Ужесточение безопасности для серверов Linux

Для повышения безопасности ssh-соединения рекомендуется отказаться от логина по паролю, и подключаться к удалённому серверу с помощью ключей. Это действие аналогично отпиранию замка с помощью ключа. Логин по паролю в конце-концов может быть взломан методом перебора, либо утечкой пароля. Тогда как логин по ключам достаточно стоек к взлому.

Что такое операционная система?

Операционная система ОС (Operating system, OS) – это комплекс программ, который выполняет роль интерфейса (панели взаимодействия) между пользователем и оборудованием компьютера. Чтобы компьютер мог работать, на нем должна быть установлена хотя бы одна ОС. Все приложения компьютера, такие как текстовые и графические редакторы, электронные таблицы, базы данных, интернет-браузеры и пр., и пр., не могут работать и выполнять свои задачи без программной среды операционной системы, которая предоставляет для них необходимые сервисы.

Схематичное изображение функций ОС

Важно понимать отличие серверной операционной системы от операционной системы обычного компьютера.

В обычной ОС работают такие программы как MS Word, Excel, PowerPoint, Visio, Adobe Photoshop и многие другие, которые используются для повседневной работы, а также игры и прочие развлекательные приложения для отдыха. Обычная ОС отвечает за подключение пользователя компьютера к локальной сети LAN и к сети Интернет, а также к различным устройствам через протокол Bluetooth. Стоит добавить, что обычная ОС стоит гораздо меньше, чем ОС сервера.

Серверная ОС использует гораздо больший объем памяти для вычислений, а также может выполнять функции веб-сервера, сервера приложений и сервера электронной почты и многих других серверов, необходимых для работы ИТ-системы предприятия. Серверная ОС может подключать к локальной сети и к Интернет многих пользователей, а не одного, как обычная ОС. Поэтому серверная ОС и более дорогая.

Читайте также:  Как установить права доступа 777 на файл или папку в Linux

Защита данных и КИИ в соответствии с требованиями ФСТЭК

Обеспечить комплексную ИТ-безопасность серверов и рабочих ПК на уровне данных, операционных систем, приложений, корпоративных сетей и подключаемого оборудования даёт возможность решение Secret Net Studio. На сегодняшний день это флагманский продукт в линейке автоматизированных систем защиты конфиденциальной информации и локальных сетей от несанкционированного доступа Secret Net. Система включена в Единый реестр российского ПО и соответствует требованиям госпрограммы импортозамещения.

Решение Secret Net Studio сертифицировано ФСТЭК России:

  • 4-й уровень контроля отсутствия недекларированных возможностей (НДВ)
  • 5-й класс защищённости средств вычислительной техники (СВТ)
  • 4-й класс защиты средств контроля подключения съёмных носителей информации (СКН)
  • 4-й класс средств антивирусной защиты (САВЗ)
  • 4-й класс защиты средств обнаружения вторжений (СОВ) уровня хоста
  • 4-й класс защиты МЭ типа «В» (межсетевые экраны, применяемые на узле (хосте) информационной системы)

Назначение и сценарии применения средства защиты от НСД

Систему Secret Net Studio рекомендуется использовать для защиты следующих компонентов ИТ-инфраструктуры предприятия:

  • автоматизированных систем управления технологическим процессом (АСУ ТП) до 1 класса включительно;
  • автоматизированных информационных систем до класса 1Г включительно (защита конфиденциальных данных);
  • критической инфраструктуры предприятия (КИИ) в соответствии с Федеральным законом N 187-ФЗ от ;
  • персональных данных согласно приказу ФСТЭК России № 21;
  • государственных информационных систем до 1 класса включительно;
  • государственной тайны;
  • удалённых рабочих мест;
  • рабочих мест в территориально распределённых организациях.

Подключение к удалённому серверу и отключение логина по паролю

После всех процедур вы можете попробовать подключиться к удалённому серверу.

ssh [email protected]_host

Если при создании пары ключей вы не задали ключевую фразу (passphrase), вы будете залогинены автоматически. Если вы задали ключевую фразу, вам будет предложено её ввести. Это означает, что вы всё сделали верно. Теперь можно отключить логин по паролю. Для этого отредактируем файл sshd_config:

Читайте также:  12 лучших инструментов разработчика для Mac

sudo nano /etc/ssh/sshd_config

Вам нужно найти поле: PasswordAuthentication . Она может быть даже закомментирована. Её необходимо раскоментировать и поставить значение no.

