譯者 | 晶顏

審校 | 重樓

隨著全球網(wǎng)絡(luò)威脅形勢變得越來越復(fù)雜和危險(xiǎn)，傳統(tǒng)的基于邊界的安全模型無法有效地保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。鑒于Linux在服務(wù)器和關(guān)鍵系統(tǒng)中的廣泛應(yīng)用，組織需要一個(gè)更健壯的安全框架來應(yīng)對(duì)不斷演變的威脅形勢。以“永不信任，始終驗(yàn)證”為操作原則的零信任安全模型為Linux環(huán)境提供了高級(jí)保護(hù)。

本文研究了零信任安全的原則，并提供了如何配置Linux系統(tǒng)以符合這些原則的實(shí)用指導(dǎo)。我們將介紹零信任的幾個(gè)方面，包括身份驗(yàn)證、微分段和持續(xù)監(jiān)控。

理解零信任安全模型

零信任安全模型代表了傳統(tǒng)安全方法的范式轉(zhuǎn)變。零信任不再假設(shè)網(wǎng)絡(luò)內(nèi)的一切都是安全的，而是假設(shè)網(wǎng)絡(luò)內(nèi)外都存在威脅。因此，無論其來源如何，每個(gè)訪問請(qǐng)求都將得到驗(yàn)證。讓我們來探索零信任的一些核心原則。

持續(xù)的驗(yàn)證

每個(gè)訪問請(qǐng)求都使用多種因素進(jìn)行驗(yàn)證，包括設(shè)備標(biāo)識(shí)、用戶標(biāo)識(shí)、設(shè)備位置和行為模式。

最低權(quán)限訪問

用戶和設(shè)備只被授予最小的訪問權(quán)限來執(zhí)行其任務(wù)。該方法通常使用特權(quán)訪問工作站來實(shí)現(xiàn)，其中管理員僅使用一臺(tái)計(jì)算機(jī)執(zhí)行管理任務(wù)。任務(wù)完成后，管理員將注銷。在特權(quán)訪問工作站環(huán)境中，工作站從不用于管理任務(wù)，服務(wù)器與管理機(jī)器和工作站是分開的。

微分段

微分段將網(wǎng)絡(luò)劃分為更小的段，以限制已入侵網(wǎng)絡(luò)的攻擊者的橫向移動(dòng)。

全面的監(jiān)控

監(jiān)控可見源，如網(wǎng)絡(luò)流量、用戶和機(jī)器日志（包括訪問請(qǐng)求），對(duì)于檢測異常和威脅至關(guān)重要。它使安全團(tuán)隊(duì)能夠迅速對(duì)威脅作出反應(yīng)。

為Linux系統(tǒng)配置零信任模型

在Linux環(huán)境中實(shí)現(xiàn)零信任模型通常包括以下步驟：

1. 正確管理SSH（secure shell）密鑰
2. 實(shí)現(xiàn)用戶身份驗(yàn)證和基于角色的訪問控制
3. 設(shè)置和管理微分段和網(wǎng)絡(luò)隔離

1.正確管理SSH密鑰

SSH是通過遠(yuǎn)程訪問管理Linux系統(tǒng)的基本工具。正確管理SSH密鑰對(duì)于零信任安全至關(guān)重要。管理SSH密鑰的最佳實(shí)踐包括：

• 關(guān)閉密碼身份驗(yàn)證：基于密碼的身份驗(yàn)證容易受到暴力破解和字典攻擊。相反地，應(yīng)該實(shí)現(xiàn)基于SSH密鑰的身份驗(yàn)證。如果沒有安裝sshd，可以使用以下命令安裝：

sudo apt install openssh-server

#打開SSH配置文件：
sudo nano /etc/ssh/sshd_config

#禁用密碼認(rèn)證：
PasswordAuthentication no

#重啟SSH服務(wù)：
sudo systemctl restart sshd

圖1：如何在/etc/目錄中找到ssh_config文件

圖2：如何通過修改Nano中的ssh_config文件來關(guān)閉密碼身份驗(yàn)證。使用Ctrl + O將數(shù)據(jù)寫入磁盤，并使用Ctrl + X退出Nano

圖3：如何重啟sshd服務(wù)并使用systemctl檢查其狀態(tài)

