kb/security

Безопасность Linux: SSH, SELinux, audit, firewall

Хардеринг Linux-серверов: SSH-доступ только по ключам, SELinux/AppArmor MAC-политики, auditd для compliance, firewalld vs nftables для пакетной фильтрации, PAM-стек и fail2ban против брутфорса. Реальные конфиги, не теория.

10 статей в категории

§ статьи

auditdauditd - syscall и file auditauditd пишет события ядра в /var/log/audit/audit.log: file watches (-w), syscall rules (-a), exec'и. ausearch для поиска, aureport для отчётов. Основа compliance (PCI-DSS, HIPAA, ФЗ-152).
cis-benchmark-hardeningCIS Benchmark и system hardening (lynis, OpenSCAP)CIS Benchmark - стандарт hardening Linux. Lynis - быстрый локальный audit со скором, OpenSCAP - формальный с XCCDF-профилями и SCAP- репортом. ansible-lockdown - remediate. Audit и remediate раздельно.
fail2banfail2ban - автобан по логамfail2ban читает логи (sshd, nginx, postfix), регэкспом ловит N неудачных попыток за окно, добавляет IP в правила firewall'а на bantime. Главный инструмент против brute-force на SSH.
firewalld-vs-nftablesfirewalld vs nftables - что выбратьfirewalld - daemon-обёртка с zones, services, rich-rules; backend с RHEL 8 - nftables. Чистый nft - больше контроля, sets, atomic reload. firewalld для desktop/multi-zone, nft для server-fleet.
pamPAM - Pluggable Authentication ModulesPAM - фреймворк аутентификации в Linux. Программы (sudo, login, sshd) не проверяют пароли сами, а вызывают PAM, который через стек модулей в `/etc/pam.d/<service>` решает: пускать или нет.
selinux-policySELinux policy - типы, домены, audit2allowSELinux: каждый процесс имеет домен, каждый объект - тип. Policy определяет какие домены могут что делать с какими типами. audit2allow генерит rules из AVC-denials, semanage тюнит, .pp - модули policy.
ssh-hardeningSSH hardening - закрытие сервераSSH hardening: ключи only (PasswordAuthentication no), отключить root-login, AllowUsers/AllowGroups, MaxAuthTries, fail2ban-jail на sshd. Опционально - нестандартный порт + Match-блоки для гостей.
tls-certificatesTLS-сертификаты - X.509, цепочка доверия, Let's EncryptTLS cert - X.509 объект с public key + identity (CN/SAN) + подписью CA. Цепочка: leaf → intermediate → root (доверенный OS). Let's Encrypt = бесплатный CA через ACME (HTTP-01/DNS-01 challenge). В k8s - cert-manager.
unattended-upgradesАвтообновления безопасности (unattended-upgrades, dnf-automatic, livepatch)Debian/Ubuntu - unattended-upgrades, RHEL - dnf-automatic. Auto только security-updates, остальное вручную. Live patching ядра (livepatch/kpatch) даёт security-fixes без reboot. Без autoreboot - но с уведомлением о необходимости.
secrets-managementУправление секретами - Vault, k8s Secrets, sealed-secretsСекреты не в git, не в env-vars в коде. Опции: HashiCorp Vault (универсал, dynamic creds), k8s Secrets (base64, нужен encryption- at-rest), sealed-secrets (commit-friendly), external-secrets (sync из cloud-vault).

← вернуться ко всем категориям базы знаний