本文是《如何抵御勒索軟件攻擊》系列文章，本篇將探討如何保護傳統 IT 安全。如需閱讀本系列的其他文章，請訪問：??如何抵御勒索軟件攻擊：簡介???

如何讓傳統 IT 基礎設施免受勒索軟件攻擊？?

目前，很多公司已經將工作負載轉移到容器和云原生應用程序上，但大部分工作負載仍運行在傳統 IT 環境中。因此，確保它們安全并保持最新版本是非常重要的。?

操作系統 (OS) 層是關鍵，因為它提供了應用程序使用的大多數庫。因此，使用不包含已知漏洞并且可靠的源非常重要。SUSE 可以在這方面提供支持。?

Linux 發行版有很多用于保護應用程序安全的功能和工具，例如 SELinux、AppArmor 和 Netfilter。Kubernetes 等容器管理平臺也使用這些工具，SUSE 提供這些工具以及其他工具來確保傳統 IT 基礎架構上的系統安全性和可靠性；此外，SUSE 還與安全機構合作，生成配置指南，對自身產品做認證，幫助用戶加固他們的平臺。?

在SUSE 安全認證列表中，需要重點關注 Common Criteria EAL4+，這是證實軟件供應鏈安全的有力指標。在撰寫本文時，SLES 15 是唯一獲得此認證的通用 Linux 操作系統。?

如何使用 SELinux、AppArmor 和 Netfilter 來抵御勒索軟件？?

SELinux 和 AppArmor 可用于防止進程訪問它們不應該訪問的文件和意外行為。在受保護的應用程序中，如果系統被感染，或者攻擊者試圖攻擊漏洞，惡意軟件的傳播就會受限。?

Netfilter 是 Linux 內核的防火墻，是通用且功能強大的工具，可以幫助應用程序避免來自網絡的不必要訪問。?

這些安全工具本身非常復雜，值得專門寫一篇文章。如果配置正確，它們可用于抵御勒索軟件，阻止其傳播，提供多層防御，并允許在傳統 IT 基礎設施中采用零信任安全方法。?

STIG 強化指南可以保護 Linux 服務器免受勒索軟件攻擊嗎？?

安全技術實施指南 (Security Technical Implementation Guide，STIG) 是一組用于保護信息系統和網絡的指南和程序。?

STIG 指南對于希望強化 Linux 服務器并免受攻擊的用戶非常有用，它提供了應該在 Linux 服務器上實施的安全設置和配置選項，包括：?

• 使用強密碼和賬號鎖定策略?
• 僅允許授權用戶和主機訪問服務器?
• 配置防火墻來阻止不必要的傳入和傳出流量?
• 禁用不必要的服務和守護進程?
• 啟用系統事件的日志記錄和監控?
• 啟用定期軟件更新?
• 其他?

實施這些準則有助于減少 Linux 服務器的攻擊面，并使其不易受到常見的攻擊，包括勒索軟件攻擊。?

如何通過 openSCAP 和 SUSE Manager 將 STIG 配置文件應用到所有服務器？?

在保護基礎設施時，我們面臨的另一個挑戰是如何大規模管理安全性。修補或配置數百甚至數千臺服務器非常耗時，手動操作很容易出錯，而且在此期間系統很容易受到攻擊。?

SUSE Manager (SUMA) 是 SUSE 的服務器管理解決方案，它通過 Web 界面或 API 調用為基于 Linux 的系統（包括在 SLES 上運行的系統）提供全面的系統管理功能。它讓 IT 管理員輕松管理和監控物理和虛擬服務器、軟件包、補丁和配置。SUSE Manager 還對開源工具 openSCAP 提供支持，讓 IT 管理員能將安全配置文件應用到服務器，確保符合 STIG 等安全標準，并生成系統策略合規的報告。?

借助 SUSE Manager 和 openSCAP，你可以將 STIG 配置文件同時應用到多臺服務器上，節省更多時間和精力，而且能從單一管理平臺觀測所有受保護的服務器和需要關注的服務器。?

以下是通過 openSCAP 和 SUSE Manager 將 STIG 配置文件應用到 Linux 服務器的步驟：?

1. 在服務器上安裝 openSCAP和 SUSE Manager。?
2. 從 DISA 網站下載要應用的 STIG 配置文件。?
3. 將 STIG 配置文件導入 SUSE Manager。以上步驟只需要在首次操作時進行。?
4. 使用 SUSE Manager 將 STIG 配置文件應用到服務器。?
5. 使用 openSCAP 掃描服務器，并根據 STIG 配置文件進行評估。?
6. 查看 openSCAP 報告，了解合規和不合規的安全設置和配置。?
7. 使用 SUSE Manager 對服務器的安全設置和配置進行更改，使其符合 STIG 配置文件。?
8. 根據需要重復步驟 5-7，確保其符合 STIG 配置文件。?

請務必注意，應用 STIG 不是一勞永逸的，需要持續執行操作。你需要定期監控系統來確保它們仍然符合 STIG，如有需要則進行更改。?

有沒有其他工具可以構建防勒索軟件策略？?

SUSE Linux Enterprise Server (SLES) 提供了更多工具，幫助用戶構建抵御勒索軟件的保護策略。?

AIDE（Advanced Intrusion Detection Environment）可以檢測對 Linux 服務器進行的未經授權的更改。它會創建服務器上所有選定文件的加密校驗和，并將其存儲在數據庫中。該數據庫后續將用作參考點，AIDE 可以定期掃描服務器，并將文件的當前狀態與存儲在數據庫中的參考點進行比較。?

如果 AIDE 檢測到任何未經授權的更改，它將提醒用戶并提供更改的詳細信息。這也有助于創建更改的審計線索跟蹤，使取證分析更加容易。?

請注意，AIDE 不能替代成熟的端點保護解決方案，它無法檢測所有類型的勒索軟件。對檢測新變體的工具和規則進行定期更新很重要。?

有關 AIDE 的更多信息，請參閱 SLES 服務器上的 AIDE 配置文檔。?

ClamAV 是一個開源防病毒引擎，專為檢測木馬、病毒和其他惡意軟件而設計，可通過掃描桌面系統上共享文件夾中的文件來查找惡意內容，減少勒索軟件在桌面系統（即使使用的是其他操作系統）上的傳播。?

它允許用戶使用 ClamSAP 之類的插件，該插件可用于掃描和保護 SAP 系統，讓其免受惡意軟件的攻擊。它專門用于與 SAP Netweaver 平臺集成，并掃描 SAP 應用程序使用的文件和數據庫中的惡意軟件。?

ClamSAP 和 ClamAV 都與 SUSE Linux Enterprise Server for SAP 訂閱捆綁在一起，并且會定期更新。?

關于?

SUSE 是全球范圍內創新且可靠的企業級開源解決方案領導者，財富 500 強中有 60% 以上的企業依靠 SUSE 為其關鍵任務的工作負載賦能。SUSE 專注于企業級 Linux、企業容器管理和邊緣解決方案，通過與合作伙伴和社區合作，幫助客戶隨時隨地在任意場景進行創新——無論是在數據中心、云端還是邊緣環境。?

SUSE 讓“開源”重新“開放”，使客戶能夠靈活地應對當今的創新挑戰，并能夠自由地在未來發展其 IT 戰略和解決方案。SUSE 在全球擁有2000 余名員工，2021 年在法蘭克福證券交易所的監管市場（Prime Standard）上市。?