20 Għajnuniet dwar is-Sigurtà dwar it-Twebbs tas-Server CentOS - Parti 1
Dan it-tutorja jkopri biss pariri ġenerali dwar is-sigurtà għal CentOS 8/7 li jistgħu jintużaw biex jibbies is-sistema. Il-pariri tal-lista ta' kontroll huma maħsuba biex jintużaw l-aktar fuq diversi tipi ta' servers bare-metal jew fuq magni (fiżiċi jew virtwali) li jipprovdu servizzi ta' netwerk.
Madankollu, xi wħud mill-pariri jistgħu jiġu applikati b'suċċess għal magni għal skopijiet ġenerali wkoll, bħal Desktops, Laptops, u kompjuters b'bord wieħed ta' daqs karta (Raspberry Pi).
- Installazzjoni Minima ta' CentOS 8
- Installazzjoni Minima ta' CentOS 7
1. Protezzjoni Fiżika
Lockdown aċċess għall-kmamar tas-server tiegħek, uża xtillieri qfil u sorveljanza bil-vidjo. Ikkunsidra li kwalunkwe aċċess fiżiku għal kmamar tas-server jista' jesponi l-magna tiegħek għal kwistjonijiet serji ta' sigurtà.
Il-passwords tal-BIOS jistgħu jinbidlu billi jissettjaw mill-ġdid jumpers fuq il-motherboard jew billi skonnettja l-batterija CMOS. Ukoll, intruż jista’ jisraq il-hard disks jew jehmeż direttament hard disks ġodda mal-interfaces tal-motherboard (SATA, SCSI, eċċ), ibda b’distro live Linux, u kklona jew jikkopja data mingħajr ma jħalli l-ebda traċċa tas-softwer.
2. Naqqas l-Impatt Spying
F'każ ta 'dejta sensittiva ħafna, probabilment għandek tuża protezzjoni fiżika avvanzata bħal tqegħid u illokkjar tas-server f'soluzzjoni TEMPEST sabiex jitnaqqas l-impatt ta' spying is-sistema permezz tar-radju jew emanazzjonijiet ta 'tnixxija elettrika.
3. Sikura BIOS/UEFI
Ibda l-proċess tat-twebbis tal-magna tiegħek billi tiżgura l-issettjar tal-BIOS/UEFI, speċjalment issettja password tal-BIOS/UEFI u tiddiżattiva l-apparat tal-midja tal-boot (CD, DVD, tiddiżattiva l-appoġġ tal-USB) sabiex tipprevjeni kwalunkwe utent mhux awtorizzat milli jimmodifika s-settings tal-BIOS tas-sistema jew jibdel. il-prijorità tal-apparat tal-ibbutjar u l-ibbutjar tal-magna minn mezz alternattiv.
Sabiex tapplika dan it-tip ta 'bidla għall-magna tiegħek għandek bżonn tikkonsulta l-manwal tal-manifattur tal-motherboard għal struzzjonijiet speċifiċi.
4. Sikura Boot Loader
Issettja password GRUB sabiex tipprevjeni lill-utenti malizzjużi li jbagħbsu s-sekwenza tal-boot tal-kernel jew il-livelli tal-ġirja, editja l-parametri tal-kernel jew ibda s-sistema f'modalità ta' utent wieħed sabiex tagħmel ħsara lis-sistema tiegħek u reset il-password tal-għeruq biex tikseb kontroll privileġġjat.
5. Uża diviżorji Separati tad-Disk
Meta tinstalla CentOS fuq sistemi maħsuba bħala servers tal-produzzjoni uża diviżorji ddedikati jew hard disks dedikati għall-partijiet li ġejjin tas-sistema:
/(root) /boot /home /tmp /var
6. Uża LVM u RAID għal Redundancy u File System Tkabbir
Il-partizzjoni /var hija l-post fejn il-messaġġi log huma miktuba fuq disk. Din il-parti tas-sistema tista 'tikber fid-daqs b'mod esponenzjali fuq servers ta' traffiku qawwi li jesponu servizzi tan-netwerk bħal servers tal-web jew servers tal-fajls.
