20 CentOS Server Harðing Öryggisráðleggingar - Part 1


Þessi kennsla nær aðeins yfir almennar öryggisráðleggingar fyrir CentOS 8/7 sem hægt er að nota til að herða kerfið. Ábendingar um gátlista eru ætlaðar til notkunar að mestu leyti á ýmsum tegundum af berum málmþjónum eða á vélum (líkamlegum eða sýndar) sem veita netþjónustu.

Hins vegar er hægt að beita sumum ráðunum með góðum árangri á almennar vélar, svo sem borðtölvur, fartölvur og kortastærð eins borðs tölvur (Raspberry Pi).

  • CentOS 8 Lágmarksuppsetning
  • Lágmarksuppsetning CentOS 7

1. Líkamleg vernd

Læstu aðgangi að netþjónaherbergjum þínum, notaðu rekkilæsingu og myndbandseftirlit. Taktu með í reikninginn að allur líkamlegur aðgangur að netþjónaherbergjum getur útsett vélina þína fyrir alvarlegum öryggisvandamálum.

Hægt er að breyta BIOS lykilorðum með því að endurstilla jumper á móðurborðinu eða með því að aftengja CMOS rafhlöðuna. Einnig getur boðflenna stolið harða diskunum eða tengt nýja harða diska beint við móðurborðsviðmótin (SATA, SCSI, osfrv), ræst upp með Linux lifandi dreifingu og klónað eða afritað gögn án þess að skilja eftir hugbúnaðarspor.

2. Draga úr áhrifum njósna

Ef um er að ræða mjög viðkvæm gögn, ættir þú líklega að nota háþróaða líkamlega vernd eins og að setja og læsa þjóninum inn í TEMPEST lausn til að lágmarka áhrif þess að njósna um kerfið í gegnum útvarp eða rafmagnsleka.

3. Öruggur BIOS/UEFI

Byrjaðu ferlið við að herða vélina þína með því að tryggja BIOS/UEFI stillingar, sérstaklega stilltu BIOS/UEFI lykilorð og slökktu á ræsimiðlunartækjum (CD, DVD, slökktu á USB stuðningi) til að koma í veg fyrir að óviðkomandi notandi breyti BIOS kerfisstillingum eða breytti forgang ræsibúnaðarins og ræsingu vélarinnar frá öðrum miðli.

Til þess að beita þessari tegund af breytingum á vélina þína þarftu að skoða handbók móðurborðsframleiðandans fyrir sérstakar leiðbeiningar.

4. Öruggur ræsiforritari

Stilltu GRUB lykilorð til að koma í veg fyrir að illgjarn notandi geti fiktað við ræsingarröð kjarna eða keyrt stig, breytt kjarnabreytum eða ræst kerfið í einn notendaham til að skaða kerfið þitt og endurstilla rótarlykilorðið til að fá forréttindastjórn.

5. Notaðu aðskilin disksneiðing

Þegar CentOS er sett upp á kerfum sem ætluð eru sem framleiðsluþjónar, notaðu sérstaka skipting eða sérstaka harða diska fyrir eftirfarandi hluta kerfisins:

/(root) 
/boot  
/home  
/tmp 
/var 

6. Notaðu LVM og RAID fyrir offramboð og skráarkerfisvöxt

/var skiptingin er staðurinn þar sem notendaskilaboð eru skrifuð á diskinn. Þessi hluti kerfisins getur stækkað veldishraða á netþjónum með mikla umferð sem afhjúpar netþjónustu eins og vefþjóna eða skráaþjóna.

Notaðu því stóra skipting fyrir /var eða íhugaðu að setja upp þessa skiptingu með því að nota rökrænt bindi (LVM) eða sameina nokkra líkamlega diska í eitt stærra sýndar-RAID 0 tæki til að viðhalda miklu magni af gögnum. Fyrir gögn skaltu íhuga offramboð á að nota LVM skipulag ofan á RAID 1 stiginu.

Til að setja upp LVM eða RAID á diskunum skaltu fylgja gagnlegum leiðbeiningum okkar:

  1. Setja upp diskageymslu með LVM í Linux
  2. Búið til LVM diska með vgcreate, lvcreate og lvextend
  3. Samana nokkra diska í eina stóra sýndargeymslu
  4. Búðu til RAID 1 með því að nota tvo diska í Linux

7. Breyttu fstab valkostum til að tryggja gagnaskiptingu

Aðskilið skipting sem ætlað er til að geyma gögn og koma í veg fyrir framkvæmd forrita, tækisskráa eða setuid bita á þessum tegundum skiptinga með því að bæta eftirfarandi valkostum við fstab skrá eins og sýnt er á eftirfarandi útdrætti:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Til að koma í veg fyrir aukningu forréttinda og handahófskennda skriftuframkvæmd búðu til sérstaka skiptingu fyrir /tmp og tengdu það sem nosuid, nodev og noexec.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Dulkóða harða diskana á blokkarstigi með LUKS

Til að vernda viðkvæm gagnasnúðun ef líkamlegur aðgangur er að hörðum diskum vélarinnar. Ég legg til að þú lærir hvernig á að dulkóða disk með því að lesa greinina okkar Linux Hard Disk Data Encryption með LUKS.

9. Notaðu PGP og Public-Key dulritun

Til að dulkóða diska skaltu nota PGP og Public-Key Cryptography eða OpenSSL skipun til að dulkóða og afkóða viðkvæmar skrár með lykilorði eins og sýnt er í þessari grein Stilla dulkóðað Linux kerfisgeymslu.