• 使用強(qiáng)且唯一的SSH密鑰：為每個(gè)用戶生成并使用強(qiáng)SSH密鑰對(duì)。確保所有SSH密鑰都是唯一的。

#生成SSH密鑰對(duì)：
sudo ssh-keygen -t rsa -b 4096 -C “your_email@example.com”

圖4：如何生成4096位SSH密鑰對(duì)

• 部署SSH密鑰管理工具：使用SSH -keygen等工具管理SSH密鑰，實(shí)現(xiàn)密鑰自動(dòng)輪換。
• 限制SSH訪問：限制SSH訪問單個(gè)IP地址。使用跳板主機(jī)（jump host）來最小化攻擊面。

#限制SSH訪問特定的IP地址：
sudo nano /etc/hosts.allow
sshd: 192.168.1.0/24
sudo nano /etc/hosts.deny
sshd: ALL

圖5：打開并修改主機(jī)。允許配置文件訪問某個(gè)IP地址范圍

圖6：打開并修改hosts.deny配置文件，拒絕所有不屬于允許IP地址范圍的其他SSH連接

2.實(shí)現(xiàn)用戶身份驗(yàn)證和基于角色的訪問控制

您可以將多因素身份驗(yàn)證（MFA）和基于角色的訪問控制（RBAC）作為零信任策略的一部分來實(shí)現(xiàn)。

• 多因素身份驗(yàn)證：MFA為Linux系統(tǒng)增加了一層安全性。您可以使用Google Authenticator或Duo Security等工具實(shí)現(xiàn)MFA。使用以下命令安裝Google Authenticator：

#安裝Google Authenticator：
sudo apt-get install libpam-google-authenticator

圖7：如何使用APT安裝Google Authenticator

#為SSH配置MFA：
sudo nano /etc/pam.d/sshd
auth required pam_google_authenticator.so

圖8：如何修改sshd文件來為SSH配置MFA

• 基于角色的訪問控制：實(shí)現(xiàn)RBAC，確保用戶只訪問必要的資源。您可以使用sudo和PolicyKit等工具來完成此操作。

#為指定角色創(chuàng)建新的sudoers文件：
sudo visudo -f /etc/sudoers.d/developer

#授予角色特定的權(quán)限：
developer ALL=(ALL) /usr/bin/git, /usr/bin/docker

圖9：在/etc目錄中創(chuàng)建一個(gè)新的sudoers文件，并修改該文件以授予該角色特定的權(quán)限

3.設(shè)置和管理微分段和網(wǎng)絡(luò)隔離

微分段和網(wǎng)絡(luò)隔離是零信任體系結(jié)構(gòu)的重要組成部分。如果攻擊者獲得了對(duì)網(wǎng)絡(luò)的初始訪問權(quán)限，它們有助于限制攻擊者的橫向移動(dòng)。

• 為網(wǎng)絡(luò)分段配置iptables：iptables是Linux中配置網(wǎng)絡(luò)包過濾規(guī)則的強(qiáng)大工具。您可以配置iptables以允許來自特定IP范圍的傳入SSH流量。

#允許在端口22（SSH）上來自特定IP范圍的傳入流量：
sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

#阻止端口22上的所有其他傳入流量：
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

圖10：iptables允許來自特定IP地址范圍的SSH流量

• 實(shí)現(xiàn)VLANS：通過VLANS（虛擬局域網(wǎng)）對(duì)網(wǎng)絡(luò)流量進(jìn)行邏輯劃分。Open vSwitch等工具可以幫助管理Linux環(huán)境中的VLANS。

#創(chuàng)建新的VLAN：
sudo ovs-vsctl add-br br0
sudo ovs-vsctl add-port br0 vlan10 tag=10 -- set interface vlan10 type=internal

• 使用防火墻和安全組：像UFW（Uncomplicated Firewall）這樣的工具可以簡化防火墻的管理。

#啟用UFW并允許特定流量：
sudo ufw enable
sudo ufw allow from 192.168.1.0/24 to any port 22

圖11：如何啟用UFW，檢查UFW服務(wù)的狀態(tài)，并允許特定IP地址范圍內(nèi)的SSH流量通過端口22，同時(shí)阻止端口22上的所有其他流量

