- Organizácia: Center for Internet Security (CIS)
- Nástroj: Ubuntu Security Guide (USG)
- Úrovne: Level 1 (základné), Level 2 (pokročilé)
- Verzie: Ubuntu 20.04 LTS a novšie
- Oblasti: SSH, firewall, audit, práva, šifrovanie
- Účel: Hardening, compliance, NIS2
V digitálnej ére je kybernetická bezpečnosť kľúčová. CIS Benchmarks sú osvedčené postupy na bezpečnú konfiguráciu Ubuntu Linux serverov.
Čo je CIS Benchmark?
CIS Benchmarks sú odporúčané bezpečnostné konfigurácie vyvinuté komunitou expertov. Pre Ubuntu Linux poskytujú podrobný návod na zabezpečenie systému.
Ubuntu Security Guide (USG)
Ubuntu poskytuje nástroj USG pre automatizáciu:
- Audit aktuálneho stavu systému
- Implementácia odporúčaných nastavení
- Prispôsobenie podľa potrieb organizácie
Konfigurácia SSH podľa CIS Benchmark
Bezpečnostné nastavenia SSH:
- PermitRootLogin no – zakázať root prihlásenie
- MaxAuthTries 3 – max 3 pokusy o autentifikáciu
- PermitEmptyPasswords no – zakázať prázdne heslá
- AllowAgentForwarding no
- AllowTcpForwarding no
- X11Forwarding no – zakázať X11 forwarding
- MaxSessions 2 – max 2 paralelné session
Logovanie a záloha
Pred zmenami vždy:
- Vytvorte zálohu /etc/ssh/sshd_config
- Logujte do /var/log/hardening_script.log
Zhrnutie
CIS Benchmark pre Ubuntu zvyšuje bezpečnosť:
- USG automatizuje audit a implementáciu
- SSH hardening je kritický
- Zálohy pred každou zmenou
- Splnenie NIS2 a ISO 27001
Často kladené otázky (FAQ)
Čo je CIS Benchmark?
CIS Benchmark je súbor bezpečnostných odporúčaní od Center for Internet Security. Obsahuje konkrétne konfiguračné nastavenia pre operačné systémy, aplikácie a siete na minimalizáciu bezpečnostných rizík.
Aký je rozdiel medzi Level 1 a Level 2?
Level 1 obsahuje základné odporúčania s minimálnym vplyvom na funkcionalitu. Level 2 sú pokročilé nastavenia pre vysoko bezpečné prostredia, ktoré môžu vyžadovať zmeny v správe IT.
Čo je Ubuntu Security Guide (USG)?
USG je nástroj od Canonical pre Ubuntu 20.04+. Automatizuje audit systému voči CIS benchmarkom a umožňuje jednoduché aplikovanie bezpečnostných nastavení.
Prečo zakázať root SSH login?
Root účet je cieľom brute-force útokov. Zakázaním PermitRootLogin no útočníci nemôžu priamo získať root prístup. Používatelia sa prihlasujú bežným účtom a používajú sudo.
Čo je MaxAuthTries a prečo ho obmedziť?
MaxAuthTries definuje počet pokusov o autentifikáciu pred odpojením. Nastavenie na 3 spomaľuje brute-force útoky a chráni pred automatizovanými skriptami.
Ako aplikovať CIS Benchmark na existujúci server?
Najprv zálohujte konfigurácie. Potom použite USG na audit aktuálneho stavu. Postupne aplikujte odporúčania a testujte funkčnosť po každej zmene. Nikdy neaplikujte všetko naraz.
Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk