Безопасность и лучшие практики
Принцип минимальных привилегий
Понимание минимальных привилегий
graph TD
A[Пользовательский аккаунт] --> B{Уровень привилегий}
B -->|Минимально необходимый| C[Безопасный доступ]
B -->|Избыточные привилегии| D[Безопасность риск]
Реализация минимальных привилегий
Стратегия |
Описание |
Разделение ролей пользователей |
Создавать конкретных пользователей для конкретных задач |
Ограниченный доступ к sudo |
Ограничивать права sudo |
Регулярные аудиты |
Постепенно проверять права доступа пользователей |
Безопасность конфигурации sudo
Закрепление файла sudoers
## Ограничить sudo определенным командам
username ALL=(ALL) NOPASSWD: /path/to/specific/command
## Ограничить доступ к sudo определенным группам
%admin ALL=(ALL) ALL
Аутентификация и контроль доступа
Сильные методы аутентификации
- Использовать аутентификацию на основе SSH-ключей
- Реализовать двухфакторную аутентификацию
- Отключить вход под root
## Отключить вход под root по SSH
$ sudo nano /etc/ssh/sshd_config
PermitRootLogin no
Логирование и мониторинг
Отслеживание команд sudo
## Включить детальное логирование sudo
$ sudo visudo
Defaults logfile=/var/log/sudo.log
Defaults log_input
Defaults log_output
Инструменты анализа журналов
## Просмотреть логи sudo
$ sudo journalctl -u sudo
## Проанализировать недавнее использование sudo
$ sudo aureport -au
Техники управления правами доступа
Закрепление прав доступа к файлам
## Защищать конфиденциальные файлы конфигурации
$ chmod 600 /etc/shadow
$ chmod 644 /etc/passwd
Расширенные безопасные практики
Управление capabilities
## Списать capabilities файлов
$ getcap /usr/bin/*
## Удалить не нужные capabilities
$ sudo setcap -r /path/to/binary
Рекомендации по безопасности LabEx
- Регулярно обновлять систему
- Использовать надежные политики паролей
- Реализовать полное логирование
- Проводить периодические аудит безопасности
Периодическое пересмотр прав доступа
## Найти файлы с избыточными правами доступа
$ find / -perm /go+w -type f 2> /dev/null
Стратегии минимизации рисков
Защиты при повышении привилегий
- Использовать sudo с конкретными командами
- Избегать запуска ненужных процессов с повышенными привилегиями
- Реализовать строгие ограничения времени для sudo
## Установить таймаут для sudo
$ sudo -v
$ sudo -k ## Принудительно требует повторной аутентификации
Постепенное обучение
В LabEx мы подчеркиваем, что безопасность - это непрерывный процесс. Будьте в курсе:
- Последних безопасности патчей для Linux
- Руководств по лучшим практикам
- Эволюционирующей обстановки угроз