文章/答案/技术大牛

发布

社区首页 >专栏 >保护Linux服务器的常用方法

保护Linux服务器的常用方法

星哥玩云

发布于 2022-07-12 06:31:32

2.2K0

文章被收录于专栏：开源部署开源部署

在实际的生产环境中，开发和测试人员都尽可能的保证安全，以避免一些重要信息泄露甚至被窃取。许多企业或组织还拥有较为完善的威胁建模，但即便如此安全问题仍层出不穷。有的企业则期望通过网络上的白帽或黑帽们，来帮助他们共同完成企业的安全建设。但是作为企业需要明白一点，并不是所有的白帽或黑帽，都愿意将自己的安全建议分享给他们。对于安全防护也不仅仅是使用2FA和密码管理器，安装更新和不点击可疑链接这一口号那么简单。

这篇文章的内容其实我在一些安全会议上已经演讲过两回了，在这里我对部分内容做了一些修改并希望再次分享给大家，主要面向那些刚刚学习或了解Linux安全的人。在本文我并不会实际讨论Web应用的安全，想要了解和学习这方面的内容，大可以参考OWASP Top 10它可以教会开发和测试人员有关SQL注入，CSRF，XSS，会话管理等知识。如果你担心的是更加高级的攻击者，并且需要防范可能的恶意代码或提权脚本被执行，那么在本文中你将学习到你想了解的知识。远端的入侵者甚至是一个不起眼的内部威胁者，此时可能早已潜伏在你的系统中伺机而动。

以下我会提到一些基本概念，并包含相关的工具。同时，在这里你需要问你自己：

ACL（访问控制列表）

你的基础设施是否分为不同的系统，具有不同的基于角色的访问级别，或者用户拥有完全相同的特权？

acl: getfacl+setfacl

系统审计

你是否已对登录到某台机器的用户执行考虑周全?

查看：auditd, go-audit

静态分析和fuzzing

你可能正在运行C/C++。内存安全问题，占据了大多数出现的漏洞。你是否对这些代码做过审计，静态分析或fuzzing测试以确保它们的安全性？你是否考虑过在 Rust中开发？

查看：afl, Radamsa, Sulley, boofuzz, Coverity Scan, Valgrind, sanitizers

网络分段

你是否已将你的后端与你的前端及负载均衡器正确分离？你是否花时间设置了公司VPN，并授予你的机器私有的内部地址？

查看： iptables, ufw

隔离

你的员工是否将他们的工作电脑用于个人活动，例如游戏或与其工作无关的应用程序？或者他们是否有使用像虚拟机或容器一类的东西来进行消息传递，浏览，开发……？

查看： Qubes, VirtualBox

文件权限和umask

任何对Unix有基础了解的人，都不会对文件权限感到陌生。如果你没有严格控制某些文件的读写执行权限，那么我强烈建议你按照最严格的规范实施权限控制。

容器

集装箱化在理论上对安全有很大的帮助。但我想知道谁被允许建立并将镜像投入生产环境，他们是否也进行了签名和验证，并对安全更新和CVE进行监控？

查看：Docker, LXC

利用威胁情报

从IPv4地址空间发起恶意IP流，准备进行DDoS攻击的僵尸网络以及自动化的利用扫描正在进行。你可以自己收集有关此类活动的情报，也可以订阅相关产品的feed或黑名单列表。但你的端点/防火墙，是否有对此作出反应并合并这些信息？

查看：威胁情报资源列表

防火墙和包过滤

你多久审查一次你的iptables规则或你是否了解你的路由器/防火墙执行的内容，有没有对它们进行运行验证测试？你是否正确配置了包过滤规则，以确保机器只能与那些需要的数据通信？

查看：pfSense, OPNsense

DNS和域名注册商

你为此锁定了多少努力？你已经付出了多少努力来锁定它？当你的域名服务器或DNS区域文件被未经授权更改时，你是否会收到相应警报？此外，你是否启用了DNSSEC？

就我个人而言，我建议将Namecheap作为注册服务商，并将Cloudflare用于高性能DNS。

物理访问

如果我是法院的执法人员，数据中心工作人员或你的托管服务提供商，我是否可以自由的的读取你服务器的内容（全盘加密除外）？当你的磁盘退役或更换时，其中的内容是否会被擦除？如果有人将USB插入1U机架伺服器，你是否会收到警报提醒？

