23 CentOS സെർവർ ഹാർഡനിംഗ് സുരക്ഷാ നുറുങ്ങുകൾ - ഭാഗം 2

CentOS സെർവർ എങ്ങനെ സുരക്ഷിതമാക്കാം, കഠിനമാക്കാം എന്നതിനെക്കുറിച്ചുള്ള മുൻ ട്യൂട്ടോറിയൽ തുടരുന്നു, ഈ ലേഖനത്തിൽ, ചുവടെയുള്ള ചെക്ക്uലിസ്റ്റിൽ അവതരിപ്പിക്കുന്ന മറ്റ് സുരക്ഷാ നുറുങ്ങുകൾ ഞങ്ങൾ ചർച്ച ചെയ്യും.

  1. 20 CentOS സെർവർ ഹാർഡനിംഗ് സുരക്ഷാ നുറുങ്ങുകൾ - ഭാഗം 1

21. ഉപയോഗശൂന്യമായ SUID, SGID കമാൻഡുകൾ പ്രവർത്തനരഹിതമാക്കുക

ബൈനറി പ്രോഗ്രാമുകളിൽ സെറ്റൂയിഡ്, സെറ്റ്ഗിഡ് ബിറ്റുകൾ സജ്ജീകരിച്ചിട്ടുണ്ടെങ്കിൽ, ഈ കമാൻഡുകൾക്ക് മറ്റ് ഉപയോക്തൃ അല്ലെങ്കിൽ ഗ്രൂപ്പ് അവകാശങ്ങൾ ഉപയോഗിച്ച് ടാസ്uക്കുകൾ പ്രവർത്തിപ്പിക്കാൻ കഴിയും, അതായത് റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ, ഇത് ഗുരുതരമായ സുരക്ഷാ പ്രശ്uനങ്ങൾ വെളിപ്പെടുത്തും.

പലപ്പോഴും, ബഫർ ഓവർറൺ ആക്രമണങ്ങൾ ഒരു റൂട്ട് പവർ ഉപയോക്താവിന്റെ അവകാശങ്ങൾ ഉപയോഗിച്ച് അനധികൃത കോഡ് പ്രവർത്തിപ്പിക്കുന്നതിന് അത്തരം എക്സിക്യൂട്ടബിൾ ബൈനറികൾ ഉപയോഗപ്പെടുത്താം.

# find /  -path /proc -prune -o -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

സെറ്റൂയിഡ് ബിറ്റ് അൺസെറ്റ് ചെയ്യുന്നതിന് താഴെ പറയുന്ന കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക:

# chmod u-s /path/to/binary_file

setgid ബിറ്റ് അൺസെറ്റ് ചെയ്യുന്നതിന് താഴെയുള്ള കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

# chmod g-s /path/to/binary_file

22. ഉടമസ്ഥതയില്ലാത്ത ഫയലുകളും ഡയറക്ടറികളും പരിശോധിക്കുക

ഒരു സാധുവായ അക്കൗണ്ടിന്റെ ഉടമസ്ഥതയിലല്ലാത്ത ഫയലുകളോ ഡയറക്uടറികളോ ഇല്ലാതാക്കുകയോ ഒരു ഉപയോക്താവിന്റെയും ഗ്രൂപ്പിന്റെയും അനുമതികളോടെ അസൈൻ ചെയ്യുകയോ വേണം.

ഉപയോക്താവും ഗ്രൂപ്പും ഇല്ലാത്ത ഫയലുകളോ ഡയറക്uടറികളോ ലിസ്റ്റുചെയ്യുന്നതിന് ചുവടെയുള്ള ഫൈൻഡ് കമാൻഡ് നൽകുക.

