Petua Keselamatan Hardening 20 CentOS - Bahagian 1
- 4489
- 234
- Clay Weber
Tutorial ini hanya merangkumi petua keselamatan umum untuk Centos 8/7 yang boleh digunakan untuk mengeraskan sistem. Petua senarai semak dimaksudkan untuk digunakan kebanyakannya pada pelbagai jenis pelayan telanjang atau mesin (fizikal atau maya) yang menyediakan perkhidmatan rangkaian.
Walau bagaimanapun, beberapa petua boleh digunakan dengan jayanya untuk mesin tujuan umum, seperti desktop, komputer riba, dan komputer tunggal yang bersaiz kad (Pai raspberi).
Keperluan
- Centos 8 pemasangan minimum
- CentOS 7 pemasangan minimum
1. Perlindungan fizikal
Mengunci akses bilik pelayan anda, gunakan penguncian rak dan pengawasan video. Pertimbangkan bahawa sebarang akses fizikal ke bilik pelayan dapat mendedahkan mesin anda kepada masalah keselamatan yang serius.
BIOS Kata laluan boleh diubah dengan menetapkan semula jumper di papan induk atau dengan melepaskan bateri CMOS. Juga, penceroboh boleh mencuri cakera keras atau secara langsung melampirkan cakera keras baru ke antara muka motherboard (SATA, SCSI, dll), boot dengan linux live distro, dan klon atau salin data tanpa meninggalkan jejak perisian.
2. Mengurangkan kesan pengintipan
Sekiranya data yang sangat sensitif, anda mungkin boleh menggunakan perlindungan fizikal lanjutan seperti meletakkan dan mengunci pelayan ke dalam sangkar Faraday atau menggunakan penyelesaian tempahan tentera untuk meminimumkan kesan mengintip sistem melalui radio atau emanasi bocor elektrik.
3. Selamat bios/uefi
Mulakan proses mengeraskan mesin anda dengan mengamankan BIOS/UEFI Tetapan, terutamanya menetapkan a BIOS/UEFI Kata Laluan dan Lumpuhkan Peranti Media Boot (CD, DVD, Lumpuhkan Sokongan USB) Untuk mengelakkan sebarang pengguna yang tidak dibenarkan daripada mengubah suai tetapan BIOS sistem atau mengubah keutamaan peranti boot dan boot mesin dari medium alternatif.
Untuk menggunakan jenis perubahan ini ke mesin anda, anda perlu berunding dengan manual pengeluar motherboard untuk arahan khusus.
4. Loader Boot Secure
Tetapkan a Grub Kata laluan untuk mengelakkan pengguna yang berniat jahat untuk merosakkan urutan boot kernel atau tahap larian, edit parameter kernel atau mulakan sistem ke dalam mod pengguna tunggal untuk merosakkan sistem anda dan menetapkan semula kata laluan root untuk mendapatkan kawalan istimewa.
5. Gunakan partisi cakera berasingan
Semasa memasang Centos mengenai sistem yang dimaksudkan sebagai pelayan pengeluaran menggunakan partisi khusus atau cakera keras khusus untuk bahagian -bahagian sistem berikut:
/(root) /boot /home /tmp /var
6. Gunakan LVM dan RAID untuk pertumbuhan sistem redundansi dan fail
The /var Partition adalah tempat di mana mesej log ditulis ke cakera. Bahagian sistem ini secara eksponen dapat berkembang dengan saiz pada pelayan trafik yang banyak yang mendedahkan perkhidmatan rangkaian seperti pelayan web atau pelayan fail.
Oleh itu, gunakan partition besar untuk /var atau pertimbangkan untuk menubuhkan partition ini menggunakan jumlah logik (Lvm) atau menggabungkan beberapa cakera fizikal ke dalam satu peranti RAID 0 maya yang lebih besar untuk mengekalkan sejumlah besar data. Untuk data, redundansi mempertimbangkan menggunakan susun atur LVM di atas RAID 1 tahap.
Untuk menubuhkan LVM atau RAID pada cakera, ikuti panduan berguna kami:
- Penyimpanan cakera persediaan dengan LVM di Linux
- Buat cakera lvm menggunakan vgcreate, lvcreate dan lvextend
- Menggabungkan beberapa cakera menjadi satu simpanan maya yang besar
- Buat RAID 1 menggunakan dua cakera di Linux
7. Ubah suai pilihan FSTAB untuk mengamankan partition data
Partition berasingan yang dimaksudkan untuk menyimpan data dan mencegah pelaksanaan program, fail peranti atau setuid bit pada jenis partition ini dengan menambahkan pilihan berikut ke fstab Fail seperti yang digambarkan pada petikan di bawah:
/dev /sda5 /nas ext4 lalai,Nosuid, Nodev, NoExec 1 2
Untuk mengelakkan pelaksanaan skrip keistimewaan dan sewenang-wenangnya, buat partition berasingan untuk /TMP dan memasangnya sebagai nosuid, Nodev, dan NoExec.
/dev /sda6 /tmp ext4 lalai,Nosuid, Nodev, NoExec 0 0
8. Menyulitkan cakera keras pada tahap blok dengan luks
Untuk melindungi data sensitif yang mengintip sekiranya akses fizikal ke pemacu keras mesin. Saya cadangkan anda belajar cara menyulitkan cakera dengan membaca artikel kami Linux Hard Disk Data Encryption dengan LUKS.
9. Gunakan PGP dan Kriptografi Kunci Awam
Untuk menyulitkan cakera, gunakan PGP dan CRYPTOGRAPHY KEY PUMBAL atau OPENSSL untuk menyulitkan dan menyahsulit fail sensitif dengan kata laluan seperti yang ditunjukkan dalam artikel ini Konfigurasi Penyimpanan Sistem Linux Disulitkan.
10. Pasang hanya jumlah minimum pakej yang diperlukan
Elakkan memasang program, aplikasi, atau perkhidmatan yang tidak penting atau tidak perlu untuk mengelakkan kelemahan pakej. Ini dapat mengurangkan risiko bahawa kompromi sekeping perisian boleh menyebabkan kompromi aplikasi lain, bahagian sistem, atau bahkan sistem fail, akhirnya mengakibatkan rasuah data atau kehilangan data.
11. Kemas kini sistem dengan kerap
Kemas kini sistem dengan kerap. Pastikan kernel Linux selaras dengan patch keselamatan terkini dan semua perisian yang dipasang terkini dengan versi terkini dengan mengeluarkan arahan di bawah:
# kemas kini yum
12. Lumpuhkan Ctrl+Alt+Del
Untuk mengelakkan pengguna reboot pelayan sebaik sahaja mereka mempunyai akses fizikal ke papan kekunci atau melalui aplikasi konsol jauh atau konsol maya (Kvm, Antara muka perisian virtualisasi) Anda harus melumpuhkan Ctrl+alt+del urutan utama dengan melaksanakan arahan di bawah.
# Systemctl Mask Ctrl-Alt-Del.sasaran
13. Keluarkan pakej perisian yang tidak perlu
Pasang perisian minimum yang diperlukan untuk mesin anda. Jangan sekali -kali memasang program atau perkhidmatan tambahan. Pasang pakej hanya dari repositori yang dipercayai atau rasmi. Gunakan pemasangan sistem yang minimum sekiranya mesin itu ditakdirkan untuk menjalankan seluruh hidupnya sebagai pelayan.
Sahkan pakej yang dipasang menggunakan salah satu arahan berikut:
# rpm -qa
Buat senarai tempatan semua pakej yang dipasang.
# senarai yum dipasang >> dipasang.txt
Rujuk senarai untuk perisian yang tidak berguna dan padamkan pakej dengan mengeluarkan arahan di bawah:
# yum keluarkan pakej_nameArtikel yang berkaitan: Lumpuhkan dan keluarkan pakej yang tidak diingini pada pemasangan centOs yang minimum
14. Mulakan semula perkhidmatan Systemd selepas kemas kini daemon
Gunakan contoh arahan di bawah untuk memulakan semula perkhidmatan SystemD untuk menggunakan kemas kini baru.
# Systemctl mulakan semula httpd.perkhidmatan
15. Keluarkan perkhidmatan yang tidak diperlukan
Kenal pasti perkhidmatan yang mendengar di port tertentu menggunakan arahan SS berikut.
# ss -tulpn
Untuk menyenaraikan semua perkhidmatan yang dipasang dengan isu status output mereka arahan di bawah:
# Sistem List -Unit -t Perkhidmatan
Contohnya, Centos Pemasangan minimum lalai dilengkapi dengan Daemon Postfix yang dipasang secara lalai yang dijalankan dengan nama tuan di bawah pelabuhan 25. Keluarkan perkhidmatan rangkaian postfix sekiranya mesin anda tidak akan digunakan sebagai pelayan mel.
# yum keluarkan postfixArtikel yang berkaitan: Berhenti dan Lumpuhkan perkhidmatan yang tidak diingini di CentOs
16. Menyulitkan data yang dihantar
Jangan gunakan protokol tidak bercagar untuk akses jauh atau pemindahan fail seperti Telnet, Ftp, atau protokol tinggi teks biasa seperti SMTP, HTTP, NFS, atau SMB yang, secara lalai, tidak menyulitkan sesi pengesahan atau menghantar data.
Gunakan hanya SFTP, SCP untuk pemindahan fail, dan SSH atau VNC melalui terowong SSH untuk sambungan konsol jauh atau akses GUI.
Untuk terowong konsol VNC melalui SSH gunakan contoh di bawah yang meneruskan port VNC 5901 dari mesin jauh ke mesin tempatan anda:
# ssh -l 5902: localhost: 5901 remote_machine
Pada mesin tempatan jalankan arahan di bawah untuk sambungan maya ke titik akhir jauh.
# vncviewer localhost: 5902
17. Pengimbasan pelabuhan rangkaian
Menjalankan pemeriksaan pelabuhan luaran menggunakan alat NMAP dari sistem jauh ke LAN. Pengimbasan jenis ini boleh digunakan untuk mengesahkan kelemahan rangkaian atau menguji peraturan firewall.
# nmap -st -o 192.168.1.10Artikel Berkaitan: Ketahui Cara Menggunakan NMAP dengan 29 Contoh ini
18. Packet-filtering firewall
Gunakan Firewalld utiliti untuk melindungi pelabuhan sistem, port perkhidmatan terbuka atau dekat, terutama pelabuhan terkenal (<1024).
Pasang, Mula, Dayakan, dan Senaraikan Peraturan Firewall dengan mengeluarkan arahan di bawah:
# yum Pasang Firewalld # Systemctl Mula Firewalld.Perkhidmatan # Systemctl Dayakan Firewalld.perkhidmatan # firewall-cmd --list-all
19. Periksa paket protokol dengan TCPDUMP
Gunakan utiliti TCPDUMP untuk menghidu paket rangkaian secara tempatan dan memeriksa kandungan mereka untuk trafik yang mencurigakan (port destinasi sumber, protokol TCP/IP, Lapisan Dua Trafik, Permintaan ARP yang luar biasa).
Untuk analisis yang lebih baik mengenai tcpdump fail yang ditangkap menggunakan program yang lebih maju seperti Wireshark.
# tcpdump -i eno1677736 -w tcpdump.PCAP
20. Mencegah serangan DNS
Periksa kandungan resolver anda, biasanya /etc/resolv.Conf Fail, yang mentakrifkan alamat IP pelayan DNS yang harus digunakan untuk menanyakan nama domain, untuk mengelakkan serangan lelaki-dalam-pertengahan, lalu lintas yang tidak perlu untuk pelayan DNS akar, spoof atau membuat serangan DOS.
Ini hanya bahagian pertama. Di bahagian seterusnya kita akan membincangkan petua keselamatan lain untuk Centos 8/7.
Jangan ketinggalan: Panduan mega untuk mengeras dan mengamankan CentOS 8/7 - Bahagian 2- « Cara Membuat NIC Teaming atau Bonding di CentOS 8 / RHEL 8
- Cara menjalankan pengedaran Linux terus dari cakera keras di Ubuntu menggunakan menu grub »