शुरुआत SysAdmins के लिए 10 लिनक्स हार्डनिंग टिप्स

लिनक्स सिस्टम डिजाइन द्वारा सुरक्षित हैं और मजबूत प्रशासन उपकरण प्रदान करते हैं। लेकिन कोई भी प्रणाली कितनी अच्छी तरह से डिज़ाइन की गई है, इसकी सुरक्षा उपयोगकर्ता पर निर्भर करती है।

शुरुआती लोगों को अपनी मशीनों के लिए सर्वोत्तम सुरक्षा नीतियों को खोजने में अक्सर सालों लग जाते हैं। इसलिए हम आपके जैसे नए उपयोगकर्ताओं के लिए इन आवश्यक लिनक्स सख्त युक्तियों को साझा कर रहे हैं। उन्हें एक कोशिश दे।

1. सशक्त पासवर्ड नीतियां लागू करें

पासवर्ड अधिकांश प्रणालियों के लिए प्राथमिक प्रमाणीकरण विधि है। कोई फर्क नहीं पड़ता अगर आप एक घर उपयोगकर्ता या एक पेशेवर हैं, तो ठोस पासवर्ड लागू करना आवश्यक है। सबसे पहले, खाली पासवर्ड अक्षम करें। आप विश्वास नहीं करेंगे कि कितने लोग अभी भी उनका उपयोग करते हैं।

awk -F: '($ 2 == "") {प्रिंट}' / आदि / छाया

उपरोक्त कमांड को रूट के रूप में देखें कि किन खातों में खाली पासवर्ड हैं। यदि आपको कोई खाली पासवर्ड मिला है, तो उपयोगकर्ता को तुरंत लॉक करें। आप निम्न का उपयोग करके ऐसा कर सकते हैं।

passwd -l USERNAME

आप यह भी सुनिश्चित कर सकते हैं कि उपयोगकर्ता पुराने पासवर्ड का उपयोग न कर सकें, यह सुनिश्चित करने के लिए पासवर्ड एजिंग सेट करें अपने टर्मिनल से ऐसा करने के लिए चेज कमांड का उपयोग करें।

chage -l USERNAME

यह आदेश वर्तमान समाप्ति तिथि प्रदर्शित करता है। 30 दिनों के बाद पासवर्ड समाप्ति सेट करने के लिए, नीचे दिए गए आदेश का उपयोग करें। उपयोगकर्ताओं को हो सकता है ऑनलाइन खातों को सुरक्षित रखने के लिए लिनक्स पासवर्ड प्रबंधकों का उपयोग करें.

8 सर्वश्रेष्ठ लिनक्स पासवर्ड प्रबंधक सुरक्षित रहने के लिए

लिनक्स के लिए एक सुरक्षित पासवर्ड मैनेजर की आवश्यकता है? ये ऐप आपके ऑनलाइन पासवर्ड को सुरक्षित रखने और उपयोग करने में आसान हैं।

चेज -एम 30 USERNAME

2. बैकअप आवश्यक डेटा

यदि आप अपने डेटा के बारे में गंभीर हैं, तो नियमित बैकअप सेट करें। इस तरह, भले ही आपका सिस्टम क्रैश हो जाए, आप डेटा को तेजी से रिकवर कर सकते हैं। लेकिन, लिनक्स हार्डनिंग के लिए सही बैकअप विधि चुनना महत्वपूर्ण है।

यदि आप एक घरेलू उपयोगकर्ता हैं, एक हार्ड ड्राइव में डेटा क्लोनिंग पर्याप्त हो सकता है। हालाँकि, उद्यमों को परिष्कृत बैकअप सिस्टम की आवश्यकता होती है जो तेजी से रिकवरी प्रदान करते हैं।

3. विरासत संचार विधियों से बचें

लिनक्स कई दूरस्थ संचार विधियों का समर्थन करता है। लेकिन, टेलनेट, रागिनी और ftp जैसी विरासत यूनिक्स सेवाएं गंभीर सुरक्षा मुद्दों को जन्म दे सकती हैं। इसलिए इनसे बचने की कोशिश करें। आप उनसे जुड़े सुरक्षा मुद्दों को कम करने के लिए उन्हें पूरी तरह से हटा सकते हैं।

apt-get --purge remove xinetd nis tftpd tftpd-hpa telnetd \
> rsh-server rsh-redone-server

यह कमांड उबंटू / डेबियन मशीनों से कुछ व्यापक रूप से उपयोग की गई लेकिन पुरानी सेवाओं को हटा देती है। यदि आप RPM- आधारित प्रणाली का उपयोग कर रहे हैं, तो इसके बजाय निम्नलिखित का उपयोग करें।

yum erase xinetd ypserv tftp-server telnet-server rsh-server

4. सुरक्षित ओपनएसएसएच

SSH प्रोटोकॉल लिनक्स के लिए दूरस्थ संचार की अनुशंसित विधि है। अपने OpenSSH सर्वर (sshd) कॉन्फ़िगरेशन को सुरक्षित करना सुनिश्चित करें। आप ऐसा कर सकते हैं यहाँ SSH सर्वर स्थापित करने के बारे में अधिक जानें.

संपादित करें /etc/ssh/sshd_config ssh के लिए सुरक्षा नीतियों को सेट करने के लिए फ़ाइल। नीचे कुछ सामान्य सुरक्षा नीतियों का उपयोग किया जा सकता है।

PermitRootLogin नहीं # रूट लॉगिन को निष्क्रिय करता है
MaxAuthTries 3 # प्रमाणीकरण प्रयासों को सीमित करता है
PasswordAuthentication नहीं # पासवर्ड प्रमाणीकरण अक्षम करता है
PermitEmptyPasswords no # खाली पासवर्ड निष्क्रिय करता है
X11Forwarding कोई # GUI ट्रांसमिशन अक्षम करता है
डेबियनबैनर नो # डिस्बैलस वर्बोस बैनर
AllowUsers *@XXX.X.XXX.0/24 # उपयोगकर्ताओं को एक आईपी सीमा तक सीमित करता है

5. प्रतिबंधित CRON उपयोग

लिनक्स के लिए CRON एक मजबूत जॉब शेड्यूलर है। यह प्रवेश करने की अनुमति देता है लिनक्स में क्रॉस्टैब का उपयोग करके शेड्यूल टास्क. इस प्रकार, यह प्रतिबंधित करना महत्वपूर्ण है कि कौन CRON नौकरियां चला सकता है। आप निम्नलिखित कमांड का उपयोग करके एक उपयोगकर्ता के लिए सभी सक्रिय क्रॉन्जर्स का पता लगा सकते हैं।

crontab -l -u USERNAME

प्रत्येक उपयोगकर्ता के लिए नौकरियों की जाँच करें कि क्या कोई CRON का शोषण कर रहा है। आप अपने अलावा सभी उपयोगकर्ताओं को crontab का उपयोग करने से रोक सकते हैं। इसके लिए निम्न कमांड चलाएँ।

गूंज $ (whoami) >> /etc/cron.d/cron.allow
# गूंज सभी >> /etc/cron.d/cron.deny

6. PAM मॉड्यूल लागू करें

लिनक्स पीएएम (प्लगगेट ऑथेंटिकेशन मॉड्यूल्स) ऐप और सेवाओं के लिए शक्तिशाली प्रमाणीकरण सुविधाएँ प्रदान करता है। सिस्टम के लॉगिन को सुरक्षित करने के लिए आप विभिन्न PAM नीतियों का उपयोग कर सकते हैं। उदाहरण के लिए, नीचे दिए गए आदेश पासवर्ड पुन: उपयोग को सीमित करते हैं।

# सेंटोस / आरएचईएल
गूंज 'पासवर्ड पर्याप्त pam_unix.so use_authtok md5 छाया याद रखें = 5' >> \
> /etc/pam.d/system-auth
# उबटन / डेबियन
गूंज 'पासवर्ड पर्याप्त pam_unix.so use_authtok md5 छाया याद रखें = 5' >> \
> /etc/pam.d/common-password

वे पासवर्ड के उपयोग को प्रतिबंधित करते हैं जो पिछले पांच हफ्तों के भीतर उपयोग किए गए हैं। कई और पीएएम नीतियां हैं जो सुरक्षा की अतिरिक्त परतें प्रदान करती हैं।

7. अप्रयुक्त पैकेज निकालें

अप्रयुक्त पैकेजों को हटाने से आपकी मशीन पर हमले की सतह कम हो जाती है। तो, हम आपको शायद ही कभी इस्तेमाल किए गए पैकेज को हटाने की सलाह देते हैं। आप नीचे दिए गए आदेशों का उपयोग करके वर्तमान में स्थापित सभी पैकेज देख सकते हैं।

यम सूची # सेंटोस / आरएचईएल स्थापित 
उपयुक्त सूची - # Ubuntu / Debian की स्थापना की

