Ticker

6/recent/ticker-posts

Header Ads Widget

header ads

40 dicas de segurança para proteção do servidor Linux Confira a Matéria!

Blog do Marco abril 22, 2022


Blog do Marco.




 proteger seu servidor Linux é importante para proteger seus dados, propriedade intelectual e tempo das mãos de crackers (hackers). O administrador do sistema é responsável pela segurança da caixa Linux. Nesta primeira parte de uma série de segurança de servidor Linux, fornecerei 40 dicas de proteção de servidor Linux para instalação padrão do sistema Linux.

Confira Também: 

Melhores distros linux Pentesting:
https://www.youtube.com/watch?v=k4ulOL_GdCA&t=93s&ab_channel=MDICASETUTORIAIS

Dicas e lista de verificação de segurança de proteção do servidor Linux

As instruções a seguir pressupõem que você esteja usando a distribuição Linux baseada em CentOS/RHEL ou Ubuntu/Debian.

1. Criptografar a comunicação de dados para o servidor Linux

Todos os dados transmitidos por uma rede estão abertos ao monitoramento. Criptografe os dados transmitidos sempre que possível com senha ou usando chaves/certificados.

  1. Use scp, ssh , rsync ou sftp para transferência de arquivos. Você também pode montar o sistema de arquivos do servidor remoto ou seu próprio diretório pessoal usando ferramentas especiais sshfs e fuse.
  2. GnuPG permite criptografar e assinar seus dados e comunicação, possui um sistema de gerenciamento de chaves versátil, bem como módulos de acesso para todos os tipos de diretórios de chaves públicas.
  3. OpenVPN é uma VPN SSL leve e econômica. Outra opção é experimentar o tinc que usa encapsulamento e criptografia para criar uma rede privada segura entre hosts na Internet ou LAN privada insegura.
  4. Configuração e instalação de HTTPS Lighttpd SSL (Secure Server Layer)
  5. Apache SSL (Secure Server Layer) Https (mod_ssl) Configuração e instalação
  6. Como configurar o Nginx com o certificado SSL Let's Encrypt gratuito no Debian ou Ubuntu Linux

2. Evite usar os serviços FTP, Telnet e Rlogin/Rsh no Linux

Na maioria das configurações de rede, nomes de usuário, senhas, comandos FTP/telnet/rsh e arquivos transferidos podem ser capturados por qualquer pessoa na mesma rede usando um sniffer de pacotes. A solução comum para esse problema é usar OpenSSH , SFTP ou FTPS (FTP sobre SSL), que adiciona criptografia SSL ou TLS ao FTP. Digite o seguinte comando yum para excluir NIS, rsh e outros serviços desatualizados:
# yum erase xinetd ypserv tftp-server telnet-server rsh-server
Se você estiver usando um servidor baseado em Debian/Ubuntu Linux, tente apt-get command / apt command para remover serviços inseguros:
$ sudo apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

3. Minimize o software para minimizar a vulnerabilidade no Linux

Você realmente precisa de todos os tipos de serviços da web instalados? Evite instalar software desnecessário para evitar vulnerabilidades no software. Use o gerenciador de pacotes RPM como yum ou apt-get e/ou dpkg para revisar todos os conjuntos de pacotes de software instalados em um sistema. Exclua todos os pacotes indesejados. OU
# yum list installed
# yum list packageName
# yum remove packageName

# dpkg --list
# dpkg --info packageName
# apt-get remove packageName

4. Um serviço de rede por sistema ou instância de VM

Execute diferentes serviços de rede em servidores separados ou instância de VM . Isso limita o número de outros serviços que podem ser comprometidos. Por exemplo, se um invasor conseguir explorar com sucesso um software como o Apache flow, ele terá acesso a todo o servidor, incluindo outros serviços, como MySQL/MariaDB/PGSql, servidor de e-mail e assim por diante. Veja como instalar o software de virtualização para obter mais informações:

5. Mantenha o kernel e o software do Linux atualizados

A aplicação de patches de segurança é uma parte importante da manutenção do servidor Linux. O Linux fornece todas as ferramentas necessárias para manter seu sistema atualizado e também permite atualizações fáceis entre versões. Todas as atualizações de segurança devem ser revisadas e aplicadas o mais rápido possível. Novamente, use o gerenciador de pacotes RPM como yum e/ou apt-get e/ou dpkg para aplicar todas as atualizações de segurança.
# yum update
OU
# apt-get update && apt-get upgrade
Você pode configurar o Red hat/CentOS/Fedora Linux para enviar notificação de atualização do pacote yum por e-mail . Outra opção é aplicar todas as atualizações de segurança por meio de um cron job. No Debian / Ubuntu Linux você pode usar o apticron para enviar notificações de segurança. Isso é tambémpossível configurar atualizações autônomas para o seu servidor Linux Debian/Ubuntu usando o comando apt-get / comando apt :
$ sudo apt-get install unattended-upgrades apt-listchanges bsd-mailx

6. Use extensões de segurança do Linux

O Linux vem com vários patches de segurança que podem ser usados ​​para proteger contra programas mal configurados ou comprometidos. Se possível, use o SELinux e outras extensões de segurança do Linux para impor limitações na rede e em outros programas. Por exemplo, o SELinux fornece uma variedade de políticas de segurança para o kernel Linux.

7. SELinux

Eu recomendo fortemente o uso do SELinux, que fornece um controle de acesso obrigatório (MAC) flexível. No padrão Linux Discritionary Access Control (DAC), um aplicativo ou processo executado como usuário (UID ou SUID) tem as permissões do usuário para objetos como arquivos, soquetes e outros processos. A execução de um kernel MAC protege o sistema de aplicativos maliciosos ou defeituosos que podem danificar ou destruir o sistema. Veja a documentação oficial do Redhat que explica a configuração do SELinux.

8. Contas de usuário do Linux e política de senha forte

Use os comandos useradd / usermod para criar e manter contas de usuário. Certifique-se de ter uma política de senha boa e forte. Por exemplo, uma boa senha inclui pelo menos 8 caracteres e uma mistura de alfabetos, números, caracteres especiais, alfabetos superiores e inferiores, etc. O mais importante é escolher uma senha que você possa lembrar. Use ferramentas como “ John the Ripper ” para descobrir senhas de usuários fracos em seu servidor. Configure pam_cracklib.so para impor a política de senha.

9. Configure o envelhecimento da senha para usuários do Linux para melhor segurança

comando chage altera o número de dias entre as alterações de senha e a data da última alteração de senha. Essas informações são usadas pelo sistema para determinar quando um usuário deve alterar sua senha. arquivo /etc/login.defs define a configuração específica do site para o conjunto de senhas shadow, incluindo a configuração de expiração da senha. Para desabilitar o vencimento da senha, digite:
# chage -M 99999 userName
Para obter informações de expiração da senha, digite:
# chage -l userName
Por fim, você também pode editar o arquivo /etc/shadow nos seguintes campos:

{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:

Onde,

  1. Minimum_days : O número mínimo de dias necessários entre as alterações de senha, ou seja, o número de dias restantes antes que o usuário possa alterar sua senha.
  2. Maximum_days : O número máximo de dias em que a senha é válida (após o usuário ser forçado a alterar sua senha).
  3. Avisar : O número de dias antes que a senha expire para que o usuário seja avisado de que sua senha deve ser alterada.
  4. Expirar : Dias desde 1º de janeiro de 1970 que a conta está desativada, ou seja, uma data absoluta especificando quando o login não pode mais ser usado.

Eu recomendo o comando chage em vez de editar o arquivo /etc/shadow manualmente:
# chage -M 60 -m 7 -W 7 userName

10. Restringindo o uso de senhas anteriores no Linux

Você pode impedir que todos os usuários usem ou reutilizem as mesmas senhas antigas no Linux. parâmetro do módulo pam_unix remember pode ser usado para configurar o número de senhas anteriores que não podem ser reutilizadas.

11. Bloqueio de contas de usuário após falhas de login

No Linux, você pode usar o comando faillog para exibir registros de faillog ou definir limites de falha de login. faillog formata o conteúdo do log de falhas do banco de dados /var/log/faillog / arquivo de log. Ele também pode ser usado para manter contadores e limites de falhas. Para ver tentativas de login com falha, digite:
faillog
Para desbloquear uma conta após falhas de login, execute:
faillog -r -u userName
Observe que você pode usar o comando passwd para bloquear e desbloquear contas:
# lock Linux account
passwd -l userName
# unlock Linux account
passwd -u userName

12. Como faço para verificar se nenhuma conta tem senhas vazias?

Digite o seguinte comando
# awk -F: '($2 == "") {print}' /etc/shadow
Bloqueie todas as contas de senha vazias:
# passwd -l accountName

13. Certifique-se de que nenhuma conta não raiz tenha o UID definido como 0

Apenas a conta root tem UID 0 com permissões totais para acessar o sistema. Digite o seguinte comando para exibir todas as contas com UID definido como 0:
# awk -F: '($3 == "0") {print}' /etc/passwd
Você deve ver apenas uma linha da seguinte forma:

root:x:0:0:root:/root:/bin/bash

Se você vir outras linhas, exclua-as ou verifique se outras contas estão autorizadas por você a usar o UID 0.

