La mega guía para endurecer y asegurar CentOS 7 - Parte 1


Este tutorial solo cubre consejos de seguridad generales para CentOS 7 que se pueden usar para fortalecer el sistema. Las sugerencias de la lista de verificación están pensadas para ser utilizadas principalmente en varios tipos de servidores externos o en máquinas (físicas o virtuales) que proporcionan servicios de red.

Sin embargo, algunos de los consejos también se pueden aplicar con éxito en máquinas de propósito general, como computadoras de escritorio, computadoras portátiles y computadoras de una sola tarjeta del tamaño de una tarjeta ( Raspberry Pi ).

  1. CentOS 7 Minimal Installation

1. Protección física

Bloquee el acceso a las salas de servidores, use el bloqueo de racks y la videovigilancia. Tenga en cuenta que cualquier acceso físico a las salas de servidores puede exponer su máquina a serios problemas de seguridad.

Las contraseñas de BIOS se pueden cambiar restableciendo los puentes en la placa base o desconectando la batería CMOS. Además, un intruso puede robar los discos duros o directamente agregar nuevos discos duros a las interfaces de la placa base (SATA, SCSI, etc.), arrancar con una distribución de Linux en vivo y clonar o copiar datos sin dejar rastro de software.

2. Reducir el impacto de espionaje

En caso de datos altamente confidenciales, probablemente debería usar protección física avanzada, como colocar y bloquear el servidor en una Jaula de Faraday o uso una solución militar de TEMPEST para minimizar el impacto de espionaje del sistema por radio o emanaciones de fugas eléctricas.

3. BIOS seguro / UEFI

Inicie el proceso de endurecimiento de su máquina asegurando la configuración de BIOS/UEFI , especialmente establezca una contraseña de BIOS/UEFI y deshabilite los dispositivos de medios de arranque (CD, DVD, deshabilite la compatibilidad con USB) en para evitar que usuarios no autorizados modifiquen la configuración del BIOS del sistema o alteren la prioridad del dispositivo de arranque y arranquen la máquina desde un medio alternativo.

Para aplicar este tipo de cambios a su máquina, debe consultar el manual del fabricante de la placa base para obtener instrucciones específicas.

4. Asegurar el cargador de arranque

Establezca una contraseña GRUB para evitar que usuarios malintencionados manipulen la secuencia de arranque o los niveles de ejecución del kernel, edite los parámetros del kernel o inicie el sistema en modo de usuario único para dañar su sistema y restablezca la contraseña de root para obtener privilegios controlar.

5. Utilice particiones de disco separadas

Al instalar CentOS en sistemas destinados a servidores de producción, use particiones dedicadas o discos duros dedicados para las siguientes partes del sistema:

/(root) 
/boot  
/home  
/tmp 
/var 

6. Utilice LVM y RAID para redundancia y crecimiento del sistema de archivos

La partición /var es el lugar donde los mensajes de registro se escriben en el disco. Esta parte del sistema puede aumentar de tamaño exponencial en servidores con mucho tráfico que exponen servicios de red como servidores web o servidores de archivos.

Por lo tanto, use una partición grande para /var o considere la posibilidad de configurar esta partición usando volúmenes lógicos ( LVM ) o combine varios discos físicos en un dispositivo RAID 0 virtual más grande para mantener Grandes cantidades de datos. Para la redundancia de datos, considere utilizar el diseño de LVM en la parte superior del nivel RAID 1 .

Para configurar LVM o RAID en los discos, siga nuestras guías útiles:

  1. Setup Disk Storage with LVM in Linux
  2. Create LVM Disks Using vgcreate, lvcreate and lvextend
  3. Combine Several Disks into One Large Virtual Storage
  4. Create RAID 1 Using Two Disks in Linux

7. Modifique las opciones de fstab para asegurar las particiones de datos

Separe las particiones destinadas a almacenar datos y evite la ejecución de programas, archivos de dispositivos o bits setuid en este tipo de particiones agregando las siguientes opciones a fstab como se ilustra a continuación extracto:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

Para evitar la escalada de privilegios y la ejecución de secuencias de comandos arbitrarias, cree una partición separada para /tmp y móntela como nosuid , nodev y noexec .

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. Cifre los discos duros a nivel de bloque con LUKS

Con el fin de proteger la confidencialidad de los datos en caso de acceso físico a los discos duros de la máquina. Le sugiero que aprenda cómo cifrar el disco leyendo nuestro artículo Cifrado de datos de disco duro de Linux con LUKS.

9. Utilice PGP y criptografía de clave pública

Para cifrar discos, use PGP y Criptografía de clave pública o el comando openssl para cifrar y descifrar archivos confidenciales con una contraseña como se muestra en este artículo.

10. Instale solo la cantidad mínima de paquetes requeridos

Evite instalar programas, aplicaciones o servicios no importantes o innecesarios para evitar vulnerabilidades en los paquetes. Esto puede disminuir el riesgo de que el compromiso de una parte del software pueda comprometer otras aplicaciones, partes del sistema o incluso sistemas de archivos, lo que finalmente resulta en la corrupción de datos o la pérdida de datos.

Todos los derechos reservados © Linux-Console.net • 2019-2021