استفاده از اسكريپت امن‌سازی سيستم‌عامل CentOS به همراه ابزار

اسكريپت تهيه شده با هدف امن‌سازي ماشين سرويس‌دهنده CentOS نسخه هفتي است كه تازه نصب شده و هنوز هيچ برنامه كاربردي بر روي آن نصب نشده است. اين اسكريپت بر اساس دو مستند امن‌سازي سيستم عامل (بخش اول و بخش دوم) تهيه شده است. توسط اين اسكريپت، كليه‌ي پارامترهاي امن‌سازي سيستم‌عامل CentOS نسخه‌ي 7 اشاره شده در دو مستند فوق به‌صورت خودكار اعمال مي‌گردند. تغييراتي كه پس از اجراي اسكريپت در سيستم اعمال مي‌گردند عبارتند از:
1. به‌روزرساني مخزن بسته‌ها و بسته‌هاي نصب شده‌ي سيستم
2. امن‌سازي هسته‌ي لينوكس و مقاوم‌سازي در برابر حملات شبكه‌اي
3. اضافه كردن پارامترهاي امنيتي به پارتيشن‌هاي سيستم
4. امن‌سازي تنظيمات SSH
5. اعمال قوانين ديواره‌ي آتش بر روي سيستم
6. ايجاد يك كاربر با نام admin و توليد رمزعبور پيچيده براي آن
7. تنظيم سياست‌هاي رمزعبور كاربران سيستم
8. تنظيم مجوزهاي دسترسي در پوشه‌هايي كه اجازه‌ي نوشتن دارند
9. نصب و پيكربندي پيش‌فرض سيستم تشخيص نفوذ AIDE
10. فعال‌سازي و پيكربندي SELinux
11. حذف و غيرفعال‌سازي سرويس‌هاي غيرضروري
12. نصب ابزار كشف rootkit در سيستم
13. فعال‌سازي Syslog و ارسال رويدادها به سيسلاگ مركزي
14. مميزي و ثبت كامل رويدادهاي سيستم از جمله:
    a. رويدادهاي فعال‌سازي/غيرفعال‌سازي ماژول‌هاي هسته
    b. رويدادهاي فعاليت‌هاي مدير سيستم و دستورات وارد شده توسط آن
    c. رويدادهاي حذف فايل‌ها
    d. رويدادهاي دسترسي غيرمجاز به فايل‌ها
    e. رويدادهاي Mount/Unmount شدن منابع جديد به سيستم
    f. رويدادهاي ورود و خروج‌هاي موفق يا ناموفق كاربران به سيستم
    g. رويدادهاي نشست‌هاي ايجاد شده و پايان يافته سيستم
    h. رويدادهاي تغييرات شبكه‌اي سيستم

توصيه مي‌شود كه بلافاصله پس از نصب سيستم‌عامل، ابتدا توسط اسكريپت فوق، عمليات امن‌سازي اعمال شده و سپس سرويس‌ها و برنامه‌هاي كاربردي مورد نظر نصب گردند.
براي اجراي امن‌سازي، بايستي ابتدا فايل centos7-hardening.bin را بر روي سيستم عامل CentOS-7 كپي و توسط دستور chmod a+x centos7-hardening.bin آن را اجرايي نمود.
سپس بايستي از برقراري ارتباط ماشين با اينترنت جهت به‌روزرساني و دانلود بسته‌هاي امنيتي مطمئن شد. درصورت عدم برقراري ارتباط با اينترنت، پروسه امن‌سازي متوقف مي‌گردد.
در حين امن‌سازي، سوال‌هايي از راهبر سيستم پرسيده شده و بنا به انتخاب‌ها و پاسخ‌هاي وي، ماشين پيكربندي مي‌گردد.
پس از اتمام عمليات امن‌سازي، سه فايل در مسير /var/log/apa/ ايجاد مي‌گردد (نامگذاري شده بر اساس تاريخ و زمان اجراي اسكريپت) كه حاوي اطلاعاتي همچون رويدادهاي انجام شده، نام كاربري و كلمه عبور تصادفي ايجاد شده، درگاه انتخاب شده براي SSH و ... است. فايلي نيز حاوي قوانين iptables ايجاد شده كه پورت‌هاي باز شده را نشان مي‌دهد.
توجه مهم: پس از بازنشاني، تنها مي‌توان از طريق پورت جديد SSH تعريف شده به ماشين متصل شد (بديهي است كه پيكربندي صحيح ساير ديواره‌هاي آتش موجود در شبكه و باز نمودن پورت جديد در آن‌ها براي برقراري ارتباط الزامي است).
توجه: پس از يك مرتبه اجراي اسكريپت و بازنشاني، به محتويات پارتيشن /tmp اجازه اجرا داده نخواهد شد. از اين‌رو بايستي راهبر سيستم از اين پس جهت ذخيره‌سازي موقت و اجراي برنامه‌هاي خود از پارتيشن ديگري استفاده نمايد.
جهت استفاده از ابزار امن‌سازي سيستم‌عامل Centos به پيوست مراجعه نماييد.
دانلود فايل پيوست