![Cum să dezactivați redarea automată a videoclipurilor pe FaceBook, Twitter, Reddit și multe altele](/f/765bda3fed3f593269909223ba33e99a.png?width=100&height=100)
Acest tutorial acoperă doar sfaturi generale de securitate pentru CentOS 8/7 care poate fi folosit pentru întărirea sistemului. Sfaturile pentru lista de verificare sunt destinate a fi utilizate mai ales pe diferite tipuri de servere bare-metal sau pe mașini (fizice sau virtuale) care furnizează servicii de rețea.
Cu toate acestea, unele dintre sfaturi pot fi aplicate cu succes și la mașinile de uz general, cum ar fi desktop-urile, laptopurile și computerele cu o singură placă de dimensiuni de card (Raspberry Pi).
Blocați accesul camerelor serverului, utilizați blocarea rafturilor și supravegherea video. Luați în considerare faptul că orice acces fizic la camerele serverului poate expune aparatul dvs. la probleme grave de securitate.
BIOS parolele pot fi schimbate resetând jumperii de pe placa de bază sau deconectând bateria CMOS. De asemenea, un intrus poate fura hard disk-urile sau poate atașa direct hard disk-uri noi la interfețele plăcii de bază (SATA, SCSI etc.), poate porni cu o distribuție live Linux și
clonați sau copiați date fără a lăsa nicio urmă de software.În cazul datelor extrem de sensibile, ar trebui să utilizați probabil o protecție fizică avansată, cum ar fi plasarea și blocarea serverului într-un Cusca Faraday sau folosiți un militar FURTUNĂ soluție pentru a minimiza impactul spionării sistemului prin emisiuni radio sau electrice.
Porniți procesul de întărire a mașinii prin securizare BIOS / UEFI setări, în special setați un BIOS / UEFI parola și dezactivați dispozitivele media de încărcare (CD, DVD, dezactivați suportul USB) pentru a preveni utilizatorii neautorizați modificarea setărilor BIOS-ului sistemului sau modificarea priorității dispozitivului de pornire și pornirea mașinii de la o alternativă mediu.
Pentru a aplica acest tip de modificare aparatului dvs., trebuie să consultați manualul producătorului plăcii de bază pentru instrucțiuni specifice.
Setați un GRUB parola pentru a împiedica utilizatorii rău intenționați să manipuleze secvența de pornire a nucleului sau să ruleze nivelurile, să editeze parametrii kernelului sau să pornească sistemul într-un mod cu un singur utilizator pentru a vă afecta sistemul și resetați parola de root pentru a obține controlul privilegiat.
La instalare CentOS pe sistemele destinate serverelor de producție utilizează partiții dedicate sau hard diskuri dedicate pentru următoarele părți ale sistemului:
/ (rădăcină) / boot / home / tmp / var
/var partiția este locul în care mesajele jurnal sunt scrise pe disc. Această parte a sistemului poate crește exponențial în dimensiuni pe servere cu trafic intens care expun servicii de rețea precum servere web sau servere de fișiere.
Astfel, utilizați o partiție mare pentru /var sau luați în considerare configurarea acestei partiții utilizând volume logice (LVM) sau combinați mai multe discuri fizice într-un dispozitiv virtual RAID 0 mai mare pentru a susține cantități mari de date. Pentru date, redundanța ia în considerare utilizarea layout-ului LVM deasupra RAID-ul 1 nivel.
Pentru a configura LVM sau RAID pe discuri, urmați ghidurile noastre utile:
Separați partițiile destinate stocării datelor și împiedicați executarea de programe, fișiere de dispozitiv sau setuid bit pe acest tip de partiții prin adăugarea următoarelor opțiuni la fstab după cum este ilustrat în extrasul de mai jos:
/ dev / sda5 / nas ext4 implicit,nosuid, nodev, noexec 1 2.
Pentru a preveni escaladarea privilegiilor și execuția arbitrară a scriptului, creați o partiție separată pentru /tmp și montați-l ca nosuid, nodev, și noexec.
/ dev / sda6 / tmp implicit ext4,nosuid, nodev, noexec 0 0.
Pentru a proteja detectarea datelor sensibile în caz de acces fizic la hard diskurile mașinii. Vă sugerez să învățați cum să criptați discul citind articolul nostru Criptare date pe hard disk Linux cu LUKS.
Pentru a cripta discurile, utilizați comanda PGP și Public-Key Cryptography sau OpenSSL pentru a cripta și decripta fișierele sensibile cu o parolă, așa cum se arată în acest articol. Configurați stocarea criptată a sistemului Linux.
