{"id":449,"date":"2022-09-03T14:15:40","date_gmt":"2022-09-03T14:15:40","guid":{"rendered":"http:\/\/td_uid_44_6313618c5e85b"},"modified":"2022-09-04T19:33:48","modified_gmt":"2022-09-04T19:33:48","slug":"intrinsicly-plagiarize-interactive","status":"publish","type":"post","link":"https:\/\/spacehost.ro\/intrinsicly-plagiarize-interactive\/","title":{"rendered":"20 Sfaturi de securitate pentru \u00eent\u0103rirea serverului CentOS"},"content":{"rendered":"

Acest tutorial acoper\u0103 doar sfaturi generale de securitate pentru CentOS 8\/7<\/strong>\u00a0care poate fi folosit pentru \u00eent\u0103rirea sistemului. Sfaturile pentru lista de verificare sunt destinate a fi utilizate mai ales pe diferite tipuri de servere bare-metal sau pe ma\u0219ini (fizice sau virtuale) care furnizeaz\u0103 servicii de re\u021bea.<\/p>\n

Cu toate acestea, unele dintre sfaturi pot fi aplicate cu succes \u0219i la ma\u0219inile de uz general, cum ar fi desktop-urile, laptopurile \u0219i computerele cu o singur\u0103 plac\u0103 de dimensiuni de card (\u00a0Raspberry Pi<\/strong>\u00a0).<\/p>\n

1. Protec\u021bie fizic\u0103<\/h3>\n

Bloca\u021bi accesul la camerele serverului, utiliza\u021bi blocarea rafturilor \u0219i supravegherea video. Lua\u021bi \u00een considerare faptul c\u0103 orice acces fizic la camerele serverului poate expune aparatul dvs. la probleme grave de securitate.<\/p>\n

BIOS<\/strong>\u00a0parolele pot fi schimbate reset\u00e2nd jumperii de pe placa de baz\u0103 sau deconect\u00e2nd bateria CMOS. De asemenea, un intrus poate fura hard disk-urile sau poate ata\u0219a direct hard disk-uri noi la interfe\u021bele pl\u0103cii de baz\u0103 (SATA, SCSI etc.), poate porni cu o distribu\u021bie live Linux \u0219i\u00a0clona\u021bi sau copia\u021bi date<\/a>\u00a0f\u0103r\u0103 a l\u0103sa nicio urm\u0103 de software.<\/p>\n

2. Reduce\u021bi impactul spionajului<\/h3>\n

\u00cen cazul datelor extrem de sensibile, ar trebui s\u0103 utiliza\u021bi probabil o protec\u021bie fizic\u0103 avansat\u0103, cum ar fi plasarea \u0219i blocarea serverului \u00eentr-un\u00a0Cusca Faraday<\/a>\u00a0sau folosi\u021bi un militar\u00a0FURTUN\u0102<\/a>\u00a0solu\u021bie pentru a minimiza impactul spion\u0103rii sistemului prin emana\u021bii radio sau electrice.<\/p>\n

3. Securiza\u021bi BIOS \/ UEFI<\/h3>\n

Porni\u021bi procesul de \u00eent\u0103rire a ma\u0219inii prin securizare\u00a0BIOS \/ UEFI<\/strong>\u00a0set\u0103ri, \u00een special a\u00a0BIOS \/ UEFI<\/strong>\u00a0parola \u0219i dezactiva\u021bi dispozitivele media de \u00eenc\u0103rcare (CD, DVD, dezactiva\u021bi suportul USB) pentru a \u00eempiedica utilizatorii neautoriza\u021bi s\u0103 modifice set\u0103rile BIOS-ului sistemului sau s\u0103 modifice prioritatea dispozitivului de pornire \u0219i s\u0103 porneasc\u0103 aparatul de pe un mediu alternativ.<\/p>\n

Pentru a aplica acest tip de modificare aparatului dvs., trebuie s\u0103 consulta\u021bi manualul produc\u0103torului pl\u0103cii de baz\u0103 pentru instruc\u021biuni specifice.<\/p>\n

4. Secure Boot Loader<\/h3>\n

Seta\u021bi un\u00a0GRUB<\/strong>\u00a0parola pentru a \u00eempiedica utilizatorii r\u0103u inten\u021biona\u021bi s\u0103 manipuleze secven\u021ba de pornire a nucleului sau s\u0103 ruleze nivelurile, s\u0103 editeze parametrii kernelului sau s\u0103 porneasc\u0103 sistemul \u00eentr-un mod cu un singur utilizator pentru a v\u0103 afecta sistemul \u0219i\u00a0reseta\u021bi parola de root<\/a>\u00a0pentru a ob\u021bine controlul privilegiat.<\/p>\n