查看：LUKS/cryptsetup

你有确定性的构建吗？

当开发人员将构建代码推送到生产环境中时，你是否可以验证这些代码的真实意图，并且保证源码或静态链接的依赖关系未被恶意修改？

查看：Gitian

验证数字签名

毫无疑问，你可能会从一些非官方站点获取或下载一些代码和软件。那么在团队成员继续构建或安装之前，你是否比较过校验和/哈希或验证了该下载的签名？

查看：使用GnuPG制作和验证签名

沙盒环境

它是否具有AppArmor配置文件，seccomp过滤器或RBAC策略，指定它在系统调用和访问权限方面的功能？

查看：seccomp, AppArmor

TLS和加密配置

你是否已经完全弃用那些不安全的加密套件和算法（例如MD5，SHA1，RC4）？并在兼容性和用户期望上选择最佳的加密方式，HMAC和密钥交换算法。如果可用，优先考虑使用RSA加密算法。这适用于OpenSSH，GnuPG，OpenVPN等。使用Let’s Encrypt.t即可轻松获得ssl的免费证书。

查看：应用密码加固，SSL和TLS，服务器端TLS

公密钥管理

如果你的每个员工都拥有自己的密钥，请考虑在整个域中对其进行同步，并将密钥移出版本控制。

查看：GPGSync, sops, Vault

HTTP头安全

关于HTTP头安全，这里有一个列表可供大家参考：X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, X-Download-Options, X-Permitted-Cross-Domain-Policies, Content-Security-Policy, Referrer-Policy, Strict-Transport-Security, Public-Key-Pins。这些响应头的正确配置，对安全也至关重要。

查看： securityheaders.io, Mozilla web安全指南

文件完整性监控

你是否对重要文件做定期检查，已确保文件未被修改并生成被更改的警报？

查看： Tripwire, OSSEC

入侵检测

或许你已经部署了多种类型的入侵检测工具，但你是否仅仅只是按照默认的规则配置来运行它，并没有花费时间来学习相关的技术知识，以及根据自身应用情况来配置合适的规则集？

查看：比较基于主机的入侵检测系统，Snort

漏洞管理

通过订阅邮件，我们可以获取新的漏洞报告并修复漏洞。那么，你还记得你最后一次检查CVE活动是什么时候吗？

查看：Nessus, CoreOS clair

基础系统的安全

你是否真的完全信任Debian/Ubuntu，RHEL或任何公司的第三方软件存储库，可以始终为你提供非恶意的软件包？这里有一个想法：你可以托管自己的存储库，固定到特定的版本，并且仅在测试后才升级。

或者，你也可以运行基于Alpine或LinuxKit的极小操作系统，这样可以最大程度上的减少你的攻击面。

LSM（Linux安全模块）

即AppArmor或SELINUX，他们最近是否为你做过任何事情？

Linux内核加固

这里我建议大家直接去查看PaX和grsecurity补丁。前不久被曝出的Spectre和Meltdown漏洞，也为我们的内核安全问题敲响了警钟。

查看：grsecurity.net，Linux 内核安全卫士，内核自我保护项目

移除不必要的设备

如果你没有使用Thunderbolt，Firewire，无线网卡或任何具有DMA（直接内存访问）模式的模块，那么你就没有理由加载这些内核模块。

查看：内核模块黑名单列表

日志过滤

也许你还在通过手动的方式检查日志文件，那么你应该学会编写Logstash过滤和grok pattern。Grok是Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式，在稍后(grok参数或者其他正则表达式里)引用它。它非常适用于syslog logs，apache和一些其他的webserver logs，以及mysql logs。grok有很多定义好pattern，当然也可以自己定义。

查看：Filebeat, rsyslog, Logstash