راهکارهای تقویت امنیت centos 7

راهکارهای افزایش و تقویت امنیت centos 7

این آموزش فقط راهنمایی های امنیتی عمومی CentOS 7 را پوشش می دهد که می تواند برای سخت شدن سیستم استفاده شود. نکات چک لیست به طور عمده مورد استفاده در انواع مختلف سرورهای فلزی و یا در ماشین (فیزیکی و مجازی) است که خدمات شبکه را ارائه می دهد.

با این حال، برخی از نکات را می توان به طور موفقیت آمیز بر روی ماشین آلات عمومی نیز مورد استفاده قرار گیرد، از جمله رومیزی، لپ تاپ و کامپیوترهای تک بورد کارت ( Raspberry Pi ).

1. حفاظت فیزیکی

دسترسی به اتاق سرور خود را قفل کنید، قفل قفل و نظارت تصویری را استفاده کنید. توجه داشته باشید که هر گونه دسترسی فیزیکی به اتاق سرور می تواند دستگاه شما را به مسائل امنیتی جدی تبدیل کند.

کلمه عبور BIOS را می توان با تنظیم مجدد اتصالات بر روی مادربرد یا جدا کردن باتری CMOS تغییر داد. همچنین یک نفوذگر میتواند هارد دیسک را سرقت کند یا دیسک سخت جدید را به طور مستقیم به رابطهای مادربرد (SATA، SCSI و غیره) وصل کند، با یک توزیع زنده لینوکس بوت کند و یا بدون نیاز به هیچ ردیابی نرم افزاری، دادههای خود را کپی کند.

2. کاهش ضربه جاسوسی

در مورد اطلاعات بسیار حساس شما احتمالا باید از حفاظت فیزیکی پیشرفته مانند قرار دادن و قفل کردن سرور به یک کلاه فرادی استفاده کنید یا از TEMPEST نظامی استفاده کنید راه حل تا به حداقل رساندن تاثیر جاسوسی سیستم از طریق رادیو و یا انتشار نشت الکتریکی باشد.

3. BIOS / UEFI امن

راه اندازی دستگاه خود را با تأمین تنظیمات بایوس / UEFI ، به ویژه تنظیم رمز ورود بایوس / UEFI و تنظیم کردن دستگاه های رسانه بوت (CD، DVD، غیرفعال کردن پشتیبانی USB) به منظور جلوگیری از کاربران غیر مجاز از تغییر تنظیمات BIOS سیستم یا تغییر اولویت دستگاه بوت و راه اندازی دستگاه از یک رسانه متناوب.

به منظور اعمال این نوع تغییرات به دستگاه شما نیاز به راهنمایی های خاص در رابطه با دستورالعمل های تولید کننده مادربرد دارید.

4. بوت لودر امن

یک رمز عبور GRUB را تنظیم کنید تا از کاربران مخرب جلوگیری از توالی بوت هسته یا سطوح اجرا، تغییر پارامترهای هسته یا شروع سیستم به یک حالت کاربر به منظور آسیب رساندن به سیستم شما و تنظیم مجدد رمز عبور ریشه برای به دست آوردن کنترل منحصر به فرد.

5. از پارتیشن جداگانه دیسک استفاده کنید

هنگام نصب CentOS بر روی سیستم هایی که به عنوان سرور تولید استفاده می شوند از پارتیشن اختصاص داده شده یا هارد دیسک اختصاصی برای قسمت های زیر استفاده می شود:

/(root) /boot  /home  /tmp /var 

6. استفاده از LVM و RAID برای افزونگی و رشد سیستم فایل

/ ور پارتیشن مکانی که در آن پیام های ورود به دیسک نوشته شده است. این قسمت از سیستم می تواند به صورت گسترده در سرورهای ترافیکی که خدمات شبکه ای مانند سرورهای وب یا سرورهای فایل نمایش داده می شود رشد کند.

بنابراین، از یک پارتیشن بزرگ برای / var استفاده کنید یا در تنظیم این پارتیشن با استفاده از حجم منطقی ( LVM ) یا ترکیب چندین دیسک فیزیکی در یک دستگاه RAID مجازی بزرگتر برای حفظ مقدار زیادی از داده ها استفاده کنید. برای اضافه کردن اطلاعات در مورد استفاده از طرح LVM در بالای سطح RAID 1 در نظر بگیرید.

7. گزینه های fstab را به قسمت های اطمینان داده شده تغییر دهید

پارتیشن های جداگانه برای ذخیره داده ها و جلوگیری از اجرای برنامه ها، فایل های دستگاه و یا بیتsetuid در این نوع پارتیشن ها با اضافه کردن گزینه های زیر به فایل fstab همانطور که در خلاصه زیر نشان داده شده است:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

برای جلوگیری از افزایش امتیاز و اجرای اسکریپت دلخواه یک پارتیشن جداگانه برای / tmp ایجاد کرده و آن را به عنوان nosuid ، nodev و noexec نصب کنید .

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. هارد دیسک را با بلوک LUKS رمزگذاری کنید

به منظور محافظت از اطلاعات حساس در مورد دسترسی فیزیکی به هارد درایو دستگاه. من پیشنهاد می کنم که شما با یاد دادن مقاله ی لینوکس دیسک سخت لینوکس با LUKS، چگونگی رمزگذاری دیسک را یاد بگیرید .

9. از رمزنگاری عمومی و عمومی استفاده کنید

برای رمزگذاری دیسک، از دستور PGP و رمزنگاری عمومی کلید یا دستور openssl برای رمزگذاری و رمزگشایی فایل های حساس با رمز عبور استفاده کنید، همانطور که در این مقاله نشان داده شده است، پیکربندی ذخیره سازی سیستم لینوکس رمزگذاری شده .

10. حداقل حداقل بسته های مورد نیاز را نصب کنید

برای جلوگیری از آسیب پذیری های بسته، از نصب برنامه های غیر ضروری یا برنامه های کاربردی یا خدمات استفاده نکنید. این می تواند خطر را کاهش دهد که سازش یک قطعه نرم افزار ممکن است منجر به سازگاری با برنامه های دیگر، بخش های سیستم یا حتی سیستم های فایل شود و در نهایت منجر به فساد داده یا از دست دادن اطلاعات شود.

شما می توانید با خرید سرور مجازی و یا سرور اختصاصی از قائم هاست یک سرور بسیار قدرتمند و ارزان داشته باشید و با خرید سرور مجازی centos میتوانید از آخرین ورژن centos بصورت نصب شده و آماده با بهترین نوع پارتیشن بندی بهرمند شوید.