25 Συμβουλές ασφαλείας για διακομιστές Linux

Όλοι λένε ότι το Linux είναι ασφαλές από προεπιλογή και έχει συμφωνηθεί σε κάποιο βαθμό (Είναι συζητήσιμα θέματα). Ωστόσο, το Linux διαθέτει ενσωματωμένο μοντέλο ασφαλείας από προεπιλογή. Πρέπει να το ρυθμίσετε και να το προσαρμόσετε σύμφωνα με τις ανάγκες σας, κάτι που μπορεί να βοηθήσει να γίνει πιο ασφαλές το σύστημα. Το Linux είναι πιο δύσκολο στη διαχείριση, αλλά προσφέρει μεγαλύτερη ευελιξία και επιλογές διαμόρφωσης.

Η διασφάλιση ενός συστήματος σε μια παραγωγή από τα χέρια χάκερ και crackers είναι μια πρόκληση για έναν Διαχειριστή συστήματος. Αυτό είναι το πρώτο μας άρθρο σχετικά με το Πώς να ασφαλίσετε το πλαίσιο Linux ή το Σκληρύνοντας ένα πλαίσιο Linux. Σε αυτήν την ανάρτηση θα εξηγήσουμε 25 χρήσιμες συμβουλές και κόλπα για να προστατεύσετε το σύστημά σας Linux. Ελπίζουμε, οι παρακάτω συμβουλές και κόλπα θα σας βοηθήσουν να επεκτείνετε την ασφάλεια του συστήματός σας.

1. Φυσική ασφάλεια συστήματος

Διαμορφώστε το BIOS για να απενεργοποιήσετε την εκκίνηση από CD/DVD, Εξωτερικές συσκευές, Δίσκος δισκέτας στο BIOS<. Στη συνέχεια, ενεργοποιήστε τον κωδικό πρόσβασης BIOS και προστατέψτε επίσης το GRUB με κωδικό πρόσβασης για να περιορίσετε τη φυσική πρόσβαση στο σύστημά σας.

  1. Ορίστε τον κωδικό πρόσβασης GRUB για προστασία διακομιστών Linux

2. Διαμερίσματα δίσκου

Είναι σημαντικό να έχετε διαφορετικά διαμερίσματα για να έχετε υψηλότερη ασφάλεια δεδομένων σε περίπτωση που συμβεί κάποια καταστροφή. Με τη δημιουργία διαφορετικών κατατμήσεων, τα δεδομένα μπορούν να διαχωριστούν και να ομαδοποιηθούν. Όταν συμβεί ένα απροσδόκητο ατύχημα, μόνο τα δεδομένα αυτού του διαμερίσματος θα καταστραφούν, ενώ τα δεδομένα σε άλλα διαμερίσματα διασώθηκαν. Βεβαιωθείτε ότι πρέπει να έχετε τα ακόλουθα ξεχωριστά διαμερίσματα και βεβαιωθείτε ότι οι εφαρμογές τρίτων θα πρέπει να είναι εγκατεστημένες σε ξεχωριστά συστήματα αρχείων στο /opt.

/
/boot
/usr
/var
/home
/tmp
/opt

3. Ελαχιστοποιήστε τα πακέτα για να ελαχιστοποιήσετε την ευπάθεια

Θέλετε πραγματικά να εγκαταστήσετε κάθε είδους υπηρεσίες;. Συνιστάται να αποφεύγετε την εγκατάσταση άχρηστων πακέτων για να αποφύγετε τρωτά σημεία στα πακέτα. Αυτό μπορεί να ελαχιστοποιήσει τον κίνδυνο ότι η παραβίαση μιας υπηρεσίας μπορεί να οδηγήσει σε παραβίαση άλλων υπηρεσιών. Βρείτε και αφαιρέστε ή απενεργοποιήστε τις ανεπιθύμητες υπηρεσίες από τον διακομιστή για να ελαχιστοποιήσετε την ευπάθεια. Χρησιμοποιήστε την εντολή chkconfig για να μάθετε τις υπηρεσίες που εκτελούνται στο επίπεδο εκτέλεσης 3.