Evitați instalarea de programe, aplicații sau servicii neimportante sau inutile pentru a evita vulnerabilitățile pachetelor. Acest lucru poate reduce riscul ca compromisul unui software să poată duce la compromiterea altora aplicații, părți ale sistemului sau chiar sisteme de fișiere, rezultând în cele din urmă corupția datelor sau date pierderi.
Actualizați regulat sistemul. Păstrați nucleul Linux sincronizat cu cele mai recente patch-uri de securitate și toate celelalte software-ul instalat actualizat cu cele mai recente versiuni prin emiterea comenzii de mai jos:
# yum actualizare.
Pentru a împiedica utilizatorii să repornească serverul după ce au acces fizic la o tastatură sau printr-o aplicație de consolă la distanță sau o consolă virtualizată (KVM, Virtualizarea interfeței software) ar trebui să dezactivați Ctrl + Alt + Del
secvența de taste executând comanda de mai jos.
# systemctl mask ctrl-alt-del.target
Instalați software-ul minim necesar pentru echipamentul dvs. Nu instalați niciodată programe sau servicii suplimentare. Instalați pachete numai din depozite oficiale sau de încredere. Utilizați o instalare minimă a sistemului în cazul în care mașina este destinată să funcționeze întreaga sa viață ca server.
Verificați pachetele instalate utilizând una dintre următoarele comenzi:
# rpm -qa.
Faceți o listă locală a tuturor pachetelor instalate.
# yum list instalat >> installed.txt.
Consultați lista pentru software inutil și ștergeți un pachet prin emiterea comenzii de mai jos:
# yum eliminați package_name.
Utilizați exemplul de comandă de mai jos pentru a reporni un serviciu systemd pentru a aplica noi actualizări.
# systemctl reporniți httpd.service.
Identificați serviciile care ascultă pe anumite porturi folosind următoarele comanda ss.
# ss -tulpn.
Pentru a lista toate serviciile instalate cu starea lor de ieșire, lansați comanda de mai jos:
# systemctl list-units -t service.
De exemplu, CentOS instalarea minimă implicită vine cu daemonul Postfix instalat implicit care rulează sub numele unui master sub port 25. Eliminați serviciul de rețea Postfix în cazul în care aparatul dvs. nu va fi utilizat ca server de mail.
# yum elimina postfix.
Nu utilizați protocoale nesecurizate pentru acces la distanță sau transfer de fișiere, cum ar fi Telnet, FTP, sau alte protocoale cu text simplu, cum ar fi SMTP, HTTP, NFS sau SMB, care, în mod implicit, nu criptează sesiunile de autentificare sau datele trimise.
Utilizați numai sftp, scp pentru transferuri de fișiere și tuneluri SSH sau VNC peste SSH pentru conexiuni la consolă la distanță sau acces GUI.
Pentru a tunela o consolă VNC prin SSH, utilizați exemplul de mai jos, care redirecționează portul VNC 5901 de la mașina de la distanță la mașina dvs. locală:
# ssh -L 5902: localhost: 5901 remote_machine.
Pe mașina locală executați comanda de mai jos pentru a vă conecta virtual la punctul final de la distanță.
# vncviewer localhost: 5902.
Efectuați verificări de port externe utilizând instrumentul Nmap de la un sistem la distanță prin LAN. Acest tip de scanare poate fi utilizat pentru a verifica vulnerabilitățile rețelei sau pentru a testa regulile firewall-ului.
# nmap -sT -O 192.168.1.10.
Utilizare firewalld utilitar pentru protejarea porturilor de sistem, deschiderea sau închiderea porturilor de servicii specifice, în special a porturilor cunoscute (<1024).
Instalați, porniți, activați și listați regulile firewall-ului prin emiterea comenzilor de mai jos:
# yum instala firewalld. # systemctl pornește firewalld.service. # systemctl activează firewalld.service. # firewall-cmd --list-all.
Utilizare utilitar tcpdump pentru a detecta local pachetele de rețea și a inspecta conținutul acestora pentru trafic suspect (porturi sursă-destinație, protocoale TCP / IP, trafic strat doi, solicitări ARP neobișnuite).
Pentru o mai bună analiză a tcpdump fișierul capturat utilizează un program mai avansat precum Wireshark.
# tcpdump -i eno16777736 -w tcpdump.pcap.
Inspectați conținutul rezolvatorului dvs., de obicei /etc/resolv.conf fișier, care definește adresa IP a serverelor DNS pe care ar trebui să le utilizeze pentru a interoga numele domeniilor, în ordine pentru a evita atacurile om-la-mijloc, traficul inutil pentru serverele DNS root, falsificarea sau crearea unui DOS atac.
Aceasta este doar prima parte. În partea următoare vom discuta alte sfaturi de securitate pentru CentOS 8/7.