Politik | Heimanwender | Server |
SSH deaktivieren | ✔ | x |
SSH-Root-Zugriff deaktivieren | x | ✔ |
SSH-Port ändern | x | ✔ |
SSH-Passwortanmeldung deaktivieren | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-Sicherheit | ✔ | ✔ |
Festplattenverschlüsselung | ✔ | x/✔ |
Systemupdate | ✔ | ✔ |
VPN (virtuelles privates Netzwerk) | ✔ | x |
SELinux aktivieren | ✔ | ✔ |
Allgemeine Praktiken | ✔ | ✔ |
- SSH-Zugriff
- Firewall (iptables)
- Intrusion Detection System (IDS)
- BIOS-Sicherheit
- Festplattenverschlüsselung
- Systemupdate
- VPN (virtuelles privates Netzwerk)
- Aktivieren Sie SELinux (Sicherheitsoptimiertes Linux)
- Allgemeine Praktiken
SSH-Zugriff
Heimanwender:
Heimanwender verwenden nicht wirklich ssh, dynamische IP-Adressen und Router-NAT-Konfigurationen machten Alternativen mit Reverse Connection wie TeamViewer attraktiver. Wenn ein Dienst nicht verwendet wird, muss der Port sowohl durch Deaktivieren oder Entfernen des Dienstes als auch durch Anwendung restriktiver Firewall-Regeln geschlossen werden.
Server:
Im Gegensatz zu Hausangestellten, die auf verschiedene Server zugreifen, sind Netzwerkadministratoren häufige ssh/sftp-Benutzer. Wenn Sie Ihren SSH-Dienst aktiviert lassen müssen, können Sie die folgenden Maßnahmen ergreifen:
- Root-Zugriff über SSH deaktivieren.
- Passwortanmeldung deaktivieren.
- Ändern Sie den SSH-Port.
Allgemeine SSH-Konfigurationsoptionen Ubuntu
Iptables
Iptables ist die Schnittstelle zur Verwaltung von Netfilter, um Firewall-Regeln zu definieren. Heimanwender können zu UFW (Uncomplicated Firewall) tendieren, einem Frontend für iptables, um die Erstellung von Firewall-Regeln zu vereinfachen. Unabhängig von der Schnittstelle kommt es direkt nach dem Setup darauf an, dass die Firewall als eine der ersten Änderungen anfällt. Abhängig von Ihren Desktop- oder Serveranforderungen werden aus Sicherheitsgründen restriktive Richtlinien empfohlen, die nur das zulassen, was Sie benötigen, während der Rest blockiert wird. Iptables werden verwendet, um den SSH-Port 22 auf einen anderen umzuleiten, unnötige Ports zu blockieren, Dienste zu filtern und Regeln für bekannte Angriffe festzulegen.
Weitere Informationen zum iptables-Check: Iptables für Anfänger
Intrusion Detection-System (IDS)
Aufgrund des hohen Ressourcenbedarfs werden IDS nicht von Heimanwendern verwendet, sind jedoch auf Servern, die Angriffen ausgesetzt sind, ein Muss. IDS bringt die Sicherheit auf die nächste Stufe und ermöglicht die Analyse von Paketen. Die bekanntesten IDS sind Snort und OSSEC, die beide zuvor unter LinuxHint . erklärt wurden. IDS analysiert den Netzwerkverkehr auf der Suche nach bösartigen Paketen oder Anomalien, es ist ein Netzwerküberwachungstool, das auf Sicherheitsvorfälle ausgerichtet ist. Anweisungen zur Installation und Konfiguration der 2 beliebtesten IDS-Lösungen finden Sie unter: Snort IDS konfigurieren und Regeln erstellen
Erste Schritte mit OSSEC (Intrusion Detection System)
BIOS-Sicherheit
Rootkits, Malware und Server-BIOS mit Remote-Zugriff stellen zusätzliche Schwachstellen für Server und Desktops dar. Das BIOS kann durch Code, der vom Betriebssystem ausgeführt wird, oder durch Update-Kanäle gehackt werden, um unbefugten Zugriff zu erhalten oder Informationen wie Sicherheits-Backups zu vergessen.
BIOS-Update-Mechanismen auf dem neuesten Stand halten. Aktivieren Sie den BIOS-Integritätsschutz.
Den Boot-Prozess verstehen – BIOS vs. UEFI
Festplattenverschlüsselung
Dies ist eine Maßnahme, die für Desktop-Benutzer relevanter ist, die möglicherweise ihren Computer verlieren oder Opfer eines Diebstahls werden. Sie ist besonders nützlich für Laptop-Benutzer. Heutzutage unterstützt fast jedes Betriebssystem die Festplatten- und Partitionsverschlüsselung, Distributionen wie Debian erlauben es, die Festplatte während des Installationsprozesses zu verschlüsseln. Anweisungen zur Überprüfung der Festplattenverschlüsselung: So verschlüsseln Sie ein Laufwerk unter Ubuntu 18.04
Systemupdate
Sowohl Desktop-Benutzer als auch Systemadministratoren müssen das System auf dem neuesten Stand halten, um zu verhindern, dass anfällige Versionen unbefugten Zugriff oder unbefugte Ausführung bieten. Zusätzlich zur Verwendung des vom Betriebssystem bereitgestellten Paketmanagers, um nach verfügbaren Updates zu suchen, können Schwachstellen-Scans dazu beitragen, anfällige Software zu erkennen, die nicht in offiziellen Repositorys aktualisiert wurde, oder anfälligen Code, der neu geschrieben werden muss. Nachfolgend einige Tutorials zu Updates:
- So behalten Sie Ubuntu 17.10 bis Datum
- Linux Mint So aktualisieren Sie das System
- So aktualisieren Sie alle Pakete auf einem elementaren Betriebssystem
VPN (virtuelles privates Netzwerk)
Internetnutzer müssen sich bewusst sein, dass ISPs ihren gesamten Datenverkehr überwachen und dies nur mit einem VPN-Dienst leisten können. Der ISP kann den Verkehr zum VPN-Server überwachen, aber nicht vom VPN zu den Zielen. Aufgrund von Geschwindigkeitsproblemen sind kostenpflichtige Dienste am empfehlenswertesten, aber es gibt kostenlose gute Alternativen wie https://protonvpn.com/.
- Bestes Ubuntu-VPN
- So installieren und konfigurieren Sie OpenVPN unter Debian 9
Aktivieren Sie SELinux (Sicherheitsoptimiertes Linux)
SELinux ist eine Reihe von Linux-Kernel-Modifikationen, die sich auf die Verwaltung von Sicherheitsaspekten in Bezug auf Sicherheitsrichtlinien konzentrieren, indem MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) und Multi Category Security (MCS) hinzugefügt werden. Wenn SELinux aktiviert ist, kann eine Anwendung nur auf die Ressourcen zugreifen, die sie benötigt, die in einer Sicherheitsrichtlinie für die Anwendung angegeben sind. Der Zugriff auf Ports, Prozesse, Dateien und Verzeichnisse wird durch in SELinux definierte Regeln gesteuert, die Operationen basierend auf den Sicherheitsrichtlinien erlauben oder verweigern. Ubuntu verwendet AppArmor als Alternative.
- SELinux auf Ubuntu-Tutorial
Allgemeine Praktiken
Fast immer sind Sicherheitsmängel auf Fahrlässigkeit des Benutzers zurückzuführen. Befolgen Sie zusätzlich zu allen zuvor aufgezählten Punkten die nächsten Praktiken:
- Verwenden Sie root nicht, es sei denn, es ist notwendig.
- Verwenden Sie niemals X Windows oder Browser als Root.
- Verwenden Sie Passwort-Manager wie LastPass.
- Verwenden Sie nur starke und eindeutige Passwörter.
- Versuchen Sie nicht, unfreie Pakete oder Pakete zu installieren, die in offiziellen Repositorys nicht verfügbar sind.
- Deaktivieren Sie nicht verwendete Module.
- Erzwingen Sie auf Servern starke Passwörter und verhindern Sie, dass Benutzer alte Passwörter verwenden.
- Nicht verwendete Software deinstallieren.
- Verwenden Sie nicht dieselben Passwörter für verschiedene Zugänge.
- Alle Standardzugriffsbenutzernamen ändern.
Politik | Heimanwender | Server |
SSH deaktivieren | ✔ | x |
SSH-Root-Zugriff deaktivieren | x | ✔ |
SSH-Port ändern | x | ✔ |
SSH-Passwortanmeldung deaktivieren | x | ✔ |
Iptables | ✔ | ✔ |
IDS (Intrusion Detection System) | x | ✔ |
BIOS-Sicherheit | ✔ | ✔ |
Festplattenverschlüsselung | ✔ | x/✔ |
Systemupdate | ✔ | ✔ |
VPN (virtuelles privates Netzwerk) | ✔ | x |
SELinux aktivieren | ✔ | ✔ |
Allgemeine Praktiken | ✔ | ✔ |
Ich hoffe, Sie fanden diesen Artikel nützlich, um Ihre Sicherheit zu erhöhen. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.