# /sbin/chkconfig --list |grep '3:on'

Μόλις μάθετε ότι εκτελείται κάποια ανεπιθύμητη υπηρεσία, απενεργοποιήστε την χρησιμοποιώντας την ακόλουθη εντολή.

# chkconfig serviceName off

Χρησιμοποιήστε τα εργαλεία διαχείρισης πακέτων RPM, όπως yum ή apt-get για να παραθέσετε όλα τα εγκατεστημένα πακέτα σε ένα σύστημα και να τα αφαιρέσετε χρησιμοποιώντας την παρακάτω εντολή.

# yum -y remove package-name
# sudo apt-get remove package-name

  1. 5 Παραδείγματα εντολών chkconfig
  2. 20 πρακτικά παραδείγματα εντολών RPM
  3. 20 εντολές Linux YUM για διαχείριση πακέτων Linux
  4. 25 εντολές APT-GET και APT-CACHE για τη διαχείριση της διαχείρισης πακέτων

4. Ελέγξτε τις θύρες δικτύου ακρόασης

Με τη βοήθεια της εντολής δικτύου «netstat», μπορείτε να δείτε όλες τις ανοιχτές θύρες και τα σχετικά προγράμματα. Όπως είπα παραπάνω χρησιμοποιήστε την εντολή «chkconfig» για να απενεργοποιήσετε όλες τις ανεπιθύμητες υπηρεσίες δικτύου από το σύστημα.

# netstat -tulpn

  1. 20 εντολές Netstat για διαχείριση δικτύου στο Linux

5. Χρησιμοποιήστε το Secure Shell (SSH)

Τα πρωτόκολλα Telnet και rlogin χρησιμοποιούν απλό κείμενο, όχι κρυπτογραφημένη μορφή που είναι οι παραβιάσεις ασφαλείας. Το SSH είναι ένα ασφαλές πρωτόκολλο που χρησιμοποιεί τεχνολογία κρυπτογράφησης κατά την επικοινωνία με τον διακομιστή.

Ποτέ μην συνδέεστε απευθείας ως root εκτός εάν είναι απαραίτητο. Χρησιμοποιήστε το sudo για να εκτελέσετε εντολές. Τα sudo καθορίζονται στο αρχείο /etc/sudoers, μπορούν επίσης να επεξεργαστούν με το βοηθητικό πρόγραμμα visudo που ανοίγει στο πρόγραμμα επεξεργασίας VI.

Συνιστάται επίσης να αλλάξετε τον προεπιλεγμένο αριθμό θύρας SSH 22 με κάποιον άλλο αριθμό θύρας υψηλότερου επιπέδου. Ανοίξτε το κύριο αρχείο διαμόρφωσης SSH και ορίστε ορισμένες παραμέτρους για να περιορίσετε την πρόσβαση των χρηστών.

# vi /etc/ssh/sshd_config
Απενεργοποίηση root Login
PermitRootLogin no
Να επιτρέπεται μόνο συγκεκριμένοι χρήστες
AllowUsers username
Χρησιμοποιήστε την έκδοση SSH Protocol 2
Protocol 2

  1. 5 βέλτιστες πρακτικές για την ασφάλεια και την προστασία του διακομιστή SSH

6. Διατηρήστε το σύστημα ενημερωμένο

Διατηρείτε πάντα το σύστημα ενημερωμένο με ενημερώσεις κώδικα των τελευταίων εκδόσεων, επιδιορθώσεις ασφαλείας και πυρήνα όταν είναι διαθέσιμος.

