Овај водич покрива само опште безбедносне савете за ЦентОС 8/7 који се могу користити за учвршћивање система. Савети за контролну листу намењени су углавном за употребу на различитим типовима сервера или на машинама (физичким или виртуелним) које пружају мрежне услуге.
Међутим, неки савети се могу успешно применити и на машине опште намене, као што су стони рачунари, преносни рачунари и једнокрилни рачунари величине картице (Распберри Пи).
Закључајте приступ својим серверским просторијама, користите закључавање сталка и видео надзор. Узмите у обзир да сваки физички приступ просторијама сервера може изложити вашу машину озбиљним сигурносним проблемима.
БИОС лозинке се могу променити ресетовањем краткоспојника на матичној плочи или искључивањем ЦМОС батерије. Такође, уљез може украсти чврсте дискове или директно прикључити нове чврсте дискове на интерфејсе матичне плоче (САТА, СЦСИ, итд.), Покренути се са Линук дистрибуцијом уживо и клонирати или копирати податке не остављајући никакав софтверски траг.
У случају врло осјетљивих података, вјероватно бисте требали користити напредну физичку заштиту, попут постављања и закључавања сервера у Фарадаи Цаге или користити војску ТЕМПЕСТ решење како би се минимизирао утицај шпијунирања система путем радија или електронских цурења.
Започните процес очвршћавања машине осигурањем БИОС/УЕФИ подешавања, посебно подесите а БИОС/УЕФИ лозинку и онемогућите медијске уређаје за покретање (ЦД, ДВД, онемогућите подршку за УСБ) како бисте спречили приступ неовлашћеним корисницима измена поставки системског БИОС -а или промена приоритета уређаја за покретање и покретање машине са другог средњи.
Да бисте применили ову врсту промене на машини, потребно је да погледате приручник произвођача матичне плоче за одређена упутства.
Поставите а ГРУБ лозинку како би се спречило да злонамерни корисници ометају редослед покретања језгра или покрећу нивое, уређују параметре језгра или покрећу систем у режим за једног корисника како би нашкодили вашем систему и ресетујте роот лозинку да стекну привилеговану контролу.
Приликом инсталирања ЦентОС на системима који су намењени за производне сервере користите наменске партиције или наменске чврсте дискове за следеће делове система:
/(роот) /боот /хоме /тмп /вар
Тхе /var партиција је место где се поруке дневника записују на диск. Овај део система може експоненцијално да расте на великим серверима са великим прометом који излажу мрежне услуге као што су веб сервери или сервери датотека.
Дакле, користите велику партицију за /var или размислите о постављању ове партиције помоћу логичких волумена (ЛВМ) или комбиновати неколико физичких дискова у један већи виртуелни РАИД 0 уређај за одржавање великих количина података. За податке, редундантност размислите о коришћењу ЛВМ распореда на врху РАИД 1 ниво.
За постављање ЛВМ -а или РАИД -а на дискове, следите наше корисне водиче:
Одвојене партиције намењене за складиштење података и спречавање извршавања програма, датотека уређаја или сетуид бит на овој врсти партиција додавањем следећих опција у фстаб датотеку као што је илустровано на доњем одломку:
/дев /сда5 /нас ект4 подразумеване вредности,носуид, нодев, ноекец 1 2.
Да бисте спријечили повећање привилегија и произвољно извршавање скрипте, створите засебну партицију за /tmp и монтирајте га као носуид, нодев, и ноекец.
/дев /сда6 /тмп ект4 подразумеване вредности,носуид, нодев, ноекец 0 0.
Да би се заштитили шпијунирање осетљивих података у случају физичког приступа чврстим дисковима машине. Предлажем вам да научите како шифрирати диск читајући наш чланак Линук шифровање података са хард диска помоћу ЛУКС -а.
Да бисте шифровали дискове, користите ПГП и криптографију са јавним кључем или команду ОпенССЛ за шифровање и дешифровање осетљивих датотека лозинком као што је приказано у овом чланку Конфигуришите шифровану системску меморију Линука.
Избегавајте инсталирање неважних или непотребних програма, апликација или услуга како бисте избегли рањивости пакета. Ово може смањити ризик да компромис неког дела софтвера може довести до компромитовања другог апликације, делови система или чак датотечни системи, што је коначно довело до оштећења података или података губитак.
Редовно ажурирајте систем. Синхронизујте Линук кернел са најновијим безбедносним закрпама и свим инсталиран софтвер ажуриран са најновијим верзијама издавањем наредбе испод:
# иум упдате.
Да би спречили кориснике да поново покрену сервер када имају физички приступ тастатури или путем апликације удаљене конзоле или виртуелне конзоле (КВМ, Виртуелизација софтверског интерфејса) требало би да онемогућите Цтрл+Алт+Дел
низ кључева извршавањем наредбе испод.
# системцтл маска цтрл-алт-дел.таргет
Инсталирајте минимални софтвер потребан за вашу машину. Никада не инсталирајте додатне програме или услуге. Инсталирајте пакете само из поузданих или званичних спремишта. Користите минималну инсталацију система у случају да је машини предодређено да цео свој животни век ради као сервер.
Проверите инсталиране пакете помоћу једне од следећих команди:
# рпм -ка.
Направите локалну листу свих инсталираних пакета.
# иум листа инсталирана >> инсталлед.ткт.
Погледајте списак за бескористан софтвер и избришите пакет издавањем наредбе испод:
# иум ремове пацкаге_наме.
Користите пример наредбе у наставку да бисте поново покренули услугу системд како бисте применили нова ажурирања.
# системцтл поново покрените хттпд.сервице.
Идентификујте услуге које слушају на одређеним портовима користећи следеће сс команда.
# сс -тулпн.
Да бисте навели све инсталиране услуге са статусом излаза, издајте наредбу испод:
# системцтл лист -унитс -т услуга.
На пример, ЦентОС подразумевана минимална инсталација долази са Постфик даемоном који је подразумевано инсталиран и који ради под именом мастер под порт 25. Уклоните мрежну услугу Постфик у случају да се ваша машина неће користити као сервер поште.
# иум уклоните постфик.
Не користите незаштићене протоколе за даљински приступ или пренос датотека, нпр Телнет, ФТП, или други протоколи високог квалитета за обичан текст, као што су СМТП, ХТТП, НФС или СМБ, који по дефаулту не шифрирају сесије аутентификације или послане податке.
Користите само сфтп, сцп за пренос датотека и ССХ или ВНЦ преко ССХ тунела за удаљене конзоле или приступ графичком интерфејсу.
Да бисте тунелирали ВНЦ конзолу путем ССХ -а, користите доњи пример који прослеђује ВНЦ порт 5901 са удаљене машине на вашу локалну машину:
# ссх -Л 5902: лоцалхост: 5901 ремоте_мацхине.
На локалном рачунару покрените доњу наредбу да бисте се виртуално повезали са удаљеном крајњом тачком.
# внцвиевер лоцалхост: 5902.
Извршите провере спољних портова помоћу алата Нмап са удаљеног система преко ЛАН -а. Ова врста скенирања може се користити за проверу рањивости мреже или тестирање правила заштитног зида.
# нмап -сТ -О 192.168.1.10.
Употреба фиреваллд услужни програм за заштиту системских портова, отварање или затварање портова за одређене услуге, посебно добро познатих портова (<1024).
Инсталирајте, покрените, омогућите и наведите правила заштитног зида издавањем наредби у наставку:
# иум инсталл фиреваллд. # системцтл покрените фиреваллд.сервице. # системцтл омогући фиреваллд.сервице. # фиревалл-цмд --лист-алл.
Употреба услужни програм тцпдумп како би локално њушили мрежне пакете и прегледали њихов садржај ради сумњивог саобраћаја (портови извор-одредиште, ТЦП/ИП протоколи, саобраћај два слоја, необични АРП захтеви).
За бољу анализу тцпдумп снимљена датотека користи напреднији програм као што је Виресхарк.
# тцпдумп -и ено16777736 -в тцпдумп.пцап.
Обично прегледајте садржај резолутора /etc/resolv.conf датотеку, која дефинише ИП адресу ДНС сервера коју треба да користи за упите о називима домена да бисте избегли нападе „човек у средини“, непотребан саобраћај за роот ДНС сервере, лажирали или креирали ДОС напад.
Ово је само први део. У следећем делу ћемо разговарати о другим безбедносним саветима за ЦентОС 8/7.