20 Mapuslanon nga Mga Feature sa Seguridad ug Mga Himan alang sa mga Admin sa Linux

Niini nga artikulo, maghimo kami usa ka lista sa mapuslanon nga mga bahin sa seguridad sa Linux nga kinahanglan mahibal-an sa matag tagdumala sa sistema. Gipaambit usab namo ang pipila ka mapuslanon nga mga himan aron matabangan ang usa ka admin sa sistema sa pagsiguro sa seguridad sa ilang mga server sa Linux.

Ang listahan mao ang mosunod, ug dili organisado sa bisan unsang partikular nga han-ay.

1. Linux User ug Group Management

Ang Linux user ug pagdumala sa grupo usa ka sukaranan apan hinungdanon kaayo nga aspeto sa pagdumala sa sistema. Timan-i nga ang usa ka user mahimong usa ka tawo o usa ka software entity sama sa usa ka web server nga mga proseso ug mga file tag-iya.

Husto nga kahulugan sa pagdumala sa tiggamit (nga mahimong maglakip sa mga detalye sa account sa usa ka user, mga grupo nga sakop sa usa ka user, unsa nga mga bahin sa usa ka sistema ang ma-access sa usa ka user, unsa nga mga programa ang mahimo nilang ipatuman, pagpatuman sa mga polisiya sa password sa organisasyon sa password, ug uban pa) makatabang sa usa ka tagdumala sa sistema sa pagsiguro sa luwas nga pag-access sa sistema ug operasyon sa mga tiggamit sulod sa usa ka sistema sa Linux.

2. Linux PAM

Ang PAM (Pluggable Authentication Modules) usa ka gamhanan ug flexible nga suite sa mga librarya alang sa tibuok sistema nga pag-authenticate sa user. Ang matag librarya sa mga gimbuhaton nga gipadala sa PAM mahimong magamit sa usa ka aplikasyon aron hangyoon nga ang usa ka tiggamit mapamatud-an.

Gitugotan niini ang usa ka tagdumala sa sistema sa Linux nga mahibal-an kung giunsa ang mga aplikasyon nagpamatuod sa mga tiggamit. Gamhanan kini, bisan pa, ug mahagiton kaayo nga masabtan, makat-on, ug magamit.

3. Server/Host-based nga Firewall

Nagpadala ang Linux sa Netfilter subsystem nga nagtanyag sa packet filtering functionalities, tanang matang sa network address ug port translation, multiple layers sa APIs para sa 3rd party extensions, ug uban pa.

Tanan nga modernong Linux firewall nga solusyon sama sa firewalld, nftables (ang manununod sa iptables), ug uban pa, gamita kini nga subsystem para sa packet filtering aron makatabang sa pag-regulate, ug pagpanalipod, ug pagbabag sa trapiko sa network nga mosulod o mogawas sa Linux system.

4. Linux SELinux

Usa ka proyekto nga orihinal nga gimugna sa United States National Security Agency (NSA), Secure Enhanced Linux (o SELinux sa laktod) usa ka advanced nga bahin sa seguridad sa Linux.

Kini usa ka arkitektura sa seguridad nga gisagol sa Linux kernel gamit ang Linux Security Modules (LSM). Gidugangan niini ang tradisyonal nga Linux discretionary access control (DAC) nga modelo pinaagi sa paghatag ug mandatory access control (MAC).

Gihubit niini ang mga katungod sa pag-access ug pagbalhin sa matag tiggamit, aplikasyon, proseso, ug file sa sistema; kini nagdumala sa mga interaksyon niini nga mga entidad gamit ang usa ka polisiya sa seguridad nga nagtino kung unsa ka estrikto o kahinay ang usa ka gihatag nga instalasyon sa Linux system.

Ang SELinux nag-una nga na-install sa kadaghanan kung dili tanan nga mga distribusyon nga nakabase sa RHEL sama sa Fedora, CentOS-stream, Rocky Linux, AlmaLinux, ug uban pa.

5. AppArmor

Sama sa SELinux, ang AppArmor usa usab ka Mandatory Access Control (MAC) security module nga naghatag usa ka epektibo ug dali gamiton nga sistema sa seguridad sa aplikasyon sa Linux. Daghang mga pag-apod-apod sa Linux sama sa Debian, Ubuntu, ug openSUSE adunay gi-install nga AppArmor.

Ang nag-unang kalainan tali sa AppArmor ug SELinux mao nga kini base sa agianan, gitugotan niini ang pagsagol sa mga profile sa pagpatuman ug pagreklamo. Gigamit usab niini ang \ilakip ang mga file aron mapadali ang pag-uswag, gawas pa nga kini adunay labi ka ubos nga babag sa pagsulod.

6. Fail2ban

napakyas nga mga pagsulay sa pag-login ug uban pa, ug gi-update ang mga lagda sa firewall aron idili ang ingon nga IP address sa usa ka piho nga oras.

7. ModSecurity Web Application Firewall (WAF)

Gipalambo sa Trustwave's SpiderLabs, ModSecurity usa ka libre ug open-source, gamhanan, ug multi-platform nga WAF nga makina. Naglihok kini sa Apache, NGINX, ug IIS nga mga web server. Makatabang kini sa mga administrador sa sistema ug mga nag-develop sa aplikasyon sa web pinaagi sa paghatag og igong seguridad batok sa lainlaing mga pag-atake, pananglitan, mga SQL injection. Gisuportahan niini ang pagsala ug pag-monitor sa trapiko sa HTTP, pag-log, ug pagtuki sa real-time.

Para sa dugang nga impormasyon, tan-awa:

  • Unsaon Pag-instalar sa ModSecurity para sa Nginx sa Debian/Ubuntu
  • Unsaon Pag-set Up ang ModSecurity sa Apache sa Debian/Ubuntu

8. Mga Log sa Seguridad

Ang mga log sa seguridad makatabang sa pagsubay sa mga panghitabo nga espesipikong may kalabutan sa seguridad ug kaluwasan sa imong tibuok nga imprastraktura sa IT o usa ka sistema sa Linux. Kini nga mga panghitabo naglakip sa malampuson ug napakyas nga pagsulay sa pag-access sa usa ka server, mga aplikasyon, ug uban pa, pagpaaktibo sa usa ka IDS, mga alerto nga na-trigger, ug daghan pa.

Ingon usa ka tagdumala sa sistema, kinahanglan nimo nga mailhan ang epektibo ug episyente nga mga himan sa pagdumala sa log ug ipadayon ang labing kaayo nga mga gawi sa pagdumala sa log sa seguridad.

9. OpenSSH

Ang OpenSSH mao ang nanguna nga himan sa pagkonekta alang sa hilit nga pag-login gamit ang SSH network protocol. Gitugotan niini ang luwas nga komunikasyon tali sa mga kompyuter pinaagi sa pag-encrypt sa trapiko tali kanila sa ingon nagtangtang sa mga makadaot nga kalihokan gikan sa mga cybercriminal.

Ania ang pipila ka mapuslanon nga mga giya aron matabangan ka nga masiguro ang imong OpenSSH server:

  • Unsaon Pag-secure ug Pagpatig-a sa OpenSSH Server
  • 5 Best OpenSSH Server Best Security Practices
  • Unsaon Pag-setup sa SSH Passwordless Login sa Linux

10. OpenSSL

Ang OpenSSL usa ka popular, general-purpose cryptography library, nga anaa isip command-line tool nga nag-implementar sa Secure Sockets Layer (SSL v2/v3) ug Transport Layer Security (TLS v1) network protocols ug related cryptography standards nga gikinahanglan nila.

Kini kasagarang gigamit sa pagmugna og pribadong mga yawe, paghimo og mga CSR (Certificate Signing Requests), pag-instalar sa imong SSL/TLS nga sertipiko, pagtan-aw sa impormasyon sa sertipiko, ug daghan pa.

11. Intrusion Detection System (IDS)

Ang IDS usa ka monitoring device o software nga makamatikod sa mga kadudahang kalihokan o paglapas sa palisiya ug makamugna og mga alerto kung kini mamatikdan base niini nga mga alerto, isip administrador sa sistema o security analyst, o bisan kinsa nga nagpakabana nga mga personahe, mahimo nimong imbestigahan ang isyu ug mahimo ang angay nga mga aksyon. aron masulbad ang hulga.

Adunay duha ka mga klase sa IDS: host-based IDS nga gi-deploy aron mamonitor ang usa ka sistema ug network-based IDS nga gi-deploy aron mamonitor ang tibuok network.

Adunay daghang software-based IDS para sa Linux sama sa AIDE, ug uban pa.

12. Linux Monitoring Tools

Aron masiguro ang pagkaanaa sa lainlaing sistema, serbisyo, ug aplikasyon sa sulod sa imprastraktura sa IT sa imong organisasyon, kinahanglan nimo nga bantayan kini nga mga entidad sa tinuud nga oras.

