Miesiąc: czerwiec 2020

Bezpieczeństwo systemu linux

Bezpieczeństwo serwera Linux, czyli jak zrobić podstawowy audyt bezpieczeństwa na serwerze?

Bezpieczeństwo serwera Linux. Podstawowym pytaniem, które powinniśmy sobie zadać nim serwer stanie się „produkcyjny” to – czy jest bezpieczny? Na to pytanie ciężko samodzielnie odpowiedzieć, szczególnie bez odpowiedniej znajomości tajników bezpieczeństwa.

Można podstawowo dać jakiś firewall, może zmiana portu SSH, logowanie tylko za pomocą klucza i root zablokowany? Aktualny soft, kernel i podobne rzeczy? No nie zawsze. Czasem też zapominam, że stawiając nowy serwer należy zabezpieczyć jeszcze kilkanaście innych rzeczy, dodać odpowiednie oprogramowanie, które nam ułatwi pracę. Takim narzędziem, które pozwoli nam sprawdzić stan bezpieczeństwa serwera będzie na pewno Lynis.

Audyt bezpieczeństwa dla nowicjuszy?

Wiele stron WWW oferuje przeprowadzenie audytu bezpieczeństwa. Zazwyczaj polega to na sprawdzeniu, czy strony WWW mają SSL, aktualne oprogramowanie (o ile o tym informujemy) i jeszcze kilka błahostek. Niestety nie daje to nie tylko porad jak poprawić bezpieczeństwo, to często nawet nie tyka kwestii samego systemu operacyjnego.

Firma Cisofy wydała oprogramowanie, które w przyjemny sposób przeprowadza podstawowy audyt bezpieczeństwa serwera, daje wskazówki co i jak poprawić. Jest to świetne i przyjemne narzędzie w celu poprawy bezpieczeństwa serwera, którego chcemy użyć do jakiś produkcyjnych czynności.

Instalacja Lynis

Instalacja jest prosta i przyjemna.

Repozytorium
apt-get install lynis # Debian/Ubuntu
yum install lynis # CentOS/RHEL/Fedora
zypper install lynis # openSUSE

W przypadku CentOS 7 trzeba przykładowo dodać repozytorium, zaktualizować i restartować:

sudo yum install epel-release -y
sudo yum update -y
sudo shutdown -r now
Git

Przechodzimy do lokalizacji

cd /usr/local
git clone https://github.com/CISOfy/lynis
cd lynis
lynis audit system

Więcej sposobów na instalację znajdziecie w dokumentacji.

Jak to działa?

Lynis dzięki wbudowanym narzędziom sprawdza poziom bezpieczeństwa. Weryfikuje konfigurację SSH, uprawnienia, antywirusy i wiele innych rzeczy (nawet porty USB) pod kątem zagrożeń.

By uruchomić taki audyt, wystarczy wpisać komendę:

lynis audit system

Po przeprowadzeniu szeregu testów, otrzymamy sporą ilość informacji, wraz z zapisaniem do logów tego testu.

Więcej informacji można otrzymać w dokumentacji.

centos kernel

Kernel w CentOS 7 – Jak zainstalować najnowsze jądro systemu Linux

Jedną z ważniejszych rzeczy w przypadku administracji, czy jakiejkolwiek pracy programistycznej jest posiadanie zawsze najnowszej możliwej wersji środowiska, biblioteki, aplikacji. Pozwala to uniknąć późniejszego długu technologicznego, który może urosnąć do niebotycznych rozmiarów. Jednym z takich komponentów jest Kernel i w tym poradniku ułatwię aktualizację go.

Kernel – Instalacja najnowszego dostępnego

Pierwszą rzeczą jest importowanie tzw. elrepo. Jest to repozytorium, w którym znajduje się również paczka z kernelem. Jest to bardzo prosta operacja, gdyż najpierw importujemy klucz GPG, następnie pobieramy repozytorium i je instalujemy. Kolejnym krokiem jest aktualizacja listy dostępnych pakietów w repozytorium i ostatni etap – instalacja.

rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-3.el7.elrepo.noarch.rpm
yum --disablerepo="\*" --enablerepo="elrepo-kernel" list available
yum --enablerepo=elrepo-kernel install kernel-ml

Po całej operacji możemy już bez przeszkód skorzystać z naszego kernela.

Jednakże standardowo zawsze uruchamia się ostatni używany kernel. Czasem jest to upierdliwe np.: podczas pracy przy serwerze, więc ustawimy, by zawsze uruchamiało się najnowsze jądro.

W tym celu musimy edytować plik grub. Ja w tym celu użyłem polecenia vi:

vi /etc/default/grub

We wspomnianym pliku musimy odnaleźć i edytować linijkę z wpisem: GRUB_DEFAULT=saved i zamiast saved, ustawimy wartość 0.

Przykładowy wpis z tego pliku:

GRUB_TIMEOUT=5
GRUB_DEFAULT=0
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="rd.lvm.lv=centos/root rd.lvm.lv=centos/swap crashkernel=auto rhgb quiet"
GRUB_DISABLE_RECOVERY="true"

i ponownie przygotujmy konfigurację GRUB’a:

grub2-mkconfig -o /boot/grub2/grub.cfg

Ostatnią operacją jest ponowne uruchomienie serwera i sprawdzenie wersji kernela komendą: uname -r

symlink

Symlink – co to jest i jak je stworzyć dla Windows i Linux?

Symlink nie raz potrafi uratować nas przed kopiowaniem plików, gdyż zdarzają się sytuacje, gdzie chcemy coś mieć w kilku miejscach na raz w ramach naszej przestrzeni dyskowej. Zrobić to można na kilka sposobów, jedna to przykładowo posiadać kopie w kilku miejscach, a inne – wykorzystać symlinki. Czym one są?

Powered by WordPress & Theme by Anders Norén

Ja tylko nieśmiało zapytam, czy może chciałbyś/chciałabyś być na bieżąco z naszym blogiem? Jeśli tak to zapisz się na nasz newsletter :)

Dołącz do newslettera, by być na bieżąco!

Jeśli chcesz być na bieżąco z blogiem, otrzymywać świetne porady dot. programowania i administracji serwerami, opinie w temacie gier - dołącz do newslettera!

Raz na jakiś czas wyślę Ci informację nt. bloga, a także będę wysyłać ekskluzywne materiały techniczne!

Nie czekaj i dołącz!

Dołączając do newslettera, akceptujesz naszą politykę prywatności!