20 CentOS സെർവർ ഹാർഡനിംഗ് സുരക്ഷാ നുറുങ്ങുകൾ - ഭാഗം 1

ഈ ട്യൂട്ടോറിയൽ CentOS 8/7-നുള്ള പൊതുവായ സുരക്ഷാ നുറുങ്ങുകൾ മാത്രമേ ഉൾക്കൊള്ളുന്നുള്ളൂ, അത് സിസ്റ്റം കഠിനമാക്കാൻ ഉപയോഗിക്കാം. ചെക്ക്uലിസ്റ്റ് നുറുങ്ങുകൾ മിക്കവാറും വിവിധ തരം ബെയർ-മെറ്റൽ സെർവറുകളിലോ നെറ്റ്uവർക്ക് സേവനങ്ങൾ നൽകുന്ന മെഷീനുകളിലോ (ഫിസിക്കൽ അല്ലെങ്കിൽ വെർച്വൽ) ഉപയോഗിക്കാൻ ഉദ്ദേശിച്ചുള്ളതാണ്.

എന്നിരുന്നാലും, ചില നുറുങ്ങുകൾ ഡെസ്uക്uടോപ്പുകൾ, ലാപ്uടോപ്പുകൾ, കാർഡ് വലുപ്പമുള്ള സിംഗിൾ ബോർഡ് കമ്പ്യൂട്ടറുകൾ (റാസ്uബെറി പൈ) പോലുള്ള പൊതു-ഉദ്ദേശ്യ മെഷീനുകളിലും വിജയകരമായി പ്രയോഗിക്കാൻ കഴിയും.

  • CentOS 8 മിനിമൽ ഇൻസ്റ്റാളേഷൻ
  • CentOS 7 മിനിമൽ ഇൻസ്റ്റലേഷൻ

1. ശാരീരിക സംരക്ഷണം

നിങ്ങളുടെ സെർവർ റൂമുകളുടെ ആക്uസസ് ലോക്ക്ഡൗൺ ചെയ്യുക, റാക്ക് ലോക്കിംഗും വീഡിയോ നിരീക്ഷണവും ഉപയോഗിക്കുക. സെർവർ റൂമുകളിലേക്കുള്ള ഏതൊരു ഫിസിക്കൽ ആക്uസസ്സും നിങ്ങളുടെ മെഷീനെ ഗുരുതരമായ സുരക്ഷാ പ്രശ്uനങ്ങൾക്ക് വിധേയമാക്കുമെന്ന് കണക്കിലെടുക്കുക.

മദർബോർഡിൽ ജമ്പറുകൾ പുനഃസജ്ജമാക്കുകയോ CMOS ബാറ്ററി വിച്ഛേദിക്കുക വഴിയോ BIOS പാസ്uവേഡുകൾ മാറ്റാവുന്നതാണ്. കൂടാതെ, ഒരു നുഴഞ്ഞുകയറ്റക്കാരന് ഹാർഡ് ഡിസ്കുകൾ മോഷ്ടിക്കാനും പുതിയ ഹാർഡ് ഡിസ്കുകൾ മദർബോർഡ് ഇന്റർഫേസുകളിൽ (SATA, SCSI മുതലായവ) നേരിട്ട് അറ്റാച്ചുചെയ്യാനും ഒരു Linux ലൈവ് ഡിസ്ട്രോ ഉപയോഗിച്ച് ബൂട്ട് ചെയ്യാനും ഒരു സോഫ്റ്റ്വെയർ ട്രെയ്സ് അവശേഷിപ്പിക്കാതെ ഡാറ്റ ക്ലോൺ ചെയ്യാനോ പകർത്താനോ കഴിയും.

2. ചാരവൃത്തി ആഘാതം കുറയ്ക്കുക

വളരെ സെൻസിറ്റീവ് ഡാറ്റയുടെ കാര്യത്തിൽ, റേഡിയോ അല്ലെങ്കിൽ ഇലക്ട്രിക്കൽ ലീക്കിംഗ് എമനേഷനുകൾ വഴി സിസ്റ്റം ചാരപ്പണിയുടെ ആഘാതം കുറയ്ക്കുന്നതിന്, സെർവർ ഒരു ടെംപെസ്റ്റ് സൊല്യൂഷനിൽ സ്ഥാപിക്കുന്നതും ലോക്ക് ചെയ്യുന്നതും പോലുള്ള വിപുലമായ ഫിസിക്കൽ പ്രൊട്ടക്ഷൻ നിങ്ങൾ ഉപയോഗിക്കണം.

3. സുരക്ഷിത ബയോസ്/യുഇഎഫ്ഐ

ബയോസ്/യുഇഎഫ്ഐ ക്രമീകരണങ്ങൾ സുരക്ഷിതമാക്കി നിങ്ങളുടെ മെഷീൻ കഠിനമാക്കുന്ന പ്രക്രിയ ആരംഭിക്കുക, പ്രത്യേകിച്ച് ഒരു ബയോസ്/യുഇഎഫ്ഐ പാസ്uവേഡ് സജ്ജീകരിച്ച്, സിസ്റ്റം ബയോസ് ക്രമീകരണങ്ങൾ പരിഷ്uക്കരിക്കുന്നതിൽ നിന്നും അല്ലെങ്കിൽ മാറ്റുന്നതിൽ നിന്നും അനധികൃത ഉപയോക്താക്കളെ തടയുന്നതിന്, ബൂട്ട് മീഡിയ ഉപകരണങ്ങൾ (സിഡി, ഡിവിഡി, യുഎസ്ബി പിന്തുണ പ്രവർത്തനരഹിതമാക്കുക) പ്രവർത്തനരഹിതമാക്കുക. ബൂട്ട് ഉപകരണത്തിന്റെ മുൻഗണനയും ഒരു ഇതര മീഡിയത്തിൽ നിന്ന് മെഷീൻ ബൂട്ട് ചെയ്യുന്നതും.

നിങ്ങളുടെ മെഷീനിൽ ഇത്തരത്തിലുള്ള മാറ്റം പ്രയോഗിക്കുന്നതിന്, നിർദ്ദിഷ്ട നിർദ്ദേശങ്ങൾക്കായി നിങ്ങൾ മദർബോർഡ് നിർമ്മാതാവിന്റെ മാനുവൽ പരിശോധിക്കേണ്ടതുണ്ട്.

4. സുരക്ഷിത ബൂട്ട് ലോഡർ

ക്ഷുദ്ര ഉപയോക്താക്കൾ കേർണൽ ബൂട്ട് സീക്വൻസ് അല്ലെങ്കിൽ റൺ ലെവലുകൾ നശിപ്പിക്കുന്നത് തടയാൻ ഒരു GRUB പാസ്uവേഡ് സജ്ജമാക്കുക, കേർണൽ പാരാമീറ്ററുകൾ എഡിറ്റ് ചെയ്യുക അല്ലെങ്കിൽ സിസ്റ്റം ഒരു സിംഗിൾ-യൂസർ മോഡിലേക്ക് ആരംഭിക്കുക, നിങ്ങളുടെ സിസ്റ്റത്തിന് ദോഷം വരുത്തുകയും പ്രത്യേക നിയന്ത്രണം നേടുന്നതിന് റൂട്ട് പാസ്uവേഡ് പുനഃസജ്ജമാക്കുകയും ചെയ്യുക.

5. പ്രത്യേക ഡിസ്ക് പാർട്ടീഷനുകൾ ഉപയോഗിക്കുക

പ്രൊഡക്ഷൻ സെർവറുകളായി ഉദ്ദേശിച്ചിട്ടുള്ള സിസ്റ്റങ്ങളിൽ CentOS ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, സിസ്റ്റത്തിന്റെ ഇനിപ്പറയുന്ന ഭാഗങ്ങൾക്കായി സമർപ്പിത പാർട്ടീഷനുകളോ സമർപ്പിത ഹാർഡ് ഡിസ്കുകളോ ഉപയോഗിക്കുക:

/(root) 
/boot  
/home  
/tmp 
/var

6. ആവർത്തനത്തിനും ഫയൽ സിസ്റ്റം വളർച്ചയ്ക്കും LVM, RAID എന്നിവ ഉപയോഗിക്കുക

ലോഗ് സന്ദേശങ്ങൾ ഡിസ്കിലേക്ക് എഴുതുന്ന സ്ഥലമാണ് /var പാർട്ടീഷൻ. വെബ് സെർവറുകൾ അല്ലെങ്കിൽ ഫയൽ സെർവറുകൾ പോലുള്ള നെറ്റ്uവർക്ക് സേവനങ്ങളെ തുറന്നുകാട്ടുന്ന കനത്ത ട്രാഫിക് സെർവറുകളിൽ സിസ്റ്റത്തിന്റെ ഈ ഭാഗത്തിന് വലുപ്പത്തിൽ ഗണ്യമായി വളരാൻ കഴിയും.

അതിനാൽ, /var എന്നതിനായി ഒരു വലിയ പാർട്ടീഷൻ ഉപയോഗിക്കുക അല്ലെങ്കിൽ ലോജിക്കൽ വോള്യങ്ങൾ (LVM) ഉപയോഗിച്ച് ഈ പാർട്ടീഷൻ സജ്ജീകരിക്കുന്നത് പരിഗണിക്കുക അല്ലെങ