを使用してください-大文字小文字の異なる8文字以上、数字、その他の特殊文字。サーバーのユーザー間で弱いパスワードを検索するには、「リッパーのジョン」などのユーティリティを使用し、pam_cracklib.soファイルの設定を変更して、パスワードが強制的に設定されるようにします。

chageコマンドでパスワードの有効期限を設定します。

 chage -M 60 -m 7 -W 7

次のコマンドでパスワードの有効期限を無効にできます。

 chage -M 99999

ユーザーのパスワードの有効期限を確認します。

 chage -l

/ etc / shadowファイルのフィールドを編集することもできます。

 {}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:

どこで

Minimum_days：パスワードの有効期限が切れるまでの最小日数。
Maximum_days：パスワードの有効期限が切れるまでの最大日数。
警告：ユーザーに次のシフト日が警告される有効期限までの日数。
有効期限：正確なログイン有効期限。

また、pam_unix.soモジュールでの古いパスワードの再利用を制限し、失敗したユーザーのログイン試行回数に制限を設定することも価値があります。

ログイン試行の失敗回数を確認するには：

 faillog

ログイン失敗後のアカウントのブロック解除：

 faillog -r -u

アカウントをブロックおよびブロック解除するには、passwdコマンドを使用できます。

 lock account passwd -l

 unlocak account passwd -u

すべてのユーザーにパスワードが設定されていることを確認するには、次のコマンドを使用できます。

 awk -F: '($2 == "") {print}' /etc/shadow

パスワードのないユーザーをブロックする：

 passwd -l

ルートアカウントに対してのみ、UIDパラメータが0に設定されていることを確認してください。このコマンドを入力して、UIDが0のすべてのユーザーを表示します。

 awk -F: '($3 == "0") {print}' /etc/passwd

あなただけが表示されるはずです：

 root:x:0:0:root:/root:/bin/bash

他の行が表示される場合は、それらのUIDを0に設定しているかどうかを確認し、不要な行を削除します。

5.ユーザーのアクセス許可を構成する

パスワードを設定したら、すべてのユーザーが自分のランクと責任に対応するアクセス権を持っていることを確認する必要があります。 Linuxでは、ファイルとディレクトリにアクセス許可を設定できます。そのため、ユーザーごとに異なるアクセスレベルを作成および制御することが可能になります。

アクセスカテゴリー

Linuxは複数のユーザーとの連携に基づいているため、各ファイルは1人の特定のユーザーに属します。サーバーが1人で管理されている場合でも、さまざまなプログラムに対して複数のアカウントが作成されます。

次のコマンドを使用して、システム内のユーザーを表示できます。

 cat /etc/passwd

ファイル/ etc / passwdには、オペレーティングシステムの各ユーザーの行が含まれています。サービスおよびアプリケーションの場合、個々のユーザーを作成できます。このユーザーもこのファイルに含まれます。

個々のアカウントに加えて、グループ用のアクセスカテゴリがあります。各ファイルは1つのグループに属します。 1人のユーザーが複数のグループに属することができます。

次のコマンドを使用して、アカウントが属するグループを表示できます。

 groups

システム内のすべてのグループをリストします。最初のフィールドはグループの名前を示します。

 cat /etc/group

ユーザーがファイルにアクセスできず、グループに属していない場合、「その他」のアクセスカテゴリがあります。

アクセスタイプ

ユーザーカテゴリの場合、アクセスタイプを設定できます。通常、これらはファイルを実行、読み取り、変更する権限です。 Linuxでは、アクセスタイプにはアルファベットと8進数の2種類の表記が付いています。

アルファベット表記では、許可は文字でマークされます。

r =読み取り
w =変更
x =開始

8進表記では、ファイルへのアクセスレベルは0〜7の数値で決まります。0はアクセスなしを意味し、7は変更、読み取り、実行のためのフルアクセスを意味します。

4 =読み取り
2 =変更
1 =開始

6. SSH接続にキーを使用する

SSHは通常、パスワード認証を使用してホストに接続します。より安全な方法をお勧めします-暗号化キーのペアを使用してログインします。この場合、パスワードの代わりに秘密鍵が使用されるため、ブルートフォースの選択が非常に複雑になります。

たとえば、キーペアを作成します。アクションは、リモートサーバーではなくローカルコンピューターで実行する必要があります。キーを作成するプロセスで、それらにアクセスするためのパスワードを指定できます。このフィールドを空のままにすると、生成されたキーをコンピューターのキーチェーンマネージャーに保存するまで使用できなくなります。

すでにRSAキーを作成している場合は、生成コマンドをスキップします。既存のキーを確認するには、次を実行します。

 ls ~/.ssh/id_rsa*

新しいキーを生成するには：

 ssh-keygen –b 4096

サーバーへの公開鍵のアップロード

管理者をキーの所有者の名前に、1.1.1.1をサーバーのIPアドレスに置き換えます。ローカルコンピューターから次のように入力します。

 ssh-copy-id administrator@1.1.1.1

接続をテストするには、サーバーへの接続を解除して再接続します-エントリは作成されたキーに基づいている必要があります。

SSHセットアップ

rootとしてSSH経由で接続するのを防ぎ、コマンドの先頭でsudoを使用して管理者権限を取得できます。サーバーの/ etc / ssh / sshd_configファイルで、PermitRootLoginパラメーターを見つけ、その値をnoに設定する必要があります。