# yum updates
# yum check-update

7. Lockdown Cronjobs

Το Cron έχει τη δική του ενσωματωμένη δυνατότητα, όπου επιτρέπει να προσδιορίσετε ποιος μπορεί και ποιος μπορεί να μην θέλει να εκτελέσει εργασίες. Αυτό ελέγχεται με τη χρήση αρχείων που ονομάζονται /etc/cron.allow και /etc/cron.deny. Για να κλειδώσετε έναν χρήστη χρησιμοποιώντας το cron, απλώς προσθέστε ονόματα χρηστών στο cron.deny και για να επιτρέψετε σε έναν χρήστη να εκτελέσει το cron add στο αρχείο cron.allow. Εάν θέλετε να απενεργοποιήσετε όλους τους χρήστες από τη χρήση του cron, προσθέστε τη γραμμή ALL στο αρχείο cron.deny.

# echo ALL >>/etc/cron.deny

  1. 11 Παραδείγματα προγραμματισμού Cron στο Linux

8. Απενεργοποιήστε το USB stick για ανίχνευση

Πολλές φορές συμβαίνει να θέλουμε να περιορίσουμε τους χρήστες από τη χρήση USB stick σε συστήματα για την προστασία και την προστασία δεδομένων από κλοπή. Δημιουργήστε ένα αρχείο /etc/modprobe.d/no-usb και η προσθήκη κάτω από τη γραμμή δεν θα εντοπίσει χώρο αποθήκευσης USB.

install usb-storage /bin/true

9. Ενεργοποιήστε το SELinux

Το Security-Enhanced Linux (SELinux) είναι ένας υποχρεωτικός μηχανισμός ασφαλείας ελέγχου πρόσβασης που παρέχεται στον πυρήνα. Η απενεργοποίηση του SELinux σημαίνει κατάργηση του μηχανισμού ασφαλείας από το σύστημα. Σκεφτείτε δύο φορές προσεκτικά πριν το αφαιρέσετε, εάν το σύστημά σας είναι συνδεδεμένο στο διαδίκτυο και έχει πρόσβαση από το κοινό, τότε σκεφτείτε λίγο περισσότερο.

Το SELinux παρέχει τρεις βασικούς τρόπους λειτουργίας και είναι.

  1. Εφαρμογή: Αυτή είναι η προεπιλεγμένη λειτουργία που ενεργοποιεί και επιβάλλει την πολιτική ασφαλείας SELinux στο μηχάνημα.
  2. Επιτρεπτό: Σε αυτήν τη λειτουργία, το SELinux δεν θα επιβάλλει την πολιτική ασφαλείας στο σύστημα, αλλά μόνο ενέργειες προειδοποίησης και καταγραφής. Αυτή η λειτουργία είναι πολύ χρήσιμη για την αντιμετώπιση προβλημάτων που σχετίζονται με το SELinux.
  3. Απενεργοποιημένο: Το SELinux είναι απενεργοποιημένο.

Μπορείτε να δείτε την τρέχουσα κατάσταση της λειτουργίας SELinux από τη γραμμή εντολών χρησιμοποιώντας τα 'system-config-selinux', 'getenforce' ή ' εντολές sestatus».

# sestatus

Εάν είναι απενεργοποιημένο, ενεργοποιήστε το SELinux χρησιμοποιώντας την ακόλουθη εντολή.

# setenforce enforcing

Μπορείτε επίσης να το διαχειριστείτε από το αρχείο «/etc/selinux/config», όπου μπορείτε να το ενεργοποιήσετε ή να το απενεργοποιήσετε.

10. Καταργήστε τους επιτραπέζιους υπολογιστές KDE/GNOME

Δεν χρειάζεται να εκτελείτε επιτραπέζιους υπολογιστές X Window όπως το KDE ή το GNOME στον αποκλειστικό σας διακομιστή LAMP. Μπορείτε να τα αφαιρέσετε ή να τα απενεργοποιήσετε για να αυξήσετε την ασφάλεια του διακομιστή και την απόδοση. Για να απενεργοποιήσετε το απλό, ανοίξτε το αρχείο ‘/etc/inittab’ και ορίστε το επίπεδο εκτέλεσης σε 3. Εάν θέλετε να το αφαιρέσετε εντελώς από το σύστημα, χρησιμοποιήστε την παρακάτω εντολή.

