8 beste manieren om Linux Server te beveiligen (Linux Server Hardening Guide 2021)

Linux/Unix ondersteunt bijna alles op internet . Bijna alle websites die u op internet bezoekt, worden gehost op een server waarop Linux draait. Deze servers hosten kritische en vertrouwelijke gegevens. Dit kunnen apps en websites zijn die erg populair zijn. In deze Linux server hardening guide leer je de 8 beste manieren om je Linux server te beveiligen en te beschermen tegen hackers . Het beveiligingsproces moet altijd eenvoudig en ongecompliceerd zijn. Hackers zijn altijd op zoek naar kwetsbaarheden die ze misbruiken om toegang te krijgen tot uw server.

Beveiliging is geen eenmalige instelling. U moet constant alle verdachte activiteiten op uw server volgen. Er zijn veel nadelen aan gehackt worden en de hoeveelheid schade die het uw bedrijf kan toebrengen is te gek. Hieronder zullen we best practices met u delen voor het beveiligen van productieomgevingsservers .

Laten we beginnen!

Wat is Linux Server Hardening en waarom is het belangrijk?

Linux-serverbeveiliging is een zeer professionele vaardigheid en er is veel vraag naar. Dit is een van de meest gezochte onderwerpen over Linux. De reden hiervoor is dat de meeste kritieke infrastructuur-apps en websites op dit besturingssysteem draaien.

Veel systeembeheerders beschouwen beveiliging vaak als vanzelfsprekend. Als u denkt en voelt dat u in het verleden iets niet is overkomen, ga er dan niet vanuit dat dit nooit zal gebeuren. Linux server beveiliging/hardening bestaat uit configuraties/instellingen die bewezen best practices zijn en aanbevelingen voor het verbeteren van de beveiliging van een Linux server.

Door een Linux Box te beveiligen verklein je automatisch het aanvalsoppervlak voor een Hacker. En hoe minder functies een server doet, hoe kleiner de kans dat deze wordt gehackt. Dit komt doordat er minder applicaties zullen worden misbruikt. Kwetsbaarheden kunnen op elke dag en elk moment voorkomen. Er is een kans dat kwetsbaarheden meer dan tien jaar oud zijn en het is gewoon een kwestie van tijd voordat ze worden gevonden door een beveiligingsonderzoeker.

Als u om beveiliging geeft, is verharding erg belangrijk! Dit zorgt ervoor dat uw server is beveiligd tegen bedreigingen zoals hackers. De gegevens van uw klant zijn veilig, er is geen downtime, de services werken 24/7 en u behoudt het vertrouwen van uw klanten.

Hoe u Linux Server gemakkelijk kunt beveiligen (8 beste Linux-serverbeveiliging/Hardening Tips)-2021 Edition

Hieronder vindt u een stapsgewijze handleiding voor Linux hardening. Na het volgen van de onderstaande stappen kunnen we u verzekeren dat uw server ten minste 70% veiliger zal zijn dan voorheen. Zorg ervoor dat u altijd eerst een back-up hebt voordat u wijzigingen aanbrengt. De onderstaande stappen kunnen ook worden gebruikt als een checklist om ervoor te zorgen dat u alles aan uw kant hebt gedaan.

Aanbevolen lezen : Hoe u uw website beveiligt tegen Hackers.

Physical Server Security-Bescherming van de console

Er zijn 101 manieren waarop een hacker uw Linux-box kan hacken. Maar er zijn 1001 manieren waarop u zich kunt beveiligen tegen hun aanvallen. Om uw Linux-console te beveiligen, moet u ervoor zorgen dat u deze uitschakelt om op te starten vanaf specifieke externe apparaten, namelijk:

• Flash-drives of USB-sticks.
• Dvd's en cd's.

U moet het opstartproces naar de bovenstaande schijven alleen uitschakelen als u uw BIOS hebt geconfigureerd.

Als extra veiligheidsmaatregel moet u de grub-bootloader en het BIOS vergrendelen . Dit zorgt ervoor dat de bovenstaande instellingen niet kunnen worden gewijzigd door iemand die zelfs maar fysieke toegang heeft tot uw kritieke systemen.

Lees: Hoe u uw netwerk kunt beschermen tegen DDoS-aanvallen (professionele tips).

SELinux inschakelen (Security-Enhanced Linux)

Dit is een toegangscontrole beveiligingsmethode in Linux op kernelniveau. Het biedt een reeks modi van wat het kan doen.