… PasswordAuthentication no …

Сохраните и закройте файл нажав CTRL + X, затем Y для подтверждения сохранения файла, а далее ENTER для выхода из текстового редактора nano. Для того, чтобы изменения вступили в силу, нам необходимо перезапустить демон sshd:

sudo systemctl restart ssh

Всё, теперь можете открыть новое окно терминала, и проверить соединение по ssh по вашему логину. Всё должно работать без пароля.

Работа с текстом

Парочка полезных команд для взаимодействия с любыми видами текстов на сервере через SSH.

cat — показывает текст из выбранного файла. В качестве аргумента передаем этой утилите текстовый документ, и cat выведет в консоль его содержимое. Синтаксис:

cat путь до файла, содержимое которого надо осмотреть

Чтобы взглянуть на содержимое файла , который лежит на рабочем столе, напишем в терминал:

cat ~/Desktop/

head — это «голова». Она работает по схожему с cat принципу. Отображает текст из файлов, где он имеется. Разница заключается в количестве отображаемого контента. Пользователь сам выбирает, сколько строчек текста вывести на экран, поставив аргумент -n. Команда head -n 4 ~/Documents/ покажет только первые четыре строки документа из папки Documents.

tail — это «хвост». Работает, как head, но с противоположной стороны. Команда tail -n 8 ~/Documents/ покажет только первые восемь строк документа из папки Documents.

touch — одна из множества команд для SSH, которую используют не по назначению. У нее весьма специфичная задача по изменению времени последнего открытия отдельных элементов файловой системы. Но ее быстро перепрофилировали чуть ли не в стандартный метод создания файлов. touch ~/Desktop/ создаст HTML-документ с именем Timeweb на рабочем столе.

Читайте также:  iOS 13 и iPadOS: какие устройства можно обновить 

vi — используя с дополнительными аргументами, можно создавать новые текстовые файлы. Например vi /путь до директории, где нужно создать новый текстовый файл/. Или же редактировать уже существующие. Чтобы изменить содержимое какого-нибудь файла в домашней папке, надо ввести: vi /home/имя учетной записи/. Альтернативой vi может служить nano. Более современный и лояльный к новичкам редактор. К сожалению, может отсутствовать в системе по умолчанию и требовать установки.

wc путь до файла — показывает количество символов, количество строк и слов в выбранном текстовом документе.

grep — ищет конкретный кусочек текста в большом документе или распечатке из консоли. Чтобы дать понять, как он работает, покажу пример. Буду искать слово «немного» в файле , лежащем у меня на рабочем столе. Сделаю это одной командой cat ~/Desktop/ | grep немного. Перед grep я использовал cat, чтобы вывести содержимое документа в консоль, а потом отфильтровать.

diff — сравнивает два файла и наглядно показывает строки, в которых обнаружились различия. Синтаксис: diff название первого файла название второго файла. Это может выглядеть так:

diff

Настройки и возможности

Полная русификация и удобный графический интерфейс позволяют производить любые настройки операционной системы, вплоть до тонкой отладки разрешений на то или иное действие.

Настройки и возможности
Настройки и возможности

Большая часть настроек не требует терминала и видима из-под пользовательской учетной записи. Работа с ними возможна по вводу соответствующего пароля.

Настройки и возможности
Настройки и возможности

Для выбора подготовлены готовые списки основных пользовательских настроек, вроде удобного изменения времени, способа переключения раскладки или действий системы при подключении того или иного устройства.

Настройки и возможности
Настройки и возможности

Отрезать компьютер от внешних ресурсов или перевести ПК в полностью защищенный режим можно из терминала.

Настройки и возможности
Настройки и возможности

Неудобство доставляет только странная реализация хоткеев: хотя они по умолчанию полностью повторяют аналоги из WIndows, в ряде случаев они перестают работать.

Настройки и возможности

Например, Esc, закрывающий активное окно на рабочем столе или в активной программе, вдруг отказывает действовать в панели настроек.