So implementieren Sie eine Sicherheitsrichtlinie auf CentOS

Was brauche ich?

  • Jeder dedizierte oder virtuelle Server
  • CentOS
  • Kitt

Was ist eine Sicherheitsrichtlinie?

Sicherheit sollte in allen Phasen des Entwurfs, der Entwicklung und der Bereitstellung Ihres Linux-Servers immer einer der wichtigsten Aspekte sein. Um eine solide und effiziente Sicherheitsrichtlinie auf einer Maschine zu implementieren, sind gute Kenntnisse der Grundlagen von Linux sowie einiger der verwendeten Anwendungen, Protokolle und Sprachen erforderlich. Die Sicherheit Ihres Betriebssystems ist ein riesiges Thema und es gibt buchstäblich Wälzer dazu; Ich habe jedoch mein Möglichstes getan, um Ihnen einige der wichtigsten Dinge zu präsentieren, an die Sie sich erinnern sollten.

  1. Physischer Schutz
    1. Im Wesentlichen bedeutet dies, dass Sie den physischen Standort Ihrer Server und Kommunikationsgeräte sperren, Racks verriegeln und Videoüberwachung nutzen müssen. Bedenken Sie, dass jeder physische Zugang zu Serverräumen Ihr Gerät ernsthaften Sicherheitsrisiken aussetzen kann.
    2. BIOS/UEFI – Passwörter können durch Zurücksetzen der Jumper auf dem Mainboard Ihres Servers oder durch Abklemmen der CMOS-Batterie geändert werden. Außerdem kann ein Eindringling die Festplatte stehlen, um neue Festplatten direkt an die Mainboard-Schnittstellen (SATA, SCSI usw.) anzuschließen, mit einer Linux-Live-Distribution zu booten und Daten zu klonen oder zu kopieren, ohne Softwarespuren zu hinterlassen. Einfach gruselig.
    3. Reduzieren Sie die Auswirkungen von Spionage auf die Umweltsicherheit – im Fall hochsensibler Daten sollten Sie wahrscheinlich die Verwendung erweiterter physischer Schutzmaßnahmen in Betracht ziehen, wie z. B. das Platzieren und Einschließen des Servers in einem Faradayschen Käfig , oder den Einsatz einer militärischen TEMPEST-  Lösung, um die Auswirkungen von Spionage auf die Umwelt zu minimieren Server über Funk oder elektrische Leckemissionen.
    4. Sicheres BIOS/UEFI – Starten Sie den Prozess der Absicherung Ihres Computers, indem Sie die BIOS-/UEFI-Einstellungen sichern, insbesondere ein BIOS-/UEFI-Passwort festlegen und Boot-Mediengeräte, CDs, DVDs und die USB-Unterstützung deaktivieren, um zu verhindern, dass unbefugte Benutzer Änderungen daran vornehmen System-BIOS-Einstellungen ändern oder die Startgerätepriorität ändern und die Maschine von einem alternativen Medium starten.
  1. Sicherer Bootloader

    Legen Sie ein GRUB-Passwort fest, um zu verhindern, dass böswillige Benutzer die Kernel-Boot-Sequenz oder die Ausführungsebenen manipulieren, Kernel-Parameter bearbeiten oder das System in einen Einzelbenutzermodus starten, um Ihrem System zu schaden, und das Root-Passwort zurücksetzen, um privilegierte Kontrolle zu erlangen.

  1. Verwenden Sie separate Festplattenpartitionen

    Wenn Sie CentOS auf Systemen installieren, die als Produktionsserver vorgesehen sind, verwenden Sie dedizierte Partitionen oder dedizierte Festplatten für die folgenden Teile des Systems:

    /(Wurzel)
    
    /Stiefel
    
    /heim
    
    /var
    
    /tmp
  1. Verwenden Sie LVM und RAID für Redundanz und Dateisystemwachstum
    1. Die /var  -Partition ist der Ort, an dem Protokollmeldungen auf die Festplatte geschrieben werden. Dieser Teil des Systems kann auf stark ausgelasteten Servern, die Netzwerkdienste wie Webserver oder Dateiserver verfügbar machen, exponentiell an Größe zunehmen.
    2. Verwenden Sie daher eine große Partition für /var  oder erwägen Sie die Einrichtung dieser Partition mithilfe logischer Volumes (LVM) oder kombinieren Sie mehrere physische Festplatten zu einem größeren virtuellen RAID 0-Gerät, um große Datenmengen zu verwalten. Erwägen Sie aus Gründen der Datenredundanz die Verwendung des LVM-Layouts zusätzlich zur RAID-1-Ebene.
  1. Ändern Sie die fstab-Optionen, um Datenpartitionen zu sichern
    1. Trennen Sie Partitionen, die zum Speichern von Daten vorgesehen sind, und verhindern Sie die Ausführung von Programmen, Gerätedateien oder Setuid-Bits auf diesen Partitionstypen, indem Sie der fstab-Datei die folgenden Optionen hinzufügen, wie im folgenden Auszug dargestellt:
    /dev/sda5 /nas ext4
    defaults,nosuid,nodev,noexec 1 2
    1. Um eine Rechteausweitung und willkürliche Skriptausführung zu verhindern, erstellen Sie eine separate Partition für /tmp und mounten Sie sie als nosuid, nodev und noexec:
    /dev/sda6 /tmp ext4    
    defaults,nosuid,nodev,noexec 0 0
  1. Verschlüsseln Sie die Serverfestplatten auf Blockebene mit LUKS
    1. Um das Ausspähen sensibler Daten im Falle eines physischen Zugriffs auf Maschinenfestplatten zu schützen. Das Akronym LUKS steht für Linux Unified Key Setup, eine weit verbreitete Methode zur Festplattenverschlüsselung, die vom Linux-Kernel verwendet wird und mit dem Paket cryptsetup implementiert wird.
    2. Die Cryptsetup  -Befehlszeile verschlüsselt eine Volume-Festplatte im laufenden Betrieb mit einem symmetrischen Verschlüsselungsschlüssel, der von der bereitgestellten Passphrase abgeleitet wird, die jedes Mal bereitgestellt wird, wenn eine Volume-Festplatte, eine Partition und auch eine ganze Festplatte, sogar ein USB-Stick, in der Dateisystemhierarchie gemountet wird und den aes-cbc verwendet -essiv:sha256-  Verschlüsselung.

Abschluss

Die Sicherung Ihres CentOS-Servers ist unglaublich wichtig und sollte nicht auf die leichte Schulter genommen werden. Was wir weiter oben in dieser Anleitung betrachtet haben, ist nur die Spitze des Eisbergs, um sicherzustellen, dass Ihr Unternehmensserver vor Hackern und Kriminellen geschützt ist. Halten Sie in Zukunft Ausschau nach weiteren Anleitungen, die Ihr Wissen zu diesem unglaublich interessanten Thema erweitern.

  • Ihre Anfrage zum besten Webhosting kann mit einem Klick auf diesen Link beendet werden.