Phenquestions
| Het beleid | Thuisgebruiker | Server |
| SSH uitschakelen | ✔ | X |
| SSH-roottoegang uitschakelen | X | ✔ |
| SSH-poort wijzigen | X | ✔ |
| SSH-wachtwoordaanmelding uitschakelen | X | ✔ |
| Iptables | ✔ | ✔ |
| IDS (Inbraakdetectiesysteem) | X | ✔ |
| BIOS-beveiliging | ✔ | ✔ |
| Schijfversleuteling | ✔ | x/✔ |
| Systeem update | ✔ | ✔ |
| VPN (virtueel privénetwerk) | ✔ | X |
| SELinux inschakelen | ✔ | ✔ |
| Algemene praktijken Practice | ✔ | ✔ |
- SSH-toegang
- Firewall (iptables)
- Inbraakdetectiesysteem (IDS)
- BIOS-beveiliging
- Versleuteling van de harde schijf
- Systeem update
- VPN (virtueel privénetwerk)
- SELinux inschakelen (Security-Enhanced Linux)
- Algemene praktijken Practice
SSH-toegang
Thuisgebruikers:
Thuisgebruikers gebruiken niet echt ssh, dynamische IP-adressen en router NAT-configuraties maakten alternatieven met omgekeerde verbinding zoals TeamViewer aantrekkelijker. Wanneer een service niet wordt gebruikt, moet de poort worden gesloten door zowel de service uit te schakelen of te verwijderen als door beperkende firewallregels toe te passen.
Servers:
In tegenstelling tot thuisgebruikers die toegang hebben tot verschillende servers, zijn netwerkbeheerders frequente ssh/sftp-gebruikers. Als u uw ssh-service ingeschakeld moet houden, kunt u de volgende maatregelen nemen:
- Schakel root-toegang uit via SSH.
- Wachtwoordaanmelding uitschakelen.
- Wijzig de SSH-poort.
Algemene SSH-configuratie-opties Ubuntu
Iptables
Iptables is de interface om netfilter te beheren om firewallregels te definiëren. Thuisgebruikers kunnen overgaan op UFW (Uncomplicated Firewall), een frontend voor iptables om het maken van firewallregels gemakkelijk te maken. Onafhankelijk van de interface is het punt direct na de installatie dat de firewall een van de eerste wijzigingen is die moet worden toegepast. Afhankelijk van uw desktop- of serverbehoeften, zijn de meest aanbevolen voor beveiligingsproblemen een restrictief beleid dat alleen toestaat wat u nodig heeft en de rest blokkeert. Iptables zal worden gebruikt om de SSH-poort 22 om te leiden naar een andere, om onnodige poorten te blokkeren, services te filteren en regels in te stellen voor bekende aanvallen.
Kijk voor meer informatie over iptables op: Iptables voor beginners
Inbraakdetectiesysteem (IDS)
Vanwege de hoge middelen die ze nodig hebben, worden IDS niet gebruikt door thuisgebruikers, maar ze zijn een must op servers die worden blootgesteld aan aanvallen. IDS brengt de beveiliging naar een hoger niveau door pakketten te analyseren. De meest bekende IDS zijn Snort en OSSEC, beide eerder uitgelegd op LinuxHint. IDS analyseert verkeer over het netwerk op zoek naar kwaadaardige pakketten of afwijkingen, het is een netwerkbewakingstool gericht op beveiligingsincidenten. Voor instructies over installatie en configuratie voor de 2 meest populaire IDS-oplossingen, kijk op: Snort IDS configureren en Regels maken
Aan de slag met OSSEC (Intrusion Detection System)
BIOS-beveiliging
Rootkits, malware en server-BIOS met externe toegang vormen extra kwetsbaarheden voor servers en desktops. Het BIOS kan worden gehackt via code die wordt uitgevoerd vanuit het besturingssysteem of via updatekanalen om ongeautoriseerde toegang te krijgen of informatie zoals beveiligingsback-ups te vergeten.
BIOS-updatemechanismen up-to-date houden. BIOS-integriteitsbescherming inschakelen.
