20 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 1-nji bölüm

Bu gollanma diňe ulgamy berkitmek üçin ulanyp boljak CentOS 8/7 üçin umumy howpsuzlyk maslahatlaryny öz içine alýar. Barlag sanawy maslahatlary esasan dürli görnüşli ýalaňaç metal serwerlerde ýa-da tor hyzmatlaryny berýän maşynlarda (fiziki ýa-da wirtual) ulanylmaga niýetlenendir.

Şeýle-de bolsa, käbir maslahatlar iş stoly, noutbuk we kartoçkaly bir tagtaly kompýuterler (Raspberry Pi) ýaly umumy maksatly maşynlara üstünlikli ulanylyp bilner.

  • CentOS 8 minimal gurnama
  • CentOS 7 minimal gurnama

1. Fiziki gorag

Serwer otaglaryňyza girmegi gulplaň, raflary gulplamak we wideo gözegçiligini ulanyň. Serwer otaglaryna islendik fiziki elýeterliligiň enjamyňyzy çynlakaý howpsuzlyk meselelerine sezewar edip biljekdigini göz öňünde tutuň.

BIOS parollaryny anakartda bökjekleri täzeden düzmek ýa-da CMOS batareýasyny aýyrmak arkaly üýtgedip bolýar. Mundan başga-da, hyýanatçy gaty diskleri ogurlap ýa-da täze gaty diskleri anakart interfeýslerine (SATA, SCSI we ş.m.) gönüden-göni birikdirip biler, Linux live distro bilen açyp biler we programma üpjünçiliginiň yzyny goýman maglumatlary klonlaşdyryp ýa-da göçürip biler.

2. Içalyçylyk täsirini azaltmak

Örän duýgur maglumatlar bar bolsa, radio ýa-da elektrik syzyşlary arkaly ulgamy içaly etmegiň täsirini azaltmak üçin serweri TEMPEST çözgüdine ýerleşdirmek we gulplamak ýaly ösen fiziki goragy ulanmaly bolarsyňyz.

3. Howpsuz BIOS/UEFI

BIOS/UEFI sazlamalaryny üpjün etmek bilen enjamyňyzy berkitmek işine başlaň, esasanam BIOS/UEFI parolyny düzüň we birugsat ulanyjylaryň BIOS sazlamalaryny üýtgetmeginiň ýa-da üýtgemeginiň öňüni almak üçin boot media enjamlaryny (CD, DVD, USB goldawyny öçüriň) öçüriň. boot enjamynyň ileri tutulmagy we enjamy alternatiw gurşawdan açmak.

Bu üýtgeşmäni enjamyňyza ulanmak üçin ýörite görkezmeler üçin anakart öndüriji gollanmasyna ýüz tutuň.

4. Howpsuz ýük göteriji

Zyýanly ulanyjylaryň ýadro ýükleme yzygiderliliginiň ýa-da işleýiş derejeleriniň bozulmagynyň öňüni almak üçin, GRUB parolyny düzüň, ýadro parametrlerini redaktirläň ýa-da ulgamyňyza zyýan bermek we aýratyn ygtyýar almak üçin kök parolyny täzeden düzmek üçin ulgamy bir ulanyjy re intoimine başlaň.

5. Aýry-aýry disk bölümlerini ulanyň

Önümçilik serwerleri hökmünde niýetlenen ulgamlara CentOS gurlanda ulgamyň aşakdaky bölekleri üçin ýörite bölümleri ýa-da ýörite gaty diskleri ulanyň:

/(root) 
/boot  
/home  
/tmp 
/var

6. Artykmaçlyk we faýl ulgamynyň ösüşi üçin LVM we RAID ulanyň

/ Var bölümi, gündelik habarlaryň diske ýazylan ýeri. Ulgamyň bu bölegi, web serwerleri ýa-da faýl serwerleri ýaly tor hyzmatlaryny paş edýän agyr trafik serwerlerinde çalt ulalyp biler.

Şeýlelik bilen,/var üçin uly bölüm ulanyň ýa-da logiki göwrümleri (LVM) ulanyp bu bölümi gurmagy göz öňünde tutuň ýa-da köp sanly maglumatlary saklamak üçin birnäçe fiziki diskleri has uly wirtual RAID 0 enjamyna birleşdiriň. Maglumat üçin artykmaçlyk, RAID 1 derejesiniň üstünde LVM düzülişini ulanmagy göz öňünde tutuň.

Disklerde LVM ýa-da RAID gurmak üçin peýdaly gollanmalary ýerine ýetiriň:

  1. Linux-da LVM bilen Disk ammaryny gurmak
  2. vgcreate, lvcreate we lvextend
    3. ulanyp LVM diskleri dörediň
  3. Birnäçe diski bir uly wirtual ammarda birleşdiriň
  4. Linux-da iki disk ulanyp RAID 1 dörediň

7. Maglumat bölümlerini ygtybarly etmek üçin fstab opsiýalaryny üýtgediň

Maglumatlary saklamak we aşakdaky böleklerde görkezilişi ýaly fstab faýlyna aşakdaky opsiýalary goşmak bilen programmalaryň, enjam faýllarynyň ýa-da bu görnüşdäki bölekleriň ýerine ýetirilmeginiň öňüni almak üçin niýetlenen aýratyn bölümler:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Artykmaçlygyň ýokarlanmagynyň we özbaşdak skript ýerine ýetirilmeginiň öňüni almak üçin/tmp üçin aýratyn bölüm dörediň we ony nosuid, nodev we noexec hökmünde guruň.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Gaty diskleri blok derejesinde LUKS bilen şifrläň

Maşyn gaty disklerine fiziki taýdan elýeterli bolan ýagdaýynda duýgur maglumatlary gizlemek üçin. LUKS bilen Linux gaty disk maglumatlary şifrlemek baradaky makalamyzy okap, diski şifrlemegi öwrenmegi maslahat berýärin.

9. PGP we Public-Key kriptografiýasyny ulanyň

Diskleri şifrlemek üçin PGP we Public-Key Cryptography ýa-da OpenSSL buýrugyny ulanyň, bu makalada görkezilişi ýaly, gizlin faýllary parol bilen şifrlemek we şifrlemek üçin buýrugy ulanyň.

10. Diňe zerur paketleriň iň az mukdaryny guruň

Bukjanyň gowşak ýerlerinden gaça durmak üçin möhüm ýa-da gereksiz programmalary, goýmalary ýa-da hyzmatlary gurmakdan gaça duruň. Bu, bir programma üpjünçiliginiň ylalaşygynyň beýleki programmalara, ulgamyň böleklerine ýa-da faýl ulgamlaryna zyýan ýetirip, netijede maglumatlaryň bozulmagyna ýa-da maglumatlaryň ýitmegine sebäp bolup biljek töwekgelçiligi azaldyp biler.

11. Ulgamy ýygy-ýygydan täzeläň

Ulgamy yzygiderli täzeläň. Linux ýadrosyny aşakdaky buýrugy bermek bilen iň soňky howpsuzlyk programmalary we gurnalan programma üpjünçiliginiň iň soňky wersiýalary bilen iň täze wersiýa bilen sinhron saklaň:

# yum update

12. Ctrl + Alt + Del öçüriň

Ulanyjylaryň klawiatura ýa-da uzakdaky konsol programmasy ýa-da wirtuallaşdyrylan konsol (KVM, wirtuallaşdyrma programma üpjünçiligi interfeýsi) arkaly fiziki taýdan elýeterli bolandan soň serweri täzeden açmagynyň öňüni almak üçin Ctrl + Alt + Del düwmesini ýapmaly. aşakdaky buýrugy ýerine ýetirmek bilen yzygiderlilik.

# systemctl mask ctrl-alt-del.target

13. Gereksiz programma üpjünçilik paketlerini aýyryň

Enjamyňyz üçin zerur minimal programma üpjünçiligini guruň. Hiç haçan goşmaça programmalary ýa-da hyzmatlary gurmaň. Paketleri diňe ynamdar ýa-da resmi ammarlardan guruň. Maşyn bütin ömrüni serwer hökmünde işlemeli bolsa, ulgamyň minimal gurnamasyny ulanyň.