Għalhekk, uża diviżorju kbir għal /var jew ikkunsidra li twaqqaf din il-partizzjoni billi tuża volumi loġiċi (LVM) jew għaqqad diversi diski fiżiċi f'apparat RAID 0 virtwali wieħed akbar biex issostni ammonti kbar ta 'dejta. Għad-dejta, is-sensja tikkunsidra l-użu tat-tqassim LVM fuq il-livell RAID 1.
Biex twaqqaf LVM jew RAID fuq id-diski, segwi l-gwidi utli tagħna:
- Imwaqqaf Disk Storage b'LVM fil-Linux
- Oħloq Disks LVM billi tuża vgcreate, lvcreate u lvextend
- Għaqqad Diversi Disks f'Ħażna Virtwali Kbira Waħda
- Oħloq RAID 1 billi tuża Żewġ Disks fil-Linux
7. Immodifika l-Għażliet fstab biex Sikura Diviżorji tad-Dejta
Separati diviżorji maħsuba għall-ħażna tad-dejta u jipprevjenu l-eżekuzzjoni ta 'programmi, fajls ta' apparat jew setuid bit fuq dawn it-tip ta 'diviżorji billi żżid l-għażliet li ġejjin mal-fajl fstab kif muri fis-silta hawn taħt:
/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2
Biex tipprevjeni l-eskalazzjoni tal-privileġġi u l-eżekuzzjoni arbitrarja tal-iskript, oħloq partizzjoni separata għal /tmp u mmuntaha bħala nosuid, nodev, u noexec.
/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0
8. Encrypt the Hard Disks fil-livell tal-blokk ma LUKS
Sabiex tipproteġi data sensittiva snooping f'każ ta 'aċċess fiżiku għall-hard drives tal-magni. Nissuġġerixxi li titgħallem kif tikkriptaġġ disk billi taqra l-artiklu tagħna Linux Hard Disk Data Encryption ma LUKS.
9. Uża PGP u Kriptografija Ċavetta Pubblika
Sabiex tikkodifika d-diski, uża l-Kriptografija PGP u Public-Key jew il-kmand OpenSSL biex tikkodifika u tiddeċifra fajls sensittivi b'password kif muri f'dan l-artikolu Ikkonfigura Ħażna tas-Sistema Encrypted Linux.
10. Installa biss l-Ammont Minimu ta' Pakketti Meħtieġa
Evita li tinstalla programmi, applikazzjonijiet jew servizzi mhux importanti jew mhux meħtieġa biex tevita vulnerabbiltajiet tal-pakketti. Dan jista 'jnaqqas ir-riskju li l-kompromess ta' biċċa softwer jista 'jwassal għal kompromess ta' applikazzjonijiet oħra, partijiet tas-sistema, jew saħansitra sistemi ta 'fajls, li finalment jirriżulta f'korruzzjoni jew telf ta' data.
11. Aġġorna s-sistema ta 'spiss
Aġġorna s-sistema regolarment. Żomm il-kernel tal-Linux sinkronizzat mal-aħħar garżi tas-sigurtà u s-softwer installat kollu aġġornat mal-aħħar verżjonijiet billi toħroġ il-kmand hawn taħt:
# yum update
12. Iddiżattiva Ctrl + Alt + Del
Sabiex tipprevjeni lill-utenti li jerġgħu jibdew is-server ladarba jkollhom aċċess fiżiku għal tastiera jew permezz ta' Applikazzjoni tal-Console Remote jew console virtwali (KVM, interface tas-softwer Virtualizing) għandek tiddiżattiva ċ-ċavetta Ctrl+Alt+Del
sekwenza billi tesegwixxi l-kmand hawn taħt.
# systemctl mask ctrl-alt-del.target
13. Neħħi Pakketti tas-Software Mhux Neċessarji
Installa softwer minimu meħtieġ għall-magna tiegħek. Qatt tinstalla programmi jew servizzi żejda. Installa pakketti biss minn repożitorji fdati jew uffiċjali. Uża installazzjoni minima tas-sistema f'każ li l-magna tkun iddestinata biex tmexxi l-ħajja kollha tagħha bħala server.
Ivverifika l-pakketti installati billi tuża waħda mill-kmandi li ġejjin:
# rpm -qa
Agħmel lista lokali tal-pakketti installati kollha.
# yum list installed >> installed.txt
Ikkonsulta l-lista għal softwer inutli u ħassar pakkett billi toħroġ il-kmand hawn taħt:
# yum remove package_name
14. Ibda mill-ġdid is-Servizzi Systemd wara l-Aġġornamenti tad-Daemon
Uża l-eżempju ta' kmand hawn taħt biex terġa' tibda servizz systemd sabiex tapplika aġġornamenti ġodda.
# systemctl restart httpd.service
15. Neħħi Servizzi Mhux Neċessarji
Identifika s-servizzi li qed jisimgħu fuq portijiet speċifiċi billi tuża l-kmand ss li ġej.
# ss -tulpn
Biex telenka s-servizzi installati kollha bl-istatus tal-output tagħhom ħarġet il-kmand hawn taħt:
# systemctl list-units -t service
Pereżempju, l-installazzjoni minima default ta 'CentOS tiġi bid-daemon Postfix installat b'mod awtomatiku li jaħdem bl-isem ta' kaptan taħt il-port 25. Neħħi s-servizz tan-netwerk Postfix f'każ li l-magna tiegħek ma tintużax bħala server tal-posta.
# yum remove postfix
16. Kriptaġġ Data Trażmessa
Tużax protokolli mhux assigurati għal aċċess mill-bogħod jew trasferiment ta' fajls bħal Telnet, FTP, jew protokolli għolja oħra b'test sempliċi bħal SMTP, HTTP, NFS, jew SMB li, b'mod awtomatiku, ma jikkriptawx is-sessjonijiet ta' awtentikazzjoni jew dejta mibgħuta.
Uża biss scp għal trasferimenti ta 'fajls, u SSH jew VNC fuq mini SSH għal konnessjonijiet ta' console remoti jew aċċess GUI.
Sabiex tiġbed console VNC permezz ta' SSH uża l-eżempju t'hawn taħt li jgħaddi l-port VNC 5901 mill-magna remota għall-magna lokali tiegħek:
# ssh -L 5902:localhost:5901 remote_machine
Fuq il-magna lokali mexxi l-kmand hawn taħt sabiex konnessjoni virtwali mal-endpoint remot.
# vncviewer localhost:5902
17. Skennjar tal-Port tan-Netwerk
Wettaq kontrolli tal-port esterni billi tuża l-għodda Nmap minn sistema remota fuq il-LAN. Dan it-tip ta 'skanjar jista' jintuża biex jivverifika l-vulnerabbiltajiet tan-netwerk jew jittestja r-regoli tal-firewall.
# nmap -sT -O 192.168.1.10
18. Firewall li jiffiltra l-pakketti
Uża l-utilità firewalld biex tipproteġi l-portijiet tas-sistema, tiftaħ jew tagħlaq portijiet ta 'servizzi speċifiċi, speċjalment portijiet magħrufa (<1024).
Installa, ibda, ppermettiet u elenka r-regoli tal-firewall billi toħroġ il-kmandi hawn taħt:
# yum install firewalld # systemctl start firewalld.service # systemctl enable firewalld.service # firewall-cmd --list-all
19. Spezzjona l-Pakketti tal-Protokoll b'Tcpdump
Uża l-utilità tcpdump sabiex ixxomm il-pakketti tan-netwerk lokalment u tispezzjona l-kontenut tagħhom għal traffiku suspettuż (portijiet ta’ destinazzjoni tas-sors, protokolli TCP/IP, traffiku tat-tieni saff, talbiet ARP mhux tas-soltu).
Għal analiżi aħjar tal-fajl maqbud tcpdump uża programm aktar avvanzat bħal Wireshark.
# tcpdump -i eno16777736 -w tcpdump.pcap
20. Ipprevjeni Attakki DNS
Spezzjona l-kontenut tas-solvent tiegħek, tipikament /etc/resolv.conf fajl, li jiddefinixxi l-indirizz IP tas-servers DNS li għandu juża biex jistaqsi għall-ismijiet tad-dominju, sabiex jiġu evitati attakki man-in-the-middle, traffiku mhux meħtieġ għal għeruq servers DNS, spoof jew joħolqu attakk DOS.
Din hija biss l-ewwel parti. Fil-parti li jmiss ser niddiskutu pariri oħra dwar is-sigurtà għal CentOS 8/7.