4 best practices voor Linux security en hardening

Als ik voor een klant bezig ben met onze ondertussen vermaarde health check, zijn security en hardening aspecten waar ik altijd aandacht aan besteed. Uiteraard patch je je systemen op regelmatige basis, maar daarmee ben je er nog niet. Het is een mooi uitgangspunt, dat zeker, maar er kan nog veel meer! In dit blog deel ik 4 best practices die helpen om een veilige Linux omgeving te creëren. 


1. Overbodige componenten uitschakelen

Een van de eerste dingen waar ik altijd op let is of er diensten (daemons in vaktermen) draaien die voor de functie van de machine niet direct nodig zijn. Denk bijvoorbeeld aan een mailserver: deze wordt standaard op zo ongeveer iedere Linux machine geïnstalleerd, ook op een desktop! Maar als je machine niets doet met deze mailserver dan raad ik je aan om deze component uit te schakelen.

 

En dit geldt vaak voor meer componenten. Want iedere component die niet meer draait is weer een security risico minder. Een handig hulpmiddel hierbij zijn de benchmarks van het CIS Center for Internet Security. Het uitschakelen van ongebruikte componenten is onderdeel van de zogenaamde hardening.

 

2. Het wachtwoordbeleid optimaliseren

Wat ook onderdeel is van de hardening is het wachtwoordbeleid. Je kunt op Linux afdwingen dat wachtwoorden maar een beperkte periode geldig zijn, dit heet ook wel password expiration. Als je hier dan toch mee bezig bent kunt je meteen instellingen zetten om sterke wachtwoorden te vereisen. Zet dan ook meteen een wachtwoord op de bootloader, in de meeste gevallen is dit GRUB. Ik raad aan om het zodanig in te richten dat het aanpassen van de kernel command-line (de boot opties zeg maar) een wachtwoord vereisen maar dat dit voor het starten van de machine niet noodzakelijk is. Op deze manier blijft je machine reboot-proof en kan hij bijvoorbeeld automatisch starten na een stroomstoring, terwijl bijvoorbeeld AppArmor of SElinux niet uitgeschakeld kan worden via de kernel command-line. Dat geeft weer een stukje extra veiligheid. Ervan uit gaande dat AppArmor of SElinux op het systeem in gebruik is uiteraard, en anders is dat meteen het volgende aandachtspunt om naar te kijken!

 

3. LifeCycle Management

Zoals ik in de eerste alinea al aangaf is LifeCycle Management (LCM) van je systemen op regelmatige basis een vereiste. Oftewel: het regelmatig installeren van de (security) updates van jouw Linux distributie. Maar als je op een gegeven moment wat meer Linux servers hebt draaien dan wordt het handmatig patchen hiervan wel een dingetje. In omgevingen met RedHat Enterprise Linux kun je dan een RedHat Satellite server inrichten. Dit is een product waarmee je een eigen kopie van de RedHat repositories in je omgeving neerzet om daarmee vervolgens je machines van updates te voorzien. Het grote voordeel hiervan is dat je daarmee een centrale beheeromgeving inricht waarmee je dit proces beheerst. Overweeg in dit kader ook het gebruik van RedHat Insights, hiermee krijg je een nog veel beter inzicht in je omgeving en waar mogelijke kwetsbaarheden zitten.

 

4. Updates installeren op hardware

Wat vaak een ondergeschoven kindje is bij het LifeCycle Management zijn de updates op de onderliggende hardware. Denk hierbij aan BIOS en firmware updates. Vaak heeft server-hardware een ingebouwde webconsole. Bij Hewlett Packard heet dit de ILO, DELL noemt dat een DRAC, en zo heeft iedere hardware leverancier hier wel een eigen naampje voor - maar in de basis is de werking min of meer hetzelfde. Ten tijde van Heartbleed (een groot lek in de beveiligingslaag SSL) kwamen de leveranciers met firmware updates voor deze webconsoles om ook daarin dit lek te dichten. Het is dus absoluut zaak om ook deze updates regelmatig op je systemen te installeren!

 


Kortom, er zijn legio zaken om aandacht aan te besteden om een veiligere Linux omgeving te laten draaien. Als Linux specialisten helpen we je hier graag bij. Laat jullie Linux omgeving (gratis) checken in een health check, of informeer naar de mogelijkheden om het beheer van je Linux omgeving uit te besteden. 

 

New call-to-action

    Deel dit artikel:
Topics
Ontvang de laatste Proxy updates

Blijf op de hoogte van de laatste IT trends en ontwikkelingen met onze maandelijkse nieuwsbrief

Michelle Janse - Senior Linux Consultant
Michelle is één van onze Senior Unix/Linux Infra beheerders met meer dan 20 jaar ervaring in de IT. Ze heeft 10 jaar bij IBM gezeten en vervolgens de laatste 11 jaar bij PostNL. Op dit moment voert zij o.a. projecten uit voor ons Managed Services Team. Hierbij komen zaken aan bod als OS Hardening, Linux infra incidenten-beheer, het beheer van Storage- en Backup-omgevingen en Zaal- en Netwerk-beheer.