加强和保护CentOS 7指南 - 第1部分

本教程只涵盖可用于加固系统CentOS 7一般安全提示。清单提示主要用于各种类型的裸机服务器或提供网络服务的机器(物理或虚拟)。
CentOS 7的安全和加固

CentOS 7的安全和加固

然而,一些技巧可以成功地应用在通用机也是如此,如台式机,笔记本电脑和卡片式单板计算机(Raspberry Pi)。

要求

  1. CentOS 7最小安装

1.物理保护

锁定您的服务器机房访问,使用机架锁定和视频监控。考虑到对服务器机房的任何物理访问都会使您的计算机遭受严重的安全问题。 BIOS密码可以通过重新设置主板上的跳线或断开CMOS电池被改变。此外,入侵者可以窃取硬盘或直接将新硬盘连接到主板接口(SATA,SCSI等),使用Linux live distro启动,克隆或复制数据,而不留下任何软件跟踪。

2.减少间谍影响

在高度敏感的数据的情况下,你应该使用先进的物理保护,如放置和锁定服务器到一个法拉第笼或使用军事TEMPEST为了尽量减少通过无线电或电泄漏放射物间谍系统的影响的解决方案。

3.安全BIOS / UEFI

开始通过确保BIOS / UEFI设置强化机器的过程中,尤其是为了防止未经授权的用户修改系统BIOS设置或改变设置BIOS / UEFI密码,并禁用引导媒体设备(CD,DVD,禁用USB支持)引导设备优先级并从备用介质引导机器。 为了将这种类型的更改应用于您的机器,您需要查阅主板制造商手册以获取特定说明。

4.安全引导加载程序

为了防止恶意用户与内核引导序列或运行级别,编辑内核参数篡改或启动系统进入单用户模式,以损害你的系统并设置GRUB密码重置root密码来获得特权控制。

5.使用单独的磁盘分区

当安装在打算作为生产服务器系统的CentOS使用该系统的以下部分专用分区或专用硬盘:
/(root) 
/boot  
/home  
/tmp 
/var 

6.使用LVM和RAID实现冗余和文件系统增长

/var分区就是日志消息被写入到磁盘的地方。这部分系统在大流量服务器上的大小可以呈指数增长,这些服务器暴露网络服务,如Web服务器或文件服务器。 因此,使用/var大的分区或考虑使用逻辑卷(LVM)设置这个分区或合并多个物理磁盘到一个更大的虚拟RAID 0设备以维持大量的数据。 数据冗余审议关于RAID 1的水平之上使用LVM布局。 要在磁盘上设置LVM或RAID,请按照我们的有用指南:
  1. 在Linux中使用LVM设置磁盘存储
  2. 使用vgcreate,lvcreate和lvextend创建LVM磁盘
  3. 将多个磁盘组合成一个大型虚拟存储
  4. 在Linux中使用两个磁盘创建RAID 1

7.将fstab选项修改为安全数据分区

单独的分区用于通过添加下列选项的下面摘录如下图所示,fstab文件存储数据,防止程序,设备文件或者setuid位对这些类型的分区执行:
/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2
为了防止特权升级和任意脚本执行创建/ tmp目录一个单独的分区和安装作为了nosuid, 为nodevNOEXEC。
/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8.使用LUKS在块级别加密硬盘

为了保护敏感数据窥探在物理访问机器硬盘驱动器。我建议你学习如何通过阅读我们的文章磁盘加密的Linux硬盘数据加密与陆氏

9.使用PGP和公钥密码术

为了加密磁盘,使用PGP和公钥密码或OpenSSL的命令,如图本文中使用密码加密和解密的敏感文件配置加密的Linux系统存储

10.仅安装所需的最小软件包数量

避免安装不重要或不必要的程序,应用程序或服务,以避免软件包漏洞。这可以降低一个软件的损害可能导致损害其他应用程序,系统的部分或甚至文件系统,最终导致数据损坏或数据丢失的风险。