20 Sfaturi de securitate pentru întărirea serverului CentOS
Acest tutorial acoperă doar sfaturi generale de securitate pentru CentOS 8/7 care poate fi folosit pentru întărirea sistemului. Sfaturile pentru lista de verificare sunt destinate a fi utilizate mai ales pe diferite tipuri de servere bare-metal sau pe mașini (fizice sau virtuale) care furnizează servicii de rețea.
Cu toate acestea, unele dintre sfaturi pot fi aplicate cu succes și la mașinile de uz general, cum ar fi desktop-urile, laptopurile și computerele cu o singură placă de dimensiuni de card ( Raspberry Pi ).
1. Protecție fizică
Blocați accesul la camerele serverului, utilizați blocarea rafturilor și supravegherea video. Luați în considerare faptul că orice acces fizic la camerele serverului poate expune aparatul dvs. la probleme grave de securitate.
BIOS parolele pot fi schimbate resetând jumperii de pe placa de bază sau deconectând bateria CMOS. De asemenea, un intrus poate fura hard disk-urile sau poate atașa direct hard disk-uri noi la interfețele plăcii de bază (SATA, SCSI etc.), poate porni cu o distribuție live Linux și clonați sau copiați date fără a lăsa nicio urmă de software.
2. Reduceți impactul spionajului
În cazul datelor extrem de sensibile, ar trebui să utilizați probabil o protecție fizică avansată, cum ar fi plasarea și blocarea serverului într-un Cusca Faraday sau folosiți un militar FURTUNĂ soluție pentru a minimiza impactul spionării sistemului prin emanații radio sau electrice.
3. Securizați BIOS / UEFI
Porniți procesul de întărire a mașinii prin securizare BIOS / UEFI setări, în special a BIOS / UEFI parola și dezactivați dispozitivele media de încărcare (CD, DVD, dezactivați suportul USB) pentru a împiedica utilizatorii neautorizați să modifice setările BIOS-ului sistemului sau să modifice prioritatea dispozitivului de pornire și să pornească aparatul de pe un mediu alternativ.
Pentru a aplica acest tip de modificare aparatului dvs., trebuie să consultați manualul producătorului plăcii de bază pentru instrucțiuni specifice.
4. Secure Boot Loader
Setați un GRUB parola pentru a împiedica utilizatorii rău intenționați să manipuleze secvența de pornire a nucleului sau să ruleze nivelurile, să editeze parametrii kernelului sau să pornească sistemul într-un mod cu un singur utilizator pentru a vă afecta sistemul și resetați parola de root pentru a obține controlul privilegiat.
5. Utilizați partiții de disc separate
La instalare CentOS pe sistemele destinate serverelor de producție utilizează partiții dedicate sau hard diskuri dedicate pentru următoarele părți ale sistemului:
/(root) /boot /home /tmp /var
6. Utilizați LVM și RAID pentru redundanță și creșterea sistemului de fișiere
The /Unde partiția este locul în care mesajele jurnal sunt scrise pe disc. Această parte a sistemului poate crește exponențial în dimensiuni pe servere cu trafic intens care expun servicii de rețea, cum ar fi servere web sau servere de fișiere.
Astfel, utilizați o partiție mare pentru /Unde sau luați în considerare configurarea acestei partiții utilizând volume logice ( LVM ) sau combinați mai multe discuri fizice într-un dispozitiv virtual RAID 0 mai mare pentru a susține cantități mari de date. Pentru date, redundanța ia în considerare utilizarea layout-ului LVM deasupra RAID-ul 1 nivel.
Pentru a configura LVM sau RAID pe discuri, urmați ghidurile noastre utile:
- Configurați stocarea pe disc cu LVM în Linux
- Creați discuri LVM folosind vgcreate, lvcreate și lvextend
- Combinați mai multe discuri într-un singur spațiu de stocare virtual mare
- Creați RAID 1 utilizând două discuri în Linux
7. Modificați Opțiunile fstab pentru a securiza partițiile de date
Separați partițiile destinate stocării datelor și împiedicați executarea de programe, fișiere de dispozitiv sau setuid bit pe acest tip de partiții prin adăugarea următoarelor opțiuni la fstab după cum este ilustrat în extrasul de mai jos:
/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2
Pentru a preveni escaladarea privilegiilor și execuția arbitrară a scriptului, creați o partiție separată pentru / tmp și montați-l ca nosuid , nodev , și noexec .
/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0
8. Criptați hard diskurile la nivel de bloc cu LUKS
Pentru a proteja detectarea datelor sensibile în caz de acces fizic la hard diskurile mașinii. Vă sugerez să învățați cum să criptați discul citind articolul nostru Criptare date hard disk Linux cu LUKS .
9. Utilizați criptografia PGP și cu cheie publică
Pentru a cripta discurile, utilizați comanda PGP și Public-Key Cryptography sau OpenSSL pentru a cripta și decripta fișierele sensibile cu o parolă, așa cum se arată în acest articol. Configurați stocarea criptată a sistemului Linux .
10. Instalați numai cantitatea minimă de pachete necesare
Evitați instalarea de programe, aplicații sau servicii neimportante sau inutile pentru a evita vulnerabilitățile pachetelor. Acest lucru poate reduce riscul ca compromiterea unui software să poată compromite alte aplicații, părți ale sistemului sau chiar sisteme de fișiere, rezultând în final corupția datelor sau pierderea datelor.
11. Actualizați frecvent sistemul
Actualizați regulat sistemul. Păstrați nucleul Linux sincronizat cu cele mai recente patch-uri de securitate și toate celelalte software instalat actualizat cu cele mai recente versiuni prin emiterea comenzii de mai jos:
# yum update
12. Dezactivați Ctrl + Alt + Del
Pentru a împiedica utilizatorii să repornească serverul odată ce au acces fizic la o tastatură sau printr-o aplicație pentru consolă la distanță sau o consolă virtualizată ( KVM , Virtualizarea interfeței software) ar trebui să dezactivați Ctrl+Alt+Del
secvența de taste executând comanda de mai jos.
# systemctl mask ctrl-alt-del.target
13. Eliminați pachetele software inutile
Instalați software-ul minim necesar pentru echipamentul dvs. Nu instalați niciodată programe sau servicii suplimentare. Instalați pachete numai din depozite oficiale sau de încredere. Utilizați o instalare minimă a sistemului în cazul în care mașina este destinată să funcționeze întreaga sa viață ca server.
Verificați pachetele instalate utilizând una dintre următoarele comenzi:
# rpm -qa
Faceți o listă locală a tuturor pachetelor instalate.
# yum list installed >> installed.txt
Consultați lista pentru software inutil și ștergeți un pachet prin emiterea comenzii de mai jos:
# yum remove package_name
#security #centos 7 #centos # centos-server