Zaawansowane techniki hardeningu systemu Linux dla środowisk produkcyjnych
Zaawansowane techniki hardeningu systemu Linux dla środowisk produkcyjnych
W środowiskach produkcyjnych bezpieczeństwo systemu Linux jest priorytetem. Administratorzy muszą stosować nie tylko standardowe praktyki zabezpieczeń, ale również zaawansowane techniki hardeningu, aby minimalizować powierzchnię ataku i chronić system przed eskalacją uprawnień oraz włamaniami.
Poniżej przedstawiam szczegółowy przewodnik krok po kroku.
1. Minimalizacja powierzchni ataku
🔹 Usuwanie zbędnych pakietów
Im mniej komponentów w systemie, tym mniejsza szansa na podatności.
sudo apt autoremove
sudo dnf remove <pakiet>
🔹 Wyłączanie nieużywanych usług
systemctl disable --now cups
systemctl disable --now avahi-daemon
Użyj:
systemctl list-unit-files --type=service
aby sprawdzić aktywne usługi.
2. Twarda konfiguracja SSH
🔹 Wyłączenie logowania root
Edytuj /etc/ssh/sshd_config:
PermitRootLogin no
🔹 Wymuszanie kluczy SSH
PasswordAuthentication no
PubkeyAuthentication yes
Po zmianach:
sudo systemctl restart sshd
🔹 Ograniczenie do określonych użytkowników
AllowUsers adminuser deploy
3. Kontrola integralności systemu
🔹 Wdrażanie AIDE
sudo apt install aide
sudo aideinit
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
Regularne skanowanie:
sudo aide --check
4. Wykorzystanie SELinux / AppArmor
🔹 SELinux – tryb wymuszający
sudo setenforce 1
getenforce
Dostosuj polityki w /etc/selinux/config.
🔹 AppArmor
sudo aa-status
sudo aa-enforce /etc/apparmor.d/usr.bin.nginx
5. Kernel hardening
🔹 Sysctl
W pliku /etc/sysctl.conf:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
kernel.randomize_va_space = 2
Zastosowanie zmian:
sudo sysctl -p
🔹 Zabezpieczenie przed ping flood
net.ipv4.icmp_echo_ignore_all = 1
6. Monitorowanie i alerty bezpieczeństwa
🔹 Wdrażanie auditd
sudo apt install auditd
sudo systemctl enable --now auditd
Przykład reguły:
auditctl -w /etc/passwd -p wa -k passwd_changes
🔹 Integracja z SIEM
Dane z auditd, syslog i journalctl mogą być przesyłane do Splunk, ELK Stack lub Graylog.
7. Aktualizacje bezpieczeństwa w trybie automatycznym
🔹 Debian/Ubuntu
sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades
🔹 RHEL/CentOS
sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer
8. Hardened malloc i bezpieczeństwo pamięci
Instalacja bezpiecznych alokatorów pamięci (np. libhardened_malloc) może utrudnić ataki typu buffer overflow.
9. Ograniczanie dostępu do portów
Użycie iptables lub nftables:
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -j DROP
Podsumowanie
Zaawansowany hardening Linux wymaga połączenia polityk bezpieczeństwa, izolacji procesów, monitoringu i ograniczenia powierzchni ataku. Każda zmiana powinna być testowana w środowisku staging przed wdrożeniem na produkcję.
Jak zabezpieczyć swoją sieć Wi-Fi przed nieautoryzowanym dostępem? W dzisiejszych czasach sieci Wi-Fi stały się niezbędnym elementem życia codziennego. Zarówno Czytaj dalej
Spectre i Meltdown: Czy procesory Linuxowe są nadal narażone na ataki side-channel? 🔍 Wprowadzenie: Zagrożenia Side-Channel a bezpieczeństwo procesorów W Czytaj dalej