すべてのユーザーがキーを使用するように、SSHパスワードの入力を禁止することもできます。 / etc / ssh / sshd_configファイルで、PasswordAuthentificationをnoに設定します。この行がない場合、またはコメント化されている場合は、それに応じて追加またはコメント解除します。

DebianまたはUbuntuでは、次を入力できます。

 nano /etc/ssh/sshd_config ... PasswordAuthentication no

接続は、 2要素認証を使用してさらに保護することもできます。

7.ファイアウォールをインストールする

最近、Linuxベースのサーバーに対するDDoS攻撃を可能にする新しい脆弱性が発見されました。 2012年末にバージョン3.6でシステムのカーネルにバグが発生しました。この脆弱性により、ハッカーはダウンロードファイル、Webページ、および開いているTor接続にウイルスを注入することができ、それを破壊するために多くの努力をする必要はありません-IPスプーフィング方法は機能します。

暗号化されたHTTPSまたはSSH接続の最大の害は接続の中断ですが、攻撃者はマルウェアなどの保護されていないトラフィックに新しいコンテンツを入れることができます。ファイアウォールは、このような攻撃に対する保護に適しています。

ファイアウォールを使用したアクセスのブロック

ファイアウォールは、不要な着信トラフィックをブロックする最も重要なツールの1つです。本当に必要なトラフィックのみを許可し、残りは完全に禁止することをお勧めします。

ほとんどのLinuxディストリビューションには、パッケージをフィルタリングするためのiptablesコントローラーがあります。通常、経験豊富なユーザーが使用し、セットアップを簡素化するために、Debian / UbuntuのUFWユーティリティまたはFedoraのFirewallDを使用できます。

8.不要なサービスを無効にします

バージニア大学の専門家は、使用していないすべてのサービスを無効にすることをお勧めします。一部のバックグラウンドプロセスは、システムがシャットダウンするまで自動ロードおよび動作するように設定されています。これらのプログラムを構成するには、初期化スクリプトを確認する必要があります。サービスは、inetdまたはxinetdから起動できます。

システムがinetdを介して構成されている場合、/ etc / inetd.confファイルで「デーモン」のバックグラウンドプログラムのリストを編集し、サービスのダウンロードを無効にします。行の先頭に「＃」記号を置くだけで、実行可能ファイルからコメントになります。

システムがxinetdを使用する場合、その構成は/etc/xinetd.dディレクトリにあります。各ディレクトリファイルは、この例のようにdisable = yesを指定することで無効にできるサービスを定義します。

 service finger { socket_type = stream wait = no user = nobody server = /usr/sbin/in.fingerd disable = yes }

また、inetdまたはxinetdによって制御されない永続プロセスをチェックアウトする価値があります。 /etc/init.dまたは/ etc / inittabディレクトリで起動スクリプトを設定できます。変更が行われた後、rootアカウントでコマンドを実行します。

 /etc/rc.d/init.d/inet restart

9.サーバーを物理的に保護する

サーバーに物理的にアクセスできる攻撃者による攻撃を完全に防御することはできません。したがって、システムが配置されている部屋を確保する必要があります。データセンターは、セキュリティを真剣に監視し、サーバーへのアクセスを制限し、セキュリティカメラを設置し、永続的なセキュリティを割り当てます。

データセンターに入るには、すべての訪問者が特定の認証手順を実行する必要があります。また、センターのすべての部屋でモーションセンサーを使用することを強くお勧めします。

10.不正アクセスからサーバーを保護する

不正アクセスシステムまたはIDSは、システム構成データとファイルを収集し、これらのデータを新しい変更と比較して、システムに有害かどうかを判断します。

たとえば、TripwireおよびAideツールはシステムファイルのデータベースを収集し、一連のキーでそれらを保護します。 Psadは、ファイアウォールレポートを使用して不審なアクティビティを追跡するために使用されます。

Broは、ネットワークの監視、不審なアクティビティパターンの追跡、統計の収集、システムコマンドの実行、アラートの生成を行うために作成されました。 RKHunterは、ほとんどの場合ルートキットであるウイルスから保護するために使用できます。このユーティリティは、既知の脆弱性に対してシステムをチェックし、アプリケーションの安全でない設定を検出できます。

おわりに

上記のツールと設定は、システムを部分的に保護するのに役立ちますが、セキュリティはあなたの行動と状況の理解に依存します。注意、注意、および継続的な自己訓練なしでは、すべての保護対策が機能しない場合があります。

私たちは他に何について書いていますか：

Linuxシステムの保護：10のヒント