Verbeter de beveiliging van uw Linux-server met deze 7 verhardende stappen

Linux regeert het internet; het heeft de digitale wereld in een vroeg stadium overgenomen en blijft het aandrijven. Linux-serverbeveiliging is van het grootste belang, vooral met zijn wijdverbreide nut.

Net als elk ander besturingssysteem zijn Linux-servers echter kwetsbaar voor datalekken. Ondanks deze problemen houden gebruikers niet volledig rekening met de omvang van beveiligingslekken en hoe hun gegevens in de loop van de tijd kunnen worden aangetast.

Om deze reden is het absoluut noodzakelijk om een ​​paar basisstappen uit te voeren, die u een heel eind kunnen helpen bij het beveiligen van uw Linux-server tegen hacks en beveiligingsinbreuken.

1. Stel veilige wachtwoorden in

Wachtwoorden vormen de ruggengraat van een beveiligde server. Gebruik in de praktijk wachtwoorden met een minimumlengte van 10 tekens en alfanumerieke wachtwoorden, speciale tekens en hoofdletters en kleine letters.

Vermijd bovendien het herhalen van wachtwoorden voor meerdere toepassingen. Voeg een verloopconfiguratie toe voor uw wachtwoorden, want geen enkel wachtwoord biedt permanente beveiliging.

Raadpleeg enkele uitstekende wachtwoordmanagers voor uw Linux-systeem om verbeterde beveiliging in te schakelen. Deze beheerders bieden diensten aan zoals:

• Twee-factorenauthenticatie
• Wachtwoord generatie
• Wachtwoordopslag in de cloud

Een paar opties zijn de volgende:

• Bitwarden
• LastPass
• Enpass
• Dashlane

Voordat u naar een optie springt, moet u eerst uw vereisten meten en kiezen welke software voor uw serverconfiguratie werkt.

2. Voeg een SSH-sleutelpaar toe

Wachtwoorden zijn slechts een onderdeel van het verhardingsproces. Koppel dit proces aan robuustere inlogmethoden voor de veiligste resultaten. Secure Shell- of SSH-sleutelparen zijn moeilijk met brute kracht te doorbreken.

SSH-sleutelparen zijn niet zo gebruiksvriendelijk als gewone wachtwoorden, maar ze zijn veiliger. Een dergelijke verbeterde beveiliging wordt toegeschreven aan de servercodering en het gebruikte systeem.

Een SSH-sleutelpaar vertegenwoordigt equivalent een wachtwoord van 12 tekens. In werkelijkheid kan de feitelijke samenstelling van een SSH-sleutelpaar een uitdaging zijn om te begrijpen voor een gewone burger, maar het doet het nodige.

Het genereren van een SSH-sleutelpaar is eenvoudig. Stel eerst een SSH-sleutel in door het volgende in het Terminal-venster te typen:

$ ssh-keygen -t rsa 

Kies de bestemming waar u de sleutel wilt opslaan.

Voer de bestandslocatie in om de sleutel op te slaan (/home/youruser/.ssh/id_rsa):

Meet en weeg de kansen op fysieke aanvallen op gehackte servers op het moment dat u de opslaglocatie kiest. Idealiter kiest u voor een lokaal apparaat om kwetsbaarheden te verminderen.

Verwant: Linux-verhardingstips voor beginnende SysAdmins

3. Update uw serversoftware regelmatig

Bijgewerkte servers werken goed wanneer u softwarepatches implementeert om opkomende kwetsbaarheden te bestrijden. Helaas kunnen veel gebruikers deze softwarepatches over het hoofd zien, waardoor hun servers kwetsbaar worden en een gemakkelijk doelwit voor hackers om te misbruiken.

Om dit probleem te bestrijden, moet u: updates installeren op je Linux-machine. Er zijn twee manieren waarop u dit doet.

Opdrachtregels in het terminalvenster

Voer de onderstaande opdracht in het terminalvenster in. Zodra u de opdracht uitvoert, wordt alle relevante informatie over de in behandeling zijnde updates weergegeven.

$ sudo apt-update 

Ubuntu-updatebeheer

Het proces is een beetje anders wanneer u bijwerkt met behulp van de Ubuntu Update Manager. In versies 18.04 of later is de eerste stap om te klikken op de Applicaties tonen icoon linksonder in je scherm.

Zoek vanaf daar naar Updatebeheer om de updates te installeren.