10. Settu aðeins upp lágmarksmagn pakka sem krafist er

Forðastu að setja upp ómikilvæg eða óþörf forrit, forrit eða þjónustu til að forðast veikleika í pakka. Þetta getur dregið úr hættunni á því að málamiðlun hugbúnaðar geti leitt til þess að önnur forrit, hlutar kerfisins eða jafnvel skráarkerfi í hættu, sem loksins leiði til spillingar eða gagnataps.

11. Uppfærðu kerfið oft

Uppfærðu kerfið reglulega. Haltu Linux kjarnanum í takt við nýjustu öryggisplástrana og allan uppsettan hugbúnað uppfærðan með nýjustu útgáfunum með því að gefa út skipunina hér að neðan:

# yum update

12. Slökktu á Ctrl+Alt+Del

Til að koma í veg fyrir að notendur endurræsi þjóninn þegar þeir hafa líkamlegan aðgang að lyklaborði eða í gegnum fjarstýringarforrit eða sýndarvél (KVM, sýndarhugbúnaðarviðmót) ættirðu að slökkva á Ctrl+Alt+Del lyklinum röð með því að framkvæma skipunina hér að neðan.

# systemctl mask ctrl-alt-del.target 

13. Fjarlægðu óþarfa hugbúnaðarpakka

Settu upp lágmarkshugbúnað sem þarf fyrir vélina þína. Settu aldrei upp aukaforrit eða þjónustu. Settu aðeins upp pakka frá traustum eða opinberum geymslum. Notaðu lágmarks uppsetningu á kerfinu ef vélinni er ætlað að keyra allt líf sitt sem þjónn.

Staðfestu uppsetta pakka með einni af eftirfarandi skipunum:

# rpm -qa

Búðu til staðbundinn lista yfir alla uppsetta pakka.

# yum list installed >> installed.txt

Skoðaðu listann fyrir gagnslausan hugbúnað og eyddu pakka með því að gefa út skipunina hér að neðan:

# yum remove package_name

14. Endurræstu Systemd Services eftir púkauppfærslur

Notaðu skipunardæmið hér að neðan til að endurræsa kerfisþjónustu til að nota nýjar uppfærslur.

# systemctl restart httpd.service

15. Fjarlægðu óþarfa þjónustu

Þekkja þjónusturnar sem eru að hlusta á tilteknum höfnum með því að nota eftirfarandi ss skipun.

# ss -tulpn

Til að skrá allar uppsettar þjónustur með framleiðslustöðu þeirra skaltu gefa út skipunina hér að neðan:

# systemctl list-units -t service

Til dæmis, CentOS sjálfgefna lágmarksuppsetning kemur með Postfix púkinn sjálfgefið uppsettur sem keyrir undir nafni meistara undir port 25. Fjarlægðu Postfix netþjónustu ef vélin þín verður ekki notuð sem póstþjónn.

# yum remove postfix

16. Dulkóða send gögn

Ekki nota ótryggðar samskiptareglur fyrir fjaraðgang eða skráaflutning eins og Telnet, FTP eða aðrar samskiptareglur með venjulegum texta eins og SMTP, HTTP, NFS eða SMB sem sjálfgefið dulkóðar ekki auðkenningarloturnar eða send gögn.

Notaðu aðeins scp fyrir skráaflutning og SSH eða VNC yfir SSH göng fyrir fjartengingar eða GUI aðgang.

Til þess að ganga um VNC leikjatölvu í gegnum SSH notaðu dæmið hér að neðan sem sendir VNC tengið 5901 frá ytri vélinni yfir á staðbundna vélina þína:

# ssh -L 5902:localhost:5901 remote_machine

Keyrðu eftirfarandi skipun á staðbundinni vél til að koma á sýndartengingu við ytri endapunktinn.

# vncviewer localhost:5902

17. Netgáttarskönnun

Framkvæma ytri gáttathuganir með því að nota Nmap tólið frá ytra kerfi yfir staðarnetið. Þessa tegund af skönnun er hægt að nota til að sannreyna veikleika netsins eða prófa eldveggsreglurnar.

# nmap -sT -O 192.168.1.10

18. Eldveggur sem síar pakka

Notaðu eldveggsforrit til að vernda kerfisgáttirnar, opna eða loka sérstökum þjónustugáttum, sérstaklega vel þekktum höfnum (<1024).

Settu upp, ræstu, virkjaðu og skráðu eldveggsreglurnar með því að gefa út eftirfarandi skipanir:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Skoðaðu bókunarpakka með Tcpdump

Notaðu tcpdump tólið til að þefa af netpökkum á staðnum og skoða innihald þeirra með tilliti til grunsamlegrar umferðar (áfangastaðahöfn, TCP/IP samskiptareglur, lag tvö umferð, óvenjulegar ARP beiðnir).

Til að fá betri greiningu á tcpdump handteknu skránni skaltu nota fullkomnari forrit eins og Wireshark.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. Komdu í veg fyrir DNS-árásir

Skoðaðu innihald lausnarans þíns, venjulega /etc/resolv.conf skrána, sem skilgreinir IP-tölu DNS netþjónanna sem hann ætti að nota til að spyrjast fyrir um lén, til að forðast mann-í-miðju árásir, óþarfa umferð fyrir rót DNS netþjóna, spilla eða búa til DOS árás.

Þetta er bara fyrsti hlutinn. Í næsta hluta munum við ræða önnur öryggisráð fyrir CentOS 8/7.