# yum groupremove "X Window System"

11. Απενεργοποιήστε το IPv6

Εάν δεν χρησιμοποιείτε πρωτόκολλο IPv6, τότε θα πρέπει να το απενεργοποιήσετε επειδή οι περισσότερες από τις εφαρμογές ή τις πολιτικές δεν απαιτούν πρωτόκολλο IPv6 και επί του παρόντος δεν απαιτείται στον διακομιστή . Μεταβείτε στο αρχείο διαμόρφωσης δικτύου και προσθέστε τις ακόλουθες γραμμές για να το απενεργοποιήσετε.

# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

12. Περιορίστε τους χρήστες να χρησιμοποιούν παλιούς κωδικούς πρόσβασης

Αυτό είναι πολύ χρήσιμο εάν θέλετε να απαγορεύσετε στους χρήστες να χρησιμοποιούν τους ίδιους παλιούς κωδικούς πρόσβασης. Το παλιό αρχείο κωδικού πρόσβασης βρίσκεται στη διεύθυνση /etc/security/opasswd. Αυτό μπορεί να επιτευχθεί χρησιμοποιώντας τη μονάδα PAM.

Ανοίξτε το αρχείο ‘/etc/pam.d/system-auth’ στο RHEL/CentOS/Fedora.

# vi /etc/pam.d/system-auth

Ανοίξτε το αρχείο ‘/etc/pam.d/common-password‘ στο Ubuntu/Debian/Linux Mint.

# vi /etc/pam.d/common-password

Προσθέστε την ακόλουθη γραμμή στην ενότητα auth.

auth        sufficient    pam_unix.so likeauth nullok

Προσθέστε την ακόλουθη γραμμή στην ενότητα κωδικός πρόσβασης για να μην επιτρέπεται σε έναν χρήστη να χρησιμοποιήσει ξανά τον τελευταίο 5 κωδικό πρόσβασης του/της.

password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

Μόνο οι τελευταίοι 5 κωδικοί πρόσβασης απομνημονεύονται από τον διακομιστή. Εάν προσπαθήσατε να χρησιμοποιήσετε οποιονδήποτε από τους τελευταίους 5 παλιούς κωδικούς πρόσβασης, θα λάβετε ένα σφάλμα όπως.

Password has been already used. Choose another.

13. Πώς να ελέγξετε τη λήξη του κωδικού πρόσβασης του χρήστη

Στο Linux, οι κωδικοί πρόσβασης του χρήστη αποθηκεύονται σε αρχείο «/etc/shadow» σε κρυπτογραφημένη μορφή. Για να ελέγξετε τη λήξη του κωδικού πρόσβασης του χρήστη, πρέπει να χρησιμοποιήσετε την εντολή chage. Εμφανίζει πληροφορίες σχετικά με τα στοιχεία λήξης του κωδικού πρόσβασης μαζί με την τελευταία ημερομηνία αλλαγής κωδικού πρόσβασης. Αυτές οι λεπτομέρειες χρησιμοποιούνται από το σύστημα για να αποφασίσει πότε ένας χρήστης πρέπει να αλλάξει τον κωδικό πρόσβασής του/της.

Για να δείτε τις πληροφορίες γήρανσης οποιουδήποτε υπάρχοντος χρήστη, όπως ημερομηνία λήξης και ώρα, χρησιμοποιήστε την ακόλουθη εντολή.

#chage -l username

Για να αλλάξετε τη γήρανση του κωδικού πρόσβασης οποιουδήποτε χρήστη, χρησιμοποιήστε την ακόλουθη εντολή.

