بایگانی مرکز اسناد

 اسکریپت امن‌سازی سیستم‌عامل CentOS به همراه ابزار و راهنمای استفاده

اسکریپت امن‌سازی سیستم‌عامل CentOS به همراه ابزار و راهنمای استفاده

اسکریپت امن‌سازی سیستم‌عاملCentOS-7
اسکریپت تهیه شده با هدف امن‌سازی ماشین سرویس‌دهنده CentOS نسخه هفتی است که تازه نصب شده و هنوز هیچ برنامه کاربردی بر روی آن نصب نشده است. این اسکریپت بر اساس دو مستند امن‌سازی سیستم عامل (بخش اول و بخش دوم) تهیه شده است. توسط این اسکریپت، کلیه‌ی پارامترهای امن‌سازی سیستم‌عامل CentOS نسخه‌ی 7 اشاره شده در دو مستند فوق به‌صورت خودکار اعمال می‌گردند. تغییراتی که پس از اجرای اسکریپت در سیستم اعمال می‌گردند عبارتند از:
1. به‌روزرسانی مخزن بسته‌ها و بسته‌های نصب شده‌ی سیستم
2. امن‌سازی هسته‌ی لینوکس و مقاوم‌سازی در برابر حملات شبکه‌ای
3. اضافه کردن پارامترهای امنیتی به پارتیشن‌های سیستم
4. امن‌سازی تنظیمات SSH
5. اعمال قوانین دیواره‌ی آتش بر روی سیستم
6. ایجاد یک کاربر با نام admin و تولید رمزعبور پیچیده برای آن
7. تنظیم سیاست‌های رمزعبور کاربران سیستم
8. تنظیم مجوزهای دسترسی در پوشه‌هایی که اجازه‌ی نوشتن دارند
9. نصب و پیکربندی پیش‌فرض سیستم تشخیص نفوذ AIDE
10. فعال‌سازی و پیکربندی SELinux
11. حذف و غیرفعال‌سازی سرویس‌های غیرضروری
12. نصب ابزار کشف rootkit در سیستم
13. فعال‌سازی Syslog و ارسال رویدادها به سیسلاگ مرکزی
14. ممیزی و ثبت کامل رویدادهای سیستم از جمله:
a. رویدادهای فعال‌سازی/غیرفعال‌سازی ماژول‌های هسته
b. رویدادهای فعالیت‌های مدیر سیستم و دستورات وارد شده توسط آن
c. رویدادهای حذف فایل‌ها
d. رویدادهای دسترسی غیرمجاز به فایل‌ها
e. رویدادهای Mount/Unmount شدن منابع جدید به سیستم
f. رویدادهای ورود و خروج‌های موفق یا ناموفق کاربران به سیستم
g. رویدادهای نشست‌های ایجاد شده و پایان یافته سیستم
h. رویدادهای تغییرات شبکه‌ای سیستم

توصیه می‌شود که بلافاصله پس از نصب سیستم‌عامل، ابتدا توسط اسکریپت فوق، عملیات امن‌سازی اعمال شده و سپس سرویس‌ها و برنامه‌های کاربردی مورد نظر نصب گردند.

برای اجرای امن‌سازی، بایستی ابتدا فایل centos7-hardening.bin را بر روی سیستم عامل CentOS-7 کپی و توسط دستور chmod a+x centos7-hardening.bin آن را اجرایی نمود.

سپس بایستی از برقراری ارتباط ماشین با اینترنت جهت به‌روزرسانی و دانلود بسته‌های امنیتی مطمئن شد. درصورت عدم برقراری ارتباط با اینترنت، پروسه امن‌سازی متوقف می‌گردد.

در حین امن‌سازی، سوال‌هایی از راهبر سیستم پرسیده شده و بنا به انتخاب‌ها و پاسخ‌های وی، ماشین پیکربندی می‌گردد.

پس از اتمام عملیات امن‌سازی، سه فایل در مسیر /var/log/apa/ ایجاد می‌گردد (نامگذاری شده بر اساس تاریخ و زمان اجرای اسکریپت) که حاوی اطلاعاتی همچون رویدادهای انجام شده، نام کاربری و کلمه عبور تصادفی ایجاد شده، درگاه انتخاب شده برای SSH و ... است. فایلی نیز حاوی قوانین iptables ایجاد شده که پورت‌های باز شده را نشان می‌دهد.

توجه مهم: پس از بازنشانی، تنها می‌توان از طریق پورت جدید SSH تعریف شده به ماشین متصل شد (بدیهی است که پیکربندی صحیح سایر دیواره‌های آتش موجود در شبکه و باز نمودن پورت جدید در آن‌ها برای برقراری ارتباط الزامی است).

تاریخ انتشار سند: 1394/12/18