5. Utiliza\u021bi parti\u021bii de disc separate<\/h3>\n

La instalare\u00a0CentOS<\/strong>\u00a0pe sistemele destinate serverelor de produc\u021bie utilizeaz\u0103 parti\u021bii dedicate sau hard diskuri dedicate pentru urm\u0103toarele p\u0103r\u021bi ale sistemului:<\/p>\n

\/(root) \/boot \/home \/tmp \/var<\/code><\/p>\n

6. Utiliza\u021bi LVM \u0219i RAID pentru redundan\u021b\u0103 \u0219i cre\u0219terea sistemului de fi\u0219iere<\/h3>\n

The\u00a0\/Unde<\/strong>\u00a0parti\u021bia este locul \u00een care mesajele jurnal sunt scrise pe disc. Aceast\u0103 parte a sistemului poate cre\u0219te exponen\u021bial \u00een dimensiuni pe servere cu trafic intens care expun servicii de re\u021bea, cum ar fi servere web sau servere de fi\u0219iere.<\/p>\n

Astfel, utiliza\u021bi o parti\u021bie mare pentru\u00a0\/Unde<\/strong>\u00a0sau lua\u021bi \u00een considerare configurarea acestei parti\u021bii utiliz\u00e2nd volume logice (\u00a0LVM<\/strong>\u00a0) sau combina\u021bi mai multe discuri fizice \u00eentr-un dispozitiv virtual RAID 0 mai mare pentru a sus\u021bine cantit\u0103\u021bi mari de date. Pentru date, redundan\u021ba ia \u00een considerare utilizarea layout-ului LVM deasupra\u00a0RAID-ul 1<\/strong>\u00a0nivel.<\/p>\n

Pentru a configura LVM sau RAID pe discuri, urma\u021bi ghidurile noastre utile:<\/p>\n

    \n
  1. Configura\u021bi stocarea pe disc cu LVM \u00een Linux<\/a><\/li>\n
  2. Crea\u021bi discuri LVM folosind vgcreate, lvcreate \u0219i lvextend<\/a><\/li>\n
  3. Combina\u021bi mai multe discuri \u00eentr-un singur spa\u021biu de stocare virtual mare<\/a><\/li>\n
  4. Crea\u021bi RAID 1 utiliz\u00e2nd dou\u0103 discuri \u00een Linux<\/a><\/li>\n<\/ol>\n

    7. Modifica\u021bi Op\u021biunile fstab pentru a securiza parti\u021biile de date<\/h3>\n

    Separa\u021bi parti\u021biile destinate stoc\u0103rii datelor \u0219i \u00eempiedica\u021bi executarea de programe, fi\u0219iere de dispozitiv sau\u00a0setuid<\/strong>\u00a0bit pe acest tip de parti\u021bii prin ad\u0103ugarea urm\u0103toarelor op\u021biuni la\u00a0fstab<\/strong>\u00a0dup\u0103 cum este ilustrat \u00een extrasul de mai jos:<\/p>\n

    \/dev\/sda5 \/nas ext4 defaults,nosuid,nodev,noexec 1 2<\/code><\/p>\n

    Pentru a preveni escaladarea privilegiilor \u0219i execu\u021bia arbitrar\u0103 a scriptului, crea\u021bi o parti\u021bie separat\u0103 pentru\u00a0\/ tmp<\/strong>\u00a0\u0219i monta\u021bi-l ca\u00a0nosuid<\/strong>\u00a0,\u00a0nodev<\/strong>\u00a0, \u0219i\u00a0noexec<\/strong>\u00a0.<\/p>\n

    \/dev\/sda6 \/tmp ext4 defaults,nosuid,nodev,noexec 0 0<\/code><\/p>\n

    8. Cripta\u021bi hard diskurile la nivel de bloc cu LUKS<\/h3>\n

    Pentru a proteja detectarea datelor sensibile \u00een caz de acces fizic la hard diskurile ma\u0219inii. V\u0103 sugerez s\u0103 \u00eenv\u0103\u021ba\u021bi cum s\u0103 cripta\u021bi discul citind articolul nostru\u00a0Criptare date hard disk Linux cu LUKS<\/a>\u00a0.<\/p>\n

