Protezione avanzata su sistemi Debian/Ubuntu Linux
1. Configurazione di sicurezza di base
###1.1. Aggiornamento del sistema
> [!IMPORTANTE]
Prima di iniziare a rafforzare il sistema, è importante assicurarsi che sia aggiornato con le ultime patch di sicurezza.
"bash."
sudo apt update && sudo apt full-upgrade -y
###1.2. Configurazione della politica del firewall
> [!CONSIGLIO]
La politica del firewall viene utilizzata per controllare il traffico di rete in entrata e in uscita.
"bash."
sudo ufw abilita
###1.3. Configurazione dell'autenticazione
> [!ATTENZIONE]
L'autenticazione è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo useradd -m -s /bin/false nessuno
sudo usermod -aG nessuno www-data
## 2. Impostazioni di sicurezza avanzate
###2.1. Configurazione della sicurezza del kernel
> [!IMPORTANTE]
La sicurezza del kernel è essenziale per evitare attacchi 0-day.
"bash."
sudo nano /etc/sysctl.conf
"bash."
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 1
net.ipv4.conf.default.secure_redirects = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv6.conf.all.secure_redirects = 1
net.ipv6.conf.default.secure_redirects = 1
###2.2. Impostazioni di sicurezza della memoria
> [!CONSIGLIO]
La sicurezza della memoria è fondamentale per evitare attacchi 0-day.
"bash."
sudo nano /etc/sysctl.conf
"bash."
vm.mmap_min_addr = 65536
vm.discard_core = 1
### 23. Impostazioni di sicurezza della rete
> [!ATTENZIONE]
La sicurezza della rete è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/hosts.deny
"bash."
ssh: TUTTI
## 3. Impostazioni di sicurezza dell'applicazione
###3.1. Configurazione della sicurezza Apache
> [!IMPORTANTE]
La sicurezza di Apache è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/apache2/apache2.conf
"bash."
<Directory />
Opzioni SeguiSymLinks
Consenti override Nessuno
Richiedi tutto negato
</Directory>
<Directory /var/www/>
Opzioni Indici FollowSymLinks MultiViews
Consenti sovrascrivi tutto
Richiedi tutto concesso
</Directory>
###3.2. Configurazione della sicurezza MySQL
> [!CONSIGLIO]
La sicurezza MySQL è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf
"bash."
indirizzo di associazione = 127.0.0.1
## 4. Configurazione del monitoraggio della sicurezza
###4.1. Configurazione della sicurezza syslog
> [!ATTENZIONE]
La sicurezza syslog è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/syslog.conf
"bash."
autenticazione,autorizzazionepriv.
;mail.;\
notizie.err;\
.=debug;.=informazioni;\
.=avviso;.=avvisare;\
.=avviso;.=err;
.=crit;.=avviso;
.=emerg /dev/log
###4.2. Configurazione del controllo della sicurezza
> [!IMPORTANTE]
Il controllo della sicurezza è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/audit/audit.rules
"bash."
-w /etc/group -p wa -k identità
-w /etc/passwd -p wa -k identità
-w /etc/gshadow -p wa -k identità
-w /etc/sudoers -p wa -k identità
## 5. Configurazione della sicurezza di backup
###5.1. Configurazione della sicurezza del backup MySQL
> [!CONSIGLIO]
La sicurezza di MySQL Backup è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/mysql/debian-start
"bash."
mysqldump -u root -p[password] [database] > /var/backups/mysql/$(data +\%Y\%m\%d).sql
###5.2. Configurazione della sicurezza di backup di Apache
> [!ATTENZIONE]
La sicurezza di Apache Backup è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/apache2/conf.d/backup.conf
"bash."
Alias /backup/ /var/backups/apache/
## 6. Configurazione della sicurezza del monitoraggio della rete
###6.1. Configurazione della sicurezza NTP
> [!IMPORTANTE]
La sicurezza NTP è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/ntp.conf
"bash."
restrizione predefinita nomodify notrap nopeer noquery
###6.2. Configurazione della sicurezza SSH
> [!CONSIGLIO]
La sicurezza SSH è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/ssh/sshd_config
"bash."
PermitRootLogin n
## 7. Impostazioni di sicurezza del monitoraggio dell'applicazione
###7.1. Configurazione della sicurezza Apache
> [!ATTENZIONE]
La sicurezza di Apache è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/apache2/apache2.conf
"bash."
<Directory />
Opzioni SeguiSymLinks
Consenti override Nessuno
Richiedi tutto negato
</Directory>
<Directory /var/www/>
Opzioni Indici FollowSymLinks MultiViews
Consenti sovrascrivi tutto
Richiedi tutto concesso
</Directory>
###7.2. Configurazione della sicurezza MySQL
> [!IMPORTANTE]
La sicurezza MySQL è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf
"bash."
indirizzo di associazione = 127.0.0.1
## 8. Configurazione della sicurezza di monitoraggio del sistema
###8.1. Configurazione della sicurezza syslog
> [!CONSIGLIO]
La sicurezza syslog è fondamentale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/syslog.conf
"bash."
autenticazione,autorizzazionepriv.;mail.
;\
news.err;\
.=debug;
.=informazioni;\
.=avviso;
.=avvisare;\
.=avviso;
.=err;.=crit;
.=avviso;.=emerg /dev/log
###8.2. Configurazione del controllo della sicurezza
> [!ATTENZIONE]
Il controllo della sicurezza è essenziale per impedire l'accesso non autorizzato al sistema.
"bash."
sudo nano /etc/audit/audit.rules
"bash."
-w /etc/group -p wa -k identità
-w /etc/passwd -p wa -k identità
-w /etc/gshadow -p wa -k identità
-w /etc/sudoers -p wa -k identità
```
L'impostazione della sicurezza avanzata sui sistemi Debian/Ubuntu Linux richiede molte configurazioni e impostazioni. È importante ricordare che la sicurezza è un processo continuo e che sono necessarie revisioni regolari per garantire che il sistema sia protetto dalle minacce attuali e future.