I 50 migliori consigli per la sicurezza rafforzata di Linux: una lista di controllo completa

Linux alimenta la maggior parte del web e una notevole quantità di workstation in tutto il mondo. Uno dei motivi principali alla base della crescente popolarità dei sistemi Linux e BSD è la loro solida politica in materia di sicurezza. I sistemi Linux sono intrinsecamente difficili da decifrare a causa dei principi di progettazione sottostanti. Tuttavia, nessun sistema è indistruttibile e se non rafforzi la tua workstation o il tuo server Linux alla pari con gli standard più recenti, potresti cadere vittima di vari tipi di attacchi e/o violazione dei dati. Ecco perché abbiamo delineato 50 suggerimenti per il rafforzamento di Linux che ti aiuteranno ad aumentare la sicurezza del tuo server al livello successivo.

La sicurezza è diventata parte integrante del mondo informatico. Di conseguenza, è fondamentale rafforzare la workstation personale e la sicurezza del server. Quindi continua a leggere e incorpora il più possibile i suggerimenti seguenti per aumentare la sicurezza della tua macchina Linux.

Documentare le informazioni dell'host può diventare estremamente utile a lungo termine. Se intendi mantenere lo stesso sistema nel corso del tempo, è probabile che prima o poi le cose diventeranno confuse. Tuttavia, se documenti la tua workstation o server fin dal giorno della sua installazione, avrai un'idea solida dell'infrastruttura complessiva del sistema e delle politiche adottate.

Includere le seguenti informazioni sul sistema nella documentazione. Sentiti libero di aggiungere alcuni extra in base ai requisiti del tuo server.

Dovresti proteggere il tuo BIOS utilizzando una password appropriata in modo che altri utenti non possano accedere o modificare le impostazioni. Poiché è piuttosto semplice accedere al menu del BIOS nelle moderne schede madri, gli utenti finali possono sovrascrivere le impostazioni esistenti e manipolare configurazioni sensibili.

Inoltre, gli utenti possono anche utilizzare sistemi avviabili per accedere ai dati dell'host. Ciò potrebbe anche rappresentare una minaccia per l'integrità del tuo server. È possibile disabilitare del tutto i dispositivi USB utilizzando il seguente comando.

L'avvio USB può anche essere disattivato dal menu BIOS. Tuttavia, ciò non è obbligatorio se si utilizza una workstation personale a cui non possono accedere altri utenti.

La crittografia dell'archiviazione su disco può rivelarsi estremamente vantaggiosa a lungo termine. Eviterà la fuga di dati in caso di furto o intrusione di terzi. Fortunatamente, esiste un’ampia varietà di strumenti di crittografia Linux che rendono questo compito senza problemi per gli amministratori.

Inoltre, le moderne distribuzioni Linux offrono agli amministratori la possibilità di crittografare il proprio filesystem Linux durante il processo di installazione. Tuttavia, dovresti sapere che la crittografia può influire sulla velocità effettiva delle prestazioni e probabilmente renderà difficile il ripristino dei dati.

Poiché i dati trasmessi sulla rete possono essere facilmente acquisiti e analizzati utilizzando strumenti di sicurezza open source, la crittografia dei dati dovrebbe essere la tua massima priorità durante il processo di rafforzamento di Linux. Molti strumenti di comunicazione dati legacy non utilizzano una crittografia adeguata e quindi potrebbero lasciare i tuoi dati vulnerabili.

Dovresti sempre utilizzare servizi di comunicazione sicuri come ssh, scp, rsync o sftp per il trasferimento remoto dei dati. Linux consente inoltre agli utenti di montare filesystem remoti utilizzando strumenti speciali come fuse o sshfs. Prova a utilizzare la crittografia GPG per crittografare e firmare i tuoi dati. Altri strumenti Linux che offrono servizi di crittografia dei dati includono OpenVPN, Lighthttpd SSL, Apache SSL e Let's Encrypt.

Un gran numero di programmi Unix legacy non forniscono la sicurezza essenziale durante la trasmissione dei dati. Questi includono FTP, Telnet, rlogin e rsh. Non importa se stai proteggendo il tuo server Linux o il tuo sistema personale, smetti di usare questi servizi per sempre.

Puoi utilizzare altre alternative per questo tipo di attività di trasferimento dati. Ad esempio, servizi come OpenSSH, SFTP o FTPS assicurano che la trasmissione dei dati avvenga su un canale sicuro. Alcuni di essi utilizzano crittografie SSL o TLS per rafforzare la comunicazione dei dati. Puoi utilizzare i comandi seguenti per rimuovere servizi legacy come NIS, telnet e rsh dal tuo sistema.

Utilizza il primo comando per distribuzioni basate su RPM come RHEL e Centos o qualsiasi sistema che utilizza il gestore pacchetti yum. Il secondo comando funziona su sistemi basati su Debian/Ubuntu.