20 CentOS serwerini berkitmek boýunça howpsuzlyk maslahatlary - 1-nji bölüm
Bu gollanma diňe ulgamy berkitmek üçin ulanyp boljak CentOS 8/7 üçin umumy howpsuzlyk maslahatlaryny öz içine alýar. Barlag sanawy maslahatlary esasan dürli görnüşli ýalaňaç metal serwerlerde ýa-da tor hyzmatlaryny berýän maşynlarda (fiziki ýa-da wirtual) ulanylmaga niýetlenendir.
Şeýle-de bolsa, käbir maslahatlar iş stoly, noutbuk we kartoçkaly bir tagtaly kompýuterler (Raspberry Pi) ýaly umumy maksatly maşynlara üstünlikli ulanylyp bilner.
- CentOS 8 minimal gurnama
- CentOS 7 minimal gurnama
1. Fiziki gorag
Serwer otaglaryňyza girmegi gulplaň, raflary gulplamak we wideo gözegçiligini ulanyň. Serwer otaglaryna islendik fiziki elýeterliligiň enjamyňyzy çynlakaý howpsuzlyk meselelerine sezewar edip biljekdigini göz öňünde tutuň.
BIOS parollaryny anakartda bökjekleri täzeden düzmek ýa-da CMOS batareýasyny aýyrmak arkaly üýtgedip bolýar. Mundan başga-da, hyýanatçy gaty diskleri ogurlap ýa-da täze gaty diskleri anakart interfeýslerine (SATA, SCSI we ş.m.) gönüden-göni birikdirip biler, Linux live distro bilen açyp biler we programma üpjünçiliginiň yzyny goýman maglumatlary klonlaşdyryp ýa-da göçürip biler.
2. Içalyçylyk täsirini azaltmak
Örän duýgur maglumatlar bar bolsa, radio ýa-da elektrik syzyşlary arkaly ulgamy içaly etmegiň täsirini azaltmak üçin serweri TEMPEST çözgüdine ýerleşdirmek we gulplamak ýaly ösen fiziki goragy ulanmaly bolarsyňyz.
3. Howpsuz BIOS/UEFI
BIOS/UEFI sazlamalaryny üpjün etmek bilen enjamyňyzy berkitmek işine başlaň, esasanam BIOS/UEFI parolyny düzüň we birugsat ulanyjylaryň BIOS sazlamalaryny üýtgetmeginiň ýa-da üýtgemeginiň öňüni almak üçin boot media enjamlaryny (CD, DVD, USB goldawyny öçüriň) öçüriň. boot enjamynyň ileri tutulmagy we enjamy alternatiw gurşawdan açmak.
Bu üýtgeşmäni enjamyňyza ulanmak üçin ýörite görkezmeler üçin anakart öndüriji gollanmasyna ýüz tutuň.
4. Howpsuz ýük göteriji
Zyýanly ulanyjylaryň ýadro ýükleme yzygiderliliginiň ýa-da işleýiş derejeleriniň bozulmagynyň öňüni almak üçin, GRUB parolyny düzüň, ýadro parametrlerini redaktirläň ýa-da ulgamyňyza zyýan bermek we aýratyn ygtyýar almak üçin kök parolyny täzeden düzmek üçin ulgamy bir ulanyjy re intoimine başlaň.
5. Aýry-aýry disk bölümlerini ulanyň
Önümçilik serwerleri hökmünde niýetlenen ulgamlara CentOS gurlanda ulgamyň aşakdaky bölekleri üçin ýörite bölümleri ýa-da ýörite gaty diskleri ulanyň:
/(root) /boot /home /tmp /var
6. Artykmaçlyk we faýl ulgamynyň ösüşi üçin LVM we RAID ulanyň
/ Var bölümi, gündelik habarlaryň diske ýazylan ýeri. Ulgamyň bu bölegi, web serwerleri ýa-da faýl serwerleri ýaly tor hyzmatlaryny paş edýän agyr trafik serwerlerinde çalt ulalyp biler.
Şeýlelik bilen,/var üçin uly bölüm ulanyň ýa-da logiki göwrümleri (LVM) ulanyp bu bölümi gurmagy göz öňünde tutuň ýa-da köp sanly maglumatlary saklamak üçin birnäçe fiziki diskleri has uly wirtual RAID 0 enjamyna birleşdiriň. Maglumat üçin artykmaçlyk, RAID 1 derejesiniň üstünde LVM düzülişini ulanmagy göz öňünde tutuň.
Disklerde LVM ýa-da RAID gurmak üçin peýdaly gollanmalary ýerine ýetiriň:
- Linux-da LVM bilen Disk ammaryny gurmak
- vgcreate, lvcreate we lvextend ulanyp LVM diskleri dörediň
- Birnäçe diski bir uly wirtual ammarda birleşdiriň
- Linux-da iki disk ulanyp RAID 1 dörediň
7. Maglumat bölümlerini ygtybarly etmek üçin fstab opsiýalaryny üýtgediň
Maglumatlary saklamak we aşakdaky böleklerde görkezilişi ýaly fstab faýlyna aşakdaky opsiýalary goşmak bilen programmalaryň, enjam faýllarynyň ýa-da bu görnüşdäki bölekleriň ýerine ýetirilmeginiň öňüni almak üçin niýetlenen aýratyn bölümler:
/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2
Artykmaçlygyň ýokarlanmagynyň we özbaşdak skript ýerine ýetirilmeginiň öňüni almak üçin/tmp üçin aýratyn bölüm dörediň we ony nosuid, nodev we noexec hökmünde guruň.
/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0
8. Gaty diskleri blok derejesinde LUKS bilen şifrläň
Maşyn gaty disklerine fiziki taýdan elýeterli bolan ýagdaýynda duýgur maglumatlary gizlemek üçin. LUKS bilen Linux gaty disk maglumatlary şifrlemek baradaky makalamyzy okap, diski şifrlemegi öwrenmegi maslahat berýärin.
9. PGP we Public-Key kriptografiýasyny ulanyň
Diskleri şifrlemek üçin PGP we Public-Key Cryptography ýa-da OpenSSL buýrugyny ulanyň, bu makalada görkezilişi ýaly, gizlin faýllary parol bilen şifrlemek we şifrlemek üçin buýrugy ulanyň.
10. Diňe zerur paketleriň iň az mukdaryny guruň
Bukjanyň gowşak ýerlerinden gaça durmak üçin möhüm ýa-da gereksiz programmalary, goýmalary ýa-da hyzmatlary gurmakdan gaça duruň. Bu, bir programma üpjünçiliginiň ylalaşygynyň beýleki programmalara, ulgamyň böleklerine ýa-da faýl ulgamlaryna zyýan ýetirip, netijede maglumatlaryň bozulmagyna ýa-da maglumatlaryň ýitmegine sebäp bolup biljek töwekgelçiligi azaldyp biler.
11. Ulgamy ýygy-ýygydan täzeläň
Ulgamy yzygiderli täzeläň. Linux ýadrosyny aşakdaky buýrugy bermek bilen iň soňky howpsuzlyk programmalary we gurnalan programma üpjünçiliginiň iň soňky wersiýalary bilen iň täze wersiýa bilen sinhron saklaň:
# yum update
12. Ctrl + Alt + Del öçüriň
Ulanyjylaryň klawiatura ýa-da uzakdaky konsol programmasy ýa-da wirtuallaşdyrylan konsol (KVM, wirtuallaşdyrma programma üpjünçiligi interfeýsi) arkaly fiziki taýdan elýeterli bolandan soň serweri täzeden açmagynyň öňüni almak üçin Ctrl + Alt + Del
düwmesini ýapmaly. aşakdaky buýrugy ýerine ýetirmek bilen yzygiderlilik.
# systemctl mask ctrl-alt-del.target
13. Gereksiz programma üpjünçilik paketlerini aýyryň
Enjamyňyz üçin zerur minimal programma üpjünçiligini guruň. Hiç haçan goşmaça programmalary ýa-da hyzmatlary gurmaň. Paketleri diňe ynamdar ýa-da resmi ammarlardan guruň. Maşyn bütin ömrüni serwer hökmünde işlemeli bolsa, ulgamyň minimal gurnamasyny ulanyň.
Gurlan paketleri aşakdaky buýruklardan birini ulanyp barlaň:
# rpm -qa
Gurlan paketleriň ýerli sanawyny düzüň.
# yum list installed >> installed.txt
Biderek programma üpjünçiligi üçin sanaw bilen maslahatlaşyň we aşakdaky buýrugy berip bukjany pozuň:
# yum remove package_name
14. Daemon täzelenmelerinden soň Systemd hyzmatlaryny täzeden açyň
Täze täzelenmeleri ulanmak üçin systemd hyzmatyny täzeden açmak üçin aşakdaky buýruk mysalyny ulanyň.
# systemctl restart httpd.service
15. Gerek däl hyzmatlary aýyryň
Aşakdaky ss buýrugyny ulanyp, belli portlarda diňleýän hyzmatlary kesgitläň.
# ss -tulpn
Installhli gurnalan hyzmatlary çykyş ýagdaýy bilen sanawlamak üçin aşakdaky buýruk:
# systemctl list-units -t service
Mysal üçin, “CentOS” minimal minimal gurnama 25-nji portuň aşagyndaky ussanyň ady bilen işleýän “Postfix” daemon bilen üpjün edilýär. Enjamyňyz poçta serweri hökmünde ulanylmasa, Postfiks ulgam hyzmatyny aýyryň.
# yum remove postfix
16. Geçirilen maglumatlary şifrlemek
Uzakdan girmek ýa-da Telnet, FTP ýaly faýl geçirmek ýa-da SMTP, HTTP, NFS ýa-da SMB ýaly açyk tekst protokollary üçin ygtybarly protokollary ulanmaň, adaty ýagdaýda tassyklamak sessiýalaryny şifrlemeýär ýa-da maglumat ibermeýär.
Faýl geçirmek üçin diňe scp, uzakdaky konsol birikmeleri ýa-da GUI girişi üçin SSH tunelleriniň üstünden SSH ýa-da VNC ulanyň.
SSH arkaly VNC konsolyny tunelirlemek üçin VNC port 5901 uzakdaky enjamdan ýerli enjamyňyza iberýän aşakdaky mysaldan peýdalanyň:
# ssh -L 5902:localhost:5901 remote_machine
Machineerli enjamda uzakdaky nokada wirtual birikmek üçin aşakdaky buýrugy işlediň.
# vncviewer localhost:5902
17. Tor portuny skanirlemek
LAN-dan uzakdaky ulgamdan Nmap guralyny ulanyp, daşarky port barlaglaryny geçiriň. Skaneriň bu görnüşi, toruň gowşak ýerlerini barlamak ýa-da gorag diwarynyň düzgünlerini barlamak üçin ulanylyp bilner.
# nmap -sT -O 192.168.1.10
18. Paket süzgüçli diwar
Ulgam portlaryny goramak, belli hyzmat portlaryny, esasanam belli portlary açmak ýa-da ýapmak üçin firewalld kömekçi programmasyny ulanyň (<1024).
Aşakdaky buýruklary bermek bilen gorag diwarynyň düzgünlerini guruň, başlaň, işlediň we sanawlaň:
# yum install firewalld # systemctl start firewalld.service # systemctl enable firewalld.service # firewall-cmd --list-all
19. Tcpdump bilen protokol paketlerini barlaň
Networkerli tor paketlerini ýuwmak we şübheli traffigiň mazmunyny barlamak üçin tcpdump kömekçi programmasyny ulanyň (çeşme maksatly portlar, TCP/IP protokollary, iki gat gatlagy, adaty bolmadyk ARP haýyşlary).
Tcpdump alnan faýly has gowy derňemek üçin Wireshark ýaly has ösen programma ulanyň.
# tcpdump -i eno16777736 -w tcpdump.pcap
20. DNS hüjümleriniň öňüni alyň
Domen atlaryny gözlemek üçin ulanmaly DNS serwerleriniň IP adresini kesgitleýän /etc/resolv.conf faýlyňyzy, adatça /etc/resolv.conf faýlyny barlaň, ortadaky hüjümlerden, gereksiz traffikden gaça durmak üçin kök DNS serwerleri, DOS hüjümini bozuň ýa-da dörediň.
Bu diňe birinji bölüm. Indiki bölümde CentOS 8/7 üçin beýleki howpsuzlyk maslahatlaryny ara alyp maslahatlaşarys.