🔒 Основы безопасности в операционной системе GNU/Linux: 10 ключевых пунктов

1. Обновление системы

- Проверьте наличие обновлений: sudo apt update (Astra Linux), equo up (Gentoo), tce-update (Tiny Core Linux), urpmi --update (ROSA)

- Установите обновления: sudo apt upgrade, equo u, tce-load -wi, urpmi --auto-update

- Настройте автоматические обновления: sudo systemctl enable apt-daily-upgrade.timer

- Используйте репозитории с проверенными пакетами

- Проверяйте цифровые подписи пакетов перед установкой

2. Конфигурация брандмауэра

- Установите iptables: sudo apt install iptables (Astra), emerge iptables (Gentoo), tce-load -wi iptables (Tiny Core), urpmi iptables (ROSA)

- Настройте правила: iptables -A INPUT -p tcp --dport 22 -j ACCEPT

- Сохраните конфигурацию: iptables-save > /etc/iptables/rules.v4

- Используйте ufw для упрощения: sudo ufw enable

- Проверьте статус: sudo ufw status

3. Безопасность SSH

- Измените порт по умолчанию: Port 2222 в /etc/ssh/sshd_config

- Отключите вход по паролю: PasswordAuthentication no

- Используйте ключи SSH: ssh-keygen -t rsa -b 4096

- Ограничьте доступ по IP: AllowUsers user@192.168.1.*

- Настройте Fail2Ban для блокировки неверных попыток: sudo apt install fail2ban

4. Контроль доступа

- Используйте sudo вместо root: adduser user sudo

- Настройте права доступа к файлам: chmod 700 /home/user

- Ограничьте доступ к критическим файлам: chown root:root /etc/shadow

- Используйте SELinux: sudo apt install selinux-basics

- Настройте AppArmor: sudo apt install apparmor

5. Шифрование данных

- Установите LUKS: sudo apt install cryptsetup

- Зашифруйте диск: cryptsetup luksFormat /dev/sda1

- Монтируйте зашифрованный раздел: cryptsetup luksOpen /dev/sda1 encrypted

- Используйте GPG для шифрования файлов: gpg --encrypt --recipient user@example.com file.txt

- Настройте автоматическое шифрование: echo "encrypted /mountpoint ext4 defaults 0 2" >> /etc/fstab

6. Мониторинг системы

- Установите auditd: sudo apt install auditd

- Настройте правила: auditctl -w /etc/passwd -p wa

- Используйте системный журнал: journalctl -xe

- Настройте логирование: sudo nano /etc/rsyslog.conf

- Установите монитор ресурсов: sudo apt install htop

7. Обнаружение и предотвращение вторжений

- Установите Snort: sudo apt install snort

- Настройте правила: snort -c /etc/snort/snort.conf

- Проведите тестирование: snort -T -c /etc/snort/snort.conf

- Используйте Tripwire для мониторинга изменений: sudo apt install tripwire

- Настройте AIDE: sudo apt install aide

8. Безопасность веб-серверов

- Обновите веб-сервер: sudo apt update && sudo apt upgrade

- Настройте HTTPS: sudo apt install certbot

- Используйте файлы конфигурации: nano /etc/apache2/sites-available/000-default.conf

- Ограничьте доступ: Allow from 192.168.1.0/24

- Настройте модуль безопасности: sudo apt install libapache2-mod-security2

9. Защита от вредоносного ПО

- Установите ClamAV: sudo apt install clamav

- Обновите базы данных: sudo freshclam

- Запустите сканирование: clamscan -r /home/user

- Настройте автоматическое сканирование: crontab -e

- Используйте rkhunter для поиска rootkit: sudo apt install rkhunter

10. Резервное копирование данных

- Настройте rsync: rsync -av --delete /source /destination

- Используйте tar для создания архивов: tar -czvf backup.tar.gz /home/user

- Настройте автоматическое резервное копирование: crontab -e

- Используйте облачные сервисы: rclone copy /source remote:backup

- Проверяйте целостность резервных копий: sha256sum backup.tar.gz

🔒 Следуя этим рекомендациям, вы значительно повысите безопасность вашей системы GNU/Linux. Помните: безопасность — это процесс, а не одноразовое действие! 💻🔐

2 минуты

11 июня 2024