Защита и укрепление Linux

От издательства
Об авторе
О рецензенте
Предисловие
Часть I. ПОДГОТОВКА БЕЗОПАСНОЙ LINUX-
СИСТЕМЫ . Глава 1. Запуск Linux в виртуальной
среде
Обзор угроз
Откуда берутся бреши?
Быть в курсе новостей по безопасности
Различия между физической, виртуальной и
облачной системами
Знакомство с VirtualBox и Cygwin
Установка виртуальной машины в VirtualBox
Установка репозитория EPEL на виртуальную
машину CentOS 7
Установка репозитория EPEL на виртуальные
машины AlmaLinux 8/9 ..
Конфигурирование сети для виртуальных машин в
VirtualBox
Создание моментального снимка виртуальной
машины в VirtualBox ...
Использование Cygwin для подключения к
виртуальным машинам
Установка Cygwin на компьютер под управлением
Windows
Использование клиента SSH в Windows 10 для
взаимодействия
с виртуальными машинами Linux
Использование клиента SSH в Windows 11 для
взаимодействия
с виртуальными машинами Linux
Сравнение Cygwin с оболочкой Windows
Поддержание систем Linux в актуальном состоянии
Обновление систем на основе Debian
Конфигурирование автоматического обновления в
Ubuntu
Обновление систем на основе Red Hat 7
Обновление систем на основе Red Hat 8/9
Управление обновлениями на предприятии
Резюме
Вопросы
Для дополнительного чтения
Ответы
Присоединяйтесь к сообществу
Глава 2. Защита административных учетных
записей
Риски входа в систему от имени root
Преимущества использования sudo
Задание привилегий sudo для пользователей с
полными правами
администратора
Добавление пользователей в предопределенную
группу
администраторов
Создание записи в файле политики sudo
Задание привилегий sudo для пользователей,
которым делегирована
только часть прав
Практикум: назначение ограниченных привилегий
sudo
Дополнительные приемы работы с sudo
Таймер sudo
Просмотр своих привилегий sudo
Практикум: отключение таймера sudo
Предотвращение доступа к оболочке root со
стороны пользователей
Предотвращение выхода пользователей в
оболочку
Предотвращение запуска других опасных программ
пользователями ....
Ограничение действий пользователя при вызове
команд
Разрешение пользователям работать от имени
других пользователей..., Предотвращение
злоупотреблений с помощью пользовательских
скриптов оболочки
Обнаружение и удаление учетных записей по
умолчанию
Новые возможности sudo
Особенности sudo в SUSE и OpenSUSE
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 3. Защита обычных учетных записей
Защита домашних каталогов пользователей в Red
Hat
Защита домашних каталогов пользователей в
Debian/Ubuntu
useradd в Debian/Ubuntu
adduser в Debian/Ubuntu
Практикум: создание зашифрованного домашнего
каталога с помощью adduser
Задание критериев стойкости паролей
Установка и конфигурирование pwquality
Практикум: задание критериев сложности пароля
Задание срока действия пароля и учетной записи
Задание данных об истечении срока действия для
useradd в системах
типа Red Hat
Задание данных о сроке действия для каждой
учетной записи
в отдельности с помощью useradd и usermod
Задание данных о сроке действия для каждой
учетной записи
в отдельности с помощью chage
Практикум: задание данных о сроке действия для
учетной записи
и пароля
Предотвращение атак полным перебором
Конфигурирование PAM-модуля pam_tally2 в CentOS
7
Практикум: конфигурирование pam_tally2 в CentOS
7
Конфигурирование pam_faillock в AlmaLinux 8 и 9
Практикум: конфигурирование pam_faillock в
AlmaLinux 8 и 9
Конфигурирование pam_faillock в Ubuntu 20.04 и
Ubuntu 22.04
Практикум: конфигурирование pam_faillock в Ubuntu
20.04
и Ubuntu 22.04
Блокировка учетных записей
Блокировка учетной записи с помощью usermod
Блокировка учетной записи с помощью passwd
Блокировка учетной записи root
Настройка баннеров безопасности
Использование файла motd
Использование файла issue
Использование файла issue.net
Обнаружение скомпрометированных паролей
Практикум: обнаружение скомпрометированных
паролей
Системы централизованного управления
пользователями
Microsoft Active Directory
Samba в Linux
FreeIPA (управление идентификацией) в
дистрибутивах типа RHEL....
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 4. Защита сервера с помощью брандмауэра,
часть 1..
Технические требования
Обзор брандмауэров в Linux
Обзор iptables
Основы iptables
Блокирование ICMP с помощью iptables
Блокирование всего, что не разрешено, с помощью
iptables
Практикум: основы работы с iptables
Блокирование недопустимых пакетов с помощью
iptables
Восстановление удаленных правил
Практикум: блокирование недопустимых IPv4-
пакетов
Защита IPv6
Практикум: работа с ip6tables
nftables - более универсальная система для
построения брандмауэров ...
Таблицы и цепочки nftables
Конфигурирование nftables в Ubuntu
Использование команд nft
Практикум: работа с nftables в Ubuntu
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 5. Защита сервера с помощью брандмауэра,
часть 2...
Технические требования
Uncomplicated Firewall для систем Ubuntu
Конфигурирование ufw
Работа с конфигурационными файлами ufw
Практикум: основы работы с ufw
firewalld для систем Red Hat
Проверка состояния firewalld
Работа с зонами firewalld
Добавление служб в зону по умолчанию
Добавление портов в зону firewalld
Блокирование ICMP
Использование режима паники
Протоколирование отброшенных пакетов
Использование развитых языковых правил firewalld
Правила iptables в firewalld для RHEL/CentOS 7
Создание прямых правил firewalld в RHEL/CentOS 7
Правила nftables для firewalld в RHEL/AlmaLinux 8 и 9
Создание прямых правил firewalld в RHEL/AlmaLinux
Практикум: команды firewalld
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 6. Технологии шифрования
GNU Privacy Guard (GPG)
Практикум: создание собственных ключей GPG
Практикум: симметричное шифрование
собственных файлов
Практикум: шифрование файлов открытыми
ключами
Практикум: подписание без шифрования
Шифрование разделов с помощью Linux Unified Key
Setup (LUKS)
Шифрование диска в процессе установки
операционной системы
Практикум: добавление зашифрованного раздела с
помощью LUKS..
Конфигурирование автоматического монтирования
раздела LUKS
Практикум: конфигурирование автоматического
монтирования
раздела LUKS
Шифрование каталогов с помощью eCryptfs
Практикум: шифрование домашнего каталога для
учетной записи
нового пользователя
Создание частного каталога внутри
существующего домашнего
каталога
Практикум: шифрование других каталогов с
помощью eCryptfs
Шифрование раздела swap с помощью eCryptfs
Использование VeraCrypt для кросс-
платформенного разделения
зашифрованных контейнеров
Практикум: получение и установка VeraCrypt
Практикум: создание и монтирование тома
VeraCrypt в консольном
режиме
Работа с VeraCrypt в графическом режиме
OpenSSL и инфраструктура открытых ключей
Коммерческие удостоверяющие центры
Создание ключей, запросов на подписание
сертификата
и сертификатов
Создание самоподписанного сертификата с ключом
RSA
Создание самоподписанного сертификата с
эллиптическим ключом
Создание ключа RSA и запроса на подписание
сертификата
Создание EC-ключа и CSR
Создание локального УЦ
Практикум: настройка УЦ Dogtag
Добавление УЦ в операционную систему
Практикум: экспорт и импорт сертификата УЦ
Dogtag
Импорт УЦ в Windows
OpenSSL и веб-сервер Apache
Укрепление Apache SSL/TLS в Ubuntu
Укрепление Apache SSL/TLS в RHEL 9/AlmaLinux 9
Задание режима FIPS в RHEL 9/AlmaLinux 9
Укрепление Apache SSL/TLS в RHEL 7/CentOS 7
Настройка взаимной аутентификации
Введение в квантово-стойкие алгоритмы
шифрования
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 7. Укрепление SSH
Запрет протокола SSH 1
Создание и управление ключами для входа без
пароля
Создание пользовательского набора ключей SSH
Перенос открытого ключа на удаленный сервер
Практикум: создание и перенос ключей SSH
Запрет входа от имени root
Запрет входа по имени пользователя и паролю
Практикум: запрет входа по имени пользователя и
паролю
Включение двухфакторной аутентификации
Практикум: настройка двухфакторной
аутентификации
в Ubuntu 22.04
Практикум: использование Google Authenticator в
сочетании
с обменом ключами в Ubuntu
Практикум: настройка двухфакторной
аутентификации
в AlmaLinux 8
Практикум: использование Google Authenticator в
сочетании
с обменом ключами в AlmaLinux 8
Конфигурирование Secure Shell со стойкими
алгоритмами
шифрования
Что такое алгоритмы шифрования в SSH
Сканирование с целью узнать, какие алгоритмы
SSH разрешены
Практикум: сканирование с помощью Nmap
Запрещение слабых алгоритмов шифрования SSH
Практикум: запрещение слабых алгоритмов
шифрования SSH
в Ubuntu 22.04
Практикум: запрет алгоритмов шифрования SSH в
CentOS 7
Задание системных политик шифрования в RHEL 8/9
и AlmaLinux 8/9,
Практикум: задание политик шифрования в
AlmaLinux 9
Конфигурирование более подробного
протоколирования
Практикум: конфигурирование более подробного
протоколирования SSH
Конфигурирование управления доступом с
помощью белых списков
и TCP Wrappers
Конфигурирование белых списков в sshd_config
Практикум: конфигурирование белых списков в
sshd_config
Конфигурирование белых списков с помощью TCP
Wrappers
Конфигурирование автоматического выхода из
системы и баннеров
безопасности
Настройка автоматического выхода для локальных
и удаленных
пользователей
Настройка автоматического выхода в sshd_config
Создание предупредительного баннера
безопасности
Конфигурирование прочих параметров
безопасности
Запрет проброса X11
Запрет SSH-туннелей
Изменения порта SSH по умолчанию
Управление ключами SSH
Задание разных конфигураций для различных
пользователей и групп...
Задание разных конфигураций для различных
узлов
Задание окружения chroot для пользователей SFTP
Создание группы и конфигурирование файла
sshd_config
Практикум: задание каталога chroot для группы
sftpusers
Разделение каталога с помощью SSHFS
Практикум: разделение каталога с помощью SSHFS
Удаленное подключение с рабочего стола Windows
Резюме
Вопросы
Для дополнительного чтения
Ответы
Часть II. УПРАВЛЕНИЕ ДОСТУПОМ К ФАЙЛАМ И
КАТАЛОГАМ
Глава 8. Избирательное управление доступом
Использование chown для изменения владельца
файлов или каталогов . Использование chmod для
задания прав доступа к файлам
или каталогам
Символический способ задания прав доступа
Числовой способ задания прав доступа
Использование SUID и SGID для регулярных файлов
Последствия установки битов SUID и SGID с точки
зрения
безопасности
Нахождение посторонних SUID- и SGID-файлов
Практикум: поиск SUID- и SGID-файлов
Предотвращение использования SUID и SGID в
разделе
Использование расширенных атрибутов для
защиты важных файлов .
Задание атрибута a
Задание атрибута i
Защита системных конфигурационных файлов
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 9. Списки управления доступом и управление
разделяемым каталогом
Создание ACL для пользователя или группы
Создание наследуемого ACL для каталога
Удаление конкретного права доступа с помощью
маски ACL
Использование команды tar --acls для
предотвращения потери ACL
при создании резервной копии
Создание группы пользователей и добавление в
нее членов
Добавление членов при создании их учетных
записей
Использование usermod для добавления
существующего пользователя
в группу
Добавление пользователя в группу путем
редактирования файла
/etc/group
Создание разделяемого каталога
Установка бита SGID и бита закрепления для
разделяемого каталога
Использование ACL для доступа к файлам в
разделяемом каталоге
Задание прав доступа и создание ACL
Практикум: создание разделяемого каталога для
группы
Резюме
Вопросы
Для дополнительного чтения
Ответы
Часть III. Дополнительные методы укрепления
системы
Глава 10. Реализация мандатного управления
доступом с помощью SELinux и AppArmor
Чем SELinux может быть полезна системному
администратору
Настройка контекстов безопасности для файлов и
каталогов
Установка инструментов SELinux
Создание файлов контента при включенной SELinux
Исправление неверного контекста SELinux
Использование chcon
Использование restorecon
Использование semanage
Практикум: установка типа SELinux
Использование setroubleshoot для отладки проблем
в SELinux
Просмотр сообщений setroubleshoot
Использование графической утилиты setroubleshoot
Отладка в разрешительном режиме
Работа с политиками SELinux
Просмотр булевых признаков
Конфигурирование булевых признаков
Защита веб-сервера
Защита сетевых портов
Создание специальных модулей политики
Практикум: булевы признаки SELinux и порты
Чем AppArmor может быть полезна системному
администратору
Знакомство с профилями AppArmor
Работа с командными утилитами AppArmor
Отладка проблем в AppArmor
Отладка профиля AppArmor - Ubuntu 16.04
Отладка профиля AppArmor - Ubuntu 18.04
Практикум: отладка профиля AppArmor
Отладка проблем Samba в Ubuntu 22.04
Эксплуатация системы с помощью вредоносного
контейнера Docker .
Практикум: создание вредоносного контейнера
Docker
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 11. Укрепление ядра и изоляция процессов
Файловая система /proc
Просмотр процессов, работающих в режиме
пользователя
Просмотр информации о ядре
Задание параметров ядра с помощью sysctl
Конфигурирование файла sysctl.conf
Конфигурирование sysctl.conf - Ubuntu
Конфигурирование sysctl.conf - CentOS и AlmaLinux
Задание дополнительных параметров для
укрепления ядра
Практикум: сканирование параметров ядра с
помощью Lynis
Запрет пользователям просматривать чужие
процессы
Что такое изоляция процессов
Что такое контрольные группы
Что такое изоляция пространств имен
Что такое возможности ядра
Практикум: задание возможности ядра
SECCOMP и системные вызовы
Использование изоляции процессов при работе с
контейнерами
Docker
Организация песочницы с помощью Firejail
Практикум: работа с Firejail
Организация песочницы с помощью Snappy
Организация песочницы с помощью Flatpak
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 12. Сканирование, аудит и укрепление
Установка и обновление ClamAV и maldet
Практикум: установка ClamAV и maldet
Практикум: конфигурирование maldet
Обновление ClamAV и maldet
Сканирование с помощью ClamAV и maldet
Проблемы SELinux
Поиск руткитов с помощью Rootkit Hunter
Практикум: установка и обновление Rootkit Hunter
Поиск руткитов
Быстрый анализ на предмет вредоносности с
помощью strings
и VirusTotal
Анализ файла с помощью strings
Сканирование вредоносного файла с помощью
VirusTotal
О демоне auditd
Создание правил аудита
Аудит изменений файла
Аудит каталога
Аудит системных вызовов
Использование ausearch и aureport
Поиск уведомлений об изменении файла
Поиск нарушений правил доступа к каталогам
Поиск нарушений правил системных вызовов
Генерирование отчетов об аутентификации
Использование предопределенных наборов правил
Практикум: использование auditd
Практикум: использование предопределенных
правил для auditd ....
Аудит файлов и каталогов с помощью inotifywait
Применение политик OpenSCAP с помощью oscap
Установка OpenSCAP
Просмотр файлов профилей
Получение недостающих профилей для Ubuntu
Сканирование системы
Лечение системы
Использование SCAP Workbench
Выбор профиля OpenSCAP
Применение профиля OpenSCAP на этапе установки
системы
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 13. Протоколирование и защита журналов
Знакомство с системными журналами Linux
Системный журнал и журнал аутентификации
Файлы utmp, wtmp, btmp и lastlog
Знакомство с rsyslog
Правила протоколирования в rsyslog
Знакомство с journald
Упрощение работы с помощью Logwatch
Практикум: установка Logwatch
Настройка сервера удаленного протоколирования
Практикум: настройка простого сервера
протоколирования
Создание зашифрованного подключения к серверу
протоколирования
Создание подключения через stunnel в AlmaLinux 9 -
сторона сервера . Создание подключения через
stunnel в AlmaLinux 9 - сторона
клиента
Создание подключения через stunnel в Ubuntu -
сторона сервера
Создание подключения через stunnel в Ubuntu -
сторона клиента
Разнесение сообщений клиентов по отдельным
файлам
Обслуживание журналов на крупных предприятиях
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 14. Поиск уязвимостей и обнаружение
вторжений
Введение в Snort и Security Onion
Получение и установка Snort
Практикум: установка Snort с помощью контейнера
Docker
Использование Security Onion
IPFire и встроенная в нее система предотвращения
вторжений
Практикум: создание виртуальной машины IPFire
Сканирование и укрепление с помощью Lynis
Установка Lynis в Red Hat/CentOS
Установка Lynis в Ubuntu
Сканирование с помощью Lynis
Поиск уязвимостей с помощью Greenbone Security
Assistant
Сканирование веб-сервера с помощью Nikto
Nikto в Kali Linux
Практикум: установка Nikto с Github
Сканирование веб-сервера с помощью Nikto
Резюме
Вопросы
Для дополнительного чтения
Ответы
Глава 15. Предотвращение запуска
нежелательных программ
Монтирование разделов с параметрами no
Демон fapolicyd
Правила fapolicyd
Установка fapolicyd
Резюме
Для дополнительного чтения
Вопросы
Ответы
Глава 16. Полезные советы по безопасности
для неутомимых тружеников
Технические требования
Аудит системных служб
Аудит системных служб с помощью systemctl
Аудит сетевых служб с помощью netstat
Практикум: просмотр сетевых служб с помощью
netstat
Аудит сетевых служб с помощью Nmap
Состояния портов
Типы сканирования
Практикум: сканирование с помощью Nmap
Парольная защита начального загрузчика GRUB2
Практикум: сброс пароля
для Red Hat/CentOS/AlmaLinux
Практикум: сброс пароля для Ubuntu
Предотвращение редактирования параметров ядра
в Red Hat/CentOS/AlmaLinux
Предотвращение редактирования параметров ядра
в Ubuntu
Отключение подменю для Ubuntu
Безопасное конфигурирование BIOS/UEFI
Контрольный список мер защиты конфигурации
системы
Резюме
Вопросы
Для дополнительного чтения
Ответы
Предметный указатель