Obțineți cele mai recente versiuni ale tuturor pachetelor
1 | apt-get update && sudo apt-get upgrade |
Intariti kernel
Nucleul este software-ul cel mai apropiat de mașină: este furnizat de distribuția Linux pe care o utilizați de aceea securitate linux este importanta.
Un fișier de configurare oferă parametri care reglează nucleul pentru a îngreuna lucrurile pentru un intrus.
Creați un fișier nou, astfel încât să păstrați / să nu deteriorați fișierul original:
1 | nano /etc/sysctl.d/local.conf |
Adaugati urmatoarele date:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | # sysctl config #net.ipv4.ip_forward=1 net.ipv4.conf.all.rp_filter=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.tcp_syncookies = 1 # ipv6 settings (no autoconfiguration) net.ipv6.conf.default.autoconf=0 net.ipv6.conf.default.accept_dad=0 net.ipv6.conf.default.accept_ra=0 net.ipv6.conf.default.accept_ra_defrtr=0 net.ipv6.conf.default.accept_ra_rtr_pref=0 net.ipv6.conf.default.accept_ra_pinfo=0 net.ipv6.conf.default.accept_source_route=0 net.ipv6.conf.default.accept_redirects=0 net.ipv6.conf.default.forwarding=0 net.ipv6.conf.all.autoconf=0 net.ipv6.conf.all.accept_dad=0 net.ipv6.conf.all.accept_ra=0 net.ipv6.conf.all.accept_ra_defrtr=0 net.ipv6.conf.all.accept_ra_rtr_pref=0 net.ipv6.conf.all.accept_ra_pinfo=0 net.ipv6.conf.all.accept_source_route=0 net.ipv6.conf.all.accept_redirects=0 net.ipv6.conf.all.forwarding=0 |
Dupa salvarea fisierului este recomandat sa efectuam un Reboot
a serverului.
Redirecționați e-mailul root
1 | nano /etc/aliases |
Adăugați această linie dacă nu este deja prezentă:
1 | root:numele@linuxpedia.ro |
Schimbați portul SSH
În mod implicit, conectarea la server prin SSH se face pe portul 22. Știind asta, atacatorii scanează portul 22. Schimbarea portului cu altul face munca atacatorului mai dificilă. Pentru a face asta:
1 | nano /etc/ssh/sshd_config |
Cautati lina Port 22
si modificati cu portul dorit, dar asigurativa ca veti deschide portul dorit si in firewall sa poata fi accessat din exterior apoi reporniti serviciul sshd
1 | service sshd restart |
Se dezactivează autentificarea prin parolă, se activează SSH
Autentificarea prin parolă este mai puțin sigură decât cheia publică SSH. O parolă trece prin Internet pentru autentificare, poate fi piratată la acest pas.
O cheie privată SSH nu este transmisă pe fir. Deci, nu poate fi piratat în acest fel.
O explicație detaliată este disponibilă aici.
Cum să dezactivez autentificarea parolei și să activez SSH?
Conectarea prin SSH, mai degrabă decât prin parole, poate crește părul, deoarece există atât de multe detalii minuscule care pot merge prost. Există șanse mari ca, dacă o faci pentru prima dată, să te blochezi în afara serverului.
/etc/ssh/sshd_config
:1 2 3 4 5 6 | ChallengeResponseAuthentication no X11Forwarding no UsePAM no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys LogLevel DEBUG3 (this should be added, the parameter is not listed by default) |
Este nevoie pentru repormirea serviciului sshd prin urmatoarea comanda
service sshd restart