#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName
Παράμετροι

  1. -M Ορίστε μέγιστο αριθμό ημερών
  2. -m Ορίστε τον ελάχιστο αριθμό ημερών
  3. -W Ορίστε τον αριθμό των ημερών προειδοποίησης

14. Κλείδωμα και ξεκλείδωμα λογαριασμού χειροκίνητα

Οι λειτουργίες κλειδώματος και ξεκλειδώματος είναι πολύ χρήσιμες, αντί να αφαιρέσετε έναν λογαριασμό από το σύστημα, μπορείτε να τον κλειδώσετε για μια εβδομάδα ή έναν μήνα. Για να κλειδώσετε έναν συγκεκριμένο χρήστη, μπορείτε να χρησιμοποιήσετε την εντολή follow.

# passwd -l accountName

Σημείωση : Ο κλειδωμένος χρήστης εξακολουθεί να είναι διαθέσιμος μόνο για root χρήστη. Το κλείδωμα πραγματοποιείται αντικαθιστώντας τον κρυπτογραφημένο κωδικό πρόσβασης με μια συμβολοσειρά (!). Εάν κάποιος προσπαθεί να αποκτήσει πρόσβαση στο σύστημα χρησιμοποιώντας αυτόν τον λογαριασμό, θα εμφανιστεί ένα σφάλμα παρόμοιο με το παρακάτω.

# su - accountName
This account is currently not available.

Για να ξεκλειδώσετε ή να ενεργοποιήσετε την πρόσβαση σε έναν κλειδωμένο λογαριασμό, χρησιμοποιήστε την εντολή ως. Αυτό θα αφαιρέσει (!) συμβολοσειρά με κρυπτογραφημένο κωδικό πρόσβασης.

# passwd -u accountName

15. Επιβολή ισχυρότερων κωδικών πρόσβασης

Ορισμένοι χρήστες χρησιμοποιούν μαλακούς ή αδύναμους κωδικούς πρόσβασης και ο κωδικός πρόσβασής τους ενδέχεται να παραβιαστεί με βασισμένες σε λεξικό ή επιθέσεις ωμής βίας. Η λειτουργική μονάδα pam_cracklib είναι διαθέσιμη στη στοίβα λειτουργικών μονάδων PAM (Προσθέστες μονάδες ελέγχου ταυτότητας), η οποία θα αναγκάσει τον χρήστη να ορίσει ισχυρούς κωδικούς πρόσβασης. Ανοίξτε το παρακάτω αρχείο με ένα πρόγραμμα επεξεργασίας.

Διαβάστε επίσης:

# vi /etc/pam.d/system-auth

Και προσθέστε γραμμή χρησιμοποιώντας παραμέτρους πίστωσης ως (lcredit, ucredit, dcredit και/ή credit αντίστοιχα πεζά , κεφαλαία, ψηφία και άλλα)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. Ενεργοποίηση Iptables (τείχος προστασίας)

Συνιστάται ιδιαίτερα να ενεργοποιήσετε το τείχος προστασίας Linux για να εξασφαλίσετε μη εξουσιοδοτημένη πρόσβαση στους διακομιστές σας. Εφαρμόστε κανόνες στα iptables σε φίλτρα εισερχόμενων, εξερχόμενων και προώθησης πακέτων. Μπορούμε να καθορίσουμε τη διεύθυνση προέλευσης και προορισμού που θα επιτρέπεται και θα απορρίπτεται σε συγκεκριμένο αριθμό θύρας udp/tcp.

  1. Οδηγός και συμβουλές βασικών IPTables

17. Απενεργοποιήστε τα Ctrl+Alt+Delete στο Inittab

Στις περισσότερες διανομές Linux, το πάτημα του «CTRL-ALT-DELETE» θα οδηγήσει το σύστημά σας σε διαδικασία επανεκκίνησης. Επομένως, δεν είναι καλή ιδέα να είναι ενεργοποιημένη αυτή η επιλογή τουλάχιστον σε διακομιστές παραγωγής, εάν κάποιος το κάνει κατά λάθος.