• 實(shí)現(xiàn)容器安全性：像Kubernetes這樣的容器編排工具可以在容器化環(huán)境中管理微分段。然后，您可以通過網(wǎng)絡(luò)策略來控制不同pod之間的流量。

#在yaml中實(shí)現(xiàn)網(wǎng)絡(luò)策略來控制不同pod之間的流量：
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: default-deny
spec:
podSelector: {}
policyTypes:
-Ingress
-Egress

Linux的持續(xù)監(jiān)控和審計(jì)實(shí)踐

持續(xù)的監(jiān)視和審計(jì)實(shí)踐對(duì)于檢測和響應(yīng)安全事件至關(guān)重要。下面是一些工具和實(shí)踐指導(dǎo)：

• 使用syslog進(jìn)行集中日志記錄：可以在Linux系統(tǒng)中使用syslog進(jìn)行集中日志記錄。rsyslog、syslog-ng和ELK堆棧（Elasticsearch、Logstash和Kibana）等工具可以幫助進(jìn)行日志聚合和分析。日志為安全團(tuán)隊(duì)提供了關(guān)鍵的可見性。

#安裝和配置rsyslog:
sudo apt install rsyslog
sudo nano /etc/rsyslog.conf

#轉(zhuǎn)發(fā)日志到中心服務(wù)器:
*.* @logserver:514

圖12：修改rsyslog.conf文件，將日志轉(zhuǎn)發(fā)到中心服務(wù)器

• Auditd：Auditd是一個(gè)功能強(qiáng)大的工具，用于監(jiān)視和記錄系統(tǒng)調(diào)用和其他用戶活動(dòng)。通過配置審計(jì)規(guī)則，可以對(duì)系統(tǒng)中的特定事件進(jìn)行跟蹤。

#安裝Auditd：
Sudo apt install auditd

#配置審計(jì)規(guī)則：
Sudo nano /etc/audit/audit.rules

#監(jiān)控/etc/passwd修改的規(guī)則示例：
-w /etc/passwd -p wa -k passwd changes

#重啟Auditd：
Sudo systemctl restart auditd

圖13：配置auditd.rules將更改記錄到/etc/passwd文件中

• 入侵檢測系統(tǒng)（IDS）：部署OSSEC、Snort或Suricata等IDS工具來檢測網(wǎng)絡(luò)上和主機(jī)級(jí)別的可疑活動(dòng)。

#使用wget下載并安裝OSSEC：
wget -U ossec <a ><strong>https://github.com/ossec/ossec-hids/archive/master.zip</strong></a>

unzip master.zip
cd ossec-hids-master
sudo ./install.sh

• 文件完整性監(jiān)視（FIM）：通過FIM檢測對(duì)關(guān)鍵系統(tǒng)文件的未經(jīng)授權(quán)的修改。您可以使用諸如Tripwire和AIDE之類的開源工具來實(shí)現(xiàn)FIM。

#安裝AIDE：
sudo apt install aide

#初始化AIDE數(shù)據(jù)庫：
sudo aideinit

#檢查更改：
sudo aide --check

• 安全信息/事件和事件監(jiān)控/管理（SIEM）：SIEM技術(shù)有助于日志分析。它們?cè)试S對(duì)多來源的日志進(jìn)行聚合、關(guān)聯(lián)和分析。優(yōu)秀的開源和免費(fèi)增值SIEM工具包括Splunk、ELK堆棧和IBM的QRadar。

示例：配置Logstash將日志轉(zhuǎn)發(fā)給Elasticsearch

Input {
File {
 path => “/var/log/syslog”
 start_position = > “beginning”
 }
}

結(jié)語

在Linux環(huán)境中實(shí)現(xiàn)零信任安全模型可以顯著提高對(duì)復(fù)雜網(wǎng)絡(luò)威脅的防護(hù)能力。通過堅(jiān)持零信任原則——例如持續(xù)驗(yàn)證、最小權(quán)限訪問、特權(quán)訪問工作站、微分段和監(jiān)視——您可以創(chuàng)建一個(gè)有彈性且安全的環(huán)境，從而有效地應(yīng)對(duì)復(fù)雜且不斷演變的威脅環(huán)境。

原文標(biāo)題：How To Implement Zero-Trust Security in Linux Environments，作者：Grant Knoetze