10 najlepszych kontroli bezpieczeństwa Red Hat Enterprise Linux 5

Pomimo przekroczenia ponad pół dekady od premiery, Red Hat Enterprise Linux (RHEL) 5 jest nadal w powszechnym użyciu i będzie nadal wspierany przez Red Hat do 30 listopada 2020 r. Ulepszenia zabezpieczeń w nowszych wersjach systemu RHEL, takie jak ulepszone zabezpieczenia systemu Linux (SELinux) i zabezpieczenia maszyn wirtualnych (tj. Svirt), gwarantują terminowe uaktualnienie, ale organizacje, które nie są w stanie tego zrobić, mogą nadal wzmacniać RHEL 5, aby uzyskać silny stan zabezpieczeń.

Poniżej przedstawiono 10 krytycznych kontroli zabezpieczeń w celu zapewnienia, że wdrożenie systemu RHEL 5 jest odpowiednio zabezpieczone przed atakami cybernetycznymi.

10 najważniejszych krytycznych kontroli zabezpieczeń dla systemu RHEL 5

1. Montuj systemy plików z katalogami zapisywalnymi przez użytkownika na oddzielnych partycjach.

Upewnij się, że systemy plików z katalogami zapisywanymi przez użytkownika są zamontowane na oddzielnych partycjach podczas początkowej instalacji. Poniżej znajdują się przykłady takich katalogów:

  • /dom
  • /Tmp
  • /var/tmp

2. Użyj nosuid, nodev i no exec.

W wielu przypadkach hakerzy używają tymczasowych katalogów przechowywania, takich jak /tmp, do przechowywania i uruchamiania złośliwych programów. Zmiana opcji montowania w /etc/fstab w celu ograniczenia dostępu użytkownika do odpowiednich systemów plików podczas konfiguracji systemu może temu zapobiec:

  • noexec uniemożliwia wykonywanie plików binarnych w systemie plików
  • nosuid zapobiegnie zadziałaniu bitu setuid
  • Opcja nodev uniemożliwia korzystanie z plików urządzenia w systemie plików

3. Wyłącz uruchamianie z nośników wymiennych.

Skonfigurowanie systemu BIOS w celu wyłączenia uruchamiania z dysków CD/DVD/USB, zapobiega potajemnemu ładowaniu złośliwego oprogramowania. Dodatkowo dostęp do ustawień systemu BIOS powinien być chroniony hasłem.

4. Ustaw hasło dla bootloadera GRUB.

Bootloader GRUB powinien być chroniony hasłem, ponieważ potencjalni atakujący mogą go użyć do uruchomienia w trybie pojedynczego użytkownika w celu uzyskania dostępu root.

  1. Wygeneruj skrót hasła przy użyciu /sbin/grub-md5-crypt
  2. Dodaj skrót do pierwszego wiersza pliku /etc/grub.conf: password --md5 passwordhash

To skutecznie zapobiega przechodzeniu użytkowników w tryb pojedynczego użytkownika.

5. Nie używaj domyślnego yum-updatesd.

Aktualizacje mają kluczowe znaczenie dla zapewnienia bezpieczeństwa systemu, ale domyślne wersje yum-updatesd są wadliwe; Zamiast tego zastosuj aktualizacje, konfigurując zadanie cron. Można to osiągnąć, wykonując następujące czynności:

1. Wyłącz usługę yum-updatesd: /sbin/chkconfig yum-updatesd off
2. Utwórz plik yum.cron:

#!/bin/sh
/usr/bin/yum -R 120 -e 0 -d 0 -y aktualizacja yum
/usr/bin/yum -R 10 -e 0 -d 0 -y aktualizacja

Ten plik powinien być wykonywalny i umieszczony w /etc/cron.daily lub /etc/cron.weekly.

6. Usuń X Windows z systemu.

Są szanse, że nie będziesz potrzebować GUI do ogólnych zadań administracyjnych serwera. Dlatego najlepiej jest usunąć X Windows, aby wyeliminować możliwość jego wykorzystania:

  • yum groupusuń "X Window System"

7. Upewnij się, że /boot jest tylko do odczytu.

Ten folder jest domyślnie ustawiony na tryb RW, mimo że jest używany tylko do odczytu/ładowania modułów i jądra. Dlatego powinien być ustawiony na tylko do odczytu w /etc/fstab:

  • /dev/sda1 /boot ext2 domyślne ro 1 2

8. Ogranicz dostęp SSH.

SSH powinien być zarówno ograniczony z dostępu root, jak i ograniczony do podzbioru użytkowników. Można to osiągnąć, dodając następujące elementy do /etc/ssh/sshd_config:

PermitRootLogin bez
protokołu 2

Następnie należy dodać grupę sshusers do /etc/ssh/sshd_config:

ZezwólGrupom sshusers

9. Upewnij się, że niepotrzebne usługi są wyłączone.

Użyj następującego polecenia, aby wyłączyć zbędne usługi:

  • /sbin/chkconfig nazwa_usługi wyłączona

Następujące usługi można bezpiecznie wyłączyć, jeśli nie są używane:

  • Anacron (Anakron)
  • Protokół apmd
  • autofs (oprogramowanie autofs)
  • avahi-demon
  • Łączność Bluetooth
  • Filiżanek
  • Pierwsze uruchomienie
  • gpm
  • Haldaemon powiedział:
  • ukryty
  • HPLIP (Biblioteka HPLI
  • isdn
  • kdump powiedział:
  • kudzu
  • MCSTRANS powiedział:
  • Monitorowanie zarządzania
  • Magistrala komunikatów
  • microcode_ctl
  • PCSCD (Biblioteka PCSCD)
  • wstępne czytanie
  • przeczytaj później
  • Kanał RHNSD
  • SeTroubleshoot (Rozwiązywanie problemów)

10. Skonfiguruj system tak, aby pytał o hasło roota przed przejściem do trybu pojedynczego użytkownika.

Twój system powinien być skonfigurowany tak, aby pytał o hasło roota przed przejściem w tryb pojedynczego użytkownika, aby zapobiec potencjalnemu wykorzystaniu (np. zrzucaniu skrótów haseł). Można to osiągnąć, dodając następujący wiersz do /etc/inittab:

  • su:S:wait:/sbin/sulogin

Szukasz sposobu na sprawdzenie, czy te kontrole bezpieczeństwa są przeprowadzane automatycznie, za pomocą zaledwie kilku kliknięć myszką? Oparty na zasadach pakiet testowy ScriptRock może sprawdzić, czy te kontrole zabezpieczeń są stosowane i spójne we wszystkich węzłach serwera RHEL 5. Daj mu dziś jazdę próbną na nas.

Źródeł

http://www.puschitz.com/SecuringLinux.shtml

Powiązane artykuły