Ali je tvoj Linux varen? Preveri z našim checklistom!

V dobi digitalnih napadov in vse večjih groženj, je skrb za varnost strežnikov in sistemov postala obvezna naloga vsakega sistemskega administratorja. Eden najbolj robustnih operacijskih sistemov, Linux, že sam po sebi ponuja visoko raven varnosti, vendar brez ustrezne konfiguracije ostaja ranljiv. Zato danes predstavljamo popoln linux hardening checklist, ki ti bo pomagal zakleniti sistem, izboljšati varnost in zaščititi podatke pred nepooblaščenimi vdori. Poleg tega bomo prikazali konkretne linux hardening checklist primere, ki jih lahko takoj uporabiš.

1. Posodobitve sistema in paketov

Vedno začni z osnovo — posodobi vse pakete in jedro:

sudo apt update && sudo apt upgrade -y

Ne pozabi omogočiti samodejnih varnostnih posodobitev:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

2. Odstrani nepotrebne pakete in storitve

Vsak nameščen paket povečuje napadno površino. Znebi se vsega, kar ni potrebno:

sudo apt autoremove

Uporabi ukaz netstat -tulnp ali ss -tulnp, da vidiš odprta vrata in deaktiviraš nepotrebne storitve:

sudo systemctl disable ime-storitve
sudo systemctl stop ime-storitve

3. Uporabi požarni zid (UFW/iptables)

UFW (Uncomplicated Firewall) je enostaven za uporabo:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable

Za naprednejšo kontrolo uporabi iptables in shrani pravila z iptables-persistent.

4. Onemogoči root dostop preko SSH

Direktni dostop kot root je nevaren. Uredi datoteko:

sudo nano /etc/ssh/sshd_config

In nastavi:

PermitRootLogin no

Nato ponovno zaženi SSH storitev:

sudo systemctl restart sshd

5. Omogoči SSH overjanje z javnim ključem

Generiraj ključ na lokalni napravi:

ssh-keygen -t rsa -b 4096

Nato ga kopiraj na strežnik:

ssh-copy-id uporabnik@naslov

6. Nastavi časovno omejitev seje in beleženje

Zaščiti sistem pred neaktivnimi sejami:

echo "TMOUT=900" >> /etc/profile

Za večjo sledljivost aktiviraj beleženje ukazov z auditd:

sudo apt install auditd
sudo systemctl enable auditd

7. Uporabi orodja za preverjanje integritete

Fail2Ban za preprečevanje napadov z ugibanjem gesel:

sudo apt install fail2ban

Tripwire za zaznavanje sprememb v datotekah:

sudo apt install tripwire

8. Nastavi SELinux ali AppArmor

Na distribucijah, kot sta CentOS ali RHEL, je priporočeno aktivirati SELinux:

sestatus

Na Ubuntu sistemih je AppArmor že vključen. Aktiviraj profile:

sudo aa-enforce /etc/apparmor.d/*

9. Pravilno upravljanje uporabnikov in dovoljenj

Preveri, kdo ima sudo pravice:

getent group sudo

Uporabi ukaz chmod in chown za omejitev dostopa do pomembnih datotek:

chmod 600 ~/.ssh/authorized_keys

10. Šifriraj diske in varnostne kopije

Uporabi LUKS za šifriranje diskov med namestitvijo ali ročno:

sudo cryptsetup luksFormat /dev/sdX

Za varnostne kopije uporabi orodja kot so rsync z GPG šifriranjem.

11. Redno preverjanje dnevnikov

Uporabi logwatch za pregled dnevnikov:

sudo apt install logwatch
logwatch --detail High --mailto tvoj@email.com --range today --service all

12. Linux hardening checklist primeri za vsakdanjo uporabo

Primer 1 — Minimalistični spletni strežnik:

• Odstranjene vse nepotrebne storitve
• SSH samo z javnim ključem
• UFW odprta le vrata 22 in 80

Primer 2 — Notranji datotečni strežnik z občutljivimi podatki:

• LUKS šifriranje diska
• AppArmor profil za omejitev dostopa
• Fail2Ban aktiviran

Zakaj je ta kontrolni seznam tako pomemben?

Čeprav Linux velja za varen operacijski sistem, je realnost takšna, da številni napadi uspejo ravno zaradi slabe konfiguracije. Z našim linux hardening checklist dobiš strukturo, s katero lahko povečaš odpornost sistema brez nepotrebnih zapletov.

Zaključek

Zaščita tvojega Linux sistema ni več izbira — je nuja. Z rednim sledenjem tej linux hardening checklist boš ne le izboljšal varnost, ampak tudi pridobil več nadzora in zaupanja v svoje okolje. Ne pozabi, da varnost ni stanje, ampak proces. In ti si zdaj dobro na poti!