# find / -nouser -o -nogroup -exec ls -l {} \;

23. വേൾഡ്-റൈറ്റബിൾ ഫയലുകൾ ലിസ്റ്റ് ചെയ്യുക

ലോകത്ത് എഴുതാൻ കഴിയുന്ന ഒരു ഫയൽ സിസ്റ്റത്തിൽ സൂക്ഷിക്കുന്നത് അപകടകരമാണ്, കാരണം അവ ആർക്കും പരിഷ്കരിക്കാനാകും. എല്ലായ്uപ്പോഴും ലോകമെഴുതാവുന്ന സിംലിങ്കുകൾ ഒഴികെ, വേഡ്-റൈറ്റബിൾ ഫയലുകൾ പ്രദർശിപ്പിക്കുന്നതിന് ചുവടെയുള്ള കമാൻഡ് എക്uസിക്യൂട്ട് ചെയ്യുക.

# find / -path /proc -prune -o -perm -2 ! -type l –ls

24. ശക്തമായ പാസ്uവേഡുകൾ സൃഷ്ടിക്കുക

കുറഞ്ഞത് എട്ട് പ്രതീകങ്ങളുള്ള ഒരു പാസ്uവേഡ് സൃഷ്uടിക്കുക. പാസ്uവേഡിൽ അക്കങ്ങളും പ്രത്യേക പ്രതീകങ്ങളും വലിയക്ഷരങ്ങളും ഉണ്ടായിരിക്കണം. /dev/urandom ഫയലിൽ നിന്ന് 128 ബിറ്റുകളുടെ പാസ്uവേഡ് സൃഷ്ടിക്കാൻ pwmake ഉപയോഗിക്കുക.

# pwmake 128

25. ശക്തമായ പാസ്uവേഡ് നയം പ്രയോഗിക്കുക

/etc/pam.d/passwd ഫയലിൽ താഴെയുള്ള വരി ചേർത്ത് ശക്തമായ പാസ്uവേഡുകൾ ഉപയോഗിക്കാൻ സിസ്റ്റത്തെ നിർബന്ധിക്കുക.

password required pam_pwquality.so retry=3

മുകളിലെ വരി ചേർക്കുമ്പോൾ, നൽകിയ പാസ്uവേഡിൽ abcd പോലെയുള്ള ഒരു ഏകതാന ശ്രേണിയിൽ 3-ൽ കൂടുതൽ പ്രതീകങ്ങളും 1111 പോലെയുള്ള 3-ലധികം തുടർച്ചയായ പ്രതീകങ്ങളും അടങ്ങിയിരിക്കരുത്.

എല്ലാ തരത്തിലുമുള്ള പ്രതീകങ്ങൾ ഉൾപ്പെടെ, കുറഞ്ഞത് 8 പ്രതീകങ്ങളുള്ള ഒരു പാസ്uവേഡ് ഉപയോഗിക്കാൻ ഉപയോക്താക്കളെ നിർബന്ധിക്കുന്നതിന്, പ്രതീക ശ്രേണികൾക്കായുള്ള ശക്തി-പരിശോധനം, തുടർച്ചയായ പ്രതീകങ്ങൾ എന്നിവ /etc/security/pwqualitty.conf ഫയലിലേക്ക് ഇനിപ്പറയുന്ന വരികൾ ചേർക്കുക.

minlen = 8
minclass = 4
maxsequence = 3
maxrepeat = 3

26. പാസ്uവേഡ് ഏജിംഗ് ഉപയോഗിക്കുക

ഉപയോക്തൃ പാസ്uവേഡ് പ്രായമാകുന്നതിന് ചേജ് കമാൻഡ് ഉപയോഗിക്കാം. ഒരു ഉപയോക്താവിന്റെ പാസ്uവേഡ് 45 ദിവസത്തിനുള്ളിൽ കാലഹരണപ്പെടുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:

# chage -M 45 username

പാസ്uവേഡ് കാലഹരണപ്പെടുന്ന സമയം പ്രവർത്തനരഹിതമാക്കാൻ കമാൻഡ് ഉപയോഗിക്കുക:

# chage -M -1 username

ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിച്ച് ഉടനടി പാസ്uവേഡ് കാലഹരണപ്പെടൽ നിർബന്ധമാക്കുക (അടുത്ത ലോഗിൻ ചെയ്യുമ്പോൾ ഉപയോക്താവ് പാസ്uവേഡ് മാറ്റണം):

# chage -d 0 username

27. അക്കൗണ്ടുകൾ ലോക്ക് ചെയ്യുക

passwd അല്ലെങ്കിൽ usermod കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്തുകൊണ്ട് ഉപയോക്തൃ അക്കൗണ്ടുകൾ ലോക്ക് ചെയ്യാൻ കഴിയും:

# passwd -l username
# usermod -L username

അക്കൗണ്ടുകൾ അൺലോക്ക് ചെയ്യുന്നതിന് passwd കമാൻഡിനായി -u ഓപ്ഷനും usermod-ന് -U ഓപ്ഷനും ഉപയോഗിക്കുക.

28. അക്കൗണ്ട്സ് ഷെൽ ആക്സസ് തടയുക

ഒരു ബാഷ് ഷെല്ലിലേക്ക് ആക്uസസ് ലഭിക്കുന്നതിന് ഒരു സിസ്റ്റം അക്കൗണ്ട് (സാധാരണ അക്കൗണ്ട് അല്ലെങ്കിൽ സേവന അക്കൗണ്ട്) തടയുന്നതിന്, ചുവടെയുള്ള കമാൻഡ് നൽകി /etc/passwd ഫയലിലെ റൂട്ട് ഷെൽ /usr/sbin/nologin അല്ലെങ്കിൽ /bin/false ആയി മാറ്റുക:

# usermod -s /bin/false username

ഒരു പുതിയ ഉപയോക്താവിനെ സൃഷ്ടിക്കുമ്പോൾ ഷെൽ മാറ്റുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡ് നൽകുക:

# useradd -s /usr/sbin/nologin username

29. vlock ഉപയോഗിച്ച് വെർച്വൽ യൂസർ കൺസോൾ ലോക്ക് ചെയ്യുക

ലിനക്സ് കൺസോളിൽ ഒന്നിലധികം സെഷൻ ലോക്ക് ചെയ്യുന്നതിന് ഉപയോഗിക്കുന്ന ഒരു പ്രോഗ്രാമാണ് vlock. പ്രോഗ്രാം ഇൻസ്റ്റാൾ ചെയ്ത് താഴെ പറയുന്ന കമാൻഡുകൾ പ്രവർത്തിപ്പിച്ച് നിങ്ങളുടെ ടെർമിനൽ സെഷൻ ലോക്ക് ചെയ്യാൻ ആരംഭിക്കുക:

# yum install vlock
# vlock

30. അക്കൗണ്ടുകളും പ്രാമാണീകരണവും നിയന്ത്രിക്കുന്നതിന് ഒരു കേന്ദ്രീകൃത സിസ്റ്റം ഉപയോഗിക്കുക

ഒരു കേന്ദ്രീകൃത പ്രാമാണീകരണ സംവിധാനം ഉപയോഗിക്കുന്നത് അക്കൗണ്ട് മാനേജ്മെന്റും നിയന്ത്രണവും വളരെ ലളിതമാക്കും. IPA സെർവർ, LDAP, Kerberos, Microsoft Active Directory, Nis, Samba ADS അല്ലെങ്കിൽ Winbind എന്നിവയാണ് ഇത്തരത്തിലുള്ള അക്കൗണ്ട് മാനേജ്uമെന്റ് വാഗ്ദാനം ചെയ്യുന്ന സേവനങ്ങൾ.

ഈ സേവനങ്ങളിൽ ചിലത് ക്രിപ്uറ്റോഗ്രാഫിക് പ്രോട്ടോക്കോളുകളും കെർബറോസ് പോലുള്ള സമമിതി-കീ ക്രിപ്uറ്റോഗ്രഫിയും ഉപയോഗിച്ച് ഡിഫോൾട്ടായി വളരെ സുരക്ഷിതമാണ്.