Gurlan paketleri aşakdaky buýruklardan birini ulanyp barlaň:

# rpm -qa

Gurlan paketleriň ýerli sanawyny düzüň.

# yum list installed >> installed.txt

Biderek programma üpjünçiligi üçin sanaw bilen maslahatlaşyň we aşakdaky buýrugy berip bukjany pozuň:

# yum remove package_name

14. Daemon täzelenmelerinden soň Systemd hyzmatlaryny täzeden açyň

Täze täzelenmeleri ulanmak üçin systemd hyzmatyny täzeden açmak üçin aşakdaky buýruk mysalyny ulanyň.

# systemctl restart httpd.service

15. Gerek däl hyzmatlary aýyryň

Aşakdaky ss buýrugyny ulanyp, belli portlarda diňleýän hyzmatlary kesgitläň.

# ss -tulpn

Installhli gurnalan hyzmatlary çykyş ýagdaýy bilen sanawlamak üçin aşakdaky buýruk:

# systemctl list-units -t service

Mysal üçin, “CentOS” minimal minimal gurnama 25-nji portuň aşagyndaky ussanyň ady bilen işleýän “Postfix” daemon bilen üpjün edilýär. Enjamyňyz poçta serweri hökmünde ulanylmasa, Postfiks ulgam hyzmatyny aýyryň.

# yum remove postfix

16. Geçirilen maglumatlary şifrlemek

Uzakdan girmek ýa-da Telnet, FTP ýaly faýl geçirmek ýa-da SMTP, HTTP, NFS ýa-da SMB ýaly açyk tekst protokollary üçin ygtybarly protokollary ulanmaň, adaty ýagdaýda tassyklamak sessiýalaryny şifrlemeýär ýa-da maglumat ibermeýär.

Faýl geçirmek üçin diňe scp, uzakdaky konsol birikmeleri ýa-da GUI girişi üçin SSH tunelleriniň üstünden SSH ýa-da VNC ulanyň.

SSH arkaly VNC konsolyny tunelirlemek üçin VNC port 5901 uzakdaky enjamdan ýerli enjamyňyza iberýän aşakdaky mysaldan peýdalanyň:

# ssh -L 5902:localhost:5901 remote_machine

Machineerli enjamda uzakdaky nokada wirtual birikmek üçin aşakdaky buýrugy işlediň.

# vncviewer localhost:5902

17. Tor portuny skanirlemek

LAN-dan uzakdaky ulgamdan Nmap guralyny ulanyp, daşarky port barlaglaryny geçiriň. Skaneriň bu görnüşi, toruň gowşak ýerlerini barlamak ýa-da gorag diwarynyň düzgünlerini barlamak üçin ulanylyp bilner.

# nmap -sT -O 192.168.1.10

18. Paket süzgüçli diwar

Ulgam portlaryny goramak, belli hyzmat portlaryny, esasanam belli portlary açmak ýa-da ýapmak üçin firewalld kömekçi programmasyny ulanyň (<1024).

Aşakdaky buýruklary bermek bilen gorag diwarynyň düzgünlerini guruň, başlaň, işlediň we sanawlaň:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Tcpdump bilen protokol paketlerini barlaň

Networkerli tor paketlerini ýuwmak we şübheli traffigiň mazmunyny barlamak üçin tcpdump kömekçi programmasyny ulanyň (çeşme maksatly portlar, TCP/IP protokollary, iki gat gatlagy, adaty bolmadyk ARP haýyşlary).

Tcpdump alnan faýly has gowy derňemek üçin Wireshark ýaly has ösen programma ulanyň.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. DNS hüjümleriniň öňüni alyň

Domen atlaryny gözlemek üçin ulanmaly DNS serwerleriniň IP adresini kesgitleýän /etc/resolv.conf faýlyňyzy, adatça /etc/resolv.conf faýlyny barlaň, ortadaky hüjümlerden, gereksiz traffikden gaça durmak üçin kök DNS serwerleri, DOS hüjümini bozuň ýa-da dörediň.

Bu diňe birinji bölüm. Indiki bölümde CentOS 8/7 üçin beýleki howpsuzlyk maslahatlaryny ara alyp maslahatlaşarys.