कहते हैं कि आप अप्रयुक्त पैकेज को हटाना चाहते हैं। आप निम्न कमांड को रूट के रूप में चलाकर ऐसा कर सकते हैं।

yum निकालें vlc # CentOS / RHEL
apt remove vlc # उबंटू / डेबियन

8. सुरक्षित कर्नेल पैरामीटर

लिनक्स हार्डनिंग का एक और प्रभावी तरीका कर्नेल मापदंडों को सुरक्षित कर रहा है। आप इन मापदंडों का उपयोग करके कॉन्फ़िगर कर सकते हैं Sysctl या कॉन्फ़िगरेशन फ़ाइल को संशोधित करके। नीचे कुछ सामान्य कॉन्फ़िगरेशन दिए गए हैं।

kernel.randomize_va_space = 2 # mmap, ढेर, और स्टैक के लिए यादृच्छिक पता आधार
कर्नेल आतंक के बाद 10 सेकंड के बाद कर्नेल। पैन = 10 # रिबूट
net.ipv4.icmp_ignore_bogus_error_responses # खराब त्रुटि संदेशों से बचाता है
net.ipv4.ip_forward = 0 # IP अग्रेषण अक्षम करता है
net.ipv4.icmp_ignore_bogus_error_responses = 1 # ICP त्रुटियों को अनदेखा करता है

ये सिर्फ कुछ बुनियादी विन्यास हैं। आप अनुभव के साथ कर्नेल कॉन्फ़िगरेशन के विभिन्न तरीके सीखेंगे।

9. IPtables कॉन्फ़िगर करें

लिनक्स कर्नेल अपने नेटफिल्टर एपीआई के माध्यम से नेटवर्क पैकेट के लिए मजबूत फ़िल्टरिंग तरीके प्रदान करते हैं। आप इस एपीआई के साथ बातचीत करने और नेटवर्क अनुरोधों के लिए कस्टम फ़िल्टर सेट करने के लिए iptables का उपयोग कर सकते हैं। नीचे सुरक्षा-केंद्रित उपयोगकर्ताओं के लिए कुछ बुनियादी iptables नियम दिए गए हैं।

-एक INJUT -J REJECT # सभी इनबाउंड अनुरोधों को अस्वीकार करें
- फॉरवर्ड -j REJECT # ट्रैफ़िक फ़ॉरवर्डिंग को अस्वीकार करें
-एक INPUT -i लो -j ACCEPT
-ऑउटपुत-लो लो -j ACCEPT # लोकलहोस्ट पर ट्रैफिक की अनुमति दें
# पिंग अनुरोधों की अनुमति दें
-आउट-पी icmp -j ACCEPT # आउटगोइंग पिंग्स की अनुमति दें
# स्थापित / संबंधित कनेक्शन की अनुमति दें
-एक INPUT राज्य - राज्य स्थापित, संबंधित -j ACCEPT
ए-आउट-एम राज्य - स्टेट एस्टेट, संबंधित -j एसीसीपीटी
# DNS लुकअप की अनुमति दें
-ऑउटपुत-पी udp -m udp --dport 53 -j ACCEPT
# http / https अनुरोध करने दें
ए-आउट-पी-टीपीसी पीपी -एम टीसीपी -दोपहर state०-एम राज्य - स्टेट न्यू -ज एसीसीपीटी
-एक OUTPUT -p tcp -m tcp
# SSH की अनुमति दें
-एक INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-ऑउटपुत -p tcp -m tcp --dport 22 -j ACCEPT

10. लॉग लॉग करें

आप अपने लिनक्स मशीन की बेहतर समझ बनाने के लिए लॉग का उपयोग कर सकते हैं। आपका सिस्टम ऐप्स और सेवाओं के लिए कई लॉग फ़ाइलों को संग्रहीत करता है। हम यहां जरूरी चीजों की रूपरेखा तैयार कर रहे हैं।

• /var/log/auth.log लॉग ऑन प्राधिकरण प्रयास
• /var/log/daemon.log पृष्ठभूमि एप्लिकेशन लॉग करता है
• / var / log / डीबग लॉग डीबगिंग डेटा
• /var/log/kern.log कर्नेल डेटा लॉग करता है
• / var / log / syslog लॉग सिस्टम डेटा
• / var / log / faillog लॉग विफल लॉगइन

शुरुआती के लिए सर्वश्रेष्ठ लिनक्स हार्डनिंग टिप्स

लिनक्स सिस्टम को सुरक्षित रखना उतना कठिन नहीं है जितना आप सोचते हैं। इस गाइड में बताए गए कुछ टिप्स को अपनाकर आप सुरक्षा को सख्त कर सकते हैं। जैसा कि आप अनुभव प्राप्त करते हैं, तो आप लिनक्स को सुरक्षित करने के अधिक तरीकों को मास्टर करेंगे।

क्रोम ओएस और गूगल क्रोम के लिए 7 आवश्यक गोपनीयता सेटिंग्स

Chrome बुक का उपयोग करना, लेकिन गोपनीयता के बारे में चिंतित हैं? ऑनलाइन सुरक्षित रहने के लिए Chrome OS पर Chrome ब्राउज़र में इन 7 सेटिंग्स को घुमाएँ।

लेखक के बारे में