31. യുഎസ്ബി മീഡിയയുടെ നിർബന്ധിത വായന-മാത്രം മൗണ്ടിംഗ്

ബ്ലോക്ക്uദേവ് യൂട്ടിലിറ്റി ഉപയോഗിച്ച്, നീക്കം ചെയ്യാവുന്ന എല്ലാ മീഡിയയും റീഡ്-ഒൺലി ആയി മൌണ്ട് ചെയ്യാൻ നിങ്ങൾക്ക് നിർബന്ധിക്കാം. ഉദാഹരണത്തിന്, ഇനിപ്പറയുന്ന ഉള്ളടക്കമുള്ള /etc/udev/rules.d/ ഡയറക്uടറിയിൽ 80-readonly-usb.rules എന്ന പേരിൽ ഒരു പുതിയ udev കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്uടിക്കുക:

SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"

തുടർന്ന്, താഴെ പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിയമം പ്രയോഗിക്കുക:

# udevadm control -reload

32. TTY വഴി റൂട്ട് ആക്സസ് അപ്രാപ്തമാക്കുന്നു

എല്ലാ കൺസോൾ ഉപകരണങ്ങളിലൂടെയും (TTY) സിസ്റ്റം ലോഗിൻ ചെയ്യുന്നതിൽ നിന്ന് റൂട്ട് അക്കൗണ്ട് തടയുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ടെർമിനൽ പ്രോംപ്റ്റ് റൂട്ടായി ടൈപ്പ് ചെയ്ത് സെക്യൂരിറ്റി ഫയലിലെ ഉള്ളടക്കങ്ങൾ മായ്uക്കുക.

# cp /etc/securetty /etc/securetty.bak
# cat /dev/null > /etc/securetty

SSH ലോഗിൻ സെഷനുകൾക്ക് ഈ നിയമം ബാധകമല്ലെന്ന് ഓർക്കുക
SSH വഴിയുള്ള റൂട്ട് ലോഗിൻ തടയുന്നതിന് /etc/ssh/sshd_config ഫയൽ എഡിറ്റ് ചെയ്ത് താഴെയുള്ള വരി ചേർക്കുക:

PermitRootLogin no

33. സിസ്റ്റം അനുമതികൾ വികസിപ്പിക്കുന്നതിന് POSIX ACL-കൾ ഉപയോഗിക്കുക

ആക്uസസ് കൺട്രോൾ ലിസ്റ്റുകൾക്ക് ഒരൊറ്റ ഉപയോക്താവിനോ ഗ്രൂപ്പിനോ മാത്രമല്ല, പ്രോഗ്രാമുകൾ, പ്രോസസ്സുകൾ, ഫയലുകൾ, ഡയറക്uടറികൾ എന്നിവയ്ക്കുള്ള അവകാശങ്ങൾ വ്യക്തമാക്കാനും കഴിയും. നിങ്ങൾ ഒരു ഡയറക്uടറിയിൽ ACL സജ്ജീകരിക്കുകയാണെങ്കിൽ, അതിന്റെ പിൻഗാമികൾക്ക് സ്വയമേവ അതേ അവകാശങ്ങൾ ലഭിക്കും.

ഉദാഹരണത്തിന്,

# setfacl -m u:user:rw file
# getfacl file

34. എൻഫോഴ്സ് മോഡിൽ SELinux സജ്ജീകരിക്കുക

എല്ലാ ഉപയോക്താക്കൾക്കും പ്രോഗ്രാമുകൾക്കും പ്രോസസ്സുകൾക്കും ഫയലുകൾക്കും ഉപകരണങ്ങൾക്കും ഗ്രാനുലാർ അനുമതികൾ നൽകുന്ന ഒരു സുരക്ഷാ നയം നിർവചിക്കാൻ ഉപയോക്താക്കളെ അനുവദിക്കുന്ന, ലിനക്സ് കേർണലിലേക്കുള്ള SELinux മെച്ചപ്പെടുത്തൽ നിർബന്ധിത ആക്സസ് കൺട്രോൾ (MAC) നയം നടപ്പിലാക്കുന്നു.

കേർണലിന്റെ ആക്സസ് കൺട്രോൾ തീരുമാനങ്ങൾ എല്ലാ സുരക്ഷാ-പ്രസക്തമായ സന്ദർഭത്തെയും അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ആധികാരികതയുള്ള ഉപയോക്തൃ ഐഡന്റിറ്റിയിലല്ല.

Selinux സ്റ്റാറ്റസ് ലഭിക്കുന്നതിനും നയം നടപ്പിലാക്കുന്നതിനും താഴെ പറയുന്ന കമാൻഡുകൾ പ്രവർത്തിപ്പിക്കുക:

# getenforce
# setenforce 1
# sestatus

35. SELinux അധിക യൂട്ടിലിറ്റികൾ ഇൻസ്റ്റാൾ ചെയ്യുക

SELinux പ്രവർത്തിപ്പിക്കുന്നതിന് അധിക പൈത്തൺ യൂട്ടിലിറ്റികൾ നൽകുന്ന policycoreutils-python പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക: audit2allow, audit2why, chcat, and semanage.

എല്ലാ ബൂളിയൻ മൂല്യങ്ങളും ഒരു ചെറിയ വിവരണത്തോടൊപ്പം പ്രദർശിപ്പിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:

# semanage boolean -l

ഉദാഹരണത്തിന്, httpd_enable_ftp_server-ന്റെ മൂല്യം പ്രദർശിപ്പിക്കുന്നതിനും സജ്ജമാക്കുന്നതിനും, താഴെയുള്ള കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:

# getsebool httpd_enable_ftp_server

റീബൂട്ടുകളിലുടനീളം ഒരു ബൂളിയന്റെ മൂല്യം നിലനിൽക്കാൻ, ഇനിപ്പറയുന്ന ഉദാഹരണത്തിൽ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ, setsebool-ലേക്ക് -P ഓപ്ഷൻ വ്യക്തമാക്കുക:

# setsebool -P httpd_enable_ftp_server on

36. കേന്ദ്രീകൃത ലോഗ് സെർവർ ഉപയോഗിക്കുക

സെൻസിറ്റീവ് യൂട്ടിലിറ്റി ലോഗ് സന്ദേശങ്ങൾ ഒരു കേന്ദ്രീകൃത ലോഗ് സെർവറിലേക്ക് അയക്കുന്നതിനായി rsyslog ഡെമൺ കോൺഫിഗർ ചെയ്യുക. കൂടാതെ, ലോഗ് വാച്ച് യൂട്ടിലിറ്റിയുടെ സഹായത്തോടെ ലോഗ് ഫയലുകൾ നിരീക്ഷിക്കുക.

ഒരു റിമോട്ട് സെർവറിലേക്ക് ലോഗ് സന്ദേശങ്ങൾ അയയ്uക്കുന്നത്, സിസ്റ്റം വിട്ടുവീഴ്uച ചെയ്uതുകഴിഞ്ഞാൽ, ക്ഷുദ്ര ഉപയോക്താക്കൾക്ക് അവരുടെ പ്രവർത്തനം പൂർണ്ണമായും മറയ്uക്കാൻ കഴിയില്ല, എല്ലായ്പ്പോഴും വിദൂര ലോഗ് ഫയലുകളിൽ ട്രെയ്uസുകൾ അവശേഷിക്കുന്നു.

37. പ്രോസസ്സ് അക്കൗണ്ടിംഗ് പ്രവർത്തനക്ഷമമാക്കുക

psacct യൂട്ടിലിറ്റി ഇൻസ്റ്റാൾ ചെയ്തുകൊണ്ട് പ്രോസസ്സ് അക്കൌണ്ടിംഗ് പ്രവർത്തനക്ഷമമാക്കുക കൂടാതെ സിസ്റ്റം അക്കൌണ്ടിംഗ് ഫയലിൽ രേഖപ്പെടുത്തിയിരിക്കുന്ന മുമ്പ് എക്സിക്യൂട്ട് ചെയ്ത കമാൻഡുകളെ കുറിച്ചുള്ള വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്നതിന് lastcomm കമാൻഡ് ഉപയോഗിക്കുക, കൂടാതെ സിസ്റ്റം അക്കൌണ്ടിംഗ് ഫയലിൽ രേഖപ്പെടുത്തിയിരിക്കുന്ന മുമ്പ് എക്സിക്യൂട്ട് ചെയ്ത കമാൻഡുകളെക്കുറിച്ചുള്ള വിവരങ്ങൾ സംഗ്രഹിക്കുന്നതിന് sa.

38. ഹാർഡനിംഗ് /etc/sysctl.conf

സിസ്റ്റം പരിരക്ഷിക്കുന്നതിന് ഇനിപ്പറയുന്ന കേർണൽ പാരാമീറ്ററുകൾ നിയമങ്ങൾ ഉപയോഗിക്കുക:

net.ipv4.conf.all.accept_source_route=0

ipv4.conf.all.forwarding=0

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

പ്രത്യേകമായി ആവശ്യമില്ലെങ്കിൽ ICMP റീഡയറക്uട് ചെയ്uത പാക്കറ്റുകളുടെ സ്വീകാര്യതയും അയയ്uക്കലും പ്രവർത്തനരഹിതമാക്കുക.

net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.all.rp_filter=2

എല്ലാ ICMP എക്കോ അഭ്യർത്ഥനകളും അവഗണിക്കുക (പ്രാപ്തമാക്കുന്നതിന് 1 ആയി സജ്ജമാക്കുക)

net.ipv4.icmp_echo_ignore_all = 0

39. സുരക്ഷിതമല്ലാത്ത പൊതു നെറ്റ്uവർക്കുകൾ വഴി നിങ്ങളുടെ പരിസരം ആക്uസസ് ചെയ്യാൻ VPN സേവനങ്ങൾ ഉപയോഗിക്കുക

ഇൻറർനെറ്റിലൂടെ LAN പരിസരം വിദൂരമായി ആക്uസസ് ചെയ്യാൻ കാരിയറുകൾക്കായി എപ്പോഴും VPN സേവനങ്ങൾ ഉപയോഗിക്കുക. Epel Repositories പോലുള്ള ഒരു സ്വതന്ത്ര ഓപ്പൺ സോഴ്സ് സൊല്യൂഷൻ ഉപയോഗിച്ച് ഇത്തരം സേവനങ്ങൾ ക്രമീകരിക്കാവുന്നതാണ്).

40. ബാഹ്യ സിസ്റ്റം സ്കാൻ നടത്തുക

ഇനിപ്പറയുന്നതുപോലുള്ള നിർദ്ദിഷ്uട ടൂളുകൾ ഉപയോഗിച്ച് നിങ്ങളുടെ LAN മുഖേനയുള്ള റിമോട്ട് പോയിന്റുകളിൽ നിന്ന് സിസ്റ്റം സ്uകാൻ ചെയ്uത് കേടുപാടുകൾക്കായി നിങ്ങളുടെ സിസ്റ്റം സുരക്ഷ വിലയിരുത്തുക:

  1. Nmap – നെറ്റ്uവർക്ക് സ്കാനർ 29 Nmap കമാൻഡിന്റെ ഉദാഹരണങ്ങൾ
  2. Nessus - സുരക്ഷാ സ്കാനർ
  3. ഓപ്പൺവാസ് - കേടുപാടുകൾക്കായി സ്കാൻ ചെയ്യുന്നതിനും സമഗ്രമായ കേടുപാടുകൾ കൈകാര്യം ചെയ്യുന്നതിനും ഉപയോഗിക്കുന്നു.
  4. നിക്ടോ - ഒരു മികച്ച കോമൺ ഗേറ്റ്uവേ ഇന്റർഫേസ് (CGI) സ്uക്രിപ്റ്റ് സ്കാനർ ലിനക്സിൽ വെബ് ദുർബലത സ്കാൻ ചെയ്യുക

41. സിസ്റ്റം ആന്തരികമായി സംരക്ഷിക്കുക

വൈറസുകൾ, റൂട്ട്uകിറ്റുകൾ, ക്ഷുദ്രവെയർ എന്നിവയ്uക്കെതിരായ ആന്തരിക സിസ്റ്റം പരിരക്ഷണം ഉപയോഗിക്കുക, കൂടാതെ, ഒരു നല്ല ശീലമെന്ന നിലയിൽ, അനധികൃത പ്രവർത്തനം (DDOS ആക്രമണങ്ങൾ, പോർട്ട് സ്കാനുകൾ) കണ്ടെത്താനാകുന്ന നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങൾ ഇൻസ്റ്റാൾ ചെയ്യുക:

  1. AIDE - അഡ്വാൻസ്ഡ് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ എൻവയോൺമെന്റ് - http://aide.sourceforge.net/
  2. ClamAV – Antivirus Scanner https://www.clamav.net
  3. Rkhunter – Rootkit Scanner
  4. Lynis - Linux-നുള്ള സുരക്ഷാ ഓഡിറ്റിംഗ്, സ്കാനിംഗ് ടൂൾ
  5. ട്രിപ്പ്uവയർ - സുരക്ഷയും ഡാറ്റ സമഗ്രതയും http://www.tripwire.com/
  6. Fail2Ban - നുഴഞ്ഞുകയറ്റ നെറ്റ്uവർക്ക് തടയൽ
  7. OSSEC – (HIDS) ഹോസ്റ്റ് അധിഷ്uഠിത ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റം http://ossec.github.io/
  8. Mod_Security – ബ്രൂട്ട് ഫോഴ്സ് അല്ലെങ്കിൽ DDoS ആക്രമണങ്ങൾ സംരക്ഷിക്കുക

42. ഉപയോക്തൃ പരിസ്ഥിതി വേരിയബിളുകൾ പരിഷ്ക്കരിക്കുക

ചുവടെയുള്ള കമാൻഡ് നൽകി കമാൻഡ് എക്uസിക്യൂഷൻ സംഭരിക്കാൻ തീയതിയും സമയ ഫോർമാറ്റും ചേർക്കുക:

# echo 'HISTTIMEFORMAT="%d/%m/%y  %T  "' >> .bashrc'

ഓരോ തവണയും ഒരു കമാൻഡ് ടൈപ്പ് ചെയ്യുമ്പോൾ HISTFILE തൽക്ഷണം രേഖപ്പെടുത്താൻ നിർബന്ധിക്കുക (ലോഗൗട്ടിന് പകരം):

# echo ‘PROMPT_COMMAND="history -a"’ >> .bashrc

ടൈംഔട്ട് ലോഗിൻ സെഷൻ പരിമിതപ്പെടുത്തുക. നിഷ്uക്രിയ കാലയളവിൽ ഒരു പ്രവർത്തനവും നടക്കാത്തപ്പോൾ ഷെൽ സ്വയമേവ കീറുക. SSH സെഷനുകൾ സ്വയമേവ വിച്ഛേദിക്കാൻ വളരെ ഉപയോഗപ്രദമാണ്.

# echo ‘TMOUT=120’ >> .bashrc

നടപ്പിലാക്കുന്നതിലൂടെ എല്ലാ നിയമങ്ങളും പ്രയോഗിക്കുക:

# source .bashrc

43. ബാക്കപ്പ് ഡാറ്റ

നിങ്ങളുടെ സിസ്റ്റത്തിന്റെ ഒരു പകർപ്പ് സംഭരിക്കുന്നതിന് എൽവിഎം സ്നാപ്പ്ഷോട്ടുകളും മറ്റും ഉപയോഗിക്കുക, സിസ്റ്റം തകരാറിലാണെങ്കിൽ ഓഫ്സൈറ്റ്.

സിസ്റ്റം വിട്ടുവീഴ്ച ചെയ്യപ്പെടുകയാണെങ്കിൽ, മുമ്പത്തെ ബാക്കപ്പുകളിൽ നിന്ന് നിങ്ങൾക്ക് ഡാറ്റ പുനഃസ്ഥാപിക്കാൻ കഴിയും.

അവസാനമായി, നിങ്ങളുടെ സിസ്റ്റം സുരക്ഷിതമായി നിലനിർത്താൻ നിങ്ങൾ എത്ര സുരക്ഷാ നടപടികളും വിരുദ്ധ നടപടികളും സ്വീകരിച്ചാലും, നിങ്ങളുടെ മെഷീൻ പ്ലഗ്-ഇൻ ചെയ്uത് പവർ-ഓൺ ചെയ്യുന്നിടത്തോളം നിങ്ങൾ ഒരിക്കലും 100% പൂർണ്ണമായും സുരക്ഷിതരായിരിക്കില്ല.