20 Għajnuniet dwar is-Sigurtà dwar it-Twebbs tas-Server CentOS - Parti 1

Dan it-tutorja jkopri biss pariri ġenerali dwar is-sigurtà għal CentOS 8/7 li jistgħu jintużaw biex jibbies is-sistema. Il-pariri tal-lista ta' kontroll huma maħsuba biex jintużaw l-aktar fuq diversi tipi ta' servers bare-metal jew fuq magni (fiżiċi jew virtwali) li jipprovdu servizzi ta' netwerk.

Madankollu, xi wħud mill-pariri jistgħu jiġu applikati b'suċċess għal magni għal skopijiet ġenerali wkoll, bħal Desktops, Laptops, u kompjuters b'bord wieħed ta' daqs karta (Raspberry Pi).

  • Installazzjoni Minima ta' CentOS 8
  • Installazzjoni Minima ta' CentOS 7

1. Protezzjoni Fiżika

Lockdown aċċess għall-kmamar tas-server tiegħek, uża xtillieri qfil u sorveljanza bil-vidjo. Ikkunsidra li kwalunkwe aċċess fiżiku għal kmamar tas-server jista' jesponi l-magna tiegħek għal kwistjonijiet serji ta' sigurtà.

Il-passwords tal-BIOS jistgħu jinbidlu billi jissettjaw mill-ġdid jumpers fuq il-motherboard jew billi skonnettja l-batterija CMOS. Ukoll, intruż jista’ jisraq il-hard disks jew jehmeż direttament hard disks ġodda mal-interfaces tal-motherboard (SATA, SCSI, eċċ), ibda b’distro live Linux, u kklona jew jikkopja data mingħajr ma jħalli l-ebda traċċa tas-softwer.

2. Naqqas l-Impatt Spying

F'każ ta 'dejta sensittiva ħafna, probabilment għandek tuża protezzjoni fiżika avvanzata bħal tqegħid u illokkjar tas-server f'soluzzjoni TEMPEST sabiex jitnaqqas l-impatt ta' spying is-sistema permezz tar-radju jew emanazzjonijiet ta 'tnixxija elettrika.

3. Sikura BIOS/UEFI

Ibda l-proċess tat-twebbis tal-magna tiegħek billi tiżgura l-issettjar tal-BIOS/UEFI, speċjalment issettja password tal-BIOS/UEFI u tiddiżattiva l-apparat tal-midja tal-boot (CD, DVD, tiddiżattiva l-appoġġ tal-USB) sabiex tipprevjeni kwalunkwe utent mhux awtorizzat milli jimmodifika s-settings tal-BIOS tas-sistema jew jibdel. il-prijorità tal-apparat tal-ibbutjar u l-ibbutjar tal-magna minn mezz alternattiv.

Sabiex tapplika dan it-tip ta 'bidla għall-magna tiegħek għandek bżonn tikkonsulta l-manwal tal-manifattur tal-motherboard għal struzzjonijiet speċifiċi.

4. Sikura Boot Loader

Issettja password GRUB sabiex tipprevjeni lill-utenti malizzjużi li jbagħbsu s-sekwenza tal-boot tal-kernel jew il-livelli tal-ġirja, editja l-parametri tal-kernel jew ibda s-sistema f'modalità ta' utent wieħed sabiex tagħmel ħsara lis-sistema tiegħek u reset il-password tal-għeruq biex tikseb kontroll privileġġjat.

5. Uża diviżorji Separati tad-Disk

Meta tinstalla CentOS fuq sistemi maħsuba bħala servers tal-produzzjoni uża diviżorji ddedikati jew hard disks dedikati għall-partijiet li ġejjin tas-sistema:

/(root) 
/boot  
/home  
/tmp 
/var

6. Uża LVM u RAID għal Redundancy u File System Tkabbir

Il-partizzjoni /var hija l-post fejn il-messaġġi log huma miktuba fuq disk. Din il-parti tas-sistema tista 'tikber fid-daqs b'mod esponenzjali fuq servers ta' traffiku qawwi li jesponu servizzi tan-netwerk bħal servers tal-web jew servers tal-fajls.

Għalhekk, uża diviżorju kbir għal /var jew ikkunsidra li twaqqaf din il-partizzjoni billi tuża volumi loġiċi (LVM) jew għaqqad diversi diski fiżiċi f'apparat RAID 0 virtwali wieħed akbar biex issostni ammonti kbar ta 'dejta. Għad-dejta, is-sensja tikkunsidra l-użu tat-tqassim LVM fuq il-livell RAID 1.

Biex twaqqaf LVM jew RAID fuq id-diski, segwi l-gwidi utli tagħna:

  1. Imwaqqaf Disk Storage b'LVM fil-Linux
  2. Oħloq Disks LVM billi tuża vgcreate, lvcreate u lvextend
  3. Għaqqad Diversi Disks f'Ħażna Virtwali Kbira Waħda
  4. Oħloq RAID 1 billi tuża Żewġ Disks fil-Linux

7. Immodifika l-Għażliet fstab biex Sikura Diviżorji tad-Dejta

Separati diviżorji maħsuba għall-ħażna tad-dejta u jipprevjenu l-eżekuzzjoni ta 'programmi, fajls ta' apparat jew setuid bit fuq dawn it-tip ta 'diviżorji billi żżid l-għażliet li ġejjin mal-fajl fstab kif muri fis-silta hawn taħt:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Biex tipprevjeni l-eskalazzjoni tal-privileġġi u l-eżekuzzjoni arbitrarja tal-iskript, oħloq partizzjoni separata għal /tmp u mmuntaha bħala nosuid, nodev, u noexec.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Encrypt the Hard Disks fil-livell tal-blokk ma LUKS

Sabiex tipproteġi data sensittiva snooping f'każ ta 'aċċess fiżiku għall-hard drives tal-magni. Nissuġġerixxi li titgħallem kif tikkriptaġġ disk billi taqra l-artiklu tagħna Linux Hard Disk Data Encryption ma LUKS.

9. Uża PGP u Kriptografija Ċavetta Pubblika

Sabiex tikkodifika d-diski, uża l-Kriptografija PGP u Public-Key jew il-kmand OpenSSL biex tikkodifika u tiddeċifra fajls sensittivi b'password kif muri f'dan l-artikolu Ikkonfigura Ħażna tas-Sistema Encrypted Linux.

10. Installa biss l-Ammont Minimu ta' Pakketti Meħtieġa

Evita li tinstalla programmi, applikazzjonijiet jew servizzi mhux importanti jew mhux meħtieġa biex tevita vulnerabbiltajiet tal-pakketti. Dan jista 'jnaqqas ir-riskju li l-kompromess ta' biċċa softwer jista 'jwassal għal kompromess ta' applikazzjonijiet oħra, partijiet tas-sistema, jew saħansitra sistemi ta 'fajls, li finalment jirriżulta f'korruzzjoni jew telf ta' data.

11. Aġġorna s-sistema ta 'spiss

Aġġorna s-sistema regolarment. Żomm il-kernel tal-Linux sinkronizzat mal-aħħar garżi tas-sigurtà u s-softwer installat kollu aġġornat mal-aħħar verżjonijiet billi toħroġ il-kmand hawn taħt:

# yum update

12. Iddiżattiva Ctrl + Alt + Del

Sabiex tipprevjeni lill-utenti li jerġgħu jibdew is-server ladarba jkollhom aċċess fiżiku għal tastiera jew permezz ta' Applikazzjoni tal-Console Remote jew console virtwali (KVM, interface tas-softwer Virtualizing) għandek tiddiżattiva ċ-ċavetta Ctrl+Alt+Del sekwenza billi tesegwixxi l-kmand hawn taħt.

# systemctl mask ctrl-alt-del.target

13. Neħħi Pakketti tas-Software Mhux Neċessarji

Installa softwer minimu meħtieġ għall-magna tiegħek. Qatt tinstalla programmi jew servizzi żejda. Installa pakketti biss minn repożitorji fdati jew uffiċjali. Uża installazzjoni minima tas-sistema f'każ li l-magna tkun iddestinata biex tmexxi l-ħajja kollha tagħha bħala server.

Ivverifika l-pakketti installati billi tuża waħda mill-kmandi li ġejjin:

# rpm -qa

Agħmel lista lokali tal-pakketti installati kollha.

