📰 Laman Utama 🔒 Log Masuk Admin
Tutorial Teknikal May 30, 2026 ⏰ 5 min read

đź”’ Kuatkan Kubu Anda: Petua Pengerasan Linux Penting untuk SysAdmins

👤 Admin #

đź”’ Kuatkan Kubu Anda: Petua Pengerasan Linux Penting untuk SysAdmins

Dalam landskap ancaman yang sentiasa berkembang hari ini, walaupun pengedaran Linux yang paling mantap tidak terlepas daripada serangan. Sama ada anda menguruskan pelayan tunggal atau kumpulan contoh awan, mengeraskan sistem Linux anda ialah barisan pertahanan pertama yang kritikal. Sebagai pentadbir sistem IT, saya telah melihat terlalu banyak pelanggaran yang boleh dicegah dengan kebersihan keselamatan asas. Dalam siaran ini, saya akan berkongsi petua pengerasan Linux yang boleh diambil tindakan dan diuji pertempuran yang akan membantu anda mengunci sistem anda tanpa mengorbankan kebolehgunaan. ---

1. Pastikan Sistem Anda Kemas Kini

Langkah paling mudah tetapi paling diabaikan ialah menampal. Perisian lapuk adalah lombong emas untuk penyerang.
  • Dayakan kemas kini keselamatan automatik (cth., `naik taraf tanpa pengawasan` pada Debian/Ubuntu).
  • Berjalan secara kerap:
```bash kemas kini sudo apt && peningkatan sudo apt -y # Debian/Ubuntu kemas kini sudo dnf -y # RHEL/CentOS/Fedora ```
  • Langgan nasihat keselamatan untuk pengedaran anda (cth., Notis Keselamatan Ubuntu, pangkalan data Red Hat CVE).
  • Keluarkan pakej yang tidak digunakan untuk mengurangkan permukaan serangan.
---

2. Keraskan Akses SSH

SSH ialah titik masuk paling biasa untuk pengurusan jauh—dan sasaran utama untuk serangan kekerasan.
  • Lumpuhkan log masuk akar melalui SSH:
Edit `/etc/ssh/sshd_config`: `PermitRootLogin no`
  • Gunakan pengesahan berasaskan kunci sahaja (lumpuhkan pengesahan kata laluan):
`No Pengesahan Kata Laluan`
  • Tukar port lalai (22 → cth., 2222) untuk mengurangkan imbasan automatik.
  • Laksanakan fail2ban untuk menyekat IP selepas percubaan gagal berulang.
  • Hadkan akses SSH oleh pengguna/kumpulan menggunakan `AllowUsers` atau `AllowGroups`.
  • Dayakan protokol SSH 2 (lumpuhkan protokol 1, yang tidak selamat).
Selepas perubahan, mulakan semula SSH: `sudo systemctl restart sshd` ---

3. Laksanakan Dasar Kata Laluan yang Teguh

Walaupun dengan SSH berasaskan kunci, akaun tempatan memerlukan peraturan kata laluan yang mantap.
  • Pasang dan konfigurasikan `libpam-pwquality` (atau `pam_cracklib`).
  • Tetapkan panjang minimum (cth., 14 aksara), kerumitan (huruf besar, huruf kecil, digit, aksara khas) dan sejarah kata laluan.
  • Menguatkuasakan penuaan kata laluan:
```bash sudo chage -M 90 # Hari maks sudo chage -m 7 # Min hari ```
  • Kunci akaun selepas percubaan log masuk gagal menggunakan `pam_tally2` atau `faillock`.
---

4. Kunci Akaun Pengguna dan Kebenaran

Prinsip keistimewaan terkecil tidak boleh dirunding.
  • Alih keluar pengguna yang tidak diperlukan (cth., `permainan`, `lp`, `uucp`).
  • Lumpuhkan akaun perkhidmatan yang tidak digunakan (cth., `tiada sesiapa` tidak sepatutnya mempunyai shell log masuk).
  • Gunakan `sudo` dan bukannya root untuk tugas pentadbiran. Hadkan akses sudo melalui `/etc/sudoers` (gunakan `visudo`).
  • Tetapkan kebenaran fail yang ketat pada fail kritikal:
```bash chmod 600 /etc/shadow chmod 644 /etc/passwd chmod 640 /etc/ssh/sshd_config ```
  • Audit binari SUID/SGID secara kerap:
`cari / -perm /6000 -type f -exec ls -ld {} \;` ---

5. Konfigurasikan Firewall (iptables/nftables/UFW)

Firewall yang dikonfigurasikan dengan betul ialah bouncer rangkaian anda.
  • Gunakan `ufw` (Tembok Api Tidak Rumit) untuk kesederhanaan pada Ubuntu:
```bash sudo ufw lalai menafikan masuk sudo ufw lalai membenarkan keluar sudo ufw benarkan ssh sudo ufw enable ```
  • Untuk persediaan lanjutan, gunakan `nftables` (penggantian moden untuk iptables).
  • Sekat permintaan ping ICMP (lumpuhkan `net.ipv4.icmpechoignore_all` dalam sysctl).
  • Sambungan masuk had kadar untuk mengurangkan DDoS.
  • Log paket yang digugurkan untuk analisis forensik.
---

