Thứ Bảy, Tháng 4 19, 2025
Google search engine
HomelinuxBảo vệBảo mật Máy chủ CentOS bằng Bastille và PSAD
linuxBảo vệcentos

Bảo mật Máy chủ CentOS bằng Bastille và PSAD

admin
By admin
0
17

Bảo mật Máy chủ CentOS bằng Bastille và PSAD

Bài viết này hướng dẫn cách bảo mật máy chủ CentOS bằng psad, Bastille và một số chỉnh sửa khác. psad là một công cụ giúp phát hiện quét cổng và các lưu lượng đáng ngờ khác và chương trình tăng cường Bastille khóa hệ điều hành, chủ động cấu hình hệ thống để tăng cường bảo mật và giảm khả năng bị xâm phạm.

Tạo tài khoản bổ sung cho Quản trị hệ thống

Lệnh “adduser” sẽ tạo một tài khoản.

adduser service

Lệnh “passwd” sẽ đặt mật khẩu cho tài khoản “dịch vụ”.

passwd service

Tạo một thư mục để tải xuống.

Thao tác này sẽ tạo một thư mục để tải xuống RPM và các tệp khác.

mkdir /downloads
cd /downloads

Cài đặt PSAD

psad là một tập hợp ba daemon hệ thống nhẹ (hai daemon chính và một daemon trợ giúp) chạy trên các máy Linux và phân tích thông báo nhật ký Netfilter để phát hiện quét cổng và các lưu lượng đáng ngờ khác. Thông tin chi tiết có thể được tìm thấy ở đây.

wget http://www.cipherdyne.com/psad/download/psad-2.4.6.tar.gz
tar xfz psad-2.4.6.tar.gz
cd psad-2.4.6
./install.pl

Cài đặt Bastille

Chương trình Bastille Hardening “khóa” hệ điều hành, chủ động cấu hình hệ thống để tăng cường bảo mật và giảm tính dễ bị xâm phạm. Bastille cũng có thể đánh giá trạng thái cứng hiện tại của hệ thống, báo cáo chi tiết về từng cài đặt bảo mật mà nó hoạt động. Thông tin chi tiết có thể được tìm thấy ở đây.

wget https://downloads.sourceforge.net/project/bastille-linux/bastille-linux/3.2.1/Bastille-3.2.1-0.1.noarch.rpm

rpm -ivh Bastille-3.2.1-0.1.noarch.rpm

Chạy Bastille

Điều này sẽ bắt đầu lời nhắc tương tác.

/usr/sbin/bastille -c

Phản hồi nhanh tương tác

Các cài đặt này là khuyến nghị cho cài đặt Perfect Setup. Có thể cần phải thay đổi một số giá trị nhất định nếu phần mềm hoặc gói khác đã được cài đặt.

Chấp nhận

<ENTER>

Bạn có muốn đặt các quyền hạn chế hơn trên các tiện ích quản trị không? -> CÓ

<ENTER>

Bạn có muốn tắt trạng thái SUID cho mount / umount không? -> CÓ
Bạn có muốn tắt trạng thái SUID để ping không? -> CÓ
Bạn có muốn tắt trạng thái SUID cho lúc không? -> CÓ
Bạn có muốn tắt công cụ r không? -> CÓ
Bạn có muốn tắt trạng thái SUID cho usernetctl không? -> CÓ
Bạn có muốn tắt trạng thái SUID để theo dõi không? -> CÓ
Bastille có nên vô hiệu hóa các giao thức r-văn bản rõ ràng sử dụng xác thực dựa trên IP không? -> CÓ
Bạn có muốn thực thi việc lão hóa mật khẩu không? -> CÓ
Bạn có muốn đặt umask mặc định không? -> CÓ
Bạn muốn đặt umask nào cho người dùng trên hệ thống? -> 007
Chúng ta có nên không cho phép đăng nhập root vào ngày 1-6 của tty không? -> KHÔNG
Bastille có nên yêu cầu bạn xóa các tài khoản không liên quan không? -> KHÔNG
Bạn có muốn bảo vệ lời nhắc GRUB bằng mật khẩu không? -> KHÔNG
Bạn có muốn tắt khởi động lại CTRL-ALT-DELETE không? -> CÓ
Bạn có muốn đặt chế độ bảo vệ bằng mật khẩu cho một người dùng không? -> KHÔNG
Bạn có muốn đặt từ chối mặc định trên TCP Wrappers và xinetd không? -> KHÔNG
Bạn có muốn hiển thị thông báo "Sử dụng được phép" tại thời điểm đăng nhập không? -> CÓ
Ai chịu trách nhiệm cấp quyền sử dụng máy này? -> TÊN CÔNG TY CỦA BẠN
Bạn có muốn đặt giới hạn cho việc sử dụng tài nguyên hệ thống không? -> CÓ

<ENTER>

Chúng ta có nên hạn chế quyền truy cập bảng điều khiển đối với một nhóm nhỏ tài khoản người dùng không? -> CÓ
Những tài khoản nào sẽ có thể đăng nhập tại bảng điều khiển? -> gốc
Bạn có muốn thiết lập kế toán quá trình không? -> KHÔNG

<ENTER>

Bạn có muốn tắt acpid và / hoặc apmd không? -> CÓ
Bạn có muốn tắt các dịch vụ PCMCIA không? -> CÓ
Bạn có muốn tắt GPM không? -> CÓ
Bạn có muốn hủy kích hoạt tập lệnh HP OfficeJet (hpoj) trên máy này không? -> CÓ
Bạn có muốn hủy kích hoạt tập lệnh ISDN trên máy này không? -> CÓ
Bạn có muốn hủy kích hoạt hoạt động của kudzu khi khởi động không? -> CÓ
Bạn có muốn ngăn sendmail chạy ở chế độ daemon không? -> CÓ
Bạn có muốn hủy kích hoạt có tên, ít nhất là bây giờ? -> KHÔNG
Bạn có muốn hủy kích hoạt máy chủ web Apache không? -> KHÔNG
Bạn có muốn liên kết máy chủ Web để chỉ lắng nghe localhost không? -> KHÔNG
Bạn có muốn liên kết máy chủ web với một giao diện cụ thể không? -> KHÔNG

<ENTER>

Bạn có muốn hủy kích hoạt phần sau của các liên kết tượng trưng không? -> CÓ
Bạn có muốn tắt tính năng in không? -> CÓ
Bạn có muốn cài đặt tập lệnh TMPDIR / TMP không? -> KHÔNG
Bạn có muốn chạy tập lệnh lọc gói tin không? -> CÓ

<ENTER>

Bạn có cần các tùy chọn mạng nâng cao không? -> KHÔNG
Máy chủ DNS: [0.0.0.0/0] -> ** ĐỂ LẠI ĐỊNH NGHĨA **
Giao diện công khai: -> eth +
Các dịch vụ TCP cần kiểm tra: -> telnet ftp imap pop3 ngón tay sunrpc thực thi đăng nhập linuxconf ssh
Dịch vụ UDP để kiểm tra: -> 31337
Các dịch vụ ICMP để kiểm tra: -> ** BLANK **
Tên dịch vụ TCP hoặc số cổng để cho phép trên các giao diện công cộng: -> 21 22 25 53 80 110 111 143 443 631 953 993 995 3306
Tên dịch vụ UDP hoặc số cổng để cho phép trên các giao diện công cộng: -> ** BLANK **
Bắt buộc chế độ bị động? -> CÓ
Các dịch vụ TCP cần chặn: -> 2049 2065: 2090 6000: 6020 7100
Các dịch vụ UDP cần chặn: -> 2049 6770
Các loại ICMP được phép: -> đã vượt quá thời gian trả lời echo-không thể truy cập đích đến
Bật xác minh địa chỉ nguồn? -> CÓ
Phương thức từ chối: -> DENY
Giao diện cho các truy vấn DHCP: -> ** BLANK **
Máy chủ NTP để truy vấn: -> ** BLANK **
Các loại ICMP không cho phép gửi đi: -> đã vượt quá thời gian không thể truy cập đích đến
Bastille có nên chạy tường lửa và kích hoạt nó lúc khởi động không? -> CÓ
Bạn có muốn thiết lập psad không? -> CÓ
khoảng thời gian kiểm tra psad: -> 15
Ngưỡng quét phạm vi cổng: -> 1
Bật tính năng liên tục quét? -> KHÔNG
Thời gian chờ quét: -> 3600
Hiển thị tất cả các chữ ký quét? -> KHÔNG
Mức độ nguy hiểm: -> 5 50 1000 5000 10000
Địa chỉ email: -> [email được bảo vệ]
Email cảnh báo mức độ nguy hiểm: -> 1
Cảnh báo về tất cả các gói tin mới? -> CÓ
Bật tính năng tự động chặn IP quét? -> KHÔNG
Bastille có nên bật psad lúc khởi động không? -> CÓ
Bạn đã trả lời xong các câu hỏi chưa, tức là chúng tôi có thể thực hiện các thay đổi không? -> CÓ

<TAB>

Chỉnh sửa cấu hình SSH

Điều này sẽ thực hiện thêm một bước để bảo mật SSH. Các cài đặt sau sẽ:

  • đảm bảo rằng SSHv2 được sử dụng
  • người dùng root không thể đăng nhập trực tiếp qua SSH
  • tài khoản không có mật khẩu sẽ không được phép đăng nhập
  • một biểu ngữ đăng nhập sẽ được hiển thị.
vi /etc/ssh/sshd_config

Chỉnh sửa các dòng sau và xóa nhận xét. Đừng quên lưu và thoát.

#Protocol 2,1 -> Protocol 2
#PermitRootLogin yes -> PermitRootLogin no
#PermitEmptyPasswords no -> PermitEmptyPasswords no
#Banner /some/path -> Banner /etc/issue

Khởi động lại hệ thống

Vui lòng khởi động lại hệ thống để kiểm tra lần cuối. Đảm bảo mọi thứ bắt đầu đúng cách.

reboot
Previous articleCách tắt thông báo đẩy (Windows / Mac, iOS / Android, Tất cả trình duyệt và hơn thế nữa)
Next articleGoogle Cloud so với AWS vào năm 2022 (So sánh những người khổng lồ)
admin
adminhttps://khanhle.id.vn/
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -
Google search engine

Most Popular

Load more

Recent Comments

Mark on 33 Phông chữ Chữ thảo đẹp để Nâng cao Trang web của Bạn

EDITOR PICKS

POPULAR POSTS

POPULAR CATEGORY

ABOUT US

Newspaper is your news, entertainment, music fashion website. We provide you with the latest breaking news and videos straight from the entertainment industry.

Contact us: contact@yoursite.com

FOLLOW US

© Newspaper WordPress Theme by TagDiv