Безопасность сервера описывает программное обеспечение, инструменты и процессы, используемые для защиты бизнес-сервера от несанкционированного доступа и других киберугроз. Это ключевое требование для большинства системных администраторов и групп по кибербезопасности.
Безопасность Linux считается хорошей, основанной на строгой структуры разрешений операционной системы по умолчанию. Однако вы все равно должны применять передовые методы, чтобы ваши серверы работали безопасно и эффективно.
Независимо от того, работает ли ваш сервер Linux под управлением Ubuntu, Debian или другого дистрибутива, выполните следующие действия, чтобы усилить конфигурацию вашего сервера Linux по умолчанию.
1. Устанавливайте только необходимые программы
Вам следует устанавливать только те программы, которые необходимы вашему бизнесу для работы, чтобы защитить функциональность вашего сервера.
Дистрибутивы серверов Linux поставляются с множеством уже установленных общих программ, таких как adduser и base-passwd. Во время установки пользователи могут выбрать установку дополнительных программ, включая сервер Open SSH, DNS-сервер, стек LAMP и сервер печати.
Вы также можете добавить дополнительные программы через систему управления программами по умолчанию. Они могут быть взяты из официальных репозиториев или путем добавления PPA (личных архивов), репозиториев, созданных пользователями Linux, чтобы получить доступ к более широкому набору программ.
Однако чем больше их вы установите, особенно из сторонних репозиториев, тем больше уязвимостей вы можете внести в систему. Сводите количество установленных программ до разумного минимума и периодически удаляйте ненужные.
2. Отключить root-логин
Дистрибутивы Linux включают суперпользователя под названием «root», который имеет повышенные административные права. Сохранение включенного входа в систему root может представлять угрозу безопасности и снизить безопасность облачных ресурсов малого бизнеса, размещенных на сервере, поскольку хакеры могут использовать эти учетные данные для доступа к серверу. Чтобы усилить безопасность вашего сервера, вы должны отключить этот логин.
Процесс отключения учетной записи root зависит от того, какой дистрибутив Linux вы используете — сначала вы должны создать новую учетную запись пользователя и назначить повышенные (sudo) разрешения, чтобы у вас по-прежнему был способ установки программ и выполнения других действий администратора на сервере. В качестве альтернативы вы можете назначить эти разрешения существующему пользователю, чтобы обеспечить безопасный вход на сервер.
3. Настройте двухфакторную аутентификацию
Двухфакторная аутентификация (2FA) значительно повышает безопасность доступа пользователей, требуя пароль и второй токен, прежде чем пользователи смогут войти на сервер.
Чтобы настроить 2FA на сервере Debian и дистрибутивах, производных от Debian, вы должны установить пакет libpam-google-authentication. Пакет может отображать QR-код или создавать секретный токен, который может быть добавлен в программное устройство аутентификации, такое как Google Authenticator или Authy.
2FA можно использовать в сочетании с SSH (Secure Shell), чтобы обеспечить соблюдение требований для вторых учетных данных при входе на сервер. SSH — это протокол, который создает зашифрованное текстовое соединение с удаленным сервером. Вместе они делают сервер более устойчивым к грубым атакам, попыткам несанкционированного входа в систему и могут повысить безопасность облака для малого бизнеса.
4. Соблюдайте строгую гигиену паролей
Хорошая гигиена паролей важна не только для пользователей, которые входят в свои персональные компьютеры или приложения SaaS. Для серверов администраторы также должны убедиться, что пользователи используют достаточно строгие пароли. Такая практика делает их более устойчивыми к атакам.
Обеспечение минимальной криптографической стойкости
Пароли, используемые вашим персоналом, должны быть выше определенной криптографической стойкости, например, не менее 12 символов, со случайным сочетанием букв, цифр и символов. Чтобы обеспечить соблюдение этого во всем своем бизнесе, рассмотрите возможность внедрения инструмента управления паролями, который может проверять уровень безопасности пароля или генерировать пароль достаточной сложности.
Обеспечение регулярной ротации паролей
Убедитесь, что ваши сотрудники регулярно обновляют все свои пароли для приложений и учетных записей, особенно тех, которые имеют доступ к административному серверу.
Большинство дистрибутивов Linux по умолчанию содержат утилиту для изменения срока действия пароля и информации об устаревании. Эта программа может заставить пользователя регулярно сбрасывать пароль. Chage — один из таких CLI (интерфейс командной строки).
Администраторы могут заставить пользователей изменить свой пароль через определенное количество дней, например, с помощью оператора -W.
Эта команда, запущенная с повышенными правами, заставит пользователя изменить свой пароль по прошествии 10 дней. Принудительная смена пароля также может выполняться при входе в систему.
5. Серверное антивирусное программное обеспечение
Хотя компьютеры Linux считаются относительно устойчивыми к вирусам, вредоносным программам и другим формам кибератак, на всех конечных точках Linux, включая настольные компьютеры, должна быть установлена антивирусная защита. Антивирусные продукты улучшат защитные возможности любого сервера, на котором они работают.
6. Обновляйте регулярно или автоматически
Не следует хранить старые программы без исправлений, поскольку они представляют собой критические уязвимости в системе, которые могут быть использованы злоумышленниками. Чтобы избежать этой проблемы, убедитесь, что ваш сервер или пул серверов регулярно обновляется.
Многие дистрибутивы Linux, особенно Ubuntu, также обновляются в скользящем цикле распространения как с долгосрочными (LTS), так и с краткосрочными версиями выпуска. Ваши группы безопасности должны с самого начала подумать, хотят ли они запускать на своих компьютерах новейшее или стабильное программное обеспечение, и настроить соответствующие политики обновления.
Кроме того, многие дистрибутивы Linux содержат инструменты для применения автоматических обновлений. Пакет автоматических обновлений, доступный, например, для Debian, будет опрашивать обновления через фиксированный интервал и автоматически применять их в фоновом режиме.
7. Включите файрвол
На каждом сервере Linux должен быть установлен файрвол в качестве начальной линии защиты от несанкционированных или злонамеренных запросов на подключение. UFW (несложный файрвол) — это обычный базовый файрвол Linux. Вам следует проверить политику файрвола, чтобы убедиться, что она подходит для операционной среды вашего бизнеса.
В наши дни атаки распределенного отказа в обслуживании (DDoS) также представляют угрозу для некоторых операторов. Серверы Linux с выходом в интернет можно разместить за прокси-службой для проверки и очистки входящего трафика, обеспечивая защиту от DDoS-атак. Кроме того, есть сценарии с открытым исходным кодом, которые можно установить прямо на сервер.
8. Сделайте резервную копию вашего сервера
Когда дело доходит до компьютерных систем, всегда есть что-то, что может пойти не так, а программы могут создавать проблемы с зависимостями и другие проблемы. Поэтому очень важно, чтобы вы сохранили возможность отката изменений на вашем сервере.
Надежный подход к резервному копированию должен включать создание двух копий, по одной вне офиса, для каждого основного защищенного устройства. Для серверов Linux доступны более простые инструменты отката системы, которые могут помочь автоматизировать этот процесс и обеспечить более быстрое аварийное восстановление (DR).
Помните о безопасности
Linux может быть лучшим сервером для вашего малого бизнеса или предприятия, поскольку в дистрибутивах обычно автоматически настраивается приличная система безопасности. Однако, чтобы значительно повысить вашу защиту и свести к минимуму вероятность того, что злоумышленники получат доступ, вы должны укрепить свой сервер Linux, применив лучшие практические советы.