4. Automatische updates inschakelen

Laten we zeggen dat automatische updates een uitbreiding zijn van de vorige stap. Heeft u moeite om een ​​groot aantal beveiligingsupdates het hoofd te bieden en verliest u het overzicht over deze belangrijke updates?

Als je dit met een groot knikje hebt beantwoord, dan zijn automatische updates je favoriete oplossing. Afhankelijk van uw type systeem kunt u ervoor kiezen om automatische updates op de volgende manier in te schakelen.

GNOME-gebruikers

1. Open het systeemmenu
2. Selecteer Beheer
3. Navigeer naar Update Manager en kies Instellingen
4. Updates openen
5. Navigeer naar de instelling beveiligingsupdates installeren

Debian-gebruikers

Debian-gebruikers kunnen ervoor kiezen om updates zonder toezicht te installeren. Zo blijft uw systeem altijd up-to-date zonder al te veel handmatige tussenkomst.

Installeer het pakket:

sudo apt-get install unattended-upgrades

Schakel het pakket in:

$ sudo dpkg-reconfigure --priority=low unattended-upgrades

5. Niet-essentiële netwerkgerichte services verwijderen

Alle Linux-server-besturingssystemen worden geleverd met hun eigen respectieve servernetwerkgerichte services. Hoewel u de meeste van deze services wilt behouden, zijn er enkele die u moet verwijderen.

Voer de volgende opdrachten uit om een ​​lijst met dergelijke services te zien:

$ sudo ss -atpu

Opmerking: De uitvoer van deze opdracht is afhankelijk van uw besturingssysteem.

U kunt een ongebruikte service verwijderen, afhankelijk van uw besturingssysteem en pakketbeheerder.

Debian/Ubuntu:

$ sudo apt purge 

Red Hat/CentOS:

$ sudo yum verwijderen 

Voer de uit om te verifiëren ss -atup commando opnieuw om te controleren of de services zijn verwijderd of niet.

6. Installeer Fail2ban om logbestanden te scannen

Linux-servers en brute force-aanvallen gaan hand in hand. Dergelijke aanvallen slagen meestal omdat de eindgebruikers niet de nodige preventieve maatregelen hebben genomen om hun systemen te beveiligen.

Fail2ban is inbraakpreventiesoftware die firewallregels wijzigt en elk adres verbiedt dat probeert in te loggen op uw systeem. Het wordt veel gebruikt om trends in authenticatiefouten te identificeren en aan te pakken. Deze worden bevorderd via e-mailwaarschuwingen, die een grote bijdrage leveren aan het beteugelen van dergelijke kwaadaardige aanvallen.

Om Fail2ban te installeren:

CentOS 7

yum install fail2ban

Debian

apt-get install fail2ban

Om e-mailondersteuning in te schakelen:

CentOS 7

yum installeer sendmail

Debian

apt-get install sendmail-bin sendmail

7. Een firewall inschakelen

Firewalls zijn nog een andere effectieve manier om de bal aan het rollen te krijgen voor het beveiligen van uw Linux-server. Nadat u een firewall hebt geïnstalleerd, moet u deze inschakelen en configureren om netwerkverkeer door te laten.

Ongecompliceerde Firewall (UFW) blijkt een goede beveiligingstoevoeging te zijn naar uw Linux-server. UFW biedt een gebruiksvriendelijke interface die het configureren van een firewall op uw systeem vereenvoudigt.

Installeer UFW via de volgende opdrachtregel:

$ sudo apt install ufw

UFW is geconfigureerd om alle inkomende en uitgaande verbindingen te weigeren. Elke applicatie op uw server kan verbinding maken met internet, maar inkomende verbindingen zullen uw server niet bereiken.

Als eerste stap na de installatie moet u SSH, HTTP en HTTPS inschakelen:

$ sudo ufw ssh. toestaan
$ sudo ufw HTTP toestaan
$ sudo ufw HTTPS toestaan 

U kunt UFW ook in- en uitschakelen:

$ sudo ufw inschakelen 
$ sudo ufw uitschakelen 

Indien nodig kunt u een lijst met toegestane/geweigerde diensten bekijken:

$ sudo ufw-status 

Uw Linux-server veilig houden

Onthoud dat het versterken en onderhouden van serverbeveiliging door Linux geen eenmalige activiteit is.

In plaats daarvan is het een continu proces dat begint met het installeren van regelmatige updates, het beschermen van uw server met behulp van firewalls en zich uitstrekt tot het verwijderen van alle niet-essentiële software. Het eindigt uiteindelijk met het uitvoeren van beveiligingsaudits om hackers op afstand te houden.

Over de auteur