Als we voor een klant bezig met onze health check, zijn security en hardening aspecten waar we altijd aandacht aan besteden. Uiteraard patch je je systemen op regelmatige basis, maar daarmee ben je er nog niet. In dit blog delen we 4 best practices die helpen om een veilige Linux omgeving te creëren.
1. Overbodige componenten uitschakelen
Een van de eerste dingen waar we altijd op letten is of er diensten (daemons in vaktermen) draaien die voor de functie van de machine niet direct nodig zijn. Denk bijvoorbeeld aan een mailserver: deze wordt standaard op zo ongeveer iedere Linux machine geïnstalleerd, ook op een desktop. Maar als je machine niets doet met deze mailserver dan raden we je aan om deze component uit te schakelen.
En dit geldt vaak voor meer componenten. Want iedere component die niet meer draait is weer een security risico minder. Een handig hulpmiddel hierbij zijn de benchmarks van het CIS Center for Internet Security. Het uitschakelen van ongebruikte componenten is onderdeel van de zogenaamde hardening.
2. Het wachtwoordbeleid optimaliseren
Wat ook onderdeel is van de hardening is het wachtwoordbeleid. Je kunt op Linux afdwingen dat wachtwoorden maar een beperkte periode geldig zijn, dit heet ook wel password expiration. Als je hier dan toch mee bezig bent kunt je meteen instellingen zetten om sterke wachtwoorden te vereisen. Zet dan ook meteen een wachtwoord op de bootloader, in de meeste gevallen is dit GRUB. We raden aan om het zodanig in te richten dat het aanpassen van de kernel command-line (de boot opties zeg maar) een wachtwoord vereisen maar dat dit voor het starten van de machine niet noodzakelijk is.
Op deze manier blijft je machine reboot-proof en kan hij bijvoorbeeld automatisch starten na een stroomstoring, terwijl bijvoorbeeld AppArmor of SElinux niet uitgeschakeld kan worden via de kernel command-line. Dat geeft weer een stukje extra veiligheid. Ervan uit gaande dat AppArmor of SElinux op het systeem in gebruik is uiteraard, en anders is dat meteen het volgende aandachtspunt om naar te kijken.
3. LifeCycle Management
Zoals we in de eerste alinea al aangaven is LifeCycle Management (LCM) van je systemen op regelmatige basis een vereiste. Oftewel: het regelmatig installeren van de (security) updates van jouw Linux distributie. Maar als je op een gegeven moment wat meer Linux servers hebt draaien dan wordt het handmatig patchen hiervan wel een dingetje.
In omgevingen met RedHat Enterprise Linux kun je dan een RedHat Satellite server inrichten. Dit is een product waarmee je een eigen kopie van de RedHat repositories in je omgeving neerzet om daarmee vervolgens je machines van updates te voorzien. Het grote voordeel hiervan is dat je daarmee een centrale beheeromgeving inricht waarmee je dit proces beheerst. Overweeg in dit kader ook het gebruik van RedHat Insights, hiermee krijg je een nog veel beter inzicht in je omgeving en waar mogelijke kwetsbaarheden zitten.
4. Updates installeren op hardware
Wat vaak een ondergeschoven kindje is bij het LifeCycle Management zijn de updates op de onderliggende hardware. Denk hierbij aan BIOS en firmware updates. Vaak heeft server-hardware een ingebouwde webconsole. Bij Hewlett Packard heet dit de ILO, DELL noemt dat een DRAC, en zo heeft iedere hardware leverancier hier wel een eigen naampje voor, maar in de basis is de werking min of meer hetzelfde. Ten tijde van Heartbleed (een groot lek in de beveiligingslaag SSL) kwamen de leveranciers met firmware updates voor deze webconsoles om ook daarin dit lek te dichten. Het is dus absoluut zaak om ook deze updates regelmatig op je systemen te installeren.
Kortom, er zijn legio zaken om aandacht aan te besteden om een veiligere Linux omgeving te laten draaien. Als Linux specialisten helpen we je hier graag bij. Laat jullie Linux omgeving (gratis) checken in een health check, of informeer naar de mogelijkheden om het beheer van je Linux omgeving uit te besteden.
