Відповіді:
Я не можу придумати жодних настроїв, характерних для Ubuntu, але ось декілька, які стосуються всіх дистрибутивів:
Звичайно, цей список не повний, і ви ніколи не будете повністю безпечними, але він охоплює всі подвиги, які я бачив у реальному житті.
Крім того, подвиги, які я бачив, майже завжди стосувалися незахищеного коду користувача, а не незахищеної конфігурації. Конфігурації за замовчуванням у мінімальних, серверних дистрибутивах, як правило, досить безпечні.
Одна швидка річ, яку я рано роблю, - це встановити DenyHosts . Він регулярно буде переглядати / var / log / secure, шукати невдалі входи в систему, а після пари відмов блокувати IP. Я встановив його для блокування після першого не-такого користувача, під час другої спроби root та після пари спроб для реальних користувачів (у випадку, якщо ви зіпсуєте, але для входу вам слід використовувати відкритий ключ SSH).
Ubuntu базується на Debian, і я вважаю, що Посібник із забезпечення Debian є дуже корисним у дистрибутивах на основі Debian, щоб повністю провести вас через вашу систему та перевірити кожну частину. Це в основному справді, дійсно всебічна відповідь на ваше запитання.
Зазвичай я встановлюю RKHunter, який сканує руткіти і перевіряє цілісність різних важливих бінарних систем. Це в стандартному репо, і буде працювати щодня з cron. Це не ідеально, безпечно, але це додавання із малим зусиллям, і він забезпечує міру захисту.
Встановіть реєстрацію, але налаштуйте так, щоб ніколи не отримували повідомлення від регулярних подій, інакше ви отримаєте звичку ігнорувати електронні листи.
Перевірте, які процеси прослуховуються за допомогою netstat, і переконайтеся, що нічого не працює, що не потрібно запускати. Багато демонів можна налаштувати лише для прослуховування через внутрішній IP (або localhost) замість усіх інтерфейсів.
Робіть те, що може запропонувати ...
Nmap хост і відключити всі несуттєві послуги. За потреби використовуйте iptables.
Використовуйте окремі розділи для різних каталогів, наприклад, /tmpабо /varмонтуйте їх nosuid, nodevі noexecякщо це можливо.
Навчіться користуватися брандмауером та принципами правильного блокування коробки. Зміна портів за замовчуванням є значною мірою марною справою; правильне застосування та конфігурація брандмауера набагато важливіші.
Обидва знаходяться в репортах Ubuntu:
має приголомшливу документацію і дуже простий у вивченні синтаксис. Мені вдалося встановити шлюз / брандмауер за двадцять хвилин. Єдина причина, від якої я відійшов від цього, це те, що він, схоже, не підтримується (останній реліз 2 роки тому). Це не означає, що це не працює, але ...
це ще один. Більш синтаксис, подібний до iptables, але таке ж поняття. Більш спільнота підтримується, ніж FireHOL, але збирання займає більше часу.
це те, що я зараз використовую. Його документація є великою, а її конфігураційний формат - табличним. Щоб зрозуміти всі необхідні файли (6), щоб запустити конфігурацію робочого брандмауера / шлюзу, мені знадобилося близько півтори години. Це досить потужно. ПОРАДА: Доступні сторінки для різних конфігураційних файлів дійсно корисні!
Усі ці конфігурації брандмауера завантажуються з файлу config. Дуже ефективний, простіший у використанні, ніж iptables прямо вгору, і (на мою думку) простіший у використанні та керуванні, ніж ufw.
Я друге рекомендації щодо використання ключа SSH.
Налаштування IDS.
Дізнайтеся про AppArmor. Він обмежує доступ до файлів до файлів лише вказаними каталогами та потрібними файлами. Подібно до SELinux у світі RHEL. Він встановлений та увімкнений за допомогою попередньо налаштованих "профілів" для багатьох добре використовуваних програм.
Як і інші пропозиції, тут я згадаю три, які очевидні, але, можливо, варто згадати для повноти: