Советы по усилению защиты Linux-серверов

Защитой серверов является настройка операционной системы для повышения способности сервера предотвращать несанкционированный доступ. Это реализуется путем ограничения возможностей для обнаружения потенциальных уязвимостей. Ниже представлены советы по усилению защиты Linux-серверов.

• Всегда держите включенным Firewall.

• Используйте списки IP адресов, с которых возможно подключение по SSH.

• Блокировать запросы ICMP/Ping.

• Настройте iptables для блокировки распространенных атак.

• Проверьте открытые порты и заблокируйте неиспользуемые.

• Используйте Fail2Ban для занесения в черный список IP-адресов, пытающихся атаковать сервер.

• Измените 22 порт, используемый для подключеня по SSH, на какой-либо менее очевидный.

• Если пользователь использует SSH или любой тип удаленного входа, он должен вместо этого использовать закрытый ключ.

• Разрешите доступ только к тем файлам, которые нужны пользователю.

• Ограничьте дампы ядра.

• Разрешите только системному администратору доступ с правами root.

• Проверяйте уровень доступа пользователей не реже одного раза в месяц.

• Пользователи, которые больше не активны, должны быть удалены.

• Убедитесь, что ни в одной учетной записи нет пустых паролей.

• Используйте надежные пароли, с длиной не менее 16 символов, с буквами малого и большого регистра, цифрами и спецсимволами.

• Периодически проверяйте журналы и очищайте если они слишком велики.

• Зашифруйте ваш диск на случай физического взлома сервера.

• Всегда делайте резервные копии своих данных и храните их заблокированными.

• Обновление системы, касающиеся безопасности, должны делаться как можно чаще.

• Проверяйте патчи на отдельном сервере, прежде чем помещать их на рабочий сервер.

• Неиспользованные пакеты должны быть удалены.

• Включите SELinux, для лучшей поддержки контроля доступа.