# yum list installed >> installed.txt

Ikkonsulta l-lista għal softwer inutli u ħassar pakkett billi toħroġ il-kmand hawn taħt:

# yum remove package_name

14. Ibda mill-ġdid is-Servizzi Systemd wara l-Aġġornamenti tad-Daemon

Uża l-eżempju ta' kmand hawn taħt biex terġa' tibda servizz systemd sabiex tapplika aġġornamenti ġodda.

# systemctl restart httpd.service

15. Neħħi Servizzi Mhux Neċessarji

Identifika s-servizzi li qed jisimgħu fuq portijiet speċifiċi billi tuża l-kmand ss li ġej.

# ss -tulpn

Biex telenka s-servizzi installati kollha bl-istatus tal-output tagħhom ħarġet il-kmand hawn taħt:

# systemctl list-units -t service

Pereżempju, l-installazzjoni minima default ta 'CentOS tiġi bid-daemon Postfix installat b'mod awtomatiku li jaħdem bl-isem ta' kaptan taħt il-port 25. Neħħi s-servizz tan-netwerk Postfix f'każ li l-magna tiegħek ma tintużax bħala server tal-posta.

# yum remove postfix

16. Kriptaġġ Data Trażmessa

Tużax protokolli mhux assigurati għal aċċess mill-bogħod jew trasferiment ta' fajls bħal Telnet, FTP, jew protokolli għolja oħra b'test sempliċi bħal SMTP, HTTP, NFS, jew SMB li, b'mod awtomatiku, ma jikkriptawx is-sessjonijiet ta' awtentikazzjoni jew dejta mibgħuta.

Uża biss scp għal trasferimenti ta 'fajls, u SSH jew VNC fuq mini SSH għal konnessjonijiet ta' console remoti jew aċċess GUI.

Sabiex tiġbed console VNC permezz ta' SSH uża l-eżempju t'hawn taħt li jgħaddi l-port VNC 5901 mill-magna remota għall-magna lokali tiegħek:

# ssh -L 5902:localhost:5901 remote_machine

Fuq il-magna lokali mexxi l-kmand hawn taħt sabiex konnessjoni virtwali mal-endpoint remot.

# vncviewer localhost:5902

17. Skennjar tal-Port tan-Netwerk

Wettaq kontrolli tal-port esterni billi tuża l-għodda Nmap minn sistema remota fuq il-LAN. Dan it-tip ta 'skanjar jista' jintuża biex jivverifika l-vulnerabbiltajiet tan-netwerk jew jittestja r-regoli tal-firewall.

# nmap -sT -O 192.168.1.10

18. Firewall li jiffiltra l-pakketti

Uża l-utilità firewalld biex tipproteġi l-portijiet tas-sistema, tiftaħ jew tagħlaq portijiet ta 'servizzi speċifiċi, speċjalment portijiet magħrufa (<1024).

Installa, ibda, ppermettiet u elenka r-regoli tal-firewall billi toħroġ il-kmandi hawn taħt:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Spezzjona l-Pakketti tal-Protokoll b'Tcpdump

Uża l-utilità tcpdump sabiex ixxomm il-pakketti tan-netwerk lokalment u tispezzjona l-kontenut tagħhom għal traffiku suspettuż (portijiet ta’ destinazzjoni tas-sors, protokolli TCP/IP, traffiku tat-tieni saff, talbiet ARP mhux tas-soltu).

Għal analiżi aħjar tal-fajl maqbud tcpdump uża programm aktar avvanzat bħal Wireshark.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. Ipprevjeni Attakki DNS

Spezzjona l-kontenut tas-solvent tiegħek, tipikament /etc/resolv.conf fajl, li jiddefinixxi l-indirizz IP tas-servers DNS li għandu juża biex jistaqsi għall-ismijiet tad-dominju, sabiex jiġu evitati attakki man-in-the-middle, traffiku mhux meħtieġ għal għeruq servers DNS, spoof jew joħolqu attakk DOS.

Din hija biss l-ewwel parti. Fil-parti li jmiss ser niddiskutu pariri oħra dwar is-sigurtà għal CentOS 8/7.