20 CentOS Server Hardening Security Tips - Bahin 1
Kini nga panudlo naglangkob lamang sa kinatibuk-ang mga tip sa seguridad alang sa CentOS 8/7 nga magamit sa pagpagahi sa sistema. Ang mga tip sa checklist gituyo nga gamiton kasagaran sa nagkalain-laing matang sa bare-metal servers o sa mga makina (pisikal o virtual) nga naghatag ug serbisyo sa network.
Bisan pa, ang pipila sa mga tip mahimong malampuson nga magamit sa mga makina nga pangkinatibuk-ang katuyoan, sama sa mga Desktop, Laptop, ug mga single-board computer nga adunay kadako sa kard (Raspberry Pi).
- CentOS 8 Minimal nga Pag-instalar
- CentOS 7 Minimal nga Pag-instalar
1. Pisikal nga Proteksyon
I-lock ang pag-access sa imong mga kwarto sa server, gamita ang pag-lock sa mga racks ug pag-monitor sa video. Hunahunaa nga ang bisan unsang pisikal nga pag-access sa mga lawak sa server mahimong maladlad sa imong makina sa mga seryoso nga isyu sa seguridad.
Ang mga password sa BIOS mahimong usbon pinaagi sa pag-reset sa mga jumper sa motherboard o pinaagi sa pagdiskonekta sa CMOS nga baterya. Usab, ang usa ka intruder mahimong mangawat sa mga hard disk o direkta nga maglakip sa bag-ong mga hard disk sa mga interface sa motherboard (SATA, SCSI, ug uban pa), mag-boot gamit ang usa ka live distro sa Linux, ug mag-clone o magkopya sa datos nga wala magbilin bisan unsang pagsubay sa software.
2. Bawasan ang Epekto sa Pagpaniid
Sa kaso sa labi ka sensitibo nga datos, kinahanglan nimo nga gamiton ang advanced nga pisikal nga proteksyon sama sa pagbutang ug pag-lock sa server sa usa ka TEMPEST nga solusyon aron maminusan ang epekto sa pagpaniid sa sistema pinaagi sa radyo o elektrikal nga pagtulo nga mga emanasyon.
3. Lig-on ang BIOS/UEFI
Sugdi ang proseso sa pagpagahi sa imong makina pinaagi sa pag-secure sa BIOS/UEFI settings, ilabina ang pagbutang og BIOS/UEFI password ug pag-disable sa boot media devices (CD, DVD, disable USB support) aron mapugngan ang bisan kinsa nga dili awtorisado nga tiggamit sa pag-usab sa sistema sa BIOS setting o pag-usab. ang prayoridad sa boot device ug pag-boot sa makina gikan sa alternatibong medium.
Aron magamit kini nga matang sa pagbag-o sa imong makina kinahanglan nimo nga konsultahon ang manwal sa tiggama sa motherboard alang sa piho nga mga panudlo.
4. Luwas nga Boot Loader
Pagbutang ug GRUB nga password aron mapugngan ang mga malisyoso nga tiggamit sa pag-tamper sa kernel boot sequence o pagdagan nga lebel, pag-edit sa mga parameter sa kernel o pagsugod sa sistema ngadto sa single-user mode aron makadaot sa imong sistema ug i-reset ang root password aron makakuha og pribilihiyo nga kontrol.
5. Gamita ang Separate Disk Partitions
Kung ang pag-install sa CentOS sa mga sistema nga gituyo ingon mga server sa produksiyon naggamit mga dedikado nga partisyon o gipahinungod nga mga hard disk alang sa mosunod nga mga bahin sa sistema:
/(root) /boot /home /tmp /var
6. Gamita ang LVM ug RAID para sa Redundancy ug File System Growth
Ang partition/var mao ang lugar diin ang mga mensahe sa log gisulat sa disk. Kini nga bahin sa sistema mahimong paspas nga motubo sa gidak-on sa daghang mga server sa trapiko nga nagpadayag sa mga serbisyo sa network sama sa mga web server o file server.
Busa, gamita ang usa ka dako nga partition para sa/var o ikonsiderar ang pag-set up niini nga partition gamit ang logical volumes (LVM) o paghiusa sa pipila ka mga pisikal nga disk ngadto sa usa ka mas dako nga virtual RAID 0 device aron masustiner ang daghang mga datos. Para sa datos, ikonsiderar ang redundancy sa paggamit sa LVM layout sa ibabaw sa RAID 1 level.
Para sa pag-set up sa LVM o RAID sa mga disk, sunda ang among mapuslanong mga giya:
- I-set up ang Disk Storage gamit ang LVM sa Linux
- Paghimo og LVM Disks Gamit ang vgcreate, lvcreate ug lvextend
- Paghiusa sa Daghang Disk ngadto sa Usa ka Dakong Virtual Storage
- Paghimo RAID 1 Gamit ang Duha ka Disk sa Linux
7. Usba ang mga Opsyon sa fstab sa Secure Data Partitions
Paglainlain nga mga partisyon nga gituyo alang sa pagtipig sa datos ug pagpugong sa pagpatuman sa mga programa, mga file sa aparato o setuid bit sa kini nga klase sa mga partisyon pinaagi sa pagdugang sa mga mosunud nga kapilian sa fstab file sama sa gihulagway sa ubos nga kinutlo:
/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2
Aron mapugngan ang pag-usbaw sa pribilehiyo ug arbitraryong pagpatuman sa script paghimo ug bulag nga partisyon para sa /tmp ug i-mount kini isip nosuid, nodev, ug noexec.
/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0
8. I-encrypt ang mga Hard Disk sa block level gamit ang LUKS
Aron mapanalipdan ang sensitibo nga datos nga pag-snooping kung adunay pisikal nga pag-access sa mga hard drive sa makina. Gisugyot ko kanimo nga mahibal-an kung giunsa ang pag-encrypt sa disk pinaagi sa pagbasa sa among artikulo nga Linux Hard Disk Data Encryption nga adunay LUKS.
9. Gamita ang PGP ug Public-Key Cryptography
Aron ma-encrypt ang mga disk, gamita ang PGP ug Public-Key Cryptography o OpenSSL nga sugo sa pag-encrypt ug pag-decrypt sa sensitibo nga mga file gamit ang password sama sa gipakita niini nga artikulo I-configure ang Encrypted Linux System Storage.
10. I-install Lamang ang Minimum nga Gidaghanon sa mga Pakete nga Gikinahanglan
Likayi ang pag-instalar sa dili importante o dili kinahanglan nga mga programa, aplikasyon, o serbisyo aron malikayan ang mga kahuyang sa package. Kini makapakunhod sa risgo nga ang pagkompromiso sa usa ka piraso sa software mahimong mosangpot sa pagkompromiso sa ubang mga aplikasyon, mga bahin sa sistema, o bisan sa mga sistema sa file, nga sa katapusan moresulta sa pagkadunot sa datos o pagkawala sa datos.
11. I-update ang sistema kanunay
Regular nga i-update ang sistema. Ipadayon ang Linux kernel sa pag-sync sa pinakabag-o nga mga patch sa seguridad ug ang tanan nga na-install nga software nga up-to-date sa pinakabag-o nga mga bersyon pinaagi sa pag-isyu sa ubos nga sugo:
# yum update
12. I-disable ang Ctrl+Alt+Del
Aron mapugngan ang mga tiggamit sa pag-reboot sa server sa higayon nga sila adunay pisikal nga pag-access sa usa ka keyboard o pinaagi sa Remote Console Application o usa ka virtualized console (KVM, Virtualizing software interface) kinahanglan nimong i-disable ang Ctrl+Alt+Del key han-ay pinaagi sa pagpatuman sa ubos nga sugo.
# systemctl mask ctrl-alt-del.target
13. Kuhaa ang Wala Kinahanglang Software Packages
I-install ang gamay nga software nga gikinahanglan alang sa imong makina. Ayaw pag-instalar ug dugang nga mga programa o serbisyo. I-install lang ang mga pakete gikan sa kasaligan o opisyal nga mga repositoryo. Paggamit gamay nga pag-install sa sistema kung ang makina gitakda nga modagan sa tibuuk nga kinabuhi niini ingon usa ka server.
I-verify ang na-install nga mga pakete gamit ang usa sa mga mosunod nga mga sugo:
# rpm -qa
Paghimo usa ka lokal nga lista sa tanan nga na-install nga mga pakete.
# yum list installed >> installed.txt
Konsultaha ang listahan alang sa walay pulos nga software ug kuhaa ang usa ka pakete pinaagi sa pag-isyu sa ubos nga sugo:
# yum remove package_name
14. I-restart ang Systemd Services human sa Daemon Updates
Gamita ang sa ubos nga panig-ingnan sa command aron i-restart ang usa ka systemd nga serbisyo aron magamit ang mga bag-ong update.
# systemctl restart httpd.service
15. Kuhaa ang Wala Kinahanglang Serbisyo
Ilha ang mga serbisyo nga naminaw sa piho nga mga pantalan gamit ang mosunod nga ss command.
# ss -tulpn
Aron ilista ang tanan nga na-install nga mga serbisyo sa ilang output status nga isyu sa ubos nga sugo:
# systemctl list-units -t service
Pananglitan, ang CentOS nga default minimal nga pag-install moabut uban ang Postfix daemon nga gi-install pinaagi sa default nga gipadagan sa ngalan sa usa ka master ubos sa port 25. Kuhaa ang serbisyo sa network sa Postfix kung ang imong makina dili magamit ingon usa ka mail server.
# yum remove postfix
16. I-encrypt ang Gipadala nga Data
Ayaw gamita ang dili luwas nga mga protocol alang sa layo nga pag-access o pagbalhin sa file sama sa Telnet, FTP, o uban pang plain text nga taas nga mga protocol sama sa SMTP, HTTP, NFS, o SMB nga, sa kasagaran, wala mag-encrypt sa mga sesyon sa pag-authenticate o gipadala nga datos.
Gamita lang ang scp para sa mga file transfer, ug SSH o VNC sa SSH tunnels para sa remote console connections o GUI access.
Aron ma-tunnel ang usa ka VNC console pinaagi sa SSH gamita ang sa ubos nga pananglitan nga nagpasa sa VNC port 5901 gikan sa hilit nga makina ngadto sa imong lokal nga makina:
# ssh -L 5902:localhost:5901 remote_machine
Sa lokal nga makina padagana ang ubos nga sugo aron sa virtual nga koneksyon sa hilit nga endpoint.
# vncviewer localhost:5902
17. Pag-scan sa Port sa Network
Pagpahigayon ug external port check gamit ang Nmap tool gikan sa remote system sa LAN. Kini nga matang sa pag-scan mahimong magamit sa pag-verify sa mga kahuyangan sa network o pagsulay sa mga lagda sa firewall.
# nmap -sT -O 192.168.1.10
18. Packet-filtering Firewall
Gamita ang firewalld utility para maprotektahan ang mga system port, ablihan o isira ang mga piho nga serbisyo nga pantalan, ilabi na ang iladong mga pantalan (<1024).
Pag-instalar, pagsugod, pagpagana, ug paglista sa mga lagda sa firewall pinaagi sa pag-isyu sa ubos nga mga sugo:
# yum install firewalld # systemctl start firewalld.service # systemctl enable firewalld.service # firewall-cmd --list-all
19. Susiha ang Protocol Packets gamit ang Tcpdump
Gamita ang tcpdump utility aron ma-sniff ang network packets sa lokal ug masusi ang ilang content para sa kadudahang trapiko (source-destination ports, TCP/IP protocols, layer two traffic, unusual ARP requests).
Para sa mas maayo nga pagtuki sa tcpdump nga nakuha nga file gamita ang mas abante nga programa sama sa Wireshark.
# tcpdump -i eno16777736 -w tcpdump.pcap
20. Paglikay sa DNS Attacks
Susiha ang sulod sa imong solver, kasagaran /etc/resolv.conf file, nga naghubit sa IP address sa mga DNS server nga kinahanglan gamiton niini sa pagpangutana sa mga domain name, aron malikayan ang man-in-the-middle attacks, dili kinahanglan nga trapiko alang sa gamut DNS servers, spoof o paghimo sa usa ka DOS atake.
Kini mao lamang ang unang bahin. Sa sunod nga bahin atong hisgutan ang ubang mga tip sa seguridad alang sa CentOS 8/7.