1. Toegeeflijk -Dit is een modus waarin uw server geen enkel beveiligingsbeleid afdwingt. Het zal echter alle wijzigingen loggen en u waarschuwen voor wat er is gebeurd.
2. Afdwingen -Dit zal SELinux inschakelen en al het door u gemaakte beveiligingsbeleid afdwingen.
3. Uitgeschakeld -Dit zal SELinux uitschakelen, alstublieft niet doen.

Hieronder staat het commando om de configuratie van SELinux te veranderen.

Cmd: /etc/selinux/config

Lees ook: Hoe EXE te vinden Bestand van een programma.

Sluit ongebruikte poorten-Netstat

Met het Netstat-commando kunt u alle actieve verbindingen met uw server bekijken. Dit toont u alle open poorten en de services die ze gebruiken.

Het toont u een lijst met services en het is het beste om de poorten uit te schakelen naar services die uw server niet gebruikt.

CMD voor het controleren van open poorten: netstat-tunlp

Om de ongewenste poorten uit te schakelen, moet je een ander commando gebruiken .

CMD voor het uitschakelen van services in Linux: chkconfig Nameofservice off

Lezen: Hoe om uw draadloze WiFi-netwerk te beveiligen tegen hackers.

Beveiligde SSH-verbinding

SSH (Secure Shell) is de veiligste manier om verbinding te maken met uw server. Hackers weten echter op welke poort het werkt en dat is 'Poort 22'.

Het wijzigen van het SSH-poortnummer geeft u een voorsprong op het gebied van beveiliging.

Volg de onderstaande stappen om de standaard SSH-poortnummer in Linux:

• Ga naar /etc/ssh/sshd_config.
• Verander nu het standaard poortnummer met een willekeurig poortnummer jij wil. Bijvoorbeeld 2211.
• Nadat u het poortnummer heeft gewijzigd, slaat u de configuratie op en sluit u de configuratie af.
• Om de wijzigingen die u heeft aangebracht in te schakelen, voert u de opdracht 'service sshd restart' uit in de CLI.

Herinnering: gebruik het nieuwe poortnummer wanneer u zich opnieuw aanmeldt met SSH. Laten we zeggen dat het het poortnummer was dat we in het bovenstaande voorbeeld hebben opgegeven, dus het zal [email protected]-p 2211 zijn.

Root Login-Zet het uit

Het wordt geadviseerd door veel professionals en het is ook een bewezen goede gewoonte om nooit SSH te gebruiken met een superuser/root-account. U moet root-toegang via SSH op de server uitschakelen.

Volg de onderstaande stappen om root-login op uw Linux-server uit te schakelen voor verbeterde beveiliging:

• Open het SSH-configuratiebestand : nano/etc/ssh/sshd_conf.
• Verwijder commentaar op de volgende regel: PermitRootLogin no .
• Sla het bestand op en herstart uw service.

Ik zou u aanraden om te testen of dit werkt. Log niet uit bij de bestaande terminal. Open een nieuwe terminal, probeer opnieuw verbinding te maken en sluit af.

Geen oude wachtwoorden-gebruik ze niet opnieuw

Als vuistregel geldt dat u hergebruik nooit oude wachtwoorden. U kunt gemakkelijk voorkomen dat gebruikers hun oude wachtwoorden op dezelfde machine gebruiken.

De locatie voor het oude wachtwoordbestand is: /etc/security/opasswd . Dit kan alleen worden gewijzigd met de PAM-module in Linux.

Volg de onderstaande stappen om het gebruik van oude wachtwoorden te beperken:

Voor RHEL (Red Hat Enterprise Linux), CentOS en Fedora :

• Ga naar '/etc/pam.d/system-auth '

Voor Debian en Ubuntu:

• Ga naar '/etc/pam.d/common-password '.

Nadat je de locatie van de oude wachtwoorden, voer de volgende stappen uit:

• In de 'auth'-sectie moet je de volgende regel invoeren:' auth voldoende pam_unix.so likeauth nullok '
• Als je een gebruiker wilt toestaan ​​zijn/haar wachtwoord te hergebruiken van een aantal wachtwoorden die het laatst werden gebruikt om de volgende regel toe te voegen, de sectie 'wachtwoord': ' voldoende wachtwoord pam_unix.so nullok use_authtok md5 shadow Remember = 3 '
• Nu, nadat u deze beveiligingsfunctie heeft geactiveerd, geeft het een foutmelding aan de gebruiker die probeert een oud wachtwoord te gebruiken, van de laatste drie wachtwoorden op de server.

