Безопасность сервера

Просто откройте файл /etc/adduser.conf и измените переменную DIR_MODE на что-нибудь подходящее, и на все новые домашние каталоги будут устанавливаться корректные права доступа. DIR_MODE=0750

• fail2ban
• ufw
• modsecurity
• ssh
• openvpn
• unattended-upgrades
• UEFI
• apparmor
• letsencrypt
• шифрование диска или папки всего_диска, seahorse, truecrypt,eCryptfs
• Samba4 в качестве контроллера домена
• Резервное копирование системы
• ClamAV, lynis, chkrootkit, rkhunter, aide
• LKRG
• Access Control List - списки контроля доступа
• контейнеризация, виртуализация
• Linux Security Module Usage

1. Антивирусная защита
2. Модули разграничения доступа на уровне прикладных систем или сети.

• Мандатное разграничение доступа
• Изоляция модулей
• Очистка оперативной и внешней памяти и гарантированное удаление файлов
• Маркировка документов
• Регистрация событий
• Механизмы защиты информации в графической подсистеме
• Режим ограничения действий пользователя (режим «киоск»)
• Защита адресного пространства процессов
• Механизм контроля замкнутости программной среды
• Контроль целостности
• Средства организации домена
• Защищенная реляционная СУБД
• Защищенный комплекс программ электронной почты
• Защищенный комплекс программ гипертекстовой обработки данных

Для противодействия целевым атакам на Linux-системы «Лаборатория Касперского» рекомендует компаниям устанавливать ПО только из проверенных источников и избегать обновлений через незашифрованные каналы; не запускать бинарные файлы и скрипты из ненадёжных источников. Широко рекламируемый способ устанавливать программы командой типа

curl https://install-url | sudo bash 

недопустим с точки зрения информационной безопасности; убедиться в эффективности используемых процедур обновлений и наличии автоматических обновлений; установить защитный экран надлежащим образом: убедиться, что он записывает сетевую активность, блокирует неиспользуемые порты и минимизирует сетевой след; внедрить SSH-авторизацию по ключу и защищать ключи паролями; использовать двухфакторную аутентификацию и хранить ключи на внешних токенах; применять внеполосный перехватчик трафика для независимого мониторинга и анализа сетевых коммуникаций Linux-систем; поддерживать целостность исполняемых файлов и регулярно отслеживать изменения в конфигурационных файлах; внедрить меры для отражения атак с использованием инсайдеров и физических атак: полное шифрование дисков, безопасную перезагрузку и пломбировочный скотч на критически важном оборудовании; регулярно проводить аудит систем и проверять логи индикаторов атак; проводить тесты на проникновение для Linux-систем; использовать надёжные защитные решения, обеспечивающие в том числе безопасность Linux-систем, такие как интегрированное решение для комплексной защиты рабочих мест и KasperskySecurity для виртуальных и облачных сред.

• https://help.ubuntu.com/lts/serverguide/security.html
• Community docs of Security
• Обработка персональных данных: пошаговая инструкция для компаний
• Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации
• Информационная безопасность
• Государственный реестр сертифицированных средств защиты информации
• 40 Linux Server Hardening Security Tips 2019 edition
• Список инструментов Kali Linux