Traditional Unix best practices

Разбирая свой информационный завал, наткнулся на интересную статью, которая перечисляет полезные советы для администраторов Unix-систем. Полностью изучить материал вы можете пройдя по ссылке, а здесь я представлю перевод 26 советов из этой статьи:

  • Отключите неиспользуемые сервисы. Чем меньше сервисов — тем меньше уязвимостей.
  • Включите логирование. Хорошо если имеется возможность отправки информации на syslog-сервер. Файлы логов могут дать много полезной информации о том, что происходит с вашими серверами.
  • Напишите скрипты анализа файлов логов, чтобы они предупреждали вас о появляющихся проблемах. Не пытайтесь просматривать файлы логов вручную если, конечно, вы не ищете в них что-то конкретное.
  • Контролируйте производительность, а также использование памяти и жестких дисков. Будет лучше, если вы заметите проблемы с производительностью и аптаймом до того, как они перерастут во что-то более серьезное.
  • Исправляйте обнаруженные проблемы своевременно. Чем дольше проблемы остаюся нерешенными, тем дольше вы вынуждены держать их во внимании.
  • Отключите telnet и другие небезопасные сервисы. Не существует никакого оправдания тому, чтобы использовать небезопасные технологии.
  • Создавайте качественные пароли путем обозначения минимальной длины, времени их жизни, разнообразия символов и недопустимости повторного использования. Учтите, что рекомендуемая длина пароля возрасла в последние несколько лет и сейчас составляет от 8 до 12-14 символов.
  • Изменяйте периодически пароль администратора. Убедитесь в его качестве, и что его практически никто не знает. Существуют более хорошие способы управления системой, чем распространение пароля администратора.
  • Проводите резервное копирование и убедитесь в качестве полученных бэкапов. При отсутствии периодической проверки ваших резервных копий вы можете быть неприятно удивлены, когда они понадобятся.
  • Разработайте и оттестируйте систему экстренного восстановления. Заранее обдумайте варианты восстановления в разных ситуациях и убедитесь, что все инструменты готовы к работе.
  • Отключите SUID. Не следут использовать данную возможность, особенно для обеспечения доступа пользователей к правам администратора.
  • Используйте sudo для выполнения администраторских задач. Использование sudo позволит пользователям выполнять свою работу без предоставления им пароля администратора.
  • Подумайте об использовании таких инструментов, как TripWire и TCP wrapper. Добавляйте, по возможности, высокоуровневые системы защиты.
  • Подумайте об использовании SELinux для повышения общей безопасности серверов.
  • Периодически устанавливайте патчи, особенно, когда они закрывают серьезные уязвимости.
  • Используйте (на Linux системах) host-based брандмауэры, например iptables и firewalld, вместо граничных. Часть угроз приходит изнутри, и только вы можете знать, что требуется защищать в системе, которой управляете.
  • Удаляйте или блокируйте учетные записи как только кто-то покидает организацию или получает другие обязанности. Учетные записи следует блокировать или удалять как можно скорее.
  • Проверяйте учетные записи минимум дважды в год и удаляйте те, которые больше не актуальны или некорректны. Но будте аккуратны в определении аккаунтов сервисов (учетные записи, используемые системными срвисами). Если вы не записываете что есть для чего, то такие учетные записи не могут быть проверены и изучены должным образом.
  • По возможности избегайте общих учетных записей, потому что становится сложно отследить кто именно выполнял какое-либо действие.
  • Планируйте, тестируйте, внедряйте и проверяйте изменения только в том случае, когда у вас есть рабочий план возврата к предыдущему состоянию, если что-то пойдет не так.
  • Внедряйте изменения в тестовой среде перед их перемещением в рабочую. Ваша тестовая среда должна быть приближена к реальной как можно сильнее.
  • Сканируйте ваше систему на наличие уязвимостей. При нахождении некоторой уязвимости запланируйте ее зарытие.
  • Сканируйте систему на признаки неправомерного доступа. Используйте для этого утилиты по типу TripWire и проверку файлов логов. Будте внимательны!
  • При любой возможности запускайте резервное копирование, чтобы данные неожиданно не пропали.
  • Минимизируйте физический доступ к вашим серверам.
  • По возможности используйте виртуальные сервера, особенно, если при возникновении проблем вы можете перенести образы системы между хостерами.

Стоит заметить, что эти пункты не покрывают всю область системного администрирования, но дают общее представление о том, как должен строится процесс управления системой.

Реклама

Traditional Unix best practices: Один комментарий

Обсуждение закрыто.