Vidokezo 20 vya Kuimarisha Seva ya CentOS - Sehemu ya 1

Mafunzo haya yanashughulikia tu vidokezo vya usalama vya jumla vya CentOS 8/7 ambavyo vinaweza kutumika kufanya mfumo kuwa mgumu. Vidokezo vya orodha hakiki vinakusudiwa kutumiwa zaidi kwenye aina mbalimbali za seva za chuma-tupu au kwenye mashine (za kimwili au pepe) zinazotoa huduma za mtandao.

Hata hivyo, baadhi ya vidokezo vinaweza kutumika kwa ufanisi kwa mashine za madhumuni ya jumla pia, kama vile Kompyuta za mezani, Kompyuta za mkononi, na kompyuta za bodi moja za ukubwa wa kadi (Raspberry Pi).

  • Usakinishaji Ndogo wa CentOS 8
  • Usakinishaji Ndogo wa CentOS 7

1. Ulinzi wa Kimwili

Funga ufikiaji wa vyumba vya seva yako, tumia kufunga rafu na ufuatiliaji wa video. Zingatia kwamba ufikiaji wowote wa kimwili kwa vyumba vya seva unaweza kuhatarisha mashine yako kwenye matatizo makubwa ya usalama.

Nywila za BIOS zinaweza kubadilishwa kwa kuweka upya jumpers kwenye ubao wa mama au kwa kukata betri ya CMOS. Pia, mvamizi anaweza kuiba diski kuu au kuambatisha moja kwa moja diski kuu mpya kwenye violesura vya ubao-mama (SATA, SCSI, n.k), kuwasha na distro ya moja kwa moja ya Linux, na kuiga au kunakili data bila kuacha ufuatiliaji wowote wa programu.

2. Kupunguza Upelelezi Impact

Katika kesi ya data nyeti sana, labda unapaswa kutumia ulinzi wa hali ya juu wa kimwili kama vile kuweka na kufunga seva kwenye suluhu la TEMPEST ili kupunguza athari za kupeleleza mfumo kupitia redio au mikondo ya umeme inayovuja.

3. Salama BIOS/UEFI

Anzisha mchakato wa ugumu wa mashine yako kwa kupata mipangilio ya BIOS/UEFI, haswa weka nenosiri la BIOS/UEFI na uzime vifaa vya media vya kuwasha (CD, DVD, zima usaidizi wa USB) ili kuzuia watumiaji wowote ambao hawajaidhinishwa kurekebisha au kubadilisha mipangilio ya BIOS ya mfumo. kipaumbele cha kifaa cha boot na kuwasha mashine kutoka kwa njia mbadala.

Ili kutumia aina hii ya mabadiliko kwenye mashine yako unahitaji kushauriana na mwongozo wa mtengenezaji wa ubao wa mama kwa maagizo maalum.

4. Salama Boot Loader

Weka nenosiri la GRUB ili kuzuia watumiaji hasidi kuvuruga mfuatano wa kuwasha kernel au viwango vya kuendesha, kuhariri vigezo vya kernel au kuanzisha mfumo kwa hali ya mtumiaji mmoja ili kudhuru mfumo wako na kuweka upya nenosiri la msingi ili kupata udhibiti wa upendeleo.

5. Tumia Vigawanyiko vya Diski tofauti

Wakati wa kusakinisha CentOS kwenye mifumo iliyokusudiwa kama seva za uzalishaji hutumia sehemu zilizojitolea au diski ngumu zilizowekwa kwa sehemu zifuatazo za mfumo:

/(root) 
/boot  
/home  
/tmp 
/var

6. Tumia LVM na RAID kwa Upungufu na Ukuaji wa Mfumo wa Faili

Sehemu ya /var ni mahali ambapo ujumbe wa logi umeandikwa kwa diski. Sehemu hii ya mfumo inaweza kukua kwa ukubwa kwenye seva nyingi za trafiki zinazofichua huduma za mtandao kama vile seva za wavuti au seva za faili.

Kwa hivyo, tumia kizigeu kikubwa cha /var au fikiria kusanidi kizigeu hiki kwa kutumia ujazo wa kimantiki (LVM) au unganisha diski kadhaa halisi kwenye kifaa kimoja kikubwa pepe cha RAID 0 ili kudumisha idadi kubwa ya data. Kwa data, kutohitajika tena kuzingatia kutumia mpangilio wa LVM juu ya kiwango cha RAID 1.

Kwa kusanidi LVM au RAID kwenye diski, fuata miongozo yetu muhimu:

  1. Weka Hifadhi ya Diski na LVM kwenye Linux
  2. Unda Diski za LVM Ukitumia vgcreate, lvcreate na lvextend
  3. Changanisha Diski Kadhaa kwenye Hifadhi Moja Kubwa ya Mtandaoni
  4. Unda RAID 1 Kwa Kutumia Diski Mbili kwenye Linux

7. Rekebisha Chaguzi za fstab ili Kulinda Sehemu za Data

Tenganisha sehemu zinazokusudiwa kuhifadhi data na kuzuia utekelezwaji wa programu, faili za kifaa au setuid bit kwenye aina hizi za sehemu kwa kuongeza chaguo zifuatazo kwenye faili ya fstab kama inavyoonyeshwa kwenye dondoo hapa chini:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Ili kuzuia kuongezeka kwa upendeleo na utekelezaji wa hati kiholela kuunda kizigeu tofauti cha /tmp na kuiweka kama nosuid, nodev, na noexec.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Simba Diski Ngumu kwa kiwango cha kuzuia kwa LUKS

Ili kulinda uchunguzi wa data nyeti katika kesi ya ufikiaji wa kimwili kwa anatoa ngumu za mashine. Ninakupendekeza ujifunze jinsi ya kusimba diski kwa kusoma makala yetu Usimbaji wa Data ya Diski ya Linux na LUKS.

9. Tumia PGP na Ufichaji wa Ufunguo wa Umma

Ili kusimba diski kwa njia fiche, tumia amri ya PGP na Ufunguo wa Umma au amri ya OpenSSL kusimba na kusimbua faili nyeti kwa kutumia nenosiri kama inavyoonyeshwa katika makala haya.

10. Sakinisha Kiasi cha Chini Pekee cha Vifurushi Kinachohitajika

Epuka kusakinisha programu, programu au huduma zisizo muhimu au zisizo za lazima ili kuepuka athari za kifurushi. Hii inaweza kupunguza hatari kwamba maelewano ya kipande cha programu yanaweza kusababisha kuhatarisha programu zingine, sehemu za mfumo, au hata mifumo ya faili, hatimaye kusababisha ufisadi wa data au upotezaji wa data.

11. Sasisha mfumo mara kwa mara

Sasisha mfumo mara kwa mara. Weka Linux kernel katika kusawazisha na viraka vya hivi punde zaidi vya usalama na programu zote zilizosakinishwa kusasishwa na matoleo mapya zaidi kwa kutoa amri iliyo hapa chini:

# yum update

12. Zima Ctrl+Alt+Del

Ili kuzuia watumiaji kuwasha seva upya mara tu watakapoweza kufikia kibodi kimwili au kupitia Programu ya Dashibodi ya Mbali au kiweko kilichoboreshwa (KVM, kiolesura cha programu ya Virtualizing) unapaswa kuzima kitufe cha Ctrl+Alt+Del mlolongo kwa kutekeleza amri hapa chini.

# systemctl mask ctrl-alt-del.target

13. Ondoa Vifurushi vya Programu Visivyohitajika

Sakinisha programu ndogo inayohitajika kwa mashine yako. Kamwe usisakinishe programu au huduma za ziada. Sakinisha vifurushi kutoka kwa hazina zinazoaminika au rasmi pekee. Tumia usakinishaji mdogo wa mfumo ikiwa mashine itapangiwa kuendesha maisha yake yote kama seva.

Thibitisha vifurushi vilivyosakinishwa kwa kutumia mojawapo ya amri zifuatazo:

# rpm -qa

Tengeneza orodha ya ndani ya vifurushi vyote vilivyosakinishwa.

