​​Дошли руки обработать ещё одно руководство от CIS на тему настройки Ubuntu Linux 22.04 LTS (нужна регистрация). Это огромный документ на 865 страниц. Я его весь просмотрел и постарался уместить в одну заметку то, что посчитал наиболее полезным и уместным для сервера общего назначения (рекомендации Level 1 - Server). Все детали упоминаемых настроек в подробностях описаны в исходном файле. 🔹Отключите поддержку неиспользуемых файловых систем (cramfs, squashfs, udf и т.д.). Достаточно отключить соответствующие модули ядра. Пример: # modprobe -f udf 🔹/tmp и /var/tmp лучше вынести в отдельный раздел со своими параметрами. Например, noexec, nosuid, nodev и т.д. В идеале, отдельный раздел и настройки должны быть ещё и у /var/log, /home, /dev/shm. Пример параметров в fstab: /tmp  tmpfs tmpfs rw,nosuid,nodev,noexec,inode6 🔹Отслеживайте изменения в системных файлах, например с помощью AIDE (Advanced Intrusion Detection Environment): # apt install aide aide-common 🔹Убедитесь, что загрузка в single user mode требует аутентификации. Для этого обязательно установите пароль root: # passwd root 🔹Отключите Apport Error Reporting Service, которая автоматически отправляет информацию о сбоях (по умолчанию включена): # systemctl stop apport.service # systemctl --now disable apport.service # apt purge apport 🔹По возможности включайте, настраивайте AppArmor. # apt install apparmor 🔹Настройте синхронизацию времени какой-то одной службой (chrony, ntp или systemd-timesyncd). 🔹Проверьте все открытые порты и отключите всё ненужное: # ss -tulnp 🔹Отключите неиспользуемые сетевые протоколы. Например, ipv6. В документе представлена подробная инструкция, как это сделать. Но при этом сделана пометка, что в общем случае рекомендуется оставить ipv6, но корректно настроить всё, что с ним связано. Другие протоколы, которые в общем случае не нужны, но активны: dccp, sctp, rds, tipc. Только убедитесь, что они реально не используются. Какие-то из них могут быть нужны для работы некоторых кластеров. 🔹Настройте Firewall (UFW). Запретите все соединения, кроме разрешённых явно (нормально закрытый файрвол). Не забудьте про все используемые протоколы, в том числе ipv6.  # apt install ufw 🔹Настройте аудит доступа, изменения, удаления системных файлов с помощью auditctl.  # apt install auditctl audispd-plugins Убедитесь, что доступ к логам сервиса ограничен.  🔹По возможности настройте отправку системных логов куда-то вовне. Используйте systemd-journal-remote или rsyslog. 🔹Настройте логирование действий через sudo. Добавьте через visudo параметр: Defaults logfile="/var/log/sudo.log" Ограничьте использование su. Документ огромный, но на самом деле там не так много информации. Очень много подробностей по аудиту, логам, файрволу. Если вам реально нужно разобраться, как всё это настраивается, то там есть все примеры вплоть до каждой команды и скрипта. #cis #security #linux