Защитите и укрепите Ubuntu с помощью сценария безопасности сервера Ubuntu
Сегодня я наткнулся на полезный скрипт, который используется для защиты вашей ОС Ubuntu простым щелчком мыши. Вам не нужно быть опытным администратором Linux, чтобы использовать это. Все, что вам нужно сделать, это просто скачать, распаковать и запустить скрипт. Этот скрипт позаботится обо всем. Ваша задача — нажать ДА или Отмена. Вот и все, просто и ясно. Команда фан-клуба создала простой скрипт с графическим интерфейсом под названием "Ubuntu Server Secure (сокращенно USS)", который состоит из популярных инструментов администрирования безопасности с графическим интерфейсом. для усиления и аудита безопасности операционной системы Ubuntu Desktop или Server. Этот скрипт автоматически установит и настроит все необходимые приложения в фоновом режиме.
Этот скрипт автоматически выполнит следующие 17 задач в вашей системе Ubuntu:
- Установите и настройте брандмауэр UFW;
- Безопасная общая память;
- Отключите корневой вход по SSH и измените порт SSH по умолчанию;
- Защитите su, ограничив доступ только группе администраторов;
- Усиление сетевых настроек sysctl;
- Отключить рекурсию OpenDNS;
- Предотвратите подмену IP;
- Харден PHP;
- Установите и настройте ModSecurity;
- Защититесь от DDoS атак с помощью ModEvasive;
- Установите и настройте DenyHosts для сканирования журналов и блокировки подозрительных хостов;
- Установить и настроить приложение для обнаружения вторжений PSAD;
- Проверьте наличие руткитов с помощью RKHunter;
- Установите и настройте NMAP для сканирования открытых портов;
- Анализируйте системные журналы с помощью LogWatch;
- Установите и настройте SELinux;
- Установите и настройте Tiger инструмент аудита безопасности и предотвращения вторжений.
Единственное предостережение в отношении этого сценария: он нуждается в графическом интерфейсе, что означает, что вам необходимо установить Unity или Gnome DE на ваш сервер Ubuntu. Если вы уже используете рабочий стол Ubuntu, ничего страшного. Кроме того, сценарий довольно старый. Просматривая этот сценарий, я обнаружил, что он был написан еще в 2012 году для версии Ubuntu 12.04 LTS. Похоже, разработчики забросили этот скрипт на стадии альфа и перешли к следующему проекту. Я не могу найти последнюю версию этого скрипта на их сайте. Однако этот сценарий все еще работает в последней операционной системе Ubuntu 16.04 LTS. Если вы разработчик, вы можете проанализировать сценарий и обновить этот сценарий, если он содержит какие-либо недостатки, или просто сообщить об ошибках или идеях по улучшению этого сценария первоначальным разработчикам.
Теперь давайте защитим и укрепим нашу систему Ubuntu с помощью этого скрипта.
Защитите Ubuntu с помощью сценария «Ubuntu Server Secure (USS)».
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Используйте этот скрипт осторожно. Ни я, ни владелец этого скрипта не несут ответственности за какой-либо ущерб вашим системам Ubuntu. Этот скрипт предназначен исключительно для альфа-тестирования и может нанести вред вашей системе при неправильном использовании. Прежде чем использовать этот сценарий в производственной среде, тщательно протестируйте его на любой тестовой машине. Как только вы останетесь довольны, вы сможете использовать его в своих производственных системах.
Требования:
Этот скрипт создан с использованием Zenity. Итак, вам необходимо установить его в вашей системе Ubuntu, чтобы использовать этот скрипт. Как известно, Zenity предустановлен по умолчанию, начиная с Ubuntu 12.04 LTS. Если он случайно не установлен, вы можете установить его с помощью менеджера пакетов apt.
Кроме того, вам необходимо установить gksu, интерфейс gtk для команд su и sudo, а также команду wget. линейный загрузчик.
Чтобы установить их, просто запустите следующую команду из Терминала:
sudo apt-get install gksu wget
Далее вам необходимо развернуть в вашей системе стандартный стек LAMP. Перейдите по следующей ссылке, чтобы установить стек LAMP в Ubuntu 16.04 LTS.
- Установить Apache, MariaDB, PHP (стек LAMP) в Ubuntu 16.04
Загрузите и установите USS
Запустите следующую команду в окне терминала, чтобы загрузить этот скрипт.
wget https://www.thefanclub.co.za/sites/default/files/public/downloads/ubuntu-server-secure.tar.gz
После загрузки извлеките его с помощью команды:
sudo tar -zxvf ubuntu-server-secure.tar.gz
Перейдите в извлеченную папку:
cd ubuntu-server-secure
Сделайте скрипт исполняемым с помощью команды:
sudo chmod +x ubuntu-server-secure.sh
Наконец, выполните следующую команду, чтобы запустить скрипт.
gksudo sh ubuntu-server-secure.sh
Вы увидите следующий экран. Просто выберите функции безопасности, которые вы хотите реализовать в своей системе Ubuntu. Я хочу развернуть их все, поэтому проверил все функции.
С этого момента вам нужно будет ответить на ряд вопросов типа Да или Нет. Не волнуйтесь, все вопросы говорят сами за себя.
Сначала давайте изменим порт SSH по умолчанию. Поскольку это всего лишь демонстрационная цель, я использую значения по умолчанию. Вы можете изменить значения по своему усмотрению.
Выберите «Да», чтобы открыть новый порт SSH через брандмауэр UFW.
Выберите «Да», чтобы перезапустить службу SSH и изменения вступили в силу.
Введите название новой группы администраторов:
Введите, какого текущего пользователя следует добавить в новую группу администраторов. Обратите внимание, что пользователи, добавленные в эту группу, могут выполнять административные задачи только с помощью команд «su» или «sudo».
Нажмите «Да», чтобы перезапустить sysctl с новыми настройками:
Выберите «Да», чтобы перезапустить службу Apache после защиты PHP:
Далее нам нужно настроить ModSecurity. Введите значение ограничения тела запроса страницы в байтах. Если вы не уверены, просто оставьте значения по умолчанию. Все в порядке.
Выберите «Да», чтобы перезапустить службу Apache2 с помощью ModSecurity, чтобы изменения вступили в силу.
Введите действительный адрес электронной почты, чтобы получать уведомления ModEvasive:
Выберите «Да», чтобы перезапустить Apache2 с помощью ModEvasive:
Введите действительный адрес электронной почты, чтобы получать уведомления DenyHosts:
Введите адрес электронной почты, чтобы получать уведомления PSAD:
Выберите Да, чтобы запустить проверку RKHunter:
Выберите «Да», чтобы запустить сканирование портов Nmap:
Выберите «Да», чтобы запустить LogWatch в вашей системе:
Выберите «Да», чтобы проверить статус Apparmor:
Наконец, давайте запустим инструмент обнаружения вторжений Tiger, чтобы проверить безопасность и усилить защиту нашей системы Ubuntu.
Нажмите «ОК», чтобы завершить безопасный сценарий Ubuntu.
Теперь мы исправили некоторые распространенные проблемы безопасности в системе Ubuntu. Полный файл журнала можно просмотреть по адресу: /var/log/uss_YYYY-MM-DD.log (замените ГГГГ-ММ-ДД на текущую дату).
Кроме того, команда фан-клуба опубликовала на своем сайте пошаговую статью о защите Ubuntu 16.04 LTS (часть 1). Это обновленное руководство с некоторыми дополнительными инструментами безопасности для Ubuntu 16.04 LTS. Если вам интересно, посмотрите эту ссылку.
Ссылка:
- Как защитить сервер Ubuntu 12.04 LTS. Часть 2. Скрипт установщика с графическим интерфейсом