# yum list installed >> installed.txt

Angalia orodha ya programu isiyo na maana na ufute kifurushi kwa kutoa amri ifuatayo:

# yum remove package_name

14. Anzisha upya Huduma za Mfumo baada ya Usasisho wa Daemon

Tumia mfano wa amri iliyo hapa chini ili kuanzisha upya huduma ya mfumo ili kutumia masasisho mapya.

# systemctl restart httpd.service

15. Ondoa Huduma Zisizohitajika

Tambua huduma zinazosikiza kwenye bandari maalum kwa kutumia ss amri ifuatayo.

# ss -tulpn

Kuorodhesha huduma zote zilizosanikishwa na hali yao ya pato toa amri ifuatayo:

# systemctl list-units -t service

Kwa mfano, usakinishaji mdogo wa chaguo-msingi wa CentOS huja na daemoni ya Postfix iliyosakinishwa kwa chaguo-msingi ambayo inaendeshwa kwa jina la bwana chini ya mlango wa 25. Ondoa huduma ya mtandao ya Postfix iwapo mashine yako haitatumika kama seva ya barua.

# yum remove postfix

16. Ficha Data Zilizotumwa

Usitumie itifaki zisizolindwa kwa ufikiaji wa mbali au uhamishaji wa faili kama vile Telnet, FTP, au itifaki zingine za maandishi matupu kama vile SMTP, HTTP, NFS, au SMB ambayo, kwa chaguo-msingi, haisimbaji vipindi vya uthibitishaji kwa njia fiche au data iliyotumwa.

Tumia scp pekee kwa uhamisho wa faili, na SSH au VNC juu ya vichuguu vya SSH kwa miunganisho ya kiweko cha mbali au ufikiaji wa GUI.

Ili kushughulikia koni ya VNC kupitia SSH tumia mfano ulio hapa chini ambao unasambaza bandari ya VNC 5901 kutoka kwa mashine ya mbali hadi kwa mashine yako ya karibu:

# ssh -L 5902:localhost:5901 remote_machine

Kwenye mashine ya ndani endesha amri iliyo hapa chini ili kuunganisha mtandaoni kwa sehemu ya mwisho ya mbali.

# vncviewer localhost:5902

17. Uchanganuzi wa Bandari ya Mtandao

Fanya ukaguzi wa mlango wa nje kwa kutumia zana ya Nmap kutoka kwa mfumo wa mbali kupitia LAN. Aina hii ya kuchanganua inaweza kutumika kuthibitisha athari za mtandao au kujaribu sheria za ngome.

# nmap -sT -O 192.168.1.10

18. Firewall ya kuchuja pakiti

Tumia matumizi ya firewall kulinda milango ya mfumo, kufungua au kufunga milango ya huduma mahususi, haswa milango inayojulikana sana (<1024).

Sakinisha, anza, wezesha, na uorodheshe sheria za ngome kwa kutoa amri zifuatazo:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Kagua Pakiti za Itifaki na Tcpdump

Tumia matumizi ya tcpdump ili kunusa pakiti za mtandao ndani ya nchi na kukagua maudhui yake ili kubaini trafiki inayotiliwa shaka (lango-chanzo, itifaki za TCP/IP, trafiki ya safu ya pili, maombi yasiyo ya kawaida ya ARP).

Kwa uchanganuzi bora wa faili iliyokamatwa ya tcpdump tumia programu ya hali ya juu zaidi kama vile Wireshark.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. Zuia Mashambulizi ya DNS

Kagua yaliyomo kwenye kisuluhishi chako, kwa kawaida /etc/resolv.conf faili, ambayo inafafanua anwani ya IP ya seva za DNS inazopaswa kutumia kuuliza majina ya vikoa, ili kuepusha mashambulizi ya watu katikati, trafiki isiyo ya lazima kwa mizizi ya seva za DNS, spoof au unda shambulio la DOS.

Hii ni sehemu ya kwanza tu. Katika sehemu inayofuata tutajadili vidokezo vingine vya usalama kwa CentOS 8/7.