Estou tentado a sinalizar isso como uma duplicata desde que houve vários perguntas como esta perguntado antes, mas você pede por coisas específicas centradas na segurança. Portanto, no espírito de ajudar:
Há uma auditoria de segurança ativa em andamento durante cada ciclo de lançamento. Ele também contém bons conselhos sobre algumas medidas básicas de segurança que já estão em vigor especificamente para proteger e testar seu sistema contra acesso externo indesejado.
Configuração
Não há portas abertas Hashing de senha Biscoitos SYN
Subsistemas
- Firewall configurável
- Recursos do sistema de arquivos
- PR_SET_SECCOMP
Controle de Acesso Obrigatório (MAC)
- AppArmor
- SELinux
- SMACK
Criptografia do sistema de arquivos
- LVM criptografado
- eCryptfs
Endurecimento do espaço do usuário
- Stack Protector
- Protetor de heap
- Obfuscação de ponteiro
- Randomização do layout do espaço de endereçamento (ASLR)
- Construído como TORTA
- Construído com o Fortify Source
- Construído com RELRO
- Construído com BIND_NOW
- Memória não executável
- / proc / $ pid / maps protection
- Restrições de links simbólicos
- Restrições de hardlink
- escopo do ptrace
Endurecimento do Kernel
- proteção de endereço 0
- / dev / mem protection
- / dev / kmem desativado
- Carregamento de módulos de bloco
- seções de dados somente leitura
- Protetor de pilha
- Módulo RO / NX
- Restrição de exibição de endereço do kernel
- Protocolos Raros da Lista Negra
- Filtragem Syscall
Com a lista de proteções existentes, vamos examinar o restante da sua pergunta:
- Em relação às tentativas de conexão de log, este foi coberto , e se você quiser algo mais simples de configurar, sempre haverá fail2ban ou denyhosts.
- Ao assistir configurações para modificações, há AppArmor .
- No que diz respeito ao endurecimento de pilha TCP / IP, você precisaria de dados para validar a necessidade de realizar isso, mas para os paranóicos existe um bom post sobre as vantagens de bloquear o SYN flooding . Mas, como você notará no link de auditoria de segurança acima, o SYN Cookies é ativado por padrão e ajuda a mitigá-lo imediatamente.
Portanto, parece que tudo o que você realmente precisa fazer neste momento é garantir que os aplicativos extras que você pode ou não estar instalando estejam passando por auditorias de segurança ativas e que você esteja atualizado com quaisquer correções. Instale todos os perfis extras do AppArmor necessários para proteger suas personalizações. (ou adições do SELinux, respectivas à sua configuração particular)
Como detectar um ataque SYN
It is very simple to detect SYN attacks. The netstat command shows us how many connections are currently in the half-open state. The half-open state is described as SYN_RECEIVED in Windows and as SYN_RECV in Unix systems.
# netstat -n -p TCP tcp 0 0 10.100.0.200:21
237.177.154.8:25882 SYN_RECV - tcp 0 0 10.100.0.200:21
236.15.133.204:2577 SYN_RECV - tcp 0 0 10.100.0.200:21
127.160.6.129:51748 SYN_RECV - tcp 0 0 10.100.0.200:21
230.220.13.25:47393 SYN_RECV - tcp 0 0 10.100.0.200:21
We can also count how many half-open connections are in the backlog queue at the
moment. In the example below, 769 connections (for TELNET) in the SYN RECEIVED state
are kept in the backlog queue.
# netstat -n -p TCP | grep SYN_RECV | grep :23 | wc -l 769
The other method for detecting SYN attacks is to print TCP statistics and
look at the TCP parameters which count dropped connection requests. While under
attack, the values of these parameters grow rapidly.
# netstat -s -P tcp | grep tcpHalfOpenDrop tcpHalfOpenDrop = 473
It is important to note that every TCP port has its own backlog queue, but only
one variable of the TCP/IP stack controls the size of backlog queues for all ports.