14. Desative o login raiz

Nunca faça login como usuário root. Você deve usar sudo para executar comandos de nível raiz como e quando necessário. O sudo aumenta muito a segurança do sistema sem compartilhar a senha de root com outros usuários e administradores. O sudo também fornece recursos simples de auditoria e rastreamento .

15. Segurança do Servidor Físico

Você deve proteger o acesso ao console físico dos servidores Linux. Configure o BIOS e desative a inicialização a partir de dispositivos externos, como DVDs / CDs / caneta USB. Defina a senha do BIOS e do carregador de inicialização grub para proteger essas configurações. Todas as caixas de produção devem ser trancadas em IDCs (Internet Data Centers) e todas as pessoas devem passar por algum tipo de verificação de segurança antes de acessar seu servidor. Veja também:

16. Desative os serviços indesejados do Linux

Desative todos os serviços e daemons desnecessários (serviços executados em segundo plano). Você precisa remover todos os serviços indesejados da inicialização do sistema. Digite o seguinte comando para listar todos os serviços que são iniciados no momento da inicialização no nível de execução # 3:
# chkconfig --list | grep '3:on'
Para desabilitar o serviço, digite:
# service serviceName stop
# chkconfig serviceName off

Uma nota sobre distribuição e serviços Linux baseados em systemd

Distribuições Linux modernas com systemd usam o comando systemctl para o mesmo propósito.

Imprima uma lista de serviços que lista quais níveis de execução cada um está configurado como ativado ou desativado

# systemctl list-unit-files --type=service
# systemctl list-dependencies graphical.target

Desligue o serviço no momento da inicialização

# systemctl disable service
# systemctl disable httpd.service

Iniciar/parar/reiniciar serviço

# systemctl disable service
# systemctl disable httpd.service

Obter status de serviço

# systemctl status service
# systemctl status httpd.service

Visualizando mensagens de registro

# journalctl
# journalctl -u network.service
# journalctl -u ssh.service
# journalctl -f
# journalctl -k

17. Encontre portas de rede de escuta

Use o seguinte comando para listar todas as portas abertas e programas associados:
netstat -tulpn
OU use o comando ss da seguinte forma :
$ ss -tulpn
OU
nmap -sT -O localhost
nmap -sT -O server.example.com

18. Excluir sistemas X Window (X11)

Os sistemas X Window no servidor não são necessários. Não há razão para executar o X11 em seu e-mail dedicado baseado em Linux e servidor web Apache/Nginx. Você pode desabilitar e remover o X Windows para melhorar a segurança e o desempenho do servidor. Edite /etc/inittab e defina o nível de execução para 3. Finalmente, remova o sistema X Windows, digite: No servidor CentOS 7/RHEL 7 use os seguintes comandos:
yum groupremove "X Window System"

# yum group remove "GNOME Desktop"
# yum group remove "KDE Plasma Workspaces"
# yum group remove "Server with GUI"
# yum group remove "MATE Desktop"

19. Configurar firewall baseado em Iptables e TCPWrappers no Linux

O Iptables é um programa de aplicação de espaço do usuário que permite configurar o firewall (Netfilter) fornecido pelo kernel do Linux. Use o firewall para filtrar o tráfego e permitir apenas o tráfego necessário. Use também o TCPWrappers, um sistema ACL de rede baseado em host para filtrar o acesso da rede à Internet. Você pode evitar muitos ataques de negação de serviço com a ajuda do Iptables:

20: Kernel Linux /etc/sysctl.conf Proteção

O arquivo /etc/sysctl.conf é usado para configurar os parâmetros do kernel em tempo de execução. O Linux lê e aplica as configurações de /etc/sysctl.conf no momento da inicialização. Exemplo /etc/sysctl.conf :

# Ativa o execshield
kernel.exec-shield=1
kernel.randomize_va_space=1
# Ativar proteção contra falsificação de IP
net.ipv4.conf.all.rp_filter=1
# Desabilite o roteamento de origem IP
net.ipv4.conf.all.accept_source_route=0
# Ignorando solicitação de broadcast
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1
# Certifique-se de que os pacotes falsificados sejam registrados
net.ipv4.conf.all.log_martians = 1

21. Partições de disco separadas para sistema Linux

A separação dos arquivos do sistema operacional dos arquivos do usuário pode resultar em um sistema melhor e mais seguro. Certifique-se de que os seguintes sistemas de arquivos estejam montados em partições separadas:

  • /usr
  • /casa
  • /var e /var/tmp
  • /tmp

Crie partições separadas para as raízes do servidor Apache e FTP. Edite o arquivo /etc/fstab e certifique-se de adicionar as seguintes opções de configuração:

  1. noexec – Não defina a execução de nenhum binário nesta partição (impede a execução de binários, mas permite scripts).
  2. nodev – Não permite caracteres ou dispositivos especiais nesta partição (impede o uso de arquivos de dispositivos como zero, sda etc).
  3. nosuid – Não defina o acesso SUID/SGID nesta partição (previna o bit setuid).

Exemplo de entrada /etc/fstab para limitar o acesso do usuário em /dev/sda5 (diretório raiz do servidor ftp):

/dev/sda5 /ftpdata ext3 defaults,nosuid,nodev,noexec 1 2

22. Cotas de disco

Certifique-se de que a cota de disco esteja habilitada para todos os usuários. Para implementar cotas de disco, use as seguintes etapas:

  1. Habilite cotas por sistema de arquivos modificando o arquivo /etc/fstab.
  2. Remonte o(s) sistema(s) de arquivos.
  3. Crie os arquivos de banco de dados de cota e gere a tabela de uso do disco.
  4. Atribua políticas de cota.
  5. Consulte o tutorial de implementação de cotas de disco para obter mais detalhes.

23. Desative o IPv6 somente se você NÃO o estiver usando no Linux

O Protocolo de Internet versão 6 (IPv6) fornece uma nova camada de Internet do conjunto de protocolos TCP/IP que substitui o Protocolo de Internet versão 4 (IPv4) e oferece muitos benefícios. Se você NÃO estiver usando IPv6, desative-o:

24. Desativar binários SUID e SGID indesejados

Todos os arquivos habilitados para bits SUID/SGID podem ser mal utilizados quando o executável SUID/SGID tem um problema de segurança ou bug. Todos os usuários locais ou remotos podem usar esse arquivo. É uma boa ideia encontrar todos esses arquivos. Use o comando find da seguinte forma: Você precisa investigar cada arquivo relatado. Consulte a página de manual do arquivo relatado para obter mais detalhes.
#See all set user id files:
find / -perm +4000
# See all group id files
find / -perm +2000
# Or combine both in a single command
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls

25: Arquivos World-Writable no Linux Server

Qualquer pessoa pode modificar o arquivo gravável em todo o mundo, resultando em um problema de segurança. Use o comando a seguir para localizar todos os arquivos de conjunto de bits fixos e graváveis ​​do mundo
find /dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print
: Você precisa investigar cada arquivo relatado e definir a permissão correta de usuário e grupo ou removê-lo.

26. Arquivos Noowner

Arquivos que não pertencem a nenhum usuário ou grupo podem representar um problema de segurança. Basta encontrá-los com o seguinte comando que não pertencem a um usuário válido e a um grupo válido
find /dir -xdev \( -nouser -o -nogroup \) -print
Você precisa investigar cada arquivo relatado e atribuí-lo a um usuário e grupo apropriado ou removê-lo.

27. Use um serviço de autenticação centralizado

Sem um sistema de autenticação centralizado, os dados de autenticação do usuário se tornam inconsistentes, o que pode levar a credenciais desatualizadas e contas esquecidas que deveriam ter sido excluídas em primeiro lugar. Um serviço de autenticação centralizado permite manter o controle central sobre a conta Linux/UNIX e os dados de autenticação. Você pode manter os dados de autenticação sincronizados entre os servidores. Não use o serviço NIS para autenticação centralizada. Use OpenLDAP para clientes e servidores.

