Viktigt steg för Linux-systemhärdning
Kärna säkerhetshärdande praxis
- Regelbundna systemuppdateringar: Håll operativsystemet, kärnan och alla installerade programvarupaket aktuella. Applicera omedelbart säkerhetskorrigeringar för att åtgärda kända sårbarheter och buggar.
- Starka autentiseringsåtgärder:
- Tillämpa komplexa lösenordspolicyer för alla användarkonton.
- Föredra SSH-nyckelbaserad autentisering framför lösenord för fjärråtkomst.
- Inaktivera direkt rotinloggning via SSH.
- Implementera Multi-Factor Authentication (MFA) för kritiska tjänster där det är möjligt.
- Konfigurera en brandvägg: Aktivera och noggrant konfigurera en brandvägg (t.ex. UFW, brandvägg eller nftables). Begränsa inkommande och utgående nätverkstrafik till endast nödvändiga portar och tjänster.
- Minimera programvarans fotavtryck: Ta bort alla onödiga paket, tjänster och demoner. Varje installerad komponent representerar en potentiell attackvektor.
- Säker fil- och katalogbehörigheter: Ställ in de mest restriktiva lämpliga behörigheterna (`chmod`, `chown`) för kritiska systemfiler och kataloger, särskilt de som innehåller känslig konfiguration eller användardata.
- Implementera Intrusion Detection & File Integrity Monitoring (FIM): Implementera ett Intrusion Detection System (IDS) som Snort eller Suricata, och använd FIM-verktyg som AIDE för att upptäcka obehöriga ändringar av systemfiler.
- Omfattande loggning och revision: Konfigurera robust systemloggning (t.ex. "rsyslog", "journald") och använd ett revisionssystem (t.ex. "auditd") för att registrera säkerhetsrelevanta händelser. Granska regelbundet dessa loggar för misstänkta aktiviteter.
- Använd obligatorisk åtkomstkontroll (MAC): Aktivera och korrekt konfigurera ett MAC-system som SELinux eller AppArmor. Detta ger ett extra lager av säkerhet genom att begränsa vilka processer som kan komma åt, även om de körs som root.
- Inaktivera oanvända tjänster: Stäng av eller avinstallera alla nätverkstjänster, demoner eller cron-jobb som inte är nödvändiga för systemets funktion.
- Utför regelbundna säkerhetskopieringar: Implementera en pålitlig säkerhetskopieringsstrategi för alla viktiga data och konfigurationer. Kryptera säkerhetskopior när de lagras utanför platsen.
Jämförelse av Linux-säkerhetsverktyg och metod
| Säkerhetsaspekt | Exempel på verktyg/metod | Primär förmån | Komplexitet | Påverkan på prestanda |
|---|---|---|---|---|
| Nätverksfiltrering | `UFW` / `brandvägg` | Kontrollerar inkommande/utgående nätverksanslutningar | Låg | Minimal |
| Filintegritetsövervakning | `AIDE` / `Tripwire` | Känner av obehöriga ändringar av systemfiler | Medium | Låg (under skanningar) |
| Obligatorisk åtkomstkontroll | `SELinux` / `AppArmor` | Tvingar granulär policybaserad process/filåtkomst | Hög | Moderat |
| Sårbarhetsskanning | `Lynis` / `OpenVAS` | Identifierar felkonfigurationer och svagheter i systemet | Medium | Variabel (under skanningar) |
| Logghantering | `rsyslog` / `journald` | Samlar in, lagrar och hanterar systemloggar | Låg | Låg |
Copyright ©lotcrew.pages.dev 2026