20 CentOS Server Hardening Sécherheetstips - Deel 1

Dësen Tutorial deckt nëmmen allgemeng Sécherheetstips fir CentOS 8/7 déi benotzt kënne ginn fir de System ze härten. D'Checklëscht Tipps si geduecht fir meeschtens op verschidden Aarte vu Bare-Metal Serveren oder op Maschinnen (kierperlech oder virtuell) ze benotzen déi Netzwierkservicer ubidden.

Wéi och ëmmer, e puer vun den Tipps kënnen och erfollegräich op allgemeng Zweck Maschinnen applizéiert ginn, sou wéi Desktops, Laptops, a Kaart-Gréisst Single-Board Computeren (Raspberry Pi).

  • CentOS 8 Minimal Installatioun
  • CentOS 7 Minimal Installatioun

1. Kierperlech Schutz

Spär Är Serverraim Zougang, benotzt Racken Sperrung a Videoiwwerwaachung. Bedenkt datt all kierperlechen Zougang zu Serverraim Är Maschinn u sérieux Sécherheetsprobleemer aussetzt.

BIOS Passwierder kënnen geännert ginn andeems Dir Jumpers um Motherboard zrécksetzt oder d'CMOS Batterie trennt. Och en Andréngen kann d'Harddisken klauen oder direkt nei Harddisken un d'Motherboard-Interfaces befestigen (SATA, SCSI, etc), booten mat engem Linux Live Distro, a klonen oder kopéieren Daten ouni Software Spuer ze loossen.

2. Reduzéieren Spioun Impakt

Am Fall vun héich sensiblen Donnéeën, sollt Dir wahrscheinlech fortgeschratt kierperleche Schutz benotzen wéi de Server an eng TEMPEST Léisung ze placéieren an ze spären fir den Impakt vum Spionage vum System iwwer Radio oder elektresch Leckemanatiounen ze minimiséieren.

3. Séchert BIOS/UEFI

Start de Prozess fir Är Maschinn ze härten andeems Dir BIOS/UEFI Astellungen ofséchert, besonnesch e BIOS/UEFI Passwuert setzen an Bootmediegeräter auszeschalten (CD, DVD, USB Support auszeschalten) fir ze verhënneren datt onerlaabt Benotzer d'System BIOS Astellunge änneren oder änneren d'Boot Apparat Prioritéit an d'Maschinn vun engem alternativ Medium booten.

Fir dës Zort Ännerung op Är Maschinn z'applizéieren, musst Dir d'Handbuch vum Motherboard Hiersteller fir spezifesch Instruktiounen konsultéieren.

4. Séchert Boot Loader

Setzt e GRUB Passwuert fir ze verhënneren, datt béiswëlleg Benotzer mat der Kernel Bootsequenz ze manipuléieren oder Niveauen auszeféieren, Kernelparameter z'änneren oder de System an e Single-User Modus starten fir Äre System ze schueden an d'Root Passwuert zréckzesetzen fir privilegiéiert Kontroll ze kréien.

5. Benotzt separat Disk Partitionen

Wann Dir CentOS op Systemer installéiert, déi als Produktiounsserver geduecht sinn, benotzt speziell Partitionen oder engagéierten Harddisken fir déi folgend Deeler vum System:

/(root) 
/boot  
/home  
/tmp 
/var

6. Benotzen LVM an Razzia fir Redundanz an Fichier System Wuesstem

D'/var Partition ass d'Plaz wou Logmeldungen op Disk geschriwwe ginn. Dësen Deel vum System kann exponentiell an der Gréisst wuessen op schwéier Traffic Serveren déi Netzwierkservicer wéi Webserver oder Dateiserver ausstelle.

Also benotzt eng grouss Partition fir /var oder betruecht dës Partition opzestellen mat logesche Bänn (LVM) oder kombinéiere verschidde physesch Disken an ee gréissere virtuelle RAID 0 Apparat fir grouss Quantitéiten un Daten z'erhalen. Fir Daten, Redundanz betruecht d'Benotzung vum LVM Layout uewen um RAID 1 Niveau.

Fir LVM oder RAID op den Disken opzestellen, befollegt eis nëtzlech Guiden:

  1. Setup Disk Storage mat LVM op Linux
  2. Erstellt LVM Disks mat vgcreate, lvcreate an lvextend
  3. Kombinéiere verschidde Disken an eng grouss virtuell Späichere
  4. Erstellt RAID 1 mat zwee Disken am Linux

7. Änneren fstab Optiounen fir sécher Daten Partitionen

Separat Partitionen geduecht fir Daten ze späicheren an d'Ausféierung vu Programmer, Apparatdateien oder Setuid Bits op dës Zort vu Partitionen ze vermeiden andeems Dir déi folgend Optiounen op d'fstab Datei bäidréit, wéi illustréiert am Auszich hei ënnen:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Fir Privileg-Eskalatioun an arbiträr Skriptausféierung ze verhënneren, erstellt eng separat Partition fir /tmp a montéiert se als nosuid, nodev an noexec.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Verschlëssele d'Hard Disks um Blockniveau mat LUKS

Fir sensibel Donnéeën Snooping am Fall vu kierperlechen Zougang zu Maschinnen Festplazen ze schützen. Ech proposéieren Iech ze léieren wéi Dir Disk verschlësselt andeems Dir eisen Artikel Linux Hard Disk Dateverschlësselung mat LUKS liest.

9. Benotzt PGP an Ëffentlech-Key Cryptography

Fir Disken ze verschlësselen, benotzt PGP an Public-Key Cryptography oder OpenSSL Kommando fir sensibel Dateien mat engem Passwuert ze verschlësselen an ze entschlësselen wéi an dësem Artikel Configure Encrypted Linux System Storage.

10. Installéiert nëmmen de Minimum Betrag vun Packagen néideg

Vermeiden onwichteg oder onnéideg Programmer, Uwendungen oder Servicer z'installéieren fir Paketschwieregkeeten ze vermeiden. Dëst kann de Risiko reduzéieren datt de Kompromëss vun engem Stéck Software fir aner Uwendungen, Deeler vum System oder souguer Dateiesystemer kompromittéiere kann, schlussendlech zu Datekorruptioun oder Dateverloscht.

11. Update de System dacks

Update de System regelméisseg. Halt de Linux Kernel synchroniséiert mat de leschte Sécherheetspatches an all installéiert Software aktuell mat de leschten Versiounen andeems Dir de folgende Kommando ausgitt:

# yum update

12. Desaktivéiere Ctrl + Alt + Del

Fir ze verhënneren datt d'Benotzer de Server nei starten wann se e kierperlechen Zougang zu enger Tastatur hunn oder iwwer eng Remote Console Applikatioun oder eng virtualiséierter Konsole (KVM, Virtualiséierung Software Interface) sollt Dir de Ctrl+Alt+Del Schlëssel deaktivéieren Sequenz andeems Dir de Kommando hei ënnen ausféiert.

# systemctl mask ctrl-alt-del.target

13. Ewechzehuelen onnéideg Software Packages

Installéiert minimal Software erfuerderlech fir Är Maschinn. Installéiert ni extra Programmer oder Servicer. Installéiert Packagen nëmme vu vertrauenswürdege oder offiziellen Repositories. Benotzt minimal Installatioun vum System am Fall wou d'Maschinn bestëmmt ass fir säi ganzt Liewen als Server ze lafen.

Verifizéiert installéiert Packagen mat engem vun de folgende Kommandoen:

# rpm -qa

Maacht eng lokal Lëscht vun all installéierten Packagen.

# yum list installed >> installed.txt

Consultéiert d'Lëscht fir nëtzlos Software a läscht e Package andeems Dir de folgende Kommando ausgitt:

# yum remove package_name

14. Restart Systemd Services no Daemon Updates

Benotzt dat hei ënnendrënner Kommando Beispill fir e Systemd Service nei ze starten fir nei Updates z'applizéieren.

# systemctl restart httpd.service

15. Ewechzehuelen onnéideg Services

Identifizéieren d'Servicer déi op spezifesch Ports lauschteren mat dem folgenden ss Kommando.

# ss -tulpn

Fir all installéiert Servicer mat hirem Ausgangsstatus ze lëschten, gitt de Kommando ënnen:

# systemctl list-units -t service

Zum Beispill, CentOS Standard minimal Installatioun kënnt mat Postfix Daemon installéiert par défaut deen mam Numm vun engem Meeschter ënner port leeft 25. Ewechzehuelen Postfix Reseau Service am Fall Är Maschinn gëtt net als Mail Server benotzt ginn.

# yum remove postfix

16. Verschlësselte iwwerdroen Donnéeën

Benotzt keng ongeséchert Protokoller fir Fernzougang oder Dateientransfer wéi Telnet, FTP, oder aner Kloertext-Héichprotokoller wéi SMTP, HTTP, NFS oder SMB déi, par défaut, d'Authentifikatiounssessiounen net verschlësselt oder d'geschéckt Donnéeën.

Benotzt nëmmen scp fir Dateitransferen, an SSH oder VNC iwwer SSH Tunnel fir Fernkonsolverbindungen oder GUI Zougang.

Fir eng VNC Konsole iwwer SSH ze tunnelen benotzt dat hei ënnendrënner Beispill deen de VNC Hafen 5901 vun der Fernmaschinn op Är lokal Maschinn weiderginn:

# ssh -L 5902:localhost:5901 remote_machine

Op der lokaler Maschinn lafen de Kommando ënnen fir eng virtuell Verbindung zum Fernendpunkt ze maachen.

# vncviewer localhost:5902

17. Network Port Scannen

Féiert extern Portkontrolle mat dem Nmap-Tool vun engem Fernsystem iwwer dem LAN. Dës Zort vu Scannen kann benotzt ginn fir Netzwierkschwieregkeeten z'iwwerpréiwen oder d'Firewallregelen ze testen.

# nmap -sT -O 192.168.1.10

18. Packet-Filter Firewall

Benotzt Firewalld Utility fir de System Ports ze schützen, spezifesch Servicer Ports opzemaachen oder zou ze maachen, besonnesch bekannt Ports (<1024).

Installéiert, start, aktivéiert a lëscht d'Firewall Regelen andeems Dir déi folgend Kommandoen ausginn:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Inspektéieren Protokoll Pakete mat Tcpdump

Benotzt den tcpdump Utility fir lokal Netzwierkpaketen ze snuffelen an hiren Inhalt fir verdächtege Verkéier z'inspektéieren (Quell-Destinatioun Ports, TCP/IP Protokoller, Layer zwee Traffic, ongewéinlech ARP Ufroen).

Fir eng besser Analyse vun der tcpdump ageholl Datei benotzt e méi fortgeschratt Programm wéi Wireshark.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. Verhënneren DNS Attacken

Inspektéiert den Inhalt vun Ärem Resolver, typesch /etc/resolv.conf Datei, déi d'IP Adress vun den DNS Serveren definéiert, déi se benotze fir no Domain Nimm ze froen, fir Man-in-the-Mëtt Attacken, onnéideg Traffic fir root DNS Server, spoof oder en DOS Attack erstellen.

Dëst ass just den éischten Deel. Am nächsten Deel wäerte mir aner Sécherheetstips fir CentOS 8/7 diskutéieren.