    9. Utiliza\u021bi criptografia PGP \u0219i cu cheie public\u0103<\/h3>\n

    Pentru a cripta discurile, utiliza\u021bi comanda PGP \u0219i Public-Key Cryptography sau OpenSSL pentru a cripta \u0219i decripta fi\u0219ierele sensibile cu o parol\u0103, a\u0219a cum se arat\u0103 \u00een acest articol.\u00a0Configura\u021bi stocarea criptat\u0103 a sistemului Linux<\/a>\u00a0.<\/p>\n

    10. Instala\u021bi numai cantitatea minim\u0103 de pachete necesare<\/h3>\n

    Evita\u021bi instalarea de programe, aplica\u021bii sau servicii neimportante sau inutile pentru a evita vulnerabilit\u0103\u021bile pachetelor. Acest lucru poate reduce riscul ca compromiterea unui software s\u0103 poat\u0103 compromite alte aplica\u021bii, p\u0103r\u021bi ale sistemului sau chiar sisteme de fi\u0219iere, rezult\u00e2nd \u00een final corup\u021bia datelor sau pierderea datelor.<\/p>\n

    11. Actualiza\u021bi frecvent sistemul<\/h3>\n

    Actualiza\u021bi regulat sistemul. P\u0103stra\u021bi nucleul Linux sincronizat cu cele mai recente patch-uri de securitate \u0219i toate celelalte\u00a0software instalat actualizat<\/a>\u00a0cu cele mai recente versiuni prin emiterea comenzii de mai jos:<\/p>\n

    # yum update<\/code><\/p>\n

    12. Dezactiva\u021bi Ctrl + Alt + Del<\/h3>\n

    Pentru a \u00eempiedica utilizatorii s\u0103 reporneasc\u0103 serverul odat\u0103 ce au acces fizic la o tastatur\u0103 sau printr-o aplica\u021bie pentru consol\u0103 la distan\u021b\u0103 sau o consol\u0103 virtualizat\u0103 (\u00a0KVM<\/strong>\u00a0, Virtualizarea interfe\u021bei software) ar trebui s\u0103 dezactiva\u021bi\u00a0Ctrl+Alt+Del<\/code>\u00a0secven\u021ba de taste execut\u00e2nd comanda de mai jos.<\/p>\n

    # systemctl mask ctrl-alt-del.target<\/code><\/p>\n

    13. Elimina\u021bi pachetele software inutile<\/h3>\n

    Instala\u021bi software-ul minim necesar pentru echipamentul dvs. Nu instala\u021bi niciodat\u0103 programe sau servicii suplimentare. Instala\u021bi pachete numai din depozite oficiale sau de \u00eencredere. Utiliza\u021bi o instalare minim\u0103 a sistemului \u00een cazul \u00een care ma\u0219ina este destinat\u0103 s\u0103 func\u021bioneze \u00eentreaga sa via\u021b\u0103 ca server.<\/p>\n

    Verifica\u021bi pachetele instalate utiliz\u00e2nd una dintre urm\u0103toarele comenzi:<\/p>\n

    # rpm -qa<\/code><\/p>\n

    Face\u021bi o list\u0103 local\u0103 a tuturor pachetelor instalate.<\/p>\n

    # yum list installed >> installed.txt<\/code><\/p>\n

    Consulta\u021bi lista pentru software inutil \u0219i \u0219terge\u021bi un pachet prin emiterea comenzii de mai jos:<\/p>\n

    # yum remove package_name<\/code><\/p>\n

    #security #centos 7 #centos # centos-server<\/p>\n","protected":false},"excerpt":{"rendered":"

    Acest tutorial acoper\u0103 doar sfaturi generale de securitate pentru CentOS 8\/7\u00a0care poate fi folosit pentru \u00eent\u0103rirea sistemului. Sfaturile pentru lista de verificare sunt destinate a fi utilizate mai ales pe diferite tipuri de servere bare-metal sau pe ma\u0219ini (fizice sau virtuale) care furnizeaz\u0103 servicii de re\u021bea. Cu toate acestea, unele dintre sfaturi pot fi aplicate […]<\/p>\n","protected":false},"author":1,"featured_media":262,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"gallery","meta":{"footnotes":""},"categories":[31,30],"tags":[],"class_list":["post-449","post","type-post","status-publish","format-gallery","has-post-thumbnail","hentry","category-hosting","category-technology","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/posts\/449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/comments?post=449"}],"version-history":[{"count":2,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/posts\/449\/revisions"}],"predecessor-version":[{"id":648,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/posts\/449\/revisions\/648"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/media\/262"}],"wp:attachment":[{"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/media?parent=449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/categories?post=449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/spacehost.ro\/wp-json\/wp\/v2\/tags?post=449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}