Linuxの操作と安全の維持
20190901:ドキュメントが最後に更新され、随時更新されます
この文書は可能です練習のリアルタイム更新のセキュリティのLinuxの運用・保守 >実装のための実装関連の在庫> Linux関連のセキュリティ計画の運用・保守をチェック>の改善
1つの安全原則
セキュリティ対策を実装する前に、基本的な安全原則のいくつかの条項、ヴァルスの心は、山や川のように見えるように
- 国防情報およびシステムのセキュリティは、外側からの5つの層を含む内層、するためには、深さの多面的防衛である:物理的なセキュリティ防衛>ネットワークセキュリティ防衛>ホストセキュリティ防衛>アプリケーション・セキュリティ・防衛>データセキュリティ
- 最小権限ルール、ユーザーを与える、最小限の権限プログラム、その機能を実行するためのシステム
- ブラックリストの代わりにホワイトリストを使用してみてください
- ハッカーの攻撃の早期発見のための侵入検知システムを使用します
- 定期的な脆弱性スキャンシステム、ルートキット、ウイルス
- セキュリティ意識向上トレーニングの運用・保守要員、統一されたセキュリティ上の規範に書かれたセキュリティドキュメントの運用・保守
2物理的なセキュリティ防衛
防衛は注意を払う必要があり、部屋のサイズに関係なく、防衛の第一層の物理層であり、
- 部屋はドアをロックして回避するために、部屋に誰かがハンマー壊し、サーバ、ルータ、スイッチ、エアコンを取りました
- 使用UPSは、電源障害に起因するサーバーのダウンタイムを防ぎます
ネットワークセキュリティの防衛
ネットワーク、サーバー、最も直接的な触手に触れることができ、あなたは警戒する必要があります
- ネットワークファイアウォールを使用して、ネットワークのエッジでそのようなジュニパー、シスコとハードウェアファイアウォールの他のブランドのようなハードウェアファイアウォールを使用し、そのようなオペレーティング・システム層、きめ細かなネットワークアクセス制御ではiptablesのようにソフトウェアファイアウォールを使用
- ネットワークアクセス制御を設定し、セキュアサーバグループを使用して、公開クラウドサーバーとポートの数を最小限にしようとすると、セキュリティ上の防衛をネットワークにパブリッククラウドの展開のための
- こうしたオープンソースjumpserverとして、要塞のマシンを使用します
- 運搬能力を高めるためにCDNを利用したDDoS攻撃防止、クラウド・ベンダーを利用したDDoS防御サービス、
- VPNを設定し、テレワーカーが使用するネットワークやサーバの異なる領域を接続する、または別のローカル・エリア・ネットワークを接続するために
- ネットワークセキュリティ分析ツールは、あなたに、tcpdump、wiresharkの使用することができます
3ホストセキュリティ防衛
あなたのサーバーに到達触手の防衛網を突破した、彼は上に行くことはできません。
3.1 Linuxのユーザーのセキュリティ管理
- 別のユーザーのログイン、パスワードの確立のため、rootユーザーログインSSHサーバ、SSHを禁止する代わりに、キーを使用して着陸
- ユーザーのパスワードの複雑性が弱いパスワードをチェックするために、弱いパスワード、弱いパスワードまたはヒドラジョンTHERリッパーツールを排除することを確認するために、
- セキュリティの設定sudoは、最小特権の別のユーザーのニーズを与えます
- ユーザーを定義すると、rootに権限のないユーザーを防ぐためのsuを使用することができますし、
3.2ファイルシステムのセキュリティ
- ファイルのSUIDとSGID種類を監視sXid変更を使用します
- 削除されたファイルのextundeleteを回復するために使用します
- SRMと安全に機密ファイルを消去するddコマンドを使用します
4 Linuxアプリケーションのセキュリティ
リスクの高い脆弱性の最も一般的なサイトの調査によると、Linux上でインストールされたアプリケーションのセキュリティ関連の設定を含むLinuxアプリケーションのセキュリティは、クロスサイトスクリプティング攻撃、SQLインジェクション、PHPのエラー情報の漏洩、データベースの実行時エラーであります
- オープンソースのWebファイアウォール(のWebApplication Firewll、WAF)、ApacheはModSecurityはを使用することができ、nginxのは、クラウドWAFを購入することができ、ファイアウォールの合計で、NAXSIを使用することができます
- HTTPS middle攻撃を使用しないでくださいし、ネットワーク上の盗聴を防止、
- PHPセキュリティ設定
- 注脆弱性のPHP開発フレームワーク
- 設定ファイルのエラーメッセージ表示の禁止
- PHPリモートファイルのオープンを禁止
- PHPリモートファイル禁止が含ま
- 「HttpOnlyの」属性とクッキーのセキュリティ設定のシリーズを設定します。
- Tomcatのセキュリティ設定
- webappsディレクトリの下にデフォルトのアプリケーションを削除します。
- Tomcatのための専用のローンチカスタマー
- WARを展開し、自動的にオフにします
- カスタムエラーページ
- MySQLのセキュリティ
- ネットワークサーバー上に展開のみ
- ファイアウォールの設定を通じてのみWebサーバーにアクセスすることができます
- MySQLサービスを実行するために別の普通のユーザーを使用します
- インストール後のテストデータベースを削除
- ユーザーが承認を最小化原則の使用を許可します
- データの定期的なバックアップは、データの損失を防ぎます
Linuxのセキュリティスキャンツールを使用します
- 、nmapのスキャンおよび検出をmasscanとポート識別アプリケーションに対応するポートを開くネットワークスキャニングツールを使用
- このようNikto2、OpenVAS脆弱性スキャンのWebとして、オープンソースのWeb脆弱性スキャンツールの使用
- SQLインジェクションの侵入テストを使用SQLMAP
侵入検知システムの展開
- オープンソースの侵入検知システムOSSECまたは商用の侵入検知システムツタ雲、アン・ナイト
- 使用KIPPOは、SSHハニーポット侵入レコードを設定しました
Linuxのルートキットウイルスやトロイの木馬チェック
- chkrootkitの、rkhunterのルートキットのスキャンおよび重要なシステムファイルを確認するを使用してください
- ClamAVのを使用してトロイの木馬ウイルススキャン
- LDMはウェブシェルを確認し使用してください
セキュリティログの収集
- リモートサーバーを収集するために、セキュリティログのSyslog-ngのを構築
脅威の情報収集
- 脅威インテリジェンスのウェブサイトは、脅威情報を収集することにより、よりよく知られているマイクロステップのオンライン脅威インテリジェンスコミュニティ、360の脅威インテリジェンス・センター、IBMの脅威インテリジェンスセンター
侵入検知した後、
防衛のすべての手段は、調査に対処するためにタイムリーに攻撃された後、失敗した場合
- 一般的に、プログラムが交換されたか否かを検出するために使用し、修理があります
- chkrootkitのとrkhunterのを使用してルートキットスキャン
- ClamAVのを使用してウイルスをスキャン
- 隠されたディレクトリとファイルの検出
- ランディングの最近のレコードを参照してください。
- 異常なプロセスがあるかどうかを確認し、プロセス、ファイル、およびビューポートの異常なプロセスのオープンを隠します
- ネットワーク接続およびリスニングポートを確認し、特に注意がアクティブな接続の外部アドレスシーズンに接続されています
- チェックARPレコードは正常です
- セキュリティログ、アプリケーションログ、bash_historyをチェック
- ウェブシェルをチェック
- システムを再インストールし、元のパスワードを変更するには