Αυτό ορίζεται στο αρχείο ‘/etc/inittab’, αν κοιτάξετε προσεκτικά σε αυτό το αρχείο θα δείτε μια γραμμή παρόμοια με την παρακάτω. Από προεπιλογή, η γραμμή δεν σχολιάζεται. Πρέπει να το σχολιάσουμε. Αυτή η συγκεκριμένη σηματοδότηση ακολουθίας πλήκτρων θα τερματίσει τη λειτουργία ενός συστήματος.

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. Έλεγχος λογαριασμών για κενούς κωδικούς πρόσβασης

Οποιοσδήποτε λογαριασμός έχει κενό κωδικό πρόσβασης σημαίνει ότι είναι ανοιχτός για μη εξουσιοδοτημένη πρόσβαση σε οποιονδήποτε στον ιστό και αποτελεί μέρος της ασφάλειας σε έναν διακομιστή Linux. Επομένως, πρέπει να βεβαιωθείτε ότι όλοι οι λογαριασμοί έχουν ισχυρούς κωδικούς πρόσβασης και κανείς δεν έχει εξουσιοδοτημένη πρόσβαση. Οι άδειοι λογαριασμοί κωδικών πρόσβασης αποτελούν κινδύνους ασφαλείας και μπορούν εύκολα να παραβιαστούν. Για να ελέγξετε εάν υπήρχαν λογαριασμοί με κενό κωδικό πρόσβασης, χρησιμοποιήστε την ακόλουθη εντολή.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

19. Εμφάνιση banner SSH πριν από τη σύνδεση

Είναι πάντα καλύτερη ιδέα να έχετε ένα νόμιμο banner ή banner ασφαλείας με ορισμένες προειδοποιήσεις ασφαλείας πριν από τον έλεγχο ταυτότητας SSH. Για να ορίσετε τέτοια πανό διαβάστε το παρακάτω άρθρο.

  1. Εμφάνιση προειδοποιητικού μηνύματος SSH στους χρήστες

20. Παρακολούθηση των δραστηριοτήτων χρήστη

Εάν έχετε να κάνετε με πολλούς χρήστες, τότε είναι σημαντικό να συλλέγετε τις πληροφορίες για τις δραστηριότητες και τις διεργασίες κάθε χρήστη που καταναλώνονται από αυτούς και να τις αναλύετε αργότερα ή σε περίπτωση οποιουδήποτε είδους απόδοσης, ζητημάτων ασφάλειας. Αλλά πώς μπορούμε να παρακολουθούμε και να συλλέγουμε πληροφορίες για τις δραστηριότητες των χρηστών.

Υπάρχουν δύο χρήσιμα εργαλεία που ονομάζονται psacct και acct που χρησιμοποιούνται για την παρακολούθηση των δραστηριοτήτων και των διαδικασιών των χρηστών σε ένα σύστημα. Αυτά τα εργαλεία εκτελούνται σε φόντο συστήματος και παρακολουθούν συνεχώς κάθε δραστηριότητα χρήστη σε ένα σύστημα και πόρους που καταναλώνονται από υπηρεσίες όπως Apache, MySQL, SSH, FTP, κ.λπ. Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση, τη διαμόρφωση και τη χρήση, επισκεφτείτε την παρακάτω διεύθυνση url.

  1. Παρακολουθήστε τη δραστηριότητα χρήστη με psacct ή εντολές acct

21. Ελέγχετε τακτικά τα αρχεία καταγραφής

Μετακινήστε αρχεία καταγραφής σε αποκλειστικό διακομιστή καταγραφής, αυτό μπορεί να εμποδίσει τους εισβολείς να τροποποιήσουν εύκολα τα τοπικά αρχεία καταγραφής. Παρακάτω είναι το όνομα του κοινού προεπιλεγμένου αρχείου καταγραφής Linux και η χρήση τους:

  1. /var/log/message – Όπου είναι διαθέσιμα ολόκληρα αρχεία καταγραφής συστήματος ή αρχεία καταγραφής τρέχουσας δραστηριότητας.
  2. /var/log/auth.log – Αρχεία καταγραφής ελέγχου ταυτότητας.
  3. /var/log/kern.log – Αρχεία καταγραφής πυρήνα.
  4. /var/log/cron.log – Αρχεία καταγραφής Crond (cron job).
  5. /var/log/maillog – Αρχεία καταγραφής διακομιστή αλληλογραφίας.
  6. /var/log/boot.log – Αρχείο εκκίνησης συστήματος.
  7. /var/log/mysqld.log – Αρχείο καταγραφής διακομιστή βάσης δεδομένων MySQL.
  8. /var/log/secure – Αρχείο καταγραφής ελέγχου ταυτότητας.
  9. /var/log/utmp ή /var/log/wtmp : Αρχείο εγγραφών σύνδεσης.
  10. /var/log/yum.log: Yum αρχεία καταγραφής.

22. Σημαντικό αρχείο Backup

Σε ένα σύστημα παραγωγής, είναι απαραίτητο να λαμβάνετε αντίγραφα ασφαλείας σημαντικών αρχείων και να τα διατηρείτε σε θησαυροφυλάκιο ασφαλείας, απομακρυσμένη τοποθεσία ή εκτός τοποθεσίας για ανάκτηση από καταστροφές.

23. Συγκόλληση NIC

Υπάρχουν δύο τύποι λειτουργίας στη σύνδεση NIC, που πρέπει να αναφέρουμε στη διεπαφή συγκόλλησης.

  1. mode=0 – Round Robin
  2. mode=1 – Ενεργό και εφεδρικό

Το NIC Bonding μας βοηθά να αποφύγουμε ένα μόνο σημείο αστοχίας. Στη σύνδεση NIC, συνδέουμε δύο ή περισσότερες Κάρτες Ethernet δικτύου και φτιάχνουμε μια ενιαία εικονική διεπαφή όπου μπορούμε να εκχωρήσουμε διεύθυνση IP για να μιλήσουμε με άλλους διακομιστές. Το δίκτυό μας θα είναι διαθέσιμο σε περίπτωση που μία Κάρτα NIC είναι απενεργοποιημένη ή μη διαθέσιμη για οποιονδήποτε λόγο.

24. Διατηρήστε το /boot ως μόνο για ανάγνωση

Ο πυρήνας Linux και τα σχετικά αρχεία του βρίσκονται στον κατάλογο /boot που είναι από προεπιλογή ως read-write. Η αλλαγή του σε μόνο για ανάγνωση μειώνει τον κίνδυνο μη εξουσιοδοτημένης τροποποίησης κρίσιμων αρχείων εκκίνησης. Για να το κάνετε αυτό, ανοίξτε το αρχείο /etc/fstab.

# vi /etc/fstab

Προσθέστε την παρακάτω γραμμή στο κάτω μέρος, αποθηκεύστε την και κλείστε την.

LABEL=/boot     /boot     ext2     defaults,ro     1 2

Λάβετε υπόψη ότι πρέπει να επαναφέρετε την αλλαγή για ανάγνωση-εγγραφή εάν χρειαστεί να αναβαθμίσετε τον πυρήνα στο μέλλον.

25. Αγνοήστε το αίτημα ICMP ή Broadcast

Προσθέστε την ακόλουθη γραμμή στο αρχείο /etc/sysctl.conf για να αγνοήσετε το αίτημα ping ή μετάδοσης.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

Φορτώστε νέες ρυθμίσεις ή αλλαγές, εκτελώντας την ακόλουθη εντολή

#sysctl -p

Εάν χάσατε κάποια σημαντική συμβουλή ασφαλείας ή σκλήρυνσης στην παραπάνω λίστα ή έχετε οποιαδήποτε άλλη συμβουλή που πρέπει να συμπεριληφθεί στη λίστα. Παρακαλούμε αφήστε τα σχόλιά σας στο πλαίσιο σχολίων μας. Η TecMint ενδιαφέρεται πάντα να λαμβάνει σχόλια, προτάσεις καθώς και συζητήσεις για βελτίωση.