10 dicas de fortalecimento do Linux para administradores de sistema iniciantes

Os sistemas Linux são seguros por design e fornecem ferramentas de administração robustas. Mas não importa o quão bem projetado um sistema seja, sua segurança depende do usuário.

Os iniciantes geralmente levam anos para encontrar as melhores políticas de segurança para suas máquinas. É por isso que estamos compartilhando essas dicas essenciais de fortalecimento do Linux para novos usuários como você. Dê uma chance a eles.

1. Aplicar políticas de senha forte

As senhas são o principal método de autenticação para a maioria dos sistemas. Não importa se você é um usuário doméstico ou profissional, aplicar senhas sólidas é uma obrigação. Primeiro, desative as senhas vazias. Você não vai acreditar quantas pessoas ainda os usam.

awk -F: '($ 2 == "") {print}' / etc / shadow

Execute o comando acima como root para ver quais contas têm senhas vazias. Se você encontrar alguém com uma senha vazia, bloqueie o usuário imediatamente. Você pode fazer isso usando o seguinte.

passwd -l USERNAME

Você também pode configurar o envelhecimento da senha para garantir que os usuários não usem senhas antigas. Use o comando chage para fazer isso a partir do seu terminal.

chage -l NOME DE USUÁRIO

Este comando exibe a data de expiração atual. Para definir a expiração da senha após 30 dias, use o comando abaixo. Os usuários podem use gerenciadores de senhas do Linux para manter as contas online seguras.

Os 8 melhores gerenciadores de senha do Linux para se manter seguro

Precisa de um gerenciador de senhas seguro para Linux? Esses aplicativos são fáceis de usar e mantêm suas senhas online seguras.

chage -M 30 NOME DE USUÁRIO

2. Dados essenciais de backup

Se você leva seus dados a sério, configure backups regulares. Desta forma, mesmo se seu sistema travar, você pode recuperar os dados rapidamente. Mas, escolher o método de backup correto é crucial para a proteção do Linux.

Se você é um usuário doméstico, clonando os dados em um disco rígido poderia ser suficiente. As empresas, no entanto, precisam de sistemas de backup sofisticados que ofereçam recuperação rápida.

3. Evite métodos de comunicação herdados

O Linux oferece suporte a muitos métodos de comunicação remota. Porém, serviços Unix legados como telnet, rlogin e ftp podem representar sérios problemas de segurança. Portanto, tente evitá-los. Você pode removê-los completamente para reduzir os problemas de segurança associados a eles.

apt-get --purge remove xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

Este comando remove alguns serviços amplamente usados, mas desatualizados, de máquinas Ubuntu / Debian. Se você estiver usando um sistema baseado em RPM, use o seguinte.

yum erase xinetd ypserv servidor tftp servidor telnet servidor rsh

4. OpenSSH seguro

O protocolo SSH é o método recomendado de comunicação remota para Linux. Certifique-se de proteger a configuração do servidor OpenSSH (sshd). Você pode aprenda mais sobre como configurar um servidor SSH aqui.

Edite o /etc/ssh/sshd_config arquivo para definir políticas de segurança para ssh. Abaixo estão algumas políticas de segurança comuns que qualquer pessoa pode usar.

PermitRootLogin no # desativa o login de root
MaxAuthTries 3 # limita as tentativas de autenticação
PasswordAuthentication no # desativa a autenticação de senha
PermitEmptyPasswords no # desativa senhas vazias
X11Forwarding no # desativa a transmissão da GUI
DebianBanner no # desequilibra banner verboso
AllowUsers *@XXX.X.XXX.0/24 # restringe usuários a um intervalo de IP

5. Restringir o uso de CRON

CRON é um agendador de tarefas robusto para Linux. Ele permite que os administradores agendar tarefas no Linux usando o crontab. Portanto, é crucial restringir quem pode executar tarefas CRON. Você pode descobrir todos os cronjobs ativos para um usuário usando o seguinte comando.

crontab -l -u NOME DE USUÁRIO

Verifique as tarefas de cada usuário para descobrir se alguém está explorando o CRON. Você pode bloquear o uso do crontab por todos os usuários, exceto você. Execute o seguinte comando para isso.

echo $ (whoami) >> /etc/cron.d/cron.allow
# echo ALL >> /etc/cron.d/cron.deny

6. Aplicar Módulos PAM

Linux PAM (Pluggable Authentication Modules) oferece poderosos recursos de autenticação para aplicativos e serviços. Você pode usar várias políticas de PAM para proteger o login do sistema. Por exemplo, os comandos abaixo limitam a reutilização de senha.

# CentOS / RHEL
echo 'senha suficiente pam_unix.so use_authtok md5 sombra lembrar = 5' >> \
> /etc/pam.d/system-auth
# Ubuntu / Debian
echo 'senha suficiente pam_unix.so use_authtok md5 sombra lembrar = 5' >> \
> /etc/pam.d/common-password

Eles restringem o uso de senhas que foram usadas nas últimas cinco semanas. Existem muito mais políticas de PAM que fornecem camadas extras de segurança.

7. Remover pacotes não usados

A remoção de pacotes não utilizados reduz a superfície de ataque em sua máquina. Portanto, recomendamos que você exclua pacotes raramente usados. Você pode ver todos os pacotes atualmente instalados usando os comandos abaixo.

yum list instalado # CentOS / RHEL 
apt list --instalado # Ubuntu / Debian

Digamos que você queira remover o pacote não utilizado vlc. Você pode fazer isso executando os seguintes comandos como root.

yum remove vlc # CentOS / RHEL
apt remove vlc # Ubuntu / Debian

8. Parâmetros de kernel seguros

Outra maneira eficaz de fortalecer o Linux é proteger os parâmetros do kernel. Você pode configurar esses parâmetros usando sysctl ou modificando o arquivo de configuração. Abaixo estão algumas configurações comuns.

kernel.randomize_va_space = 2 # randomnize endereço base para mmap, heap e pilha
kernel.panic = 10 # reinicializar após 10 segundos após um kernel panic
net.ipv4.icmp_ignore_bogus_error_responses # protege mensagens de erro ruins
net.ipv4.ip_forward = 0 # desativa o encaminhamento de IP
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ignora erros ICP

Estas são apenas algumas configurações básicas. Você aprenderá diferentes maneiras de configuração do kernel com a experiência.

9. Configurar iptables

Os kernels do Linux fornecem métodos de filtragem robustos para pacotes de rede por meio de sua API Netfilter. Você pode usar iptables para interagir com esta API e configurar filtros personalizados para solicitações de rede. Abaixo estão algumas regras básicas de iptables para usuários focados em segurança.

-A INPUT -j REJECT # rejeita todos os pedidos de entrada
-A FORWARD -j REJECT # rejeita o encaminhamento de tráfego
-A ENTRADA -i lo -j ACEITAR
-A SAÍDA -o lo -j ACEITAR # permite o tráfego no localhost
# permitir solicitações de ping
-A SAÍDA -p icmp -j ACEITAR # permite pings de saída
# permitir conexões estabelecidas / relacionadas
-A ENTRADA -m estado --estado ESTABELECIDO, RELACIONADO -j ACEITAR
-A SAÍDA -m estado --estado ESTABELECIDO, RELACIONADO -j ACEITAR
# permitir pesquisas DNS
-A SAÍDA -p udp -m udp --dport 53 -j ACEITAR
# permitir solicitações http / https
-A SAÍDA -p tcp -m tcp --dport 80 -m estado --state NOVO -j ACEITAR
-A SAÍDA -p tcp -m tcp --dport 443 -m estado --state NOVO -j ACEITAR
# permitir acesso SSH
-A ENTRADA -p tcp -m tcp --dport 22 -j ACEITAR
-A SAÍDA -p tcp -m tcp --dport 22 -j ACEITAR

10. Registros de monitoramento

Você pode utilizar logs para entender melhor sua máquina Linux. Seu sistema armazena vários arquivos de log para aplicativos e serviços. Estamos delineando os essenciais aqui.

• /var/log/auth.log registra tentativas de autorização
• /var/log/daemon.log registra aplicativos de segundo plano
• / var / log / debug logs dados de depuração
• /var/log/kern.log registra os dados do kernel
• / var / log / syslog registra dados do sistema
• / var / log / faillog logs de logins com falha

Melhores dicas de fortalecimento do Linux para iniciantes

Proteger um sistema Linux não é tão difícil quanto você pensa. Você pode fortalecer a segurança seguindo algumas das dicas mencionadas neste guia. Você vai dominar mais maneiras de proteger o Linux à medida que ganha experiência.

7 configurações essenciais de privacidade para Chrome OS e Google Chrome

Usando um Chromebook, mas preocupado com a privacidade? Ajuste essas 7 configurações no navegador Chrome no Chrome OS para ficar seguro online.

Sobre o autor