Lezen: hoe u uw harde schijf (HDD) kunt wissen met DBAN.

Minder pakketten = Minder kans om gehackt te worden

Je moet alleen de pakketten installeren die je nodig hebt. Installeer GEEN pakketten die je misschien niet nodig hebt of gebruikt op je Linux-box. Pakketten kunnen kwetsbaarheden hebben die uw systeem kunnen beschadigen. Je hebt niet veel services tegelijk op je systeem geïnstalleerd.

Je zult ongebruikte/ongewenste pakketten op je Linux-server moeten vinden. Dit verkleint ook het aanvalsoppervlak voor een hacker. Hoe minder services je hebt geïnstalleerd, hoe kleiner de kans dat je kwetsbaar bent voor een aanval.

Volg de onderstaande stappen om pakketten uit te schakelen die je niet nodig hebt:

• Gebruik het 'chkconfig' commando (cmd). Dit zal je de services laten zien die draaien op ' runlevel 3 '.
• Voer nu het volgende commando uit om je een lijst te geven van alle services: ' #/sbin/chkconfig –list | grep '3: on '.
• Het commando om services uit te schakelen is: ' chkconfig Nameofservice off '.

U kunt ook RPM-pakketbeheerder gebruiken voor YUM of APT-GET . Dit zal je ook een lijst laten zien van alle beschikbare pakketten die zijn geïnstalleerd.

Om pakketten te verwijderen met YUM:

• yum-y verwijder naam-van-package

Om pakketten te verwijderen met apt-get:

• sudo apt-get remove naam-van-pakket

Houd uw server altijd bijgewerkt

Zorg ervoor dat u altijd de nieuwste versie van alle software die u gebruikt. Dit omvat ook alle belangrijke Linux-updates. Elke dag komen er kwetsbaarheden in de kernel die moeten worden gepatcht.

Beveiligingsfixes zijn cruciaal voor uw infrastructuur. Ze zijn een redder in nood en hebben veel voordelen voor de gezondheid van uw systeem.

Om uw Linux-server bij te werken, voert u de volgende opdrachten uit op de opdrachtregel:

• yum check-update
• yum updates

Bonus Linux-beveiligingstips:

• Controleer uw server altijd op ongewenste activiteiten.
• Controleer uw logbestanden op verdachte bestandswijzigingen of toestemmingswijzigingen.
• Controleer uw firewall op waarschuwingen of meldingen .
• Houd al uw pakketten up-to-date.
• Vergrendel Cronjobs alleen voor geautoriseerde gebruikers.
• Schakel alle protocollen uit die u niet gebruikt, zoals IPv6.
• Schakel de Linux-firewall in en zet iptables aan.
• Maak regelmatig een back-up in geval van een ramp.

Let op: er zijn veel verschillende distributies/smaken van Linux. Dit omvat Ubuntu, CentOS, RHEL, Mint, Arch, OpenSUSE en Debian. De bovenstaande tutorial zou op al deze bestanden moeten werken en er zullen slechts kleine wijzigingen zijn bij de CLI.

Lezen : Top 6 beste coderingstools voor ultieme bestandsversleuteling (download).

Meer Linux-gidsen:

• Metasploit-opdrachtenlijst (nieuwste)
• Top 8 beste Linux-distributies voor hacken en penetratietesten
• 8 Beste Kali Linux Terminal-opdrachten voor hacken
• Kali Linux Hacking-zelfstudie voor beginners-Leer gratis hacken!

Conclusie-Negeer nooit de beveiliging op uw server

Beveiliging is essentieel voor elk onderdeel van ons digitale leven en werk. U moet alles up-to-date, beveiligd en versleuteld houden. Je moet de beveiliging nooit negeren, vooral niet op een productieserver of live-omgeving.

Hackers zijn altijd op zoek naar kwetsbare Linux-servers op internet. Ik hoop dat je genoten hebt van het lezen van de bovenstaande Linux hardening guide en hebt geleerd hoe je je Linux server in 2021 kunt beveiligen door best practices en standaarden te volgen. U kunt deze pagina ook opslaan als een pdf en deze indien nodig lezen of als referentie gebruiken. Je kunt dit ook als een script gebruiken als je alle commando's samen combineert.

Kent u nog meer Linux-beveiligingstips ? Deel ze hieronder in de comments met ons!