Ug ang labing kaayo nga paagi aron makab-ot kini mao ang pinaagi sa Icinga 2, ug daghan pa.

13. Linux VPN Tools

Ang VPN (mubo alang sa Virtual Private Network) usa ka mekanismo sa pag-encrypt sa imong trapiko sa dili luwas nga mga network sama sa internet. Naghatag kini usa ka luwas nga koneksyon sa internet sa network sa imong organisasyon sa publiko nga internet.

Tan-awa kini nga giya aron dali nga magbutang usa ka VPN sa panganod: Giunsa Paghimo ang Imong Kaugalingon nga IPsec VPN Server sa Linux

14. System ug Data Backup ug Restore Tools

Ang pag-back up sa datos nagsiguro nga ang imong organisasyon dili mawad-an sa kritikal nga datos kung adunay bisan unsang wala giplano nga mga panghitabo. Ang mga himan sa pagbawi makatabang kanimo sa pag-uli sa mga datos o mga sistema sa usa ka sayo nga punto sa oras aron matabangan ang imong organisasyon nga makabangon gikan sa usa ka katalagman sa bisan unsang kadako.

Ania ang pipila ka mapuslanon nga mga artikulo bahin sa mga gamit sa pag-backup sa Linux:

  • 25 Talagsaong Backup Utilities para sa Linux Systems
  • 7 Labing Maayo nga Open Source \Disk Cloning/Backup Tools para sa Linux Servers
  • Relax-and-Recover – I-backup ug I-recover ang Linux System
  • Unsaon Pag-clone o Pag-backup sa Linux Disk Gamit ang Clonezilla

15. Linux Data Encryption Tools

Ang pag-encrypt usa ka panguna nga teknik sa seguridad sa pagpanalipod sa datos nga nagsiguro nga ang mga awtorisado nga partido lamang ang adunay access sa kasayuran nga gitipigan o gibalhin. Makita nimo ang daghang mga gamit sa pag-encrypt sa datos didto alang sa mga sistema sa Linux nga mahimo nimong magamit alang sa seguridad.

16. Lynis – Himan sa Pag-audit sa Seguridad

Ang Lynis usa ka libre, open-source, flexible, ug popular nga host security auditing ug vulnerability scanning ug assessment tool. Nagdagan kini sa mga sistema sa Linux ug uban pang mga operating system nga sama sa Unix sama sa Mac OS X.

17. Nmap – Network Scanner

Ang Nmap (mubo sa Network Mapper) kay kaylap nga gigamit, libre, open-source, ug puno sa feature nga security tool para sa network exploration o security auditing. Kini usa ka cross-platform, busa nagdagan kini sa Linux, Windows, ug Mac OS X.

18. Wireshark

Ang Wireshark usa ka bug-os nga gipakita ug kusgan nga network packet analyzer, nga nagtugot alang sa live nga pagkuha sa mga pakete nga mahimong matipig alang sa ulahi/offline nga pagtuki.
Kini usab cross-platform ug nagdagan sa mga sistema nga sama sa Unix sama sa mga operating system nga nakabase sa Linux, Mac OSX, ug usab Windows.

19. Nikto

Ang Nikto usa ka gamhanan, open-source nga web scanner nga nag-scan sa usa ka website/aplikasyon, virtual host, ug web server alang sa nahibal-an nga mga kahuyangan ug sayop nga pag-configure.

Gisulayan niini ang pag-ila sa mga naka-install nga web server ug software sa wala pa magbuhat sa bisan unsang pagsulay.

20. Pag-update sa Linux

Katapusan apan dili labing gamay, isip usa ka administrador sa sistema, kinahanglan nimo nga buhaton ang regular nga pag-update sa software gikan mismo sa operating system hangtod sa na-install nga mga pakete ug aplikasyon, aron masiguro nga naa nimo ang labing bag-ong mga pag-ayo sa seguridad.

$ sudo apt update         [On Debian, Ubuntu and Mint]
$ sudo yum update         [On RHEL/CentOS/Fedora and Rocky Linux/AlmaLinux]
$ sudo emerge --sync      [On Gentoo Linux]
sudo pacman -Syu          [On Arch Linux]
$ sudo zypper update      [On OpenSUSE]

Mao ra kana ang among naa kanimo. Kini nga lista mas mubo kaysa kinahanglan. Kung sa imong hunahuna mao, ipaambit kanamo ang daghang mga himan nga angay mahibal-an sa among mga magbabasa pinaagi sa porma sa feedback sa ubos.