Иногда правильная настройка сервера или рабочего места является ключевым фактором, который позволяет обезопасить себя от самых частых атак.
Я подготовил два скрипта на базе правил созданных CIS (Center for Internet Security).
Всего CIS предлагает три набора правил для защиты серверов и рабочих станций, это Level 1, Level 2 и STIG (раньше Level 3).
Если кратко:
Level 1 - базовый набор, который после применения не должен влиять на работу уже существующей инфраструктуры, соответственно никаких ручных правок чаще всего не требуется.
Level 2 - расширенный набор, включает в себя Level 1 и ещё в два раза больше различных исправлений, но в 90% случаев требует ручного вмешательства после применения т.к скорее всего повлияет на работу существующей инфраструктуры.
STIG - это пиздец, в основном создан для закрытых сетей, и если его применить на обычном виртуальном или выделенном сервере, то доступ к нему вы скорее всего сами же и потеряете, сразу после применения.
Поэтому я остановился на Level 1, т.к скрипт для его реализации гораздо проще создать и использовать.
Уточню, что я не стал реализовывать часть правил из списка Level 1, которые довольно сложно автоматизировать скриптом, но большинство из них не критичные.
В оглавлении скрипта есть вся базовая информация, например версия CIS бенчмарка, который использовался для проверки скрипта.
Требования для работы скрипта:
P.S Советую применить перед активацией скрипта на "боевом" сервере, применить его чистой виртуалке, где будет установлен тот же софт, что и на "боевой" машине, таким образом можно будет проверить, будет ли скрипт влиять на работу вашего сервера.
VT: ТЫК
Я подготовил два скрипта на базе правил созданных CIS (Center for Internet Security).
Всего CIS предлагает три набора правил для защиты серверов и рабочих станций, это Level 1, Level 2 и STIG (раньше Level 3).
Если кратко:
Level 1 - базовый набор, который после применения не должен влиять на работу уже существующей инфраструктуры, соответственно никаких ручных правок чаще всего не требуется.
Level 2 - расширенный набор, включает в себя Level 1 и ещё в два раза больше различных исправлений, но в 90% случаев требует ручного вмешательства после применения т.к скорее всего повлияет на работу существующей инфраструктуры.
STIG - это пиздец, в основном создан для закрытых сетей, и если его применить на обычном виртуальном или выделенном сервере, то доступ к нему вы скорее всего сами же и потеряете, сразу после применения.
Поэтому я остановился на Level 1, т.к скрипт для его реализации гораздо проще создать и использовать.
Уточню, что я не стал реализовывать часть правил из списка Level 1, которые довольно сложно автоматизировать скриптом, но большинство из них не критичные.
В оглавлении скрипта есть вся базовая информация, например версия CIS бенчмарка, который использовался для проверки скрипта.
Требования для работы скрипта:
- Доступ в сеть, т.к он будет устанавливать пакеты по типу AIDE, nftables, iptables, ufw, apparmor и т.п.
- Ubuntu 22.04, не 20.04 или 18.04, для них нужна индивидуальная сборка скрипта, мб выложу потом.
- Наличие НЕ root пользователя в системе, т.к скрипт закроет доступ к root пользователю напрямую!
P.S Советую применить перед активацией скрипта на "боевом" сервере, применить его чистой виртуалке, где будет установлен тот же софт, что и на "боевой" машине, таким образом можно будет проверить, будет ли скрипт влиять на работу вашего сервера.
VT: ТЫК
Последнее редактирование:
