25 ຄຳ ແນະ ນຳ ກ່ຽວກັບຄວາມປອດໄພ ສຳ ລັບ Linux Servers

ທຸກໆຄົນເວົ້າວ່າ Linux ແມ່ນປອດໄພໂດຍຄ່າເລີ່ມຕົ້ນແລະຕົກລົງເຫັນດີຕໍ່ບາງຂໍ້ສະ ເໜີ (ມັນແມ່ນຫົວຂໍ້ທີ່ສາມາດໂຕ້ຖຽງໄດ້). ເຖິງຢ່າງໃດກໍ່ຕາມ, Linux ມີຮູບແບບຄວາມປອດໄພທີ່ມີໃນຕົວຈິງແລ້ວ. ຕ້ອງການປັບແຕ່ງແລະປັບແຕ່ງຕາມຄວາມຕ້ອງການຂອງທ່ານເຊິ່ງອາດຈະຊ່ວຍໃນການສ້າງລະບົບທີ່ປອດໄພກວ່າ. Linux ຍາກກວ່າໃນການຈັດການແຕ່ວ່າມີຕົວເລືອກການຕັ້ງຄ່າທີ່ມີຄວາມຍືດຫຍຸ່ນແລະມີຄວາມຄ່ອງແຄ້ວຫລາຍຂື້ນ.

ການຮັບປະກັນລະບົບໃນການຜະລິດຈາກມືຂອງແຮັກເກີ້ແລະເຄື່ອງປັ່ນປ່ວນແມ່ນວຽກທີ່ທ້າທາຍ ສຳ ລັບຜູ້ເບິ່ງແຍງລະບົບ. ນີ້ແມ່ນບົດຂຽນ ທຳ ອິດຂອງພວກເຮົາທີ່ກ່ຽວຂ້ອງກັບ "ວິທີການຮັບປະກັນຊ່ອງ Linux" ຫລື "ການສ້າງກ່ອງ Linux". ໃນຂໍ້ຄວາມນີ້ພວກເຮົາຈະອະທິບາຍ 25 ຄຳ ແນະ ນຳ ທີ່ເປັນປະໂຫຍດ & ເຄັດລັບເພື່ອຮັບປະກັນລະບົບ Linux ຂອງທ່ານ. ຫວັງວ່າ, ຄຳ ແນະ ນຳ ແລະເຄັດລັບຂ້າງລຸ່ມນີ້ຈະຊ່ວຍໃຫ້ທ່ານບາງຄົນຂະຫຍາຍເພື່ອຮັບປະກັນລະບົບຂອງທ່ານ.

1. ຄວາມປອດໄພຂອງລະບົບຮ່າງກາຍ

ຕັ້ງຄ່າ BIOS ເພື່ອປິດການໃຊ້ງານ boot ຈາກ CD/DVD, ອຸປະກອນພາຍນອກ, Floppy Drive ໃນ BIOS. ຕໍ່ໄປ, ເປີດໃຊ້ລະຫັດຜ່ານ BIOS ແລະຍັງປົກປ້ອງ GRUB ດ້ວຍລະຫັດຜ່ານເພື່ອ ຈຳ ກັດການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍຂອງລະບົບຂອງທ່ານ.

ຕັ້ງລະຫັດຜ່ານ GRUB ເພື່ອປົກປ້ອງເຄື່ອງແມ່ຂ່າຍ Linux

2. Disk Partitions

ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະຕ້ອງມີການແບ່ງປັນທີ່ແຕກຕ່າງກັນເພື່ອໃຫ້ມີຄວາມປອດໄພຂອງຂໍ້ມູນທີ່ສູງກວ່າຖ້າມີໄພພິບັດເກີດຂື້ນ. ໂດຍການສ້າງພາທິຊັນທີ່ແຕກຕ່າງກັນ, ຂໍ້ມູນສາມາດແຍກອອກເປັນກຸ່ມ. ເມື່ອອຸບັດຕິເຫດທີ່ບໍ່ຄາດຄິດເກີດຂື້ນ, ພຽງແຕ່ຂໍ້ມູນຂອງການແບ່ງປັນນັ້ນຈະຖືກເສຍຫາຍ, ໃນຂະນະທີ່ຂໍ້ມູນຂອງພາກສ່ວນອື່ນມີຊີວິດລອດ. ໃຫ້ແນ່ໃຈວ່າທ່ານຕ້ອງໄດ້ຕິດຕາມການແບ່ງແຍກຕ່າງຫາກແລະໃຫ້ແນ່ໃຈວ່າການ ນຳ ໃຊ້ພາກສ່ວນທີສາມຄວນຕິດຕັ້ງໃນລະບົບແຟ້ມເອກະສານແຍກຕ່າງຫາກພາຍໃຕ້/ເລືອກ.

/
/boot
/usr
/var
/home
/tmp
/opt

3. ຫຼຸດຜ່ອນການຫຸ້ມຫໍ່ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ

ທ່ານຕ້ອງການໃຫ້ບໍລິການທຸກປະເພດຕິດຕັ້ງບໍ?. ພວກເຮົາແນະ ນຳ ໃຫ້ຫຼີກລ້ຽງການຕິດຕັ້ງແພັກເກດທີ່ບໍ່ມີປະໂຫຍດເພື່ອຫລີກລ້ຽງຄວາມອ່ອນແອຂອງບັນດາແພັກເກດ. ນີ້ອາດຈະຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ການປະນີປະນອມຂອງການບໍລິການ ໜຶ່ງ ອາດຈະເຮັດໃຫ້ເກີດການປະນີປະນອມຂອງການບໍລິການອື່ນໆ. ຊອກຫາແລະຖອດຫຼືປິດການບໍລິການທີ່ບໍ່ຕ້ອງການຈາກເຊີຟເວີເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ. ໃຊ້ ຄຳ ສັ່ງ ‘chkconfig’ ເພື່ອຊອກຫາບໍລິການທີ່ ກຳ ລັງແລ່ນຢູ່ໃນລະດັບ 3.

# /sbin/chkconfig --list |grep '3:on'

ເມື່ອທ່ານພົບວ່າບໍລິການທີ່ບໍ່ຕ້ອງການ ກຳ ລັງເຮັດວຽກຢູ່, ໃຫ້ປິດການໃຊ້ງານໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# chkconfig serviceName off

ໃຊ້ເຄື່ອງມືຈັດການຊຸດ RPM ເຊັ່ນ:“ yum” ຫຼື“ apt-get” ເຄື່ອງມືເພື່ອລາຍຊື່ທຸກໆຊຸດທີ່ຕິດຕັ້ງຢູ່ໃນລະບົບແລະເອົາພວກມັນອອກໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# yum -y remove package-name

# sudo apt-get remove package-name

5 ຕົວຢ່າງ ຄຳ ສັ່ງຂອງ chkconfig

20 ຕົວຢ່າງທີ່ໃຊ້ໃນ ຄຳ ສັ່ງ RPM

20 ຄຳ ສັ່ງ Linux YUM ສຳ ລັບການຄຸ້ມຄອງແພັກເກດ Linux

25 ຄຳ ສັ່ງ APT-GET ແລະ APT-CACHE ໃນການຄຸ້ມຄອງການຄຸ້ມຄອງແພັກເກັດ

4. ກວດສອບບັນດາ Port Network Network Listening

ດ້ວຍການຊ່ວຍເຫຼືອຂອງເຄືອຂ່າຍ 'netstat' ເຄືອຂ່າຍທ່ານສາມາດເບິ່ງທຸກພອດທີ່ເປີດແລະໂປແກຼມທີ່ກ່ຽວຂ້ອງ. ດັ່ງທີ່ຂ້ອຍໄດ້ກ່າວມາຂ້າງເທິງໃຫ້ໃຊ້ ຄຳ ສັ່ງ ‘chkconfig’ ເພື່ອປິດການບໍລິການເຄືອຂ່າຍທີ່ບໍ່ຕ້ອງການທັງ ໝົດ ຈາກລະບົບ.

# netstat -tulpn

20 ຄຳ ສັ່ງ Netstat ສຳ ລັບການບໍລິຫານເຄືອຂ່າຍໃນ Linux

5. ໃຊ້ຫອຍປອດໄພ (SSH)

Telnet ແລະໂປໂຕຄອນ rlogin ໃຊ້ຂໍ້ຄວາມ ທຳ ມະດາ, ບໍ່ແມ່ນຮູບແບບເຂົ້າລະຫັດເຊິ່ງເປັນການລະເມີດດ້ານຄວາມປອດໄພ. SSH ແມ່ນໂປໂຕຄອນທີ່ປອດໄພທີ່ໃຊ້ເຕັກໂນໂລຢີການເຂົ້າລະຫັດລະຫວ່າງການສື່ສານກັບເຊີບເວີ.

ບໍ່ເຄີຍເຂົ້າສູ່ລະບົບຮາກໂດຍກົງເວັ້ນເສຍແຕ່ ຈຳ ເປັນ. ໃຊ້“ sudo” ເພື່ອປະຕິບັດ ຄຳ ສັ່ງ. sudo ຖືກລະບຸໄວ້ໃນ/etc/sudoers file ຍັງສາມາດແກ້ໄຂໄດ້ກັບ "visudo" utility ທີ່ເປີດຢູ່ໃນ VI editor.

ມັນຍັງໄດ້ແນະ ນຳ ໃຫ້ປ່ຽນ ໝາຍ ເລກ SSH 22 ໃນຕອນຕົ້ນດ້ວຍ ຈຳ ນວນພອດລະດັບທີ່ສູງກວ່າອື່ນໆ. ເປີດເອກະສານການຕັ້ງຄ່າ SSH ຫຼັກແລະເຮັດບາງຕົວ ກຳ ນົດຕໍ່ໄປນີ້ເພື່ອ ຈຳ ກັດຜູ້ໃຊ້ເຂົ້າເຖິງ.

# vi /etc/ssh/sshd_config

PermitRootLogin no

AllowUsers username

Protocol 2

5 ການປະຕິບັດທີ່ດີທີ່ສຸດເພື່ອຮັບປະກັນແລະປົກປ້ອງ SSH Server

6. ຮັກສາລະບົບໃຫ້ທັນສະ ໄໝ

ສະເຫມີຮັກສາລະບົບທີ່ມີການອັບເດດລ້າສຸດ, ການແກ້ໄຂຄວາມປອດໄພແລະແກ່ນເມື່ອມີ.

# yum updates
# yum check-update

7. Lockdown Cronjobs

Cron ມີສິ່ງທີ່ສ້າງຂຶ້ນເອງ, ເຊິ່ງມັນອະນຸຍາດໃຫ້ລະບຸວ່າໃຜອາດຈະເປັນໃຜ, ແລະຜູ້ທີ່ອາດຈະບໍ່ຕ້ອງການເຮັດວຽກ. ສິ່ງນີ້ຖືກຄວບຄຸມໂດຍການໃຊ້ແຟ້ມທີ່ມີຊື່ວ່າ /etc/cron.allow ແລະ /etc/cron.deny. ເພື່ອລັອກຜູ້ໃຊ້ໂດຍໃຊ້ cron, ພຽງແຕ່ເພີ່ມຊື່ຜູ້ໃຊ້ເຂົ້າໃນ cron.deny ແລະເພື່ອໃຫ້ຜູ້ໃຊ້ສາມາດເອີ້ນໃຊ້ cron add ໃນເອກະສານ cron.allow. ຖ້າທ່ານຕ້ອງການປິດການໃຊ້ງານຂອງຜູ້ໃຊ້ທຸກຄົນຈາກການໃຊ້ cron, ເພີ່ມເສັ້ນ“ ALL” ໃສ່ແຟ້ມ cron.deny.

# echo ALL >>/etc/cron.deny

11 ຕົວຢ່າງການວາງແຜນ Cron ໃນ Linux

8. ປິດ USB ໃນການກວດສອບ

ຫຼາຍຄັ້ງມັນກໍ່ເກີດຂື້ນທີ່ພວກເຮົາຕ້ອງການ ຈຳ ກັດຜູ້ຊົມໃຊ້ຈາກການໃຊ້ USB ໃນລະບົບເພື່ອປົກປ້ອງແລະຮັບປະກັນຂໍ້ມູນຈາກການລັກ. ສ້າງແຟ້ມເອກະສານ ‘/etc/modprobe.d/no-usb’ ແລະການເພີ່ມເສັ້ນທາງລຸ່ມຈະບໍ່ກວດພົບບ່ອນຈັດເກັບຂໍ້ມູນ USB.

install usb-storage /bin/true

9. ເປີດໃຊ້ SELinux

Linux-Security Enhanced Linux (SELinux) ແມ່ນກົນໄກຄວາມປອດໄພໃນການຄວບຄຸມການເຂົ້າເຖິງແບບບັງຄັບທີ່ສະ ໜອງ ໃຫ້ໃນແກ່ນ. ການປິດ SELinux ໝາຍ ຄວາມວ່າຈະເອົາກົນໄກຄວາມປອດໄພອອກຈາກລະບົບ. ຄິດສອງຄັ້ງຢ່າງລະມັດລະວັງກ່ອນທີ່ຈະຖອດອອກ, ຖ້າລະບົບຂອງທ່ານຕິດກັບອິນເຕີເນັດແລະເຂົ້າເຖິງໂດຍສາທາລະນະຊົນ, ແລ້ວຄິດບາງຢ່າງຕື່ມກ່ຽວກັບມັນ.

SELinux ສະ ໜອງ ສາມຮູບແບບພື້ນຖານຂອງການປະຕິບັດງານແລະມັນແມ່ນ.

ການບັງຄັບໃຊ້: ນີ້ແມ່ນຮູບແບບເລີ່ມຕົ້ນທີ່ສາມາດເຮັດໃຫ້ແລະບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພຂອງ SELinux ໃນເຄື່ອງ.

ອະນຸຍາດ: ໃນຮູບແບບນີ້, SELinux ຈະບໍ່ບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພໃນລະບົບ, ພຽງແຕ່ເຕືອນແລະລົງບັນທຶກການກະ ທຳ ເທົ່ານັ້ນ. ຮູບແບບນີ້ແມ່ນມີປະໂຫຍດຫຼາຍໃນການແກ້ໄຂບັນຫາທີ່ກ່ຽວຂ້ອງກັບ SELinux.

ຄົນພິການ: SELinux ຖືກປິດ.

ທ່ານສາມາດເບິ່ງສະຖານະພາບປະຈຸບັນຂອງ ໂໝດ SELinux ຈາກເສັ້ນ ຄຳ ສັ່ງໂດຍໃຊ້ ຄຳ ສັ່ງ ‘system-config-selinux’, ‘getenforce’ ຫຼື ‘sestatus’ commands.

# sestatus

ຖ້າມັນຖືກປິດໃຊ້ງານ, ໃຫ້ໃຊ້ SELinux ໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# setenforce enforcing

ມັນຍັງສາມາດຈັດການໄດ້ຈາກເອກະສານ ‘/ etc/selinux/config’, ບ່ອນທີ່ທ່ານສາມາດເປີດໃຊ້ງານຫຼືປິດມັນໄດ້.

10. ດຶງອອກຈາກ ໜ້າ ຈໍ KDE/GNOME

ບໍ່ ຈຳ ເປັນຕ້ອງໃຊ້ X Windows desktops ເຊັ່ນ KDE ຫຼື GNOME ໃນ server LAMP ທີ່ອຸທິດຕົນຂອງທ່ານ. ທ່ານສາມາດຖອດຫຼືປິດພວກມັນເພື່ອເພີ່ມຄວາມປອດໄພຂອງເຊີບເວີແລະການເຮັດວຽກ. ເພື່ອປິດການ ທຳ ງານແບບງ່າຍດາຍເປີດແຟ້ມເອກະສານ ‘/ etc/inittab’ ແລະຕັ້ງລະດັບໃຫ້ຮອດ 3. ຖ້າທ່ານຕ້ອງການ ກຳ ຈັດມັນ ໝົດ ຈາກລະບົບໃຫ້ໃຊ້ ຄຳ ສັ່ງລຸ່ມນີ້.

# yum groupremove "X Window System"

11. ປິດ IPv6

ຖ້າທ່ານບໍ່ໃຊ້ໂປແກຼມ IPv6, ທ່ານຄວນປິດມັນເພາະວ່າໂປແກຼມຫຼືນະໂຍບາຍສ່ວນໃຫຍ່ບໍ່ ຈຳ ເປັນຕ້ອງໃຊ້ໂປໂຕຄອນ IPv6 ແລະປະຈຸບັນມັນບໍ່ ຈຳ ເປັນຕ້ອງຢູ່ໃນເຊີບເວີ. ໄປທີ່ແຟ້ມການຕັ້ງຄ່າເຄືອຂ່າຍແລະເພີ່ມສາຍຕໍ່ໄປເພື່ອປິດມັນ.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no
IPV6INIT=no

12. ຈຳ ກັດຜູ້ໃຊ້ໃຫ້ໃຊ້ລະຫັດລັບເກົ່າ

ນີ້ແມ່ນສິ່ງທີ່ມີປະໂຫຍດຫຼາຍຖ້າທ່ານຕ້ອງການບໍ່ໃຫ້ຜູ້ໃຊ້ໃຊ້ລະຫັດລັບເກົ່າ. ແຟ້ມລະຫັດລັບເກົ່າຕັ້ງຢູ່ທີ່/etc/security/opasswd. ນີ້ສາມາດບັນລຸໄດ້ໂດຍໃຊ້ໂມດູນ PAM.

ເປີດເອກະສານ ‘/etc/pam.d/system-auth‘ ພາຍໃຕ້ RHEL/CentOS/Fedora.

# vi /etc/pam.d/system-auth

ເປີດເອກະສານ ‘/etc/pam.d/common-password’ ພາຍໃຕ້ Ubuntu/Debian/Linux Mint.

# vi /etc/pam.d/common-password

ຕື່ມແຖວຕໍ່ໄປນີ້ໃສ່ພາກສ່ວນ "ອະທິຖານ".

auth        sufficient    pam_unix.so likeauth nullok

ຕື່ມແຖວຕໍ່ໄປນີ້ໃສ່ພາກສ່ວນ“ ລະຫັດລັບເພື່ອບໍ່ໃຫ້ຜູ້ໃຊ້ໃຊ້ລະຫັດຜ່ານ 5 ຄັ້ງສຸດທ້າຍຂອງລາວ.

password   sufficient    pam_unix.so nullok use_authtok md5 shadow remember=5

ພຽງແຕ່ລະຫັດຜ່ານ 5 ອັນສຸດທ້າຍເທົ່ານັ້ນທີ່ຈື່ໂດຍ server. ຖ້າທ່ານພະຍາຍາມໃຊ້ລະຫັດຜ່ານເກົ່າ 5 ອັນລ້າສຸດ, ທ່ານຈະໄດ້ຮັບຂໍ້ຜິດພາດເຊັ່ນ.

Password has been already used. Choose another.

13. ວິທີການກວດສອບການ ໝົດ ອາຍຸຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້

ໃນ Linux, ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ຈະຖືກເກັບຢູ່ໃນແຟ້ມ '/ etc/shadow' ໃນຮູບແບບທີ່ຖືກເຂົ້າລະຫັດ. ເພື່ອກວດສອບການ ໝົດ ອາຍຸຂອງລະຫັດຜ່ານຂອງຜູ້ໃຊ້, ທ່ານຕ້ອງໃຊ້ ຄຳ ສັ່ງ 'chage'. ມັນສະແດງຂໍ້ມູນຂອງລາຍລະອຽດ ໝົດ ອາຍຸຂອງລະຫັດຜ່ານພ້ອມກັບວັນທີປ່ຽນລະຫັດຜ່ານສຸດທ້າຍ. ລາຍລະອຽດເຫຼົ່ານີ້ຖືກໃຊ້ໂດຍລະບົບເພື່ອຕັດສິນໃຈວ່າຜູ້ໃຊ້ຕ້ອງປ່ຽນລະຫັດລັບຂອງຕົນເອງ.

ເພື່ອເບິ່ງຂໍ້ມູນຜູ້ສູງອາຍຸຂອງຜູ້ໃຊ້ທີ່ມີຢູ່ເຊັ່ນ: ວັນທີແລະເວລາ ໝົດ ອາຍຸ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

#chage -l username

ເພື່ອປ່ຽນລະຫັດລັບຂອງຜູ້ໃຊ້ຜູ້ໃດຜູ້ ໜຶ່ງ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

-M ກຳ ນົດ ຈຳ ນວນວັນສູງສຸດ

-m ກຳ ນົດ ຈຳ ນວນມື້ຕ່ ຳ ສຸດ

-W ກຳ ນົດ ຈຳ ນວນມື້ຂອງການເຕືອນໄພ

14. ລັອກແລະປົດລAccountອກບັນຊີດ້ວຍຕົນເອງ

ຄຸນລັກສະນະລັອກແລະປົດລັອກແມ່ນມີປະໂຫຍດຫຼາຍ, ແທນທີ່ຈະເອົາບັນຊີອອກຈາກລະບົບ, ທ່ານສາມາດລັອກມັນເປັນເວລາ ໜຶ່ງ ອາທິດຫຼືເດືອນ. ເພື່ອລັອກຜູ້ໃຊ້ສະເພາະ, ທ່ານສາມາດໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# passwd -l accountName

ໝາຍ ເຫດ: ຜູ້ໃຊ້ທີ່ຖືກລັອກຍັງສາມາດໃຊ້ໄດ້ ສຳ ລັບຜູ້ໃຊ້ຮາກເທົ່ານັ້ນ. ການລັອກແມ່ນປະຕິບັດໂດຍການປ່ຽນລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດດ້ວຍສາຍ (!). ຖ້າຜູ້ໃດຜູ້ ໜຶ່ງ ພະຍາຍາມເຂົ້າເຖິງລະບົບໂດຍໃຊ້ບັນຊີນີ້, ລາວຈະມີຂໍ້ຜິດພາດຄ້າຍຄືກັບຂ້າງລຸ່ມນີ້.

# su - accountName
This account is currently not available.

ເພື່ອປົດລັອກຫລືເປີດໃຊ້ບັນຊີທີ່ຖືກລັອກ, ໃຊ້ ຄຳ ສັ່ງດັ່ງທີ່. ນີ້ຈະເອົາສາຍ (!) ອອກດ້ວຍລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດ.

# passwd -u accountName

15. ການບັງຄັບໃຊ້ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ

ຜູ້ໃຊ້ ຈຳ ນວນ ໜຶ່ງ ໃຊ້ລະຫັດຜ່ານທີ່ອ່ອນຫຼືອ່ອນແລະລະຫັດຜ່ານຂອງພວກເຂົາອາດຖືກແຮັກໂດຍໃຊ້ພົດຈະນານຸກົມທີ່ອີງໃສ່ຫຼືໂຈມຕີແບບບັງຄັບ. ໂມດູນ 'pam_cracklib' ມີຢູ່ໃນແບບໂມດູນ PAM (Pluggable Authentication Modules) ເຊິ່ງຈະບັງຄັບໃຫ້ຜູ້ໃຊ້ຕັ້ງລະຫັດຜ່ານທີ່ແຂງແຮງ. ເປີດເອກະສານຕໍ່ໄປນີ້ກັບບັນນາທິການ.

ອ່ານອີກ:

# vi /etc/pam.d/system-auth

ແລະເພີ່ມສາຍໂດຍໃຊ້ຕົວ ກຳ ນົດການປ່ອຍສິນເຊື່ອເປັນ (lcredit, ucredit, dcredit ແລະ/ຫຼື ocredit ຕາມ ລຳ ດັບຕ່ ຳ, ເລື່ອງໃຫຍ່, ຕົວເລກແລະອື່ນໆ)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. ເປີດໃຊ້ Iptables (Firewall)

ມັນໄດ້ຖືກແນະ ນຳ ໃຫ້ເຮັດໃຫ້ Linux ກຳ ແພງຂອງ Linux ຮັບປະກັນການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຈາກເຊີບເວີຂອງທ່ານ. ນຳ ໃຊ້ກົດລະບຽບໃນ iptables ເພື່ອກັ່ນຕອງບັນດາແພັກເກັດຂາເຂົ້າ, ຂາອອກແລະສົ່ງຕໍ່. ພວກເຮົາສາມາດ ກຳ ນົດທີ່ຢູ່ແຫຼ່ງທີ່ມາແລະຈຸດ ໝາຍ ປາຍທາງເພື່ອອະນຸຍາດແລະປະຕິເສດໃນ ຈຳ ນວນພອດ udp/tcp ສະເພາະ.

ຄູ່ມືພື້ນຖານແລະເຄັດລັບ IPTables

17. ປິດການໃຊ້ງານ Ctrl + Alt + Delete ໃນ Inittab

ໃນການແຈກຢາຍ Linux ສ່ວນຫລາຍ, ການກົດ 'CTRL-ALT-DELETE' ຈະເຮັດໃຫ້ລະບົບຂອງທ່ານເລີ່ມຕົ້ນ ໃໝ່. ດັ່ງນັ້ນ, ມັນບໍ່ແມ່ນສິ່ງທີ່ດີທີ່ຈະມີຕົວເລືອກນີ້ຢ່າງ ໜ້ອຍ ໃນເຄື່ອງແມ່ຂ່າຍການຜະລິດ, ຖ້າມີຄົນເຮັດແບບນີ້ຜິດ.

ສິ່ງນີ້ຖືກ ກຳ ນົດໄວ້ໃນເອກະສານ ‘/ etc/inittab‘, ຖ້າທ່ານເບິ່ງໃນເອກະສານນັ້ນທ່ານຈະເຫັນເສັ້ນທີ່ຄ້າຍຄືກັບຂ້າງລຸ່ມນີ້. ໂດຍເສັ້ນເລີ່ມຕົ້ນແມ່ນບໍ່ໄດ້ອອກ ຄຳ ເຫັນ. ພວກເຮົາຕ້ອງອອກ ຄຳ ເຫັນອອກ. ສັນຍານທີ່ ສຳ ຄັນໂດຍສະເພາະນີ້ຈະປິດລະບົບ.

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. ກວດເບິ່ງບັນຊີ ສຳ ລັບລະຫັດລັບທີ່ບໍ່ມີຂໍ້ມູນ

ບັນຊີໃດໆທີ່ມີລະຫັດລັບທີ່ບໍ່ມີຂໍ້ມູນ ໝາຍ ຄວາມວ່າມັນຖືກເປີດເພື່ອການເຂົ້າເຖິງຜູ້ທີ່ຢູ່ໃນເວັບທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດແລະມັນແມ່ນສ່ວນ ໜຶ່ງ ຂອງຄວາມປອດໄພພາຍໃນ Linux server. ດັ່ງນັ້ນ, ທ່ານຕ້ອງຮັບປະກັນວ່າບັນຊີທັງ ໝົດ ມີລະຫັດຜ່ານທີ່ແຂງແຮງແລະບໍ່ມີໃຜມີສິດເຂົ້າເຖິງໄດ້. ບັນຊີລະຫັດລັບທີ່ບໍ່ມີຂໍ້ມູນແມ່ນຄວາມສ່ຽງດ້ານຄວາມປອດໄພແລະສາມາດແຮັກໄດ້ງ່າຍ. ເພື່ອກວດເບິ່ງວ່າມີບັນຊີໃດທີ່ມີລະຫັດລັບບໍ່ໃຊ້, ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

19. ສະແດງປ້າຍໂຄສະນາ SSH ກ່ອນເຂົ້າສູ່ລະບົບ

ມັນເປັນຄວາມຄິດທີ່ດີກວ່າທີ່ຈະມີປ້າຍໂຄສະນາທາງກົດ ໝາຍ ຫລືປ້າຍໂຄສະນາຄວາມປອດໄພໂດຍມີ ຄຳ ເຕືອນກ່ຽວກັບຄວາມປອດໄພບາງຢ່າງກ່ອນການກວດສອບຄວາມຖືກຕ້ອງຂອງ SSH. ເພື່ອ ກຳ ນົດປ້າຍໂຄສະນາດັ່ງກ່າວໃຫ້ອ່ານບົດຄວາມຕໍ່ໄປນີ້.

ສະແດງຂໍ້ຄວາມເຕືອນ SSH ໃຫ້ຜູ້ໃຊ້

20. ຕິດຕາມກວດກາກິດຈະ ກຳ ຂອງຜູ້ໃຊ້

ຖ້າທ່ານ ກຳ ລັງພົວພັນກັບຜູ້ໃຊ້ ຈຳ ນວນຫລາຍ, ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະເກັບ ກຳ ຂໍ້ມູນຂອງແຕ່ລະກິດຈະ ກຳ ຂອງຜູ້ໃຊ້ແລະຂະບວນການທີ່ບໍລິໂພກແລະ ນຳ ມາວິເຄາະໃນເວລາຕໍ່ມາຫຼືໃນກໍລະນີຖ້າມີປະສິດຕິພາບໃດໆ, ບັນຫາດ້ານຄວາມປອດໄພ. ແຕ່ວິທີທີ່ພວກເຮົາສາມາດຕິດຕາມແລະເກັບ ກຳ ຂໍ້ມູນກິດຈະ ກຳ ຂອງຜູ້ໃຊ້.

ມັນມີສອງເຄື່ອງມືທີ່ມີປະໂຫຍດທີ່ເອີ້ນວ່າ ‘psacct’ ແລະ ‘acct’ ຖືກໃຊ້ເພື່ອຕິດຕາມກວດກາກິດຈະ ກຳ ຂອງຜູ້ໃຊ້ແລະຂັ້ນຕອນໃນລະບົບ. ເຄື່ອງມືເຫລົ່ານີ້ໃຊ້ໃນພື້ນຫລັງຂອງລະບົບແລະຕິດຕາມການເຄື່ອນໄຫວຂອງຜູ້ໃຊ້ແຕ່ລະຢ່າງກ່ຽວກັບລະບົບແລະຊັບພະຍາກອນທີ່ບໍລິການເຊັ່ນ: Apache, MySQL, SSH, FTP, ແລະອື່ນໆ.

ຕິດຕາມກວດກາກິດຈະ ກຳ ຂອງຜູ້ໃຊ້ດ້ວຍ psacct ຫຼື acct Commands

21. ກວດກາບັນທຶກໄມ້ທ່ອນເປັນປະ ຈຳ

ຍ້າຍບັນທຶກໃນເຊີຟເວີບັນທຶກທີ່ອຸທິດຕົນ, ນີ້ອາດຈະປ້ອງກັນຜູ້ບຸກລຸກປັບປຸງແກ້ໄຂບັນທຶກຂອງທ້ອງຖິ່ນໄດ້ງ່າຍ. ຂ້າງລຸ່ມນີ້ແມ່ນຊື່ໄຟລ໌ບັນທຶກເລີ່ມຕົ້ນຂອງ Linux ແລະການ ນຳ ໃຊ້ຂອງມັນ:

/var/log/message - ບ່ອນທີ່ມີບັນທຶກລະບົບທັງ ໝົດ ຫຼືບັນທຶກການເຄື່ອນໄຫວໃນປະຈຸບັນ.

/var/log/auth.log - ບັນທຶກການກວດສອບຄວາມຖືກຕ້ອງ.

/var/log/kern.log - ບັນທຶກ Kernel.

/var/log/cron.log - ບັນທຶກ Crond (ວຽກ cron).

/var/log/maillog - ບັນທຶກຂອງເຊີບເວີຂອງເມລ.

/var/log/boot.log - ບັນທຶກ boot system.

/var/log/mysqld.log - ແຟ້ມຖານຂໍ້ມູນບັນທຶກຖານຂໍ້ມູນ MySQL.

/var/log/secure - ບັນທຶກການກວດສອບຄວາມຖືກຕ້ອງ.

/var/log/utmp or/var/log/wtmp: ເຂົ້າລະບົບບັນທຶກເອກະສານ.

/var/log/yum.log: file log log.

22. ສຳ ຮອງແຟ້ມ ສຳ ຄັນ

ໃນລະບົບການຜະລິດ, ມັນ ຈຳ ເປັນຕ້ອງເອົາ ສຳ ຮອງເອກະສານທີ່ ສຳ ຄັນແລະເກັບມ້ຽນໄວ້ໃນບ່ອນປອດໄພ, ສະຖານທີ່ຫ່າງໄກສອກຫຼີກຫລືບ່ອນປິດ ສຳ ລັບການກູ້ຄືນໄພພິບັດ.

23. NIC ພັນທະບັດ

ມີສອງປະເພດຂອງຮູບແບບໃນການເຊື່ອມໂຍງ NIC, ຕ້ອງການກ່າວເຖິງໃນການໂຕ້ຕອບການເຊື່ອມໂຍງ.

< ຮູບແບບ

= 0 - ຮອບໂຣບິນ

ຮູບແບບ

= 1 - ໃຊ້ງານແລະ ສຳ ຮອງຂໍ້ມູນ

NIC ພັນທະບັດຊ່ວຍໃຫ້ພວກເຮົາຫລີກລ້ຽງຈຸດດຽວຂອງຄວາມລົ້ມເຫຼວ. ໃນການເຊື່ອມໂຍງ NIC, ພວກເຮົາເຊື່ອມໂຍງສອງເຄືອຂ່າຍ Network Ethernet ສອງຫຼືຫຼາຍກວ່າກັນແລະເຮັດ Interface ເສມືນດຽວທີ່ພວກເຮົາສາມາດ ກຳ ນົດທີ່ຢູ່ IP ເພື່ອລົມກັບເຄື່ອງແມ່ຂ່າຍອື່ນ. ເຄືອຂ່າຍຂອງພວກເຮົາຈະມີຢູ່ໃນກໍລະນີທີ່ມີບັດ NIC ໜຶ່ງ ທີ່ຫຼຸດລົງຫຼືບໍ່ສາມາດໃຊ້ໄດ້ຍ້ອນເຫດຜົນໃດກໍ່ຕາມ.

24. ເກັບ/ໃສ່ເກີບເປັນສິ່ງທີ່ອ່ານເທົ່ານັ້ນ

Linux kernel ແລະເອກະສານທີ່ກ່ຽວຂ້ອງຢູ່ໃນ/boot directory ເຊິ່ງເປັນຄ່າເລີ່ມຕົ້ນຄືກັບການອ່ານ. ການປ່ຽນແປງມັນໃຫ້ອ່ານເທົ່ານັ້ນຈະຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການດັດແກ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຂອງໄຟລ໌ບູດ ສຳ ຄັນ. ເພື່ອເຮັດສິ່ງນີ້, ເປີດເອກະສານ“/etc/fstab”.

# vi /etc/fstab

ຕື່ມສາຍຕໍ່ໄປນີ້ຢູ່ທາງລຸ່ມ, ບັນທຶກແລະປິດມັນ.

LABEL=/boot     /boot     ext2     defaults,ro     1 2

ກະລຸນາຮັບຊາບວ່າທ່ານຕ້ອງໄດ້ປັບການປ່ຽນແປງ ໃໝ່ ເພື່ອການອ່ານ - ຂຽນຖ້າທ່ານຕ້ອງການຍົກລະດັບເມັດໃນອະນາຄົດ.

25. ບໍ່ສົນໃຈ ICMP ຫຼື Broadcast Request

ຕື່ມສາຍຕໍ່ໄປນີ້ໃນ“ /etc/sysctl.conf” ເພື່ອບໍ່ສົນໃຈ ຄຳ ຮ້ອງຂໍອອກອາກາດ.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

ໂຫລດການຕັ້ງຄ່າຫລືການປ່ຽນແປງ ໃໝ່, ໂດຍການເຮັດວຽກຕາມ ຄຳ ສັ່ງດັ່ງຕໍ່ໄປນີ້

#sysctl -p

ຖ້າທ່ານພາດການຮັບປະກັນຄວາມປອດໄພທີ່ ສຳ ຄັນຫຼື ຄຳ ແນະ ນຳ ທີ່ແຂງທີ່ຢູ່ໃນບັນຊີຂ້າງເທິງ, ຫຼືທ່ານມີ ຄຳ ແນະ ນຳ ອື່ນໆທີ່ຕ້ອງໄດ້ເອົາເຂົ້າບັນຊີ. ກະລຸນາລົງ ຄຳ ເຫັນຂອງທ່ານໃນຊ່ອງ ຄຳ ເຫັນຂອງພວກເຮົາ. TecMint ມີຄວາມສົນໃຈສະເຫມີໃນການຮັບເອົາ ຄຳ ເຫັນ, ຄຳ ແນະ ນຳ ພ້ອມທັງການສົນທະນາເພື່ອປັບປຸງ.