28. Kerberos

O Kerberos executa a autenticação como um serviço de autenticação de terceiros confiável usando o segredo compartilhado criptográfico sob a suposição de que os pacotes que viajam pela rede insegura podem ser lidos, modificados e inseridos. O Kerberos baseia-se na criptografia de chave simétrica e requer um centro de distribuição de chaves. Você pode tornar o login remoto, a cópia remota, a cópia segura de arquivos entre sistemas e outras tarefas de alto risco mais seguras e controláveis ​​usando o Kerberos. Assim, quando os usuários se autenticam nos serviços de rede usando o Kerberos, os usuários não autorizados que tentam coletar senhas monitorando o tráfego de rede são efetivamente frustrados. Veja como configurar e usar o Kerberos .

29. Registro e Auditoria

Você precisa configurar o registro e a auditoria para coletar todas as tentativas de hacking e cracking. Por padrão, o syslog armazena dados no diretório /var/log/. Isso também é útil para descobrir configurações incorretas de software que podem abrir seu sistema para vários ataques. 

30. Monitore mensagens de log suspeitas com Logwatch / Logcheck

Leia seus logs usando o comando logwatch ( logcheck ). Essas ferramentas facilitam sua vida de leitura de logs. Você obtém relatórios detalhados sobre itens incomuns no syslog por e-mail. Um exemplo de relatório de syslog:

################### Logwatch 7.3 (24/03/06) ####################
        Processing Initiated: Fri Oct 30 04:02:03 2009
        Date Range Processed: yesterday
                              ( 2009-Oct-29 )
                              Period is day.
      Detail Level of Output: 0
              Type of Output: unformatted
           Logfiles for Host: www-52.nixcraft.net.in
  ##################################################################

 --------------------- Named Begin ------------------------

 **Unmatched Entries**
    general: info: zone XXXXXX.com/IN: Transfer started.: 3 Time(s)
    general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 3 Time(s)
    general: info: zone XXXXXX.com/IN: Transfer started.: 4 Time(s)
    general: info: zone XXXXXX.com/IN: refresh: retry limit for master ttttttttttttttttttt#53 exceeded (source ::#0): 4 Time(s)

 ---------------------- Named End -------------------------

  --------------------- iptables firewall Begin ------------------------

 Logged 87 packets on interface eth0
   From 58.y.xxx.ww - 1 packet to tcp(8080)
   From 59.www.zzz.yyy - 1 packet to tcp(22)
   From 60.32.nnn.yyy - 2 packets to tcp(45633)
   From 222.xxx.ttt.zz - 5 packets to tcp(8000,8080,8800)

 ---------------------- iptables firewall End -------------------------

 --------------------- SSHD Begin ------------------------

 Users logging in through sshd:
    root:
       123.xxx.ttt.zzz: 6 times

 ---------------------- SSHD End -------------------------

 --------------------- Disk Space Begin ------------------------

 Filesystem            Size  Used Avail Use% Mounted on
 /dev/sda3             450G  185G  241G  44% /
 /dev/sda1              99M   35M   60M  37% /boot

 ---------------------- Fim do espaço em disco -------------------------

 ###################### Logwatch End #########################

Consulte nomes e uso de arquivos de log comuns do Linux para obter mais informações.

31. Sistema de Contabilidade com auditoria

O auditd é fornecido para auditoria do sistema. Ele é responsável por gravar registros de auditoria no disco. Durante a inicialização, as regras em /etc/audit.rules são lidas por este daemon. Você pode abrir o arquivo /etc/audit.rules e fazer alterações como a localização do log do arquivo de auditoria de configuração e outras opções. Com auditd você pode responder as seguintes perguntas:

  1. Eventos de inicialização e desligamento do sistema (reinicialização/parada).
  2. Data e hora do evento.
  3. Usuário responsável pelo evento (como tentar acessar o arquivo /path/to/topsecret.dat).
  4. Tipo de evento (editar, acessar, excluir, gravar, atualizar arquivo e comandos).
  5. Sucesso ou fracasso do evento.
  6. Registra eventos que modificam data e hora.
  7. Descubra quem fez as alterações para modificar as configurações de rede do sistema.
  8. Registre eventos que modificam as informações do usuário/grupo.
  9. Veja quem fez alterações em um arquivo etc.

Veja nosso tutorial rápido que explica como habilitar e usar o serviço auditd.

32. Servidor OpenSSH Seguro

O protocolo SSH é recomendado para login remoto e transferência remota de arquivos. No entanto, o ssh está aberto a muitos ataques. Veja como proteger o servidor OpenSSH:

33. Instalar e usar o sistema de detecção de intrusão

Um sistema de detecção de intrusão de rede (NIDS) é um sistema de detecção de intrusão que tenta detectar atividades maliciosas, como ataques de negação de serviço, varreduras de portas ou até mesmo tentativas de invadir computadores monitorando o tráfego de rede.

É uma boa prática implantar qualquer software de verificação de integridade antes que o sistema fique online em um ambiente de produção. Se possível, instale o software AIDE antes que o sistema seja conectado a qualquer rede. AIDE é um sistema de detecção de intrusão baseado em host (HIDS) que pode monitorar e analisar os componentes internos de um sistema de computação. Eu recomendo que você instale e use o software de detecção de root kit rkhunter também.

34. Desative os dispositivos USB/firewire/thunderbolt

Digite o seguinte comando para desabilitar dispositivos USB no sistema Linux :
# echo 'install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf
Você pode usar o mesmo método para desabilitar módulos firewire e thunderbolt: Uma vez feito isso, os usuários não podem copiar rapidamente dados confidenciais para dispositivos USB ou instalar malware/vírus ou backdoor em seu sistema baseado em Linux.
# echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf
# echo "blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf

35. Desativar serviços não utilizados

Você pode desabilitar serviços não utilizados usando o comando service /systemctl command: Por exemplo, se você não for usar o serviço Nginx por algum tempo, desabilite-o:
$ sudo systemctl stop service
$ sudo systemctl disable service

$ sudo systemctl stop nginx
$ sudo systemctl disable nginx

36. Use fail2ban/denyhost como IDS (Instalar um Sistema de Detecção de Intrusão)

Fail2ban ou denyhost verifica os arquivos de log em busca de muitas tentativas de login com falha e bloqueia o endereço IP que está mostrando sinais maliciosos. Veja como instalar e usar o denyhost para Linux . Pode-se instalar o fail2ban facilmente:
$ sudo apt-get install fail2ban
OU
$ sudo yum install fail2ban
Edite o arquivo de configuração conforme suas necessidades:
$ sudo vi /etc/fail2ban/jail.conf
Reinicie o serviço:
$ sudo systemctl restart fail2ban.service

37. Servidor Apache/PHP/Nginx seguro

Edite o arquivo httpd.conf e adicione o seguinte:

Produção de tokens de servidor
Assinatura do Servidor Desativada
Ativar rastreamento desativado
Todas as opções - Índices
Cabeçalho sempre desabilitado X-Powered-By

Reinicie o servidor httpd/apache2 no Linux , execute:
$ sudo systemctl restart apache2.service
OU
$ sudo systemctl restart httpd.service

38. Protegendo Arquivos, Diretórios e E-mail

O Linux oferece excelentes proteções contra acesso não autorizado a dados. Permissões de arquivo e MAC impedem o acesso não autorizado aos dados. No entanto, as permissões definidas pelo Linux são irrelevantes se um invasor tiver acesso físico a um computador e puder simplesmente mover o disco rígido do computador para outro sistema para copiar e analisar os dados confidenciais. Você pode proteger facilmente arquivos e partições no Linux usando as seguintes ferramentas:

  • Para criptografar e descriptografar arquivos com uma senha, use o comando gpg .
  • Linux ou UNIX protegem arquivos por senha com openssl e outras ferramentas.
  • A criptografia completa de disco é essencial para proteger os dados e é suportada pela maioria das distribuições Linux. Veja como criptografar o disco rígido usando LUKS no Linux . Certifique-se de que a troca também esteja criptografada. Exija uma senha para editar o bootloader.
  • Certifique-se de que o email raiz seja encaminhado para uma conta que você verifica.

39. Cópias de segurança

Não é demais enfatizar o quão importante é fazer um backup do seu sistema Linux. Um backup externo adequado permite que você se recupere de um servidor rachado, ou seja, uma intrusão. Os programas tradicionais de backup do UNIX são dump e restore também são recomendados. Você deve configurar backups criptografados para armazenamento externo, como servidor NAS ou servidor FreeNAS, ou usar serviço de computação em nuvem, como AWS

40. Outras Recomendações e Conclusão

Esta página explicou dicas de segurança de proteção do servidor Linux. Consulte as seguintes páginas para obter mais informações:

BAIXE O UBUNTU SERVER:https://ubuntu.com/download/server


Gostou do que está lendo?

Tags:

Postar um comentário

0 Comentários