如何在Linux环境中成功零信赖安保

随着环球网络要挟情势变得越来越复杂和风险，传统的基于边界的安保模型无法有效地包全关键基础设备。鉴于Linux在主机和关键系统中的宽泛运行，组织须要一个更强健的安保框架来应答一直演化的要挟情势。以“永不信赖，一直验证”为操作准则的零信赖安保模型为Linux环境提供了初级包全。

本文钻研了零信赖安保的准则，并提供了如何性能Linux系统以合乎这些准则的适用指点。咱们将引见零信赖的几个方面，包含身份验证、微分段和继续监控。

了解零信赖安保模型

继续的验证

每个访问恳求都经常使用多种起因启动验证，包含设备标识、用户标识、设备位置和行为形式。

最低权限访问

用户和设备只被授予最小的访问权限来口头其义务。该方法通经常常使用特权访问上班站来成功，其中治理员仅经常使用一台计算机口头治理义务。义务成功后，治理员将注销。在特权访问上班站环境中，上班站从不用于治理义务，主机与治理机器和上班站是分开的。

微分段

微分段将网络划分为更小的段，以限度已入侵网络的攻打者的横向移动。

片面的监控

监控可见源，如网络流量、用户和机器日志（包含访问恳求），关于检测意外和要挟至关关键。它使安保团队能够迅速对要挟作出反响。

为Linux系统性能零信赖模型

在Linux环境中成功零信赖模型通常包含以下步骤：

1.正确治理SSH密钥

SSH是经过远程访问治理Linux系统的基本工具。正确治理SSH密钥关于零信赖安保至关关键。治理SSH密钥的最佳通常包含：

sudo apt install openssh-server#关上SSH性能文件：sudo nano /etc/ssh/sshd_config#禁用明码认证：PasswordAuthentication no#重启SSH服务：sudo systemctl restart sshd

图1：如何在/etc/目录中找到ssh_config文件

图2：如何经过修正Nano中的ssh_config文件来封锁明码身份验证。经常使用Ctrl + O将数据写入磁盘，并经常使用Ctrl + X分开Nano

图3：如何重启sshd服务并经常使用systemctl审核其形态

#生成SSH密钥对：sudo ssh-keygen -t rsa -b 4096 -C “your_email@example.com”

#限度SSH访问特定的IP地址：sudo nano /etc/hosts.allowsshd: 192.168.1.0/24sudo nano /etc/hosts.denysshd: ALL

图5：关上并修正主机。准许性能文件访问某个IP地址范围

图6：关上并修正hosts.deny性能文件，拒绝一切不属于准许IP地址范围的其余SSH衔接

2.成功用户身份验证和基于角色的访问控制

您可以将多起因身份验证（MFA）和基于角色的访问控制（RBAC）作为零信赖战略的一局部来成功。

#装置Google Authenticator：sudo apt-get install libpam-google-authenticator

#为SSH性能MFA：sudo nano /etc/pam.d/sshdauth required pam_google_authenticator.so

图8：如何修正sshd文件来为SSH性能MFA

#为指定角色创立新的sudoers文件：sudo visudo -f /etc/sudoers.d/developer#授予角色特定的权限：developer ALL=(ALL) /usr/bin/git, /usr/bin/docker

图9：在/etc目录中创立一个新的sudoers文件，并修正该文件以授予该角色特定的权限

3.设置和治理微分段和网络隔离

微分段和网络隔离是零信赖体系结构的关键组成局部。假设攻打者取得了对网络的初始访问权限，它们有助于限度攻打者的横向移动。

#准许在端口22（SSH）过去自特定IP范围的传入流量：sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT#阻止端口22上的一切其余传入流量：sudo iptables -A INPUT -p tcp --dport 22 -j DROP

图10：iptables准许来自特定IP地址范围的SSH流量

#创立新的VLAN：sudo ovs-vsctl add-br br0sudo ovs-vsctl add-port br0 vlan10 tag=10 -- set interface vlan10 type=internal

#启用UFW并准许特定流量：sudo ufw enablesudo ufw allow from 192.168.1.0/24 to any port 22

图11：如何启用UFW，审核UFW服务的形态，并准许特定IP地址范围内的SSH流量经过端口22，同时阻止端口22上的一切其余流量

#在yaml中成功网络战略来控制不同pod之间的流量：apiVersion: networking.k8s.io/v1kind: NetworkPolicymetadata:name: default-denyspec:podSelector: {}policyTypes:-Ingress-Egress

Linux的继续监控和审计通常

继续的监督和审计通常关于检测和照应安保事情至关关键。上方是一些工具和通常指点：

#装置和性能rsyslog:sudo apt install rsyslogsudo nano /etc/rsyslog.conf#转发日志到中心主机:*.* @logserver:514

图12：修正rsyslog.conf文件，将日志转发到中心主机

#装置Auditd：Sudo apt install auditd#性能审计规定：Sudo nano /etc/audit/audit.rules#监控/etc/passwd修正的规定示例：-w /etc/passwd -p wa -k passwd changes#重启Auditd：Sudo systemctl restart auditd

图13：性能auditd.rules将更改记载到/etc/passwd文件中

#经常使用wget下载并装置OSSEC：wget -U ossec <a href="https://github.com/ossec/ossec-hids/archive/master.zip"><strong>master.zipcd ossec-hids-mastersudo ./install.sh

#装置AIDE：sudo apt install aide#初始化AIDE数据库：sudo aideinit#审核更改：sudo aide --check

Input {File { path => “/var/log/syslog” start_position = > “beginning” }}

结语

在Linux环境中成功零信赖安保模型可以清楚提高对复杂网络要挟的防护才干。经过坚持零信赖准则——例如继续验证、最小权限访问、特权访问上班站、微分段和监督——您可以创立一个有弹性且安保的环境，从而有效地应答复杂且一直演化的要挟环境。

原文题目： How To Implement Zero-Trust Security in Linux Environments ，作者：Grant Knoetze