6. Lumpuhkan Perkhidmatan yang Tidak Diperlukan dan Modul Kernel

Setiap perkhidmatan yang dijalankan adalah potensi kelemahan.
  • Senaraikan semua perkhidmatan: `systemctl list-unit-files --type=service`
  • Lumpuhkan yang tidak digunakan: `sudo systemctl disable `
  • Alih keluar atau tutup perkhidmatan berisiko tinggi seperti `telnet`, `rsh`, `rlogin`.
  • Senarai hitamkan modul kernel yang tidak digunakan (cth., `bluetooth`, `firewire`) dalam `/etc/modprobe.d/blacklist.conf`.
---

7. Keraskan Kernel dengan sysctl

Ubah parameter kernel untuk mengurangkan permukaan serangan. Edit `/etc/sysctl.conf` atau tambahkan fail pada `/etc/sysctl.d/`: ```bash

Perlindungan IP Spoofing

net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1

Abaikan ubah hala ICMP

net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0

Lumpuhkan penghalaan paket sumber

net.ipv4.conf.all.acceptsourceroute = 0 net.ipv6.conf.all.acceptsourceroute = 0

Log paket martian (alamat palsu)

net.ipv4.conf.all.log_martians = 1 ``` Gunakan dengan `sudo sysctl -p`. ---

8. Dayakan Pembalakan dan Pemantauan

Anda tidak boleh menjamin perkara yang anda tidak pantau.
  • Dayakan auditd untuk pengauditan panggilan sistem:
`sudo apt install auditd` dan konfigurasikan peraturan dalam `/etc/audit/rules.d/`.
  • Pusat log dengan `rsyslog` atau `syslog-ng` ke pelayan jauh.
  • Gunakan `logwatch` atau `aide` untuk ringkasan log dan pemantauan integriti fail.
  • Pasang `rkhunter` atau `chkrootkit` untuk pengesanan rootkit.
  • Pantau percubaan log masuk yang gagal melalui `/var/log/auth.log`.
---

9. Akses dan But Fizikal Selamat

Akses fizikal = kompromi penuh.
  • Tetapkan kata laluan BIOS/UEFI untuk mengelakkan perubahan peranti but.
  • Sulitkan cakera dengan LUKS semasa pemasangan.
  • Secure GRUB dengan kata laluan:
```bash grub-mkpasswd-pbkdf2 ``` Kemudian tambahkan cincang pada `/etc/grub.d/40_custom`.
  • Lumpuhkan but daripada media boleh tanggal dalam BIOS.
---

10. Gunakan SELinux atau AppArmor

Sistem Kawalan Capaian Mandatori (MAC) menambah lapisan perlindungan melebihi kebenaran Unix standard.
  • SELinux (Red Hat/CentOS/Fedora): Menguatkuasakan dasar yang disasarkan.
Semak status: `getenforce` Tetapkan penguatkuasaan: `setenforce 1` (berterusan dalam `/etc/selinux/config`)
  • AppArmor (Ubuntu/Debian): MAC berasaskan profil.
Pasang: `sudo apt install apparmor apparmor-utils` Kuatkuasakan profil: `sudo aa-enforce /path/to/profile` ---

Kesimpulan

Pengerasan Linux bukanlah tugas sekali sahaja—ia adalah proses kewaspadaan dan penyesuaian yang berterusan. Mulakan dengan 10 petua ini, kemudian bina garis dasar keselamatan tersuai untuk persekitaran anda. Ingat, matlamatnya bukan untuk menjadikan sistem anda tidak dapat ditembusi (itu adalah mustahil), tetapi untuk menjadikannya sangat sukar untuk dilanggar sehingga penyerang beralih ke sasaran yang lebih mudah. Sistem Linux yang keras ialah sistem yang membosankan untuk penyerang—dan itulah yang anda mahukan. Kekal selamat, kekal ditampal dan pastikan log itu mengalir. 🛡️
← Back to Homepage

💬 0 Comments