10 dicas de segurança para Linux após a instalação
Pergunte a qualquer geek e eles vão te dizer como é divertido para instalar o Linux em uma nova máquina. Se você está tentando uma nova distro ou instalar uma versão atualizada, há algo de catártico sobre o salto no movimento Linux e mexer em um novo sistema.
Embora o Linux por natureza seja mais seguro do que o Windows, ainda há etapas que precisam ser tomadas após a instalação para garantir que você tenha endurecido seu sistema e preparado para horas de uso divertido.
Siga estas etapas para ajudar a endurecer o sistema operacional Linux. Embora esta não seja uma lista abrangente, ela irá iniciá-lo em seu caminho para um sistema operacional mais seguro. Este artigo pressupõe que o usuário está familiarizado com execução de comandos como root. Para obter mais assistência em qualquer uma dessas dicas, a opção mais rápida é realizar uma pesquisa na web para o seu sistema operacional específico; Existem centenas de fóruns da comunidade onde a resposta à sua pergunta já foi provavelmente respondida.
1) ATUALIZAR O SISTEMA OPERACIONAL
Depois de ter iniciado sessão no seu sistema pela primeira vez, a actualização do sistema operativo deve ser a primeira acção que efectuar. Abra um terminal e, dependendo do sabor do Linux que você está executando, execute o comando:
2) ATIVAR O FIREWALL
Se você estiver executando o Ubuntu, o firewall está desativado por padrão. Eu recomendo que você use a interface gráfica firewall ' Gufw ', que é um acrônimo para "Graphical Uncomplicated Firewall. ' Instale o GUFW passando o comando do terminal:
sudo apt-get install gufw
Após Gufw é instalado, você pode abri-lo, passando o comando
gufw
Abrir Gufw e ativar o firewall, fazendo deslizar o botão Estado para a direita. Para a maioria dos usuários, as opções padrão de entrada: Negar e de saída: Permite queserá suficiente, mas regras personalizadas podem ser facilmente adicionados.Na versão 7 da Red Hat, o firewall está habilitado por padrão. Caso você esteja executando uma versão mais antiga, você pode iniciar manualmente o firewall em um sistema RH, digitando o comando:
systemctl enable firewalld
Para configurar o firewall e verifique blocos, você pode abrir o firewall, navegando para: Sistema → Administração → Firewall do painel ou o tipo:
system-config-firewall
em um prompt shell.3) INSTALAR O SOFTWARE ANTIVÍRUS
Esta é uma questão hot-botão que suscita fortes opiniões de ambos os lados. Apesar do fato de que malware e vírus são escritos principalmente para Windows, minha opinião é que o software AV só ajuda a endurecer um sistema. Os usuários devem aproveitar qualquer oportunidade para tornar um sistema mais seguro. A solução melhor AV livre é ClamAV mas há outros produtos Linux AV disponíveis, tais como Sophos , ESET , Comodo e Bitdefender .
4) SOFTWARE DE TERCEIROS
O software de terceiros deve sempre ser instalado sob o diretório / opt. Ajude a minimizar sua superfície de ataque removendo programas / processos desnecessários que são iniciados automaticamente. O comando
‘netstat -npl’
lista todos os serviços actualmente em execução; Se você puder identificar os serviços que você não precisa, execute as etapas necessárias para desinstalar o (s) aplicativo (s) vinculado (s) a esses serviços. O‘top’
comando é útil para olhar para os processos que estão consumindo mais recursos do sistema, mas eu recomendo a instalação e utilização 'htop', passando o comando:sudo apt-get install htop
O comando 'pstree' é outra forma legal de olhar processos, mas em vez disso, coloca-los em um formato de árvore.
5) DESABILITAR SSH ROOT LOGIN
Desativar o acesso do usuário SSH raiz, abrindo o arquivo
/etc/ssh/sshd_config
em seu editor de texto favorito.Procure a linha:
#PermitRootLogin no
Remover a libra
#
sinal desde o início da linha.Feche o arquivo e reinicie o serviço SSH passando este comando:
/etc/init.d/sshd restart
6) DESATIVAR O WINDOWS X
Se você estiver construindo um arquivo / mail / servidor de impressão Linux, não há necessidade de executar desktops X Window como o Gnome ou o KDE. Você pode aumentar a segurança e desempenho de um servidor, desativando o X Windows. O seguinte irá desativar o Windows X, alterando o comando run level.
Abra o arquivo:
/etc/inittab
Encontre a linha que lê:
id:5:initdefault:
Altere a linha para:
id:3:initdefault:
7) DESATIVAR ARMAZENAMENTO USB 'THUMB DRIVE'
Se você quiser ter certeza de que ninguém pode usar um thumb drive em sua máquina Linux, aqui está uma maneira fácil de desativar o armazenamento USB.
Abra seu editor de texto favorito e crie um novo arquivo de texto. Adicione a seguinte linha neste novo arquivo de texto:
install usb-storage /bin/true
Salve o arquivo como
usb-storage.conf
sob o diretório/etc/modprobe.d/
Reinicie sua máquina e testar a nova configuração, ligando um pen drive USB - deve ocorrer falha na montagem.8) DESATIVAR CTRL-ALT-DELETE
Se você estiver criando um servidor de produção, é uma boa idéia desabilitar a opção Ctrl-Alt-Excluir que inicia o processo de reinicialização.
Em seu editor de texto, abra o arquivo
Localize a linha que lê:
Comente a linha por prefixando-lo com uma libra
/etc/inittab
Localize a linha que lê:
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
Comente a linha por prefixando-lo com uma libra
#
sinal no início da linha9) SEGURANÇA DO BIOS
Introduza a configuração do BIOS e desactive a inicialização a partir de CD / DVD, USB, unidades externas e de disquetes. Ative a senha do BIOS e escolha uma senha forte.
10) AUDITORIA DO SEU SISTEMA
Existem várias ferramentas gratuitas disponíveis para auditar o seu sistema. Um deles eu recomendo é Lynis : uma ferramenta de código aberto que executa uma avaliação de segurança local e audita os serviços locais de vulnerabilidades. É leve e fácil de usar; Basta descompactá-lo e executar o comando
./lynis audit system
Sobre o autor: Brian M. Thomas ( @InfoSec_Brian ) é um profissional apaixonado com 17 anos de experiência fornecendo soluções de dados Tier-4 em todas as disciplinas de TI, incluindo Administração de rede / Server e Segurança da Informação. Experiência comprovada em conformidade HIPAA, ISO 27001 e PCI. Você pode se conectar com ele no LinkedIn aqui: https://www.linkedin.com/in/bmthomas .
Nota do Editor: As opiniões expressas neste artigo autor convidado são da exclusiva responsabilidade dos seus autores, e não refletem necessariamente as do Tripwire,
https://www.tripwire.com/state-of-security/featured/10-security-tips-linux-post-install