Linux工作站加固的6個方法

導讀	正如我之前說過，安全好比是在公路上開車――比你開得慢的人都是白痴，比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則，它們並不全面，也代替不了經驗、謹慎和常識。你應該稍稍調整這些建議，以適合本企業的環境。

對每個系統管理員來說，以下是應該採取的一些必要步驟：

• 1.一律禁用Firewire和Thunderbolt模組。
• 2.檢查防火牆，確保所有入站埠已被過濾。
• 3.確保root郵件轉發到你核查的帳戶。
• 4.設立作業系統自動更新時間表，或者更新提醒內容。

此外，你還應該考慮其中一些最好採取的步驟，進一步加固系統：

• 1.核查以確保sshd服務在預設情況下已被禁用。
• 2.設定螢幕保護程式，在閒置一段時間後自動鎖定。
• 3.安裝logwatch。
• 4.安裝和使用rkhunter
• 5.安裝入侵檢測系統

 

想把Firewire和Thunderbolt模組列入黑名單，將下列幾行新增到/etc/modprobe.d/blacklist-dma.conf中的檔案：

blacklist firewire-core
blacklist thunderbolt

一旦系統重啟，上述模組就會被列入黑名單。即便你沒有這些埠，這麼做也沒有什麼危害。

預設情況下，root郵件完全儲存在系統上，往往從不被讀取。確保你設定了/etc/aliases，將root郵件轉發到你實際讀取的郵箱，不然就有可能錯過重要的系統通知和報告：

# Person who should get root’s mail
root:           bob@example.com

這番編輯後執行newaliases，對它測試一番，確保郵件確實已送達，因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況，你需要調整郵件轉發配置，直到這確實可行。

預設的防火牆設定將依賴你的發行版，但是許多允許入站sshd埠。除非你有一個充足而正當的理由允許入站ssh，否則應該將這個過濾掉，禁用sshd守護程式。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它，總是可以暫時啟動它。

通常來說，你的系統除了響應ping外，應該沒有任何偵聽埠。這將有助於你防範網路層面的零日漏洞。

建議開啟自動更新，除非你有非常充足的理由不這麼做，比如擔心自動更新會導致你的系統無法使用(這種事之前發生過，所以這種擔心並非毫無根據)。起碼，你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你執行，所以你很可能沒必要進行任何操作。查閱發行版的說明文件，瞭解更多內容。

你應該密切關注系統上發生的所有活動。由於這個原因，應該安裝logwatch，並對它進行配置，以便每晚傳送活動報告，表明系統上發生的一切活動。這防止不了全身心投入的攻擊者，卻是一項很好的安全網功能，有必要部署。

請注意：許多systemd發行版不再自動安裝logwatch需要的syslog伺服器(那是由於systemd依賴自己的日誌)，所以你需要安裝和啟用rsyslog，確保/var/log在logwatch具有任何用途之前不是空的。

除非你切實瞭解工作原理，並且採取了必要的步驟進行合理的設定(比如將資料庫放在外部介質上，從可信任的環境執行檢查，執行系統更新和配置變更後記得更新雜湊資料庫，等等)，否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不願意採取這些步驟、調整在自己的工作站上執行任務的方式，這些工具只會帶來麻煩，沒有任何實際的安全好處。

我們確實建議你應當安裝rkhunter、在晚上執行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者，但是可幫助你發現自己的錯誤。

原文標題：9 Ways to Harden Your   Workstation After Distro Installation，作者：Konstantin Ryabitsev

原文來自：