• +32 9 277 90 00
  • info@itaf.eu
  • Ma – Vr 09u00 – 18u00
  • Engels
  • Frans

6 belangrijke stappen bij het implementeren en instellen van de server

Deel dit bericht

Share on facebook
Share on linkedin
Share on twitter
Share on email

Voordat u uw nieuwe Linux server in gebruik neemt, zijn er 6 belangrijke stappen die u moet nemen om ervoor te zorgen dat deze veilig en correct is geconfigureerd. De details van deze stappen kunnen variëren van distributie tot distributie, maar conceptueel zijn ze van toepassing op elke Linux “smaak”. Door deze stappen op nieuwe servers aan te vinken, kunt u ervoor zorgen dat deze op zijn minst basisbescherming hebben tegen de meest voorkomende aanvallen.

1. Gebruikersconfiguratie en netwerkconfiguratie voor Linux

Het allereerste wat u wilt doen, als het geen deel uitmaakte van uw besturingssysteem, is het root-wachtwoord wijzigen. Dit zou vanzelfsprekend moeten zijn, maar kan verrassend over het hoofd worden gezien tijdens een routinematige serverinstallatie. Het wachtwoord moet minimaal 8 tekens bevatten, met een combinatie van hoofdletters en kleine letters, cijfers en symbolen. U moet ook een wachtwoordbeleid instellen dat vereisten voor veroudering, vergrendeling, geschiedenis en complexiteit specificeert als u lokale accounts gaat gebruiken. In de meeste gevallen moet u de root-gebruiker volledig uitschakelen en niet-geprivilegieerde gebruikersaccounts met sudo-toegang maken voor degenen die verhoogde rechten nodig hebben.
Een van de meest basale configuraties die u moet maken, is netwerkconnectiviteit inschakelen door de server een IP-adres en hostnaam toe te wijzen. Voor de meeste servers wilt u een statisch
IP-adres gebruiken, zodat clients de bron altijd op hetzelfde adres kunnen vinden. Als uw netwerk VLAN’s gebruikt, overweeg dan hoe geïsoleerd het segment van de server is en waar het het beste past. Als u IPv6 niet gebruikt, schakelt u het uit. Stel de hostnaam, het domein en de
DNS-serverinformatie in. Twee of meer DNS-servers moeten worden gebruikt voor redundantie en u moet nslookup testen om te controleren of de naamomzetting correct werkt.

2. Pakketbeheer, update installatie en configuratie

Vermoedelijk stelt u uw nieuwe server in voor een specifiek doel, dus zorg ervoor dat u de pakketten installeert die u mogelijk nodig hebt als ze geen deel uitmaken van de distributie die u gebruikt. Evenzo moeten alle externe pakketten die op uw systeem zijn geïnstalleerd, worden verwijderd om de voetafdruk van de server te verkleinen. Dit alles moet worden gedaan via de pakketbeheeroplossing van uw distributie, zoals yum of apt voor eenvoudiger beheer onderweg. Nadat u de juiste pakketten op uw server hebt geïnstalleerd, moet u ervoor zorgen dat alles wordt bijgewerkt. Niet alleen de pakketten die u hebt geïnstalleerd, maar ook de kernel en standaardpakketten. Tenzij u een specifieke versie nodig hebt, moet u altijd de nieuwste productierelease gebruiken om uw systeem te beveiligen. Gewoonlijk levert uw pakketbeheeroplossing de nieuwste ondersteunde versie. U moet ook overwegen om automatische updates in te stellen in het pakketbeheertool als dit werkt voor de service(s) die u op deze server host.

3. NTP configuratie voor Linux-server

Configureer uw Linux server om zijn tijd te synchroniseren met NTP servers. Dit kunnen interne NTP servers zijn als uw omgeving die heeft, of externe tijdservers die voor iedereen beschikbaar zijn. Wat belangrijk is, is het voorkomen van klokafwijking, waarbij de klok van de server scheeftrekt van de werkelijke tijd. Dit kan veel problemen veroorzaken, waaronder verificatieproblemen waarbij de tijd scheef loopt tussen de server en de verificatie infrastructuur wordt gemeten voordat toegang wordt verleend. Dit zou een simpele aanpassing moeten zijn, maar het is een kritisch stukje betrouwbare infrastructuur.

4. Firewalls en iptables

Afhankelijk van uw distributie is iptables mogelijk al volledig vergrendeld en moet u openen wat u nodig hebt, maar ongeacht de standaardconfiguratie, moet u er altijd naar kijken en ervoor zorgen dat het is ingesteld zoals u dat wilt. Vergeet niet om altijd het principe van de minste rechten te gebruiken en alleen die poorten te openen die u absoluut nodig hebt voor de services op die server. Als uw server zich achter een specifieke firewall bevindt, moet u alles ontkennen, behalve wat daar ook nodig is. Ervan uitgaande dat uw iptables / firewall standaard beperkend is, vergeet dan niet om open te stellen wat u nodig hebt om uw server zijn werk te laten doen!

5. Beveiliging van SSH en Daemon configuratie

SSH is de belangrijkste externe toegangsmethode voor Linux distributies en moet als zodanig goed worden beveiligd. Je moet de mogelijkheid van root om SSH op afstand uit te schakelen, zelfs als je het account hebt uitgeschakeld, zodat voor het geval root om de een of andere reden op de server wordt ingeschakeld, het nog steeds niet op afstand kan worden geëxploiteerd. Optioneel kunt u de standaard SSH-poort wijzigen om deze te “verbergen”, maar eerlijk gezegd onthult een eenvoudige scan de nieuwe open poort aan iedereen die deze wil vinden. Ten slotte kunt u wachtwoordverificatie helemaal uitschakelen en op certificaten gebaseerde verificatie gebruiken om de kansen op SSH exploitatie nog verder te verkleinen. Het is ook belangrijk om de juiste applicaties in te stellen voor automatisch starten bij opnieuw opstarten. Zorg ervoor dat je alle deamonen uitschakelt die je niet nodig hebt. Een sleutel tot een beveiligde server is het zoveel mogelijk verkleinen van de actieve footprint, zodat de enige beschikbare gebieden voor aanval die door de applicatie(s) worden vereist zijn. Zodra dit is gebeurd, moeten de resterende services zoveel mogelijk worden gehard om veerkracht te garanderen.

6. SELinux, verdere verharding en logging

Als je ooit een Red Hat distro hebt gebruikt, ben je misschien bekend met SELinux, het hulpmiddel voor het verharden van de kernel dat het systeem tegen verschillende bewerkingen beschermt. SELinux is uitstekend in het beschermen tegen ongeautoriseerd gebruik en toegang tot systeembronnen. Het is ook geweldig in het breken van applicaties, dus zorg ervoor dat je je configuratie test met SELinux ingeschakeld en gebruik de logboeken om ervoor te zorgen dat niets legitiem wordt geblokkeerd. Verder moet u onderzoek doen naar het verharden van alle applicaties zoals MySQL of Apache, omdat elke een reeks “best practices” moet volgen. Ten slotte moet u ervoor zorgen dat het log-niveau dat u nodig hebt is ingeschakeld en dat u daarvoor voldoende middelen hebt. Je zult uiteindelijk problemen met deze server oplossen, dus doe jezelf nu een plezier en bouw de log-structuur die je nodig hebt om problemen snel op te lossen. De meeste software heeft configureerbare logboekregistratie, maar u hebt wat vallen en opstaan ​​nodig om de juiste balans te vinden tussen te weinig informatie en te veel. Er is een groot aantal logging-tools van derden die kunnen helpen met alles, van aggregatie tot visualisatie, maar elke omgeving moet eerst worden overwogen voor zijn behoeften. Vervolgens kunt u de tool(s) vinden die u helpen ze te vullen.

Linux Server Setup en hoe kan ITAF u helpen?

Elk van deze stappen kan enige tijd duren om te implementeren, vooral als u dit voor de eerste keer doet. Maar door een routine van initiële serverconfiguratie en infrastructuur op te zetten, kunt u ervoor zorgen dat nieuwe machines in uw omgeving veerkrachtig zijn. Voor vragen met betrekking tot uw server-to-server communicatie instellingen, neem contact met ons op en we helpen u graag verder.

Meer uit deze categorie
Ongelezen inhoud
Je hebt nog meer interessante onderwerpen om te ontdekken 90%
Scroll Up