Различия
Здесь показаны различия между двумя версиями данной страницы.
| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
|
wiki:безопасность_сервера [2019/12/06 07:01] [Безопасность сервера] |
wiki:безопасность_сервера [2021/02/25 02:35] (текущий) [Перечислим защиту кто что знает] |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| ====== Безопасность сервера ====== | ====== Безопасность сервера ====== | ||
| - | <note tip>Эта статья не закончена. Вы можете помочь проекту добавив следующую информацию: | + | ===== Права на отсутствие просмотра домашних каталогов ===== |
| - | * Разограничение прав пользователей | + | |
| - | </note> | + | Просто откройте файл /etc/adduser.conf и измените переменную DIR_MODE на что-нибудь подходящее, и на все новые домашние каталоги будут устанавливаться корректные права доступа. |
| - | Перечислим защиту кто что знает: | + | DIR_MODE=0750 |
| + | |||
| + | ===== Перечислим защиту кто что знает ===== | ||
| * [[fail2ban|fail2ban]] | * [[fail2ban|fail2ban]] | ||
| - | * ufw | + | * [[https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/firewall|ufw]] |
| - | * mod_security | + | * [[modsecurity|modsecurity]] |
| * [[ssh|ssh]] | * [[ssh|ssh]] | ||
| * [[openvpn|openvpn]] | * [[openvpn|openvpn]] | ||
| + | * [[https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B0%D0%BC%D0%B8/automatic_updates|unattended-upgrades]] | ||
| + | * [[uefi|UEFI]] | ||
| + | * [[https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C/apparmor|apparmor]] | ||
| + | * [[letsencrypt|letsencrypt]] | ||
| + | * шифрование диска или папки [[шифрование_всего_диска|всего_диска]], [[шифрование_с_seahorse|seahorse]], [[шифрование_с_truecrypt|truecrypt]],[[eCryptfs|eCryptfs]] | ||
| + | * [[samba4_as_dc_14.04|Samba4 в качестве контроллера домена]] | ||
| + | * [[backup|Резервное копирование системы]] | ||
| + | * [[wiki:clamav|ClamAV]], [[wiki:lynis|lynis]], chkrootkit, rkhunter, [[wiki:aide|aide]] | ||
| + | * [[https://www.opennet.ru/opennews/art.shtml?num=53244|LKRG]] | ||
| + | * [[wiki:access_control_list|Access Control List - списки контроля доступа]] | ||
| + | * контейнеризация, виртуализация | ||
| + | * [[https://www.kernel.org/doc/html/latest/admin-guide/LSM/index.html|Linux Security Module Usage]], [[https://www.kernel.org/doc/html/latest/security/index.html|Security Documentation]], [[http://kernsec.org/wiki/index.php/Projects|Kernel Security Projects]] | ||
| + | ===== Технические средства защиты персональных данных ===== | ||
| + | - Антивирусная защита | ||
| + | - Модули разграничения доступа на уровне прикладных систем или сети. | ||
| + | ===== Ключевые особенности по реализации требований безопасности информации ===== | ||
| + | * Мандатное разграничение доступа | ||
| + | * Изоляция модулей | ||
| + | * Очистка оперативной и внешней памяти и гарантированное удаление файлов | ||
| + | * Маркировка документов | ||
| + | * Регистрация событий | ||
| + | * Механизмы защиты информации в графической подсистеме | ||
| + | * Режим ограничения действий пользователя (режим "киоск") | ||
| + | * Защита адресного пространства процессов | ||
| + | * Механизм контроля замкнутости программной среды | ||
| + | * Контроль целостности | ||
| + | * Средства организации домена | ||
| + | * Защищенная реляционная СУБД | ||
| + | * Защищенный комплекс программ электронной почты | ||
| + | * Защищенный комплекс программ гипертекстовой обработки данных | ||
| + | ===== Рекомендации Лаборатории Касперского ===== | ||
| + | Для противодействия целевым атакам на Linux-системы «Лаборатория Касперского» рекомендует компаниям устанавливать ПО только из проверенных источников и избегать обновлений через незашифрованные каналы; не запускать бинарные файлы и скрипты из ненадёжных источников. Широко рекламируемый способ устанавливать программы командой типа <code>curl https://install-url | sudo bash </code>недопустим с точки зрения информационной безопасности; убедиться в эффективности используемых процедур обновлений и наличии автоматических обновлений; установить защитный экран надлежащим образом: убедиться, что он записывает сетевую активность, блокирует неиспользуемые порты и минимизирует сетевой след; внедрить SSH-авторизацию по ключу и защищать ключи паролями; использовать двухфакторную аутентификацию и хранить ключи на внешних токенах; применять внеполосный перехватчик трафика для независимого мониторинга и анализа сетевых коммуникаций Linux-систем; поддерживать целостность исполняемых файлов и регулярно отслеживать изменения в конфигурационных файлах; внедрить меры для отражения атак с использованием инсайдеров и физических атак: полное шифрование дисков, безопасную перезагрузку и пломбировочный скотч на критически важном оборудовании; регулярно проводить аудит систем и проверять логи индикаторов атак; проводить тесты на проникновение для Linux-систем; использовать надёжные защитные решения, обеспечивающие в том числе безопасность Linux-систем, такие как интегрированное решение для комплексной защиты рабочих мест и KasperskySecurity для виртуальных и облачных сред. | ||
| + | |||
| + | |||
| ===== Ссылки ===== | ===== Ссылки ===== | ||
| - | * [[http://linuxstar.ru/bezopasnost-servera-linuks.html|Основные простейшие правила организации безопасного сервера linux]] | + | * [[https://help.ubuntu.com/lts/serverguide/security.html]] |
| + | * [[https://help.ubuntu.com/community/Security|Community docs of Security]] | ||
| + | * [[https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy|Обработка персональных данных: пошаговая инструкция для компаний]] | ||
| + | * [[https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty|Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации]] | ||
| + | * [[wpru>Информационная_безопасность|Информационная безопасность]] | ||
| + | * [[https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00|Государственный реестр сертифицированных средств защиты информации]] | ||
| + | * [[https://www.cyberciti.biz/tips/linux-security.html|40 Linux Server Hardening Security Tips 2019 edition]] | ||
| + | * [[https://kali.tools/|Список инструментов Kali Linux]] | ||
| - | {{tag>безопасность сервер fixme}} | + | {{tag>безопасность сервер}} |
