Tento tutoriál pokrývá pouze obecné tipy pro zabezpečení CentOS 8/7 které lze použít k zpevnění systému. Tipy ke kontrolnímu seznamu jsou určeny k použití většinou na různých typech holých kovových serverů nebo na počítačích (fyzických nebo virtuálních), které poskytují síťové služby.
Některé z těchto tipů lze však úspěšně aplikovat i na stroje pro všeobecné použití, jako jsou stolní počítače, notebooky a jednodeskové počítače velikosti karet (Raspberry Pi).
Uzamkněte přístup k vašim serverovým místnostem, použijte uzamčení stojanů a video dohled. Vezměte v úvahu, že jakýkoli fyzický přístup do serveroven může váš počítač vystavit vážným problémům se zabezpečením.
BIOS hesla lze změnit resetováním propojek na základní desce nebo odpojením baterie CMOS. Vetřelec může také ukrást pevné disky nebo přímo připojit nové pevné disky k rozhraním základní desky (SATA, SCSI atd.), Spustit pomocí distribuce Linux live a klonovat nebo kopírovat data bez zanechání jakékoli stopy softwaru.
V případě vysoce citlivých dat byste pravděpodobně měli použít pokročilou fyzickou ochranu, jako je umístění a zamknutí serveru do souboru Faraday Cage nebo použít armádu BOUŘE řešení, aby se minimalizoval dopad špehování systému rádiovými nebo elektrickými úniky.
Začněte proces kalení stroje zajištěním BIOS/UEFI nastavení, zejména nastavení a BIOS/UEFI heslo a deaktivujte zařízení pro spouštění médií (CD, DVD, deaktivujte podporu USB), abyste zabránili přístupu neoprávněných uživatelů úpravou nastavení systému BIOS nebo změnou priority spouštěcího zařízení a spuštěním počítače z alternativního zařízení střední.
Abyste mohli tento typ změny použít na svém počítači, musíte si konkrétní pokyny přečíst v příručce od výrobce základní desky.
Nastavit a GRUB heslo, aby uživatelé se zlými úmysly nemohli manipulovat se spouštěcí sekvencí jádra nebo spouštět úrovně, upravovat parametry jádra nebo spouštět systém do režimu jednoho uživatele, aby poškodili váš systém a obnovit heslo uživatele root získat privilegovanou kontrolu.
Při instalaci CentOS v systémech určených jako produkční servery používají vyhrazené oddíly nebo vyhrazené pevné disky pro následující části systému:
/(root) /boot /home /tmp /var
The /var oddíl je místo, kam se zapisují zprávy protokolu na disk. Tato část systému se může exponenciálně zvětšit na silně provozovaných serverech, které odhalují síťové služby, jako jsou webové servery nebo souborové servery.
Použijte tedy velký oddíl pro /var nebo zvažte nastavení tohoto oddílu pomocí logických svazků (LVM) nebo zkombinujte několik fyzických disků do jednoho většího virtuálního zařízení RAID 0, abyste udrželi velké množství dat. U dat zvažte nadbytečnost použití rozložení LVM nad RAID 1 úroveň.
Při nastavování LVM nebo RAID na discích postupujte podle našich užitečných průvodců:
Oddělte oddíly určené pro ukládání dat a zabraňte spouštění programů, souborů zařízení nebo setuid bit na tyto typy oddílů přidáním následujících možností do fstab soubor, jak je znázorněno na níže uvedeném úryvku:
/dev /sda5 /nas ext4 výchozí nastavení,nosuid, nodev, noexec 1 2.
Chcete-li zabránit eskalaci oprávnění a provádění libovolného skriptu, vytvořte samostatný oddíl pro /tmp a připojte jej jako nosuid, nodev, a noexec.
/dev /sda6 /tmp ext4 výchozí nastavení,nosuid, nodev, noexec 0 0.
Aby byla chráněna citlivá data snooping v případě fyzického přístupu na pevné disky stroje. Doporučuji vám naučit se šifrovat disk čtením našeho článku Šifrování dat pevného disku Linux pomocí LUKS.
Chcete-li šifrovat disky, použijte k šifrování a dešifrování citlivých souborů pomocí hesla PGP a kryptografii s veřejným klíčem nebo OpenSSL, jak je uvedeno v tomto článku Konfigurujte šifrované systémové úložiště Linux.
Vyhněte se instalaci nedůležitých nebo nepotřebných programů, aplikací nebo služeb, abyste předešli zranitelnostem balíků. To může snížit riziko, že kompromitace části softwaru může vést ke kompromitaci ostatních aplikací, částí systému nebo dokonce souborových systémů, což nakonec vede k poškození dat nebo dat ztráta.
Aktualizujte systém pravidelně. Udržujte jádro Linuxu synchronizované s nejnovějšími bezpečnostními opravami a všemi nainstalovaný software aktuální s nejnovějšími verzemi zadáním níže uvedeného příkazu:
# mňam aktualizace.
Aby se zabránilo uživatelům restartovat server, jakmile budou mít fyzický přístup na klávesnici nebo prostřednictvím aplikace Remote Console nebo virtualizované konzoly (KVM(Virtualizující softwarové rozhraní) byste měli deaktivovat Ctrl+Alt+Del
sekvence kláves provedením níže uvedeného příkazu.
# systemctl mask ctrl-alt-del.target
Nainstalujte si pro svůj počítač minimální software. Nikdy neinstalujte další programy nebo služby. Instalujte balíčky pouze z důvěryhodných nebo oficiálních úložišť. Použijte minimální instalaci systému v případě, že je stroj předurčen k tomu, aby provozoval celý svůj život jako server.
Ověřte nainstalované balíčky pomocí jednoho z následujících příkazů:
# ot / min -qa.
Vytvořte si místní seznam všech nainstalovaných balíčků.
# nainstalovaný seznam >> nainstalován.txt.
Prohlédněte si v seznamu zbytečný software a odstraňte balíček zadáním níže uvedeného příkazu:
# yum odebrat název_balíku.
Pomocí níže uvedeného příkladu příkazu restartujte službu systemd, abyste mohli použít nové aktualizace.
# systemctl restart httpd.service.
Pomocí následujících pokynů identifikujte služby, které naslouchají na konkrétních portech příkaz ss.
# ss -tulpn.
Chcete -li zobrazit seznam všech nainstalovaných služeb s jejich stavem výstupu, zadejte následující příkaz:
# systemctl list -units -t služba.
Například, CentOS výchozí minimální instalace je standardně nainstalována s démonem Postfix, který běží pod jménem master pod portem 25. Odeberte síťovou službu Postfix v případě, že váš počítač nebude použit jako poštovní server.
# yum odstranit postfix.
Nepoužívejte nezabezpečené protokoly pro vzdálený přístup nebo přenos souborů, jako je Telnet, FTPnebo jiné protokoly s vysokým prostým textem, jako je SMTP, HTTP, NFS nebo SMB, které ve výchozím nastavení nešifrují autentizační relace ani odesílaná data.
Použij jen sftp, scp pro přenosy souborů a SSH nebo VNC přes tunely SSH pro připojení ke vzdálené konzole nebo přístup pomocí GUI.
Chcete -li tunelovat konzolu VNC prostřednictvím SSH, použijte níže uvedený příklad, který přeposílá port VNC 5901 ze vzdáleného počítače na váš místní počítač:
# ssh -L 5902: localhost: 5901 remote_machine.
Na místním počítači spusťte níže uvedený příkaz pro virtuální připojení ke vzdálenému koncovému bodu.
# vncviewer localhost: 5902.
Provádějte kontroly externích portů pomocí nástroje Nmap ze vzdáleného systému přes LAN. Tento typ skenování lze použít k ověření zranitelnosti sítě nebo testování pravidel brány firewall.
# nmap -sT -O 192.168.1.10.
Použití firewalld nástroj pro ochranu systémových portů, otevírání nebo zavírání portů konkrétních služeb, zejména známých portů (<1024).
Nainstalujte, spusťte, povolte a vypište pravidla brány firewall zadáním následujících příkazů:
# yum nainstalujte firewall. # systemctl start firewalld.service. # systemctl povolit firewalld.service. # firewall-cmd --list-all.
Použití nástroj tcpdump aby bylo možné lokálně čichat síťové pakety a kontrolovat jejich obsah kvůli podezřelému provozu (porty cílového zdroje, protokoly TCP/IP, provoz dvou vrstev, neobvyklé požadavky ARP).
Pro lepší analýzu souboru tcpdump zachycený soubor použijte pokročilejší program, jako je Wireshark.
# tcpdump -i eno16777736 -w tcpdump.pcap.
Typicky zkontrolujte obsah svého resolveru /etc/resolv.conf soubor, který definuje IP adresu serverů DNS, které by měly používat k dotazování na názvy domén, v uvedeném pořadí abyste se vyhnuli útokům typu man-in-the-middle, zbytečnému provozu pro kořenové servery DNS, falešně nebo vytvořte DOS Záchvat.
Toto je jen první část. V další části probereme další bezpečnostní tipy pro CentOS 8/7.