Tip Keamanan Pengerasan Server 20 CentOS - Bagian 1
- 4291
- 152
- Dwayne Hackett
Tutorial ini hanya mencakup tips keamanan umum untuk Centos 8/7 yang dapat digunakan untuk mengeraskan sistem. Kiat daftar periksa dimaksudkan untuk digunakan sebagian besar pada berbagai jenis server logam telanjang atau pada mesin (fisik atau virtual) yang menyediakan layanan jaringan.
Namun, beberapa tips dapat berhasil diterapkan pada mesin serba guna juga, seperti desktop, laptop, dan komputer papan berukuran kartu (Raspberry Pi).
Persyaratan
- Instalasi minimal centos 8
- Centos 7 Instalasi Minimal
1. Perlindungan fisik
Kunci akses ruang server Anda, gunakan penguncian rak dan pengawasan video. Mempertimbangkan bahwa akses fisik apa pun ke ruang server dapat mengekspos mesin Anda ke masalah keamanan yang serius.
Bios Kata sandi dapat diubah dengan mengatur ulang jumper di motherboard atau dengan melepaskan baterai CMOS. Juga, penyusup dapat mencuri hard disk atau secara langsung melampirkan hard disk baru ke antarmuka motherboard (SATA, SCSI, dll), boot dengan distro Linux Live, dan klon atau salin data tanpa meninggalkan jejak perangkat lunak apa pun.
2. Mengurangi dampak mata -mata
Dalam hal data yang sangat sensitif, Anda mungkin harus menggunakan perlindungan fisik canggih seperti menempatkan dan mengunci server ke dalam kandang Faraday atau menggunakan solusi Tempest Militer untuk meminimalkan dampak memata -matai sistem melalui radio atau pembocahan listrik.
3. Aman bios/uefi
Mulailah proses pengerasan mesin Anda dengan mengamankan BIOS/UEFI pengaturan, terutama atur a BIOS/UEFI Kata Sandi dan Nonaktifkan Perangkat Media Boot (CD, DVD, Nonaktifkan Dukungan USB) Untuk mencegah pengguna yang tidak sah memodifikasi pengaturan sistem BIOS atau mengubah prioritas perangkat boot dan mem -boot mesin dari media alternatif alternatif.
Untuk menerapkan jenis perubahan ini ke mesin Anda, Anda perlu berkonsultasi dengan manual produsen motherboard untuk instruksi tertentu.
4. Secure Boot Loader
Atur a Grub Kata Sandi Untuk mencegah pengguna jahat untuk merusak urutan boot kernel atau menjalankan level, edit parameter kernel atau memulai sistem ke mode pengguna tunggal untuk membahayakan sistem Anda dan mengatur ulang kata sandi root untuk mendapatkan kontrol istimewa yang istimewa.
5. Gunakan partisi disk terpisah
Saat menginstal Centos Pada sistem yang dimaksudkan sebagai server produksi menggunakan partisi khusus atau hard disk khusus untuk bagian -bagian sistem berikut:
/(root) /boot /home /tmp /var
6. Gunakan LVM dan RAID untuk redundansi dan pertumbuhan sistem file
Itu /var Partisi adalah tempat di mana pesan log ditulis ke disk. Bagian sistem ini dapat secara eksponensial tumbuh dalam ukuran pada server lalu lintas yang sangat mengekspos layanan jaringan seperti server web atau server file.
Dengan demikian, gunakan partisi besar untuk /var atau pertimbangkan untuk menyiapkan partisi ini menggunakan volume logis (LVM) atau gabungkan beberapa disk fisik menjadi satu perangkat virtual RAID 0 yang lebih besar untuk mempertahankan sejumlah besar data. Untuk data, redundansi pertimbangkan untuk menggunakan tata letak LVM di atas RAID 1 tingkat.
Untuk menyiapkan LVM atau RAID pada disk, ikuti panduan bermanfaat kami:
- Pengaturan penyimpanan disk dengan LVM di Linux
- Buat disk LVM menggunakan VGCreate, LVCreate dan Lvextend
- Gabungkan beberapa disk menjadi satu penyimpanan virtual besar
- Buat RAID 1 menggunakan dua disk di Linux
7. Ubah Opsi Fstab untuk Mengamankan Partisi Data
Partisi terpisah yang dimaksudkan untuk menyimpan data dan mencegah pelaksanaan program, file perangkat atau setuid bit pada jenis partisi ini dengan menambahkan opsi berikut fstab file seperti yang diilustrasikan pada kutipan di bawah ini:
/dev /sda5 /nas ext4 default,nosuid, nodev, noexec 1 2
Untuk mencegah eksekusi hak istimewa dan skrip sewenang-wenang, buat partisi terpisah untuk /tmp dan pasang sebagai nosuid, nodev, Dan noexec.
/dev /sda6 /tmp ext4 default,nosuid, nodev, noexec 0 0
8. Mengenkripsi hard disk pada tingkat blok dengan luks
Untuk melindungi pengintaian data sensitif jika terjadi akses fisik ke hard drive mesin. Saya menyarankan Anda untuk belajar cara mengenkripsi disk dengan membaca artikel kami enkripsi data hard disk Linux dengan luks.
9. Gunakan kriptografi PGP dan kunci publik
Untuk mengenkripsi disk, gunakan PGP dan cryptography kunci-publik atau perintah OpenSSL untuk mengenkripsi dan mendekripsi file sensitif dengan kata sandi seperti yang ditunjukkan dalam artikel ini mengkonfigurasi penyimpanan sistem Linux yang dienkripsi.
10. Pasang hanya jumlah minimum paket yang diperlukan
Hindari menginstal program, aplikasi, atau layanan yang tidak penting atau tidak perlu untuk menghindari kerentanan paket. Ini dapat mengurangi risiko bahwa kompromi dari sepotong perangkat lunak dapat menyebabkan kompromi aplikasi lain, bagian dari sistem, atau bahkan sistem file, akhirnya mengakibatkan korupsi data atau kehilangan data.
11. Perbarui sistem sering
Perbarui sistem secara teratur. Jaga agar Kernel Linux Sinkronkan dengan tambalan keamanan terbaru dan semua perangkat lunak yang diinstal mutakhir dengan versi terbaru dengan mengeluarkan perintah di bawah ini:
# pembaruan yum
12. Nonaktifkan Ctrl+Alt+Del
Untuk mencegah pengguna reboot server setelah mereka memiliki akses fisik ke keyboard atau melalui aplikasi konsol jarak jauh atau konsol virtualisasi (Kvm, Virtualisasi antarmuka perangkat lunak) Anda harus menonaktifkan CTRL+ALT+DEL Urutan kunci dengan mengeksekusi perintah di bawah ini.
# Systemctl Mask Ctrl-Alt-Del.target
13. Hapus paket perangkat lunak yang tidak perlu
Instal perangkat lunak minimal yang diperlukan untuk mesin Anda. Jangan pernah menginstal program atau layanan tambahan. Instal paket hanya dari repositori tepercaya atau resmi. Gunakan pemasangan sistem minimal jika mesin ditakdirkan untuk menjalankan seluruh hidupnya sebagai server.
Verifikasi paket yang diinstal menggunakan salah satu perintah berikut:
# RPM -QA
Buat daftar lokal semua paket yang diinstal.
# Daftar yum diinstal >> diinstal.txt
Konsultasikan dengan daftar untuk perangkat lunak yang tidak berguna dan hapus paket dengan mengeluarkan perintah di bawah ini:
# yum hapus package_nameArtikel terkait: Nonaktifkan dan hapus paket yang tidak diinginkan pada pemasangan minimal CentOS
14. Restart SystemD Services Setelah Pembaruan Daemon
Gunakan contoh perintah di bawah ini untuk memulai kembali layanan SystemD untuk menerapkan pembaruan baru.
# Systemctl restart httpd.melayani
15. Hapus layanan yang tidak dibutuhkan
Identifikasi layanan yang mendengarkan pada port tertentu menggunakan perintah SS berikut.
# ss -tulpn
Untuk membuat daftar semua layanan yang diinstal dengan status output mereka mengeluarkan perintah di bawah ini:
# Systemctl List -Unit -Unit -T Service
Contohnya, Centos Instalasi minimal default dilengkapi dengan daemon postfix yang diinstal secara default yang berjalan dengan nama master di bawah port 25. Hapus Layanan Jaringan Postfix Jika mesin Anda tidak akan digunakan sebagai server email.
# yum hapus postfixArtikel terkait: Berhenti dan nonaktifkan layanan yang tidak diinginkan di Centos
16. Mengenkripsi data yang dikirimkan
Jangan gunakan protokol tanpa jaminan untuk akses jarak jauh atau transfer file seperti Telnet, Ftp, atau protokol tinggi teks polos lainnya seperti SMTP, HTTP, NFS, atau SMB yang, secara default, tidak mengenkripsi sesi otentikasi atau mengirim data.
Gunakan hanya SFTP, SCP untuk transfer file, dan SSH atau VNC melalui terowongan SSH untuk koneksi konsol jarak jauh atau akses GUI.
Untuk membuat tunnel konsol VNC melalui SSH Gunakan contoh di bawah ini yang meneruskan port VNC 5901 dari mesin jarak jauh ke mesin lokal Anda:
# ssh -l 5902: localhost: 5901 remote_machine
Pada mesin lokal jalankan perintah di bawah ini untuk koneksi virtual ke titik akhir jarak jauh.
# vncviewer localhost: 5902
17. Pemindaian port jaringan
Melakukan pemeriksaan port eksternal menggunakan alat NMAP dari sistem jarak jauh di atas LAN. Jenis pemindaian ini dapat digunakan untuk memverifikasi kerentanan jaringan atau menguji aturan firewall.
# nmap -st -o 192.168.1.10Artikel Terkait: Pelajari Cara Menggunakan NMAP dengan 29 contoh ini
18. Firewall Paket-Paket
Menggunakan Firewalld utilitas untuk melindungi port sistem, membuka atau menutup port layanan tertentu, terutama port yang terkenal (<1024).
Instal, Mulai, Aktifkan, dan Sebutkan Aturan Firewall dengan mengeluarkan perintah di bawah ini:
# yum instal firewalld # systemctl mulai firewalld.Layanan # Systemctl Aktifkan Firewalld.Layanan # firewall-cmd-list-all
19. Periksa paket protokol dengan tcpdump
Gunakan utilitas tcpdump untuk mengendus paket jaringan secara lokal dan memeriksa konten mereka untuk lalu lintas yang mencurigakan (port sumber daya sumber, protokol TCP/IP, layer dua lalu lintas, permintaan ARP yang tidak biasa).
Untuk analisis yang lebih baik dari tcpdump File yang Diambil Gunakan program yang lebih canggih seperti Wireshark.
# tcpdump -i enco16777736 -w tcpdump.PCAP
20. Cegah serangan DNS
Periksa isi resolver Anda, biasanya /etc/resolv.conf file, yang mendefinisikan alamat IP server DNS yang harus digunakan untuk meminta nama domain, untuk menghindari serangan manusia-di-menengah, lalu lintas yang tidak perlu untuk server DNS root, spoof atau membuat serangan DOS.
Ini hanya bagian pertama. Di bagian selanjutnya kita akan membahas tips keamanan lainnya Centos 8/7.
Jangan lewatkan: Panduan Mega untuk Mengeras dan Mengamankan Centos 8/7 - Bagian 2- « Cara Membuat Peaming atau Ikatan NIC di CentOS 8 / RHEL 8
- Cara menjalankan distribusi linux langsung langsung dari hard disk di ubuntu menggunakan menu grub »