Bảo mật hệ thống CentOS

1. Bảo vệ ở mức vật lý

Đảm bảo phòng server được khoá cẩn thận, sử dụng các chìa khoá và camera an ninh. Bởi vì việc cho những người không có thẩm quyền tiếp cận vào phòng server sẽ đặt ra nhiều rủi ro về bảo mật.

2. Giảm thiểu các tác động gián điệp

Trong trường hợp có nhiều dữ liệu nhạy cảm, bạn có thể sử dụng các giải pháp bảo vệ vật lí nâng cao như đặt server trong một thiết bị như Faraday Cage hoặc dùng một giải pháp có hơi hướng quân động như TEMPEST để giảm thiểu các tác động gián điệp bằng sóng radio hoặc qua nguồn điện

3. Bảo mật BIOS/UEFI

Bắt đầu quá trình bảo mật bắt đầu từ các cài đặt là BIOS/UEFI, đặt một mật khẩu BIOS/UEFO và chặn việc boot từ các thiết bị bên ngoài (CD/DVD/USB) cũng như ngăn chặn việc thay đổi cài đặt BIOS cũng như việc boot từ thiết bị bên ngoài. Tuy nhiên để thực hiện những bảo mật này bạn cần phải xem xét là mainboard của các bạn có hỗ trợ các tính năng bảo mật nâng cao này không

4. Bảo mật Boot Loader

Đặt một password dành cho GRUB để ngăn chặn việc khởi động vào chế độ single-user và đặt lại Password Root từ đó chiếm quyền sở hữu hệ thống

5. Sử dụng các phân vùng ổ đĩa riêng biệt

Khi cài đặt, người quản trị nên lưu trữ các thành phần chính của hệ thống ra các phân vùng riêng biệt. Ví dụ như: /(root), /boot, /home, /tmp, /var

6. Sử dụng LVM và RAID

Phân vùng /var là nơi mà các log của hệ thống được ghi vào ổ đĩa. Riêng phần này của hệ thống có thể gia năng rất nhanh về dung lượng, do vậy bạn có thể xem xét việc thiết lập phân vùng này sử dụng logical volumes (LVM) hoặc gộp nhiều ổ đĩa vật lí thành một ổ ảo lớn RAID 0 để có thể chịu đựng được lượng dữ liệu lớn về dữ liệu, xem xét việc dùng kiến trúc LVM ở trên cấp độ RAID 1

Với các phân vùng chỉ dùng để lưu trữ dữ liệu thì bạn có thể ngăn chặn việc thực thi các phần mềm ở đây, bạn có thể thêm các thiết đặt vào fstab như hình dưới

/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2

Để ngăn chặn việc leo thang đặc quyền và việc thực thi script trái phép bạn có thể tạo một phân vùng riêng cho thư mục /tmp và mount nó dưới dạng nosuid, nodev và noexec

/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0

7. Sử dụng PGP và Public Keys

Ngoài việc dùng LUKS bạn có thể dùng PGP và Public-Key và câu lệnh OpenSSL để mã hoá và giải mã các files nhạy cảm

8. Chỉ cài đặt những packages thực sự cần thiết

Hạn chế việc cài đặt những phần mềm không cần thiết để tránh việc gặp các lỗ hổng ở các phần mềm. Hãy giảm thiểu tối đa số lượng các package tồn tại trên hệ thống, chỉ cài khi thực sự cần thiết

9. Cập nhật phần mềm thường xuyên

Cập nhật phần mềm thường xuyên và đảm bảo nhân Linux của bạn được đồng bộ với các bản vá mới nhất của hệ thống cũng như các phần mềm được cài đặt trên hệ thống được cập nhật mới nhất bằng cách chạy câu lệnh dưới đây

yum update

10. Lọc các packet qua Firewall

Sử dụng công cụ firewalld để bảo vệ các cổng của hệ thống, đóng hoặc mở một cổng cụ thể (Đặc biệt là các port phổ biến <1024)

Cài đặt, khởi động, kích hoạt và liệt kê các quy tắc của firewall bằng cách sử dụng các câu lệnh dưới đây

yum install firewalld

systemctl start firewalld.service

systemctl enable firewalld.service

firewall-cmd --list-all