Het opstartproces begrijpen - BIOS versus UEFI
Harde schijf versleuteling
Dit is een maatregel die relevanter is voor desktopgebruikers die hun computer kunnen verliezen of slachtoffer kunnen worden van diefstal, het is vooral handig voor laptopgebruikers. Tegenwoordig ondersteunt bijna elk besturingssysteem Schijf- en partitieversleuteling, distributies zoals Debian maken het mogelijk om de harde schijf te versleutelen tijdens het installatieproces. Voor instructies over schijfversleuteling controleren: Een schijf versleutelen op Ubuntu 18.04
Systeem update
Zowel desktopgebruikers als systeembeheerders moeten het systeem up-to-date houden om te voorkomen dat kwetsbare versies ongeautoriseerde toegang of uitvoering bieden. Naast het gebruik van de door het besturingssysteem geleverde pakketbeheerder om te controleren op beschikbare updates, kan het uitvoeren van kwetsbaarheidsscans helpen om kwetsbare software te detecteren die niet is bijgewerkt in officiële repositories of kwetsbare code die moet worden herschreven. Hieronder enkele tutorials over updates:
- Hoe Ubuntu 17 . te behouden.10 up-to-date
- Linux Mint Systeem bijwerken
- Hoe alle pakketten op elementaire OS te updaten
VPN (virtueel privénetwerk)
Internetgebruikers moeten zich ervan bewust zijn dat ISP's al hun verkeer controleren en de enige manier om dit te betalen is het gebruik van een VPN-service. De ISP kan het verkeer naar de VPN-server controleren, maar niet van de VPN naar bestemmingen. Vanwege snelheidsproblemen zijn betaalde services het meest aan te bevelen, maar er zijn gratis goede alternatieven zoals https://protonvpn.com/.
- Beste Ubuntu-VPN
- Hoe OpenVPN op Debian 9 te installeren en configureren
SELinux inschakelen (Security-Enhanced Linux)
SELinux is een set van de Linux Kernel-aanpassingen gericht op het beheren van beveiligingsaspecten met betrekking tot beveiligingsbeleid door toevoeging van MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) en Multi Category Security (MCS). Wanneer SELinux is ingeschakeld, heeft een applicatie alleen toegang tot de bronnen die het nodig heeft, gespecificeerd in een beveiligingsbeleid voor de applicatie. Toegang tot poorten, processen, bestanden en mappen wordt beheerd door regels die zijn gedefinieerd op SELinux die bewerkingen toestaan of weigeren op basis van het beveiligingsbeleid. Ubuntu gebruikt AppArmor als alternatief.
- SELinux op Ubuntu-zelfstudie
Algemene praktijken Practice
Bijna altijd zijn beveiligingsfouten te wijten aan nalatigheid van de gebruiker. Volg naast alle eerder genoemde punten de volgende werkwijzen:
- Gebruik geen root tenzij nodig.
- Gebruik nooit X Windows of browsers als root.
- Gebruik wachtwoordmanagers zoals LastPass.
- Gebruik alleen sterke en unieke wachtwoorden.
- Probeer niet om niet-vrije pakketten of pakketten te installeren die niet beschikbaar zijn in officiële repositories.
- Ongebruikte modules uitschakelen.
- Op servers sterke wachtwoorden afdwingen en voorkomen dat gebruikers oude wachtwoorden gebruiken.
- Ongebruikte software verwijderen.
- Gebruik niet dezelfde wachtwoorden voor verschillende toegangen.
- Alle standaard toegangsgebruikersnamen wijzigen.
| Het beleid | Thuisgebruiker | Server |
| SSH uitschakelen | ✔ | X |
| SSH-roottoegang uitschakelen | X | ✔ |
| SSH-poort wijzigen | X | ✔ |
| SSH-wachtwoordaanmelding uitschakelen | X | ✔ |
| Iptables | ✔ | ✔ |
| IDS (Inbraakdetectiesysteem) | X | ✔ |
| BIOS-beveiliging | ✔ | ✔ |
| Schijfversleuteling | ✔ | x/✔ |
| Systeem update | ✔ | ✔ |
| VPN (virtueel privénetwerk) | ✔ | X |
| SELinux inschakelen | ✔ | ✔ |
| Algemene praktijken Practice | ✔ | ✔ |
Ik hoop dat je dit artikel nuttig vond om je veiligheid te vergroten. Blijf Linux volgen Hint voor meer tips en updates over Linux en netwerken.
