CentOS 7的安全和加固
要求
1.物理保护
锁定您的服务器机房访问,使用机架锁定和视频监控。考虑到对服务器机房的任何物理访问都会使您的计算机遭受严重的安全问题。 BIOS密码可以通过重新设置主板上的跳线或断开CMOS电池被改变。此外,入侵者可以窃取硬盘或直接将新硬盘连接到主板接口(SATA,SCSI等),使用Linux live distro启动,克隆或复制数据,而不留下任何软件跟踪。2.减少间谍影响
在高度敏感的数据的情况下,你应该使用先进的物理保护,如放置和锁定服务器到一个 法拉第笼或使用军事 TEMPEST为了尽量减少通过无线电或电泄漏放射物间谍系统的影响的解决方案。3.安全BIOS / UEFI
开始通过确保 BIOS / UEFI设置 ,强化机器的过程中,尤其是为了防止未经授权的用户修改系统BIOS设置或改变设置 BIOS / UEFI密码,并禁用引导媒体设备(CD,DVD,禁用USB支持)引导设备优先级并从备用介质引导机器。 为了将这种类型的更改应用于您的机器,您需要查阅主板制造商手册以获取特定说明。4.安全引导加载程序
为了防止恶意用户与内核引导序列或运行级别,编辑内核参数篡改或启动系统进入单用户模式,以损害你的系统并设置 GRUB密码 重置root密码来获得特权控制。5.使用单独的磁盘分区
当安装在打算作为生产服务器系统 的CentOS使用该系统的以下部分专用分区或专用硬盘:/(root) /boot /home /tmp /var
6.使用LVM和RAID实现冗余和文件系统增长
/var分区就是日志消息被写入到磁盘的地方。这部分系统在大流量服务器上的大小可以呈指数增长,这些服务器暴露网络服务,如Web服务器或文件服务器。 因此,使用 /var大的分区或考虑使用逻辑卷 (LVM)设置这个分区或合并多个物理磁盘到一个更大的虚拟RAID 0设备以维持大量的数据。 数据冗余审议关于 RAID 1的水平之上使用LVM布局。 要在磁盘上设置LVM或RAID,请按照我们的有用指南:7.将fstab选项修改为安全数据分区
单独的分区用于通过添加下列选项的下面摘录如下图所示 ,fstab文件存储数据,防止程序,设备文件或者 setuid位对这些类型的分区执行:/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2为了防止特权升级和任意脚本执行创建 / tmp目录一个单独的分区和安装作为 了nosuid, 为nodev和 NOEXEC。
/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0