VietNetwork.Vn

Hướng dẫn này chỉ bao gồm các mẹo bảo mật chung cho CentOS 7 mà có thể được sử dụng để làm đóng cứng hệ thống. Các mẹo trong danh sách kiểm tra dự định sẽ được sử dụng chủ yếu trên các loại máy chủ Linux Unix (vật lý hoặc ảo) cung cấp dịch vụ mạng.

Tuy nhiên, một số mẹo cũng có thể được áp dụng thành công trên các máy chủ khác, chẳng hạn như máy tính để bàn, máy tính xách tay và máy tính bảng (Raspberry Pi).

1. Bảo vệ vật lý

Khóa truy cập phòng máy chủ của bạn, sử dụng khóa tủ rack và giám sát video. Hãy xem xét rằng mọi quyền truy cập vật lý vào phòng máy chủ có thể khiến máy của bạn gặp các vấn đề bảo mật nghiêm trọng.

Mật khẩu BIOS có thể được thay đổi bằng cách đặt lại các nút nhảy trên bo mạch chủ hoặc ngắt kết nối pin CMOS. Ngoài ra, kẻ xâm nhập có thể đánh cắp các đĩa cứng hoặc gắn trực tiếp các đĩa cứng mới vào các giao diện bo mạch chủ (SATA, SCSI, v.v.), khởi động với bản phân phối trực tiếp Linux và sao chép hoặc sao chép dữ liệu mà không để lại bất kỳ dấu vết phần mềm nào.

2. Giảm tác động gián điệp


Trong trường hợp dữ liệu có độ nhạy cao, có lẽ bạn nên sử dụng bảo vệ vật lý tiên tiến như đặt và khóa máy chủ vào Lồng Faraday hoặc sử dụng giải pháp TEMPEST quân sự để giảm thiểu tác động của gián điệp hệ thống thông qua các phát xạ rò rỉ điện hoặc radio.

3. Bảo mật BIOS/UEFI


Bắt đầu quá trình làm đong cứng máy bằng cách bảo mật cài đặt BIOS/UEFI , đặc biệt là đặt mật khẩu BIOS/UEFI và tắt các thiết bị phương tiện khởi động (CD, DVD, tắt hỗ trợ USB) để ngăn người dùng trái phép sửa đổi cài đặt BIOS hệ thống hoặc thay đổi ưu tiên thiết bị khởi động và khởi động máy từ phương tiện thay thế.

Để áp dụng loại thay đổi này cho máy của bạn, bạn cần tham khảo hướng dẫn sử dụng của nhà sản xuất bo mạch chủ để được hướng dẫn cụ thể.

4. Bảo mật Boot Loader


Đặt mật khẩu GRUB để ngăn người dùng độc hại giả mạo chường trình tự khởi động kernel hoặc runlevels, chỉnh sửa tham số kernel hoặc khởi động hệ thống sang chế độ người dùng Single Mode để làm hại hệ thống của bạn và đặt lại mật khẩu root để giành quyền kiểm soát quyền truy cập.

5. Sử dụng phân vùng đĩa riêng

Khi cài đặt CentOS trên các hệ thống dự định là máy chủ sản phẩm, hãy sử dụng các phân vùng chuyên dụng hoặc đĩa cứng chuyên dụng cho các phần sau của hệ thống:

/(root)
/boot 
/home 
/tmp
/var
6. Sử dụng LVM và RAID để dự phòng và mở rộng hệ thống

Phân vùng /var là nơi mà messege log được ghi vào đĩa. Phần này của hệ thống có thể tăng kích thước theo cấp số nhân trên các máy chủ lưu lượng lớn, làm gián đoạn ra các dịch vụ mạng như máy chủ web hoặc máy chủ tập tin.

Do đó, sử dụng phân vùng lớn cho /var hoặc xem xét việc thiết lập phân vùng này bằng cách sử dụng các logical volumes ( LVM ) hoặc kết hợp một số đĩa vật lý vào một thiết bị RAID 0 ảo lớn hơn để duy trì lượng dữ liệu lớn. Đối với dự phòng dữ liệu, hãy cân nhắc việc sử dụng logical volumes LVM trên cấp độ RAID 1.

7. Sửa đổi tùy chọn fstab để phân vùng dữ liệu an toàn

Các phân vùng riêng biệt để lưu trữ dữ liệu và ngăn việc thực thi các chương trình, tập tin thiết bị hoặc setuid bit trên các loại phân vùng này bằng cách thêm các tùy chọn sau vào tập tin fstab như minh họa trong đoạn trích dưới đây:

/dev/sda5 /nas          ext4    defaults,nosuid,nodev,noexec 1 2
Để ngăn chặn sự leo thang quyền và thực thi tập lệnh tùy ý, hãy tạo một phân vùng riêng cho /tmp và mount nó thành nosuid, nodev và noexec.

/dev/sda6  /tmp         ext4    defaults,nosuid,nodev,noexec 0 0
8. Mã hóa đĩa cứng bằng LUKS

Để bảo vệ dữ liệu nhạy cảm tự việc rình mò trong trường hợp truy cập trực tiếp vào máy chủ vật lý và vào ổ cứng máy. Tôi khuyên bạn nên tìm hiểu cách mã hóa đĩa bằng cách đọc bài viết của chúng tôi về Mã hóa dữ liệu đĩa cứng Linux với LUKS.

9. Sử dụng PGP và Public-Key Cryptography

Để mã hóa đĩa, hãy sử dụng PGP và Public-Key Cryptography hoặc lệnh openssl để mã hóa và giải mã các tập tin nhạy cảm bằng mật khẩu như trong bài viết này Cấu hình lưu trữ hệ thống Linux được mã hóa.

10. Chỉ cài đặt số lượng gói tối thiểu cần thiết

Tránh cài đặt các chương trình, ứng dụng hoặc dịch vụ không quan trọng hoặc không cần thiết để tránh các lỗ hổng của gói. Điều này có thể làm giảm nguy cơ thỏa hiệp của một phần mềm có thể dẫn đến thỏa hiệp các ứng dụng khác, các bộ phận của hệ thống hoặc thậm chí hệ thống tập tin, cuối cùng dẫn đến hỏng dữ liệu hoặc mất dữ liệu.