5 thủ thuật bảo mật cho Linux

Linux cung cấp năng lượng cho phần lớn web và một số lượng đáng kể các máy trạm trên khắp thế giới. Một trong những lý do chính khiến hệ thống Linux và BSD trở nên phổ biến là do các chính sách bảo mật nghiêm ngặt của chúng. Các hệ thống Linux vốn rất khó bẻ khóa vì các nguyên tắc thiết kế cơ bản của chúng.

Tuy nhiên, không có hệ thống nào là không thể phá vỡ. Nếu bạn không bảo mật máy trạm hoặc máy chủ Linux của mình bằng các tiêu chuẩn mới nhất, bạn có thể là nạn nhân của nhiều cuộc tấn công và / hoặc vi phạm dữ liệu. Do đó trong bài viết hôm nay, Làm cho kỹ thuật dễ dàng hơn Có 5 mẹo hữu ích bạn có thể sử dụng để tăng cường bảo mật cho máy chủ Linux của mình.

Bảo mật đã trở thành một phần không thể thiếu của thế giới điện toán. Do đó, việc nâng cao tính bảo mật của từng máy trạm và máy chủ là điều cần làm. Vì vậy, hãy đọc tiếp và kết hợp các mẹo dưới đây để tăng tính bảo mật cho máy tính Linux của bạn.

1. Ghi lại thông tin máy chủ

Việc ghi lại thông tin máy chủ lưu trữ có thể cực kỳ có lợi về lâu dài. Nếu bạn có ý định giữ nguyên hệ thống theo thời gian, rất có thể một lúc nào đó mọi thứ sẽ trở nên lộn xộn. Tuy nhiên, nếu bạn bắt đầu ghi lại thông tin về máy trạm hoặc máy chủ của mình từ ngày cài đặt, bạn nên hiểu rõ về cơ sở hạ tầng hệ thống tổng thể và các nguyên tắc được sử dụng.

Bao gồm thông tin sau về hệ thống trong tài liệu của bạn. Vui lòng thêm một số tính năng bổ sung dựa trên nhu cầu máy chủ của bạn.

  • Tên hệ thống
  • Ngày cài đặt
  • Số nội dung – Giá trị của thẻ máy chủ trong môi trường công ty
  • địa chỉ IP
  • Địa chỉ MAC
  • Phiên bản hạt nhân
  • Tên quản trị viên

2. Lưu BIOS và tắt khởi động USB

Bạn nên bảo mật BIOS của mình bằng mật khẩu thích hợp để người dùng khác không thể truy cập hoặc thay đổi cài đặt. Vì việc truy cập vào menu BIOS trong các bo mạch chủ hiện đại khá dễ dàng, người dùng cuối có thể ghi đè các cài đặt hiện có và chỉnh sửa các cấu hình bí mật.

Ngoài ra, người dùng có thể sử dụng hệ thống khởi động được để truy cập dữ liệu máy chủ. Điều này cũng có thể ảnh hưởng đến tính toàn vẹn của máy chủ. Bạn có thể vô hiệu hóa hoàn toàn các thiết bị USB bằng lệnh sau.

# echo 'install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf

Chức năng khởi động USB cũng có thể được tắt thông qua menu BIOS. Tuy nhiên, bạn không cần phải làm điều này nếu bạn đang chạy một máy trạm cá nhân mà người dùng khác không thể truy cập.

Sao lưu BIOS và tắt khởi động USB
Sao lưu BIOS và tắt khởi động USB

3. Mã hóa bộ nhớ

Mã hóa lưu trữ có thể giúp ích rất nhiều về lâu dài. Điều này ngăn chặn rò rỉ dữ liệu trong trường hợp thiết bị bị đánh cắp hoặc bên thứ ba can thiệp. May mắn thay, có nhiều công cụ mã hóa Linux mà người quản trị có thể sử dụng để dễ dàng thực hiện nhiệm vụ này.

Ngoài ra, các bản phân phối Linux hiện đại cung cấp cho quản trị viên tùy chọn mã hóa hệ thống tệp Linux trong quá trình cài đặt. Tuy nhiên, bạn nên biết rằng mã hóa có thể làm giảm thông lượng hiệu suất và gây khó khăn cho việc khôi phục dữ liệu.

4. Mã hóa quá trình truyền dữ liệu

Vì dữ liệu truyền qua mạng có thể dễ dàng được thu thập và phân tích bằng các công cụ bảo mật mã nguồn mở, bước đầu tiên trong việc tăng cường bảo mật cho Linux là ưu tiên mã hóa dữ liệu. Nhiều công cụ truyền dữ liệu cũ hơn không sử dụng mã hóa thích hợp và có thể khiến dữ liệu của bạn dễ bị tấn công.

Bạn nên luôn sử dụng các dịch vụ truyền thông an toàn như ssh, scp, rsync hoặc sftp để truyền dữ liệu từ xa. Trên Linux, người dùng cũng có thể gắn kết các hệ thống tệp từ xa bằng các công cụ đặc biệt như Fuse hoặc SSHFS. Cố gắng mã hóa và ký dữ liệu của bạn bằng mã hóa GPG. Các công cụ Linux khác cung cấp dịch vụ mã hóa dữ liệu bao gồm OpenVPN, Lighthttpd SSL, Apache SSL và Let’s Encrypt.

5. Tránh các dịch vụ truyền dữ liệu cũ

Một số lượng lớn các chương trình Unix cũ hơn không cung cấp sự bảo mật cần thiết cho việc truyền dữ liệu. Chúng bao gồm FTP, Telnet, rlogin và rsh. Cho dù bạn đang sao lưu máy chủ Linux hay hệ thống cá nhân, hãy ngừng sử dụng các dịch vụ này.

Bạn có thể sử dụng các lựa chọn thay thế khác cho loại tác vụ truyền dữ liệu này. Ví dụ, các dịch vụ như OpenSSH, SFTP hoặc FTPS đảm bảo rằng dữ liệu được truyền qua một kênh an toàn. Một số trong số chúng sử dụng mã hóa SSL hoặc TLS để cải thiện giao tiếp dữ liệu. Bạn có thể sử dụng các lệnh sau để xóa các dịch vụ cũ như NIS, Telnet và rsh khỏi hệ thống của mình.

# yum erase xinetd ypserv tftp-server telnet-server rsh-server
 # apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

Sử dụng lệnh đầu tiên cho các bản phân phối dựa trên RPM như RHEL và CentOS hoặc cho bất kỳ hệ thống nào sử dụng trình quản lý gói yum. Lệnh thứ hai hoạt động trên hệ thống dựa trên Debian / Ubuntu.

Xem thêm:

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *