Linux のセキュリティ強化に関するベスト 50 のヒント: 包括的なチェックリスト
Linux は、Web の大部分と世界中のかなりの数のワークステーションを支えています。 Linux および BSD システムの人気が高まり続ける主な理由の 1 つは、セキュリティに関する堅牢なポリシーです。 Linux システムは、その基本的な設計原則により、本質的にクラックするのが困難です。 ただし、破壊できないシステムはなく、ワークステーションや Linux サーバーを最新の標準と同等に強化しないと、さまざまな種類の攻撃やデータ侵害の被害に遭う可能性があります。 そのため、サーバーのセキュリティを次のレベルに高めるのに役立つ 50 の Linux 強化のヒントを概説しました。
セキュリティはコンピューティングの世界にとって不可欠な部分になっています。 そのため、個人のワークステーションとサーバーのセキュリティを強化することが必須となります。 したがって、引き続き読んで、Linux マシンのセキュリティを強化するために、以下のヒントをできるだけ取り入れてください。
ホスト情報を文書化することは、長期的には非常に有益になります。 同じシステムを長期間維持するつもりであれば、ある時点で状況が混乱する可能性があります。 ただし、ワークステーションまたはサーバーを設置したその日から文書化しておけば、システム インフラストラクチャ全体と採用されているポリシーについてしっかりと把握することができます。
システムに関する以下の情報をドキュメントに含めてください。 サーバー要件に基づいて、自由に追加機能を追加してください。
他のユーザーが設定にアクセスしたり変更したりできないように、適切なパスワードを使用して BIOS を保護する必要があります。 最新のメインボードでは BIOS メニューにアクセスするのは非常に簡単であるため、エンドユーザーは既存の設定を上書きし、機密性の高い構成を操作する可能性があります。
さらに、ユーザーはブート可能システムを使用してホスト データにアクセスすることもできます。 これにより、サーバーの整合性が脅かされる可能性もあります。 次のコマンドを使用して、USB デバイスを完全に無効にすることができます。
USB ブートは BIOS メニューからオフにすることもできます。 ただし、他のユーザーがアクセスできない個人用ワークステーションを実行している場合、これは必須ではありません。
ディスク ストレージの暗号化は、長期的には非常に有益であることがわかります。 盗難や第三者の侵入によるデータ漏洩を防ぎます。 幸いなことに、管理者にとってこれを手間のかからないものにする Linux 暗号化ツールは多種多様にあります。
さらに、最新の Linux ディストリビューションでは、管理者がインストール プロセス中に Linux ファイルシステムを暗号化することができます。 ただし、暗号化はパフォーマンスのスループットに影響を与える可能性があり、データの回復が困難になる可能性があることを知っておく必要があります。
ネットワーク上で送信されるデータは、オープンソースのセキュリティ ツールを使用して簡単にキャプチャして分析できるため、Linux の強化プロセスではデータの暗号化を最優先事項にする必要があります。 従来のデータ通信ツールの多くは適切な暗号化を採用していないため、データが脆弱なままになる可能性があります。
リモート データ転送には、ssh、scp、rsync、sftp などの安全な通信サービスを常に使用する必要があります。 Linux では、ユーザーがヒューズや sshfs などの特別なツールを使用してリモート ファイルシステムをマウントすることもできます。 データの暗号化と署名には GPG 暗号化を使用してみてください。 データ暗号化サービスを提供する他の Linux ツールには、OpenVPN、Lighthttpd SSL、Apache SSL、Let's Encrypt などがあります。
多くの従来の Unix プログラムは、データ転送中に重要なセキュリティを提供していません。 これらには、FTP、Telnet、rlogin、rsh が含まれます。 Linux サーバーや個人システムを保護しているかどうかに関係なく、これらのサービスの使用を永久に停止してください。
このタイプのデータ転送タスクには、他の代替手段を使用することもできます。 たとえば、OpenSSH、SFTP、または FTPS などのサービスは、データ送信が安全なチャネル上で確実に行われるようにします。 それらの中には、データ通信を強化するために SSL または TLS 暗号化を採用しているものもあります。 以下のコマンドを使用して、NIS、telnet、rsh などのレガシー サービスをシステムから削除できます。
RHEL や Centos などの RPM ベースのディストリビューション、または yum パッケージ マネージャーを使用するシステムの場合は、最初のコマンドを使用します。 2 番目のコマンドは、Debian/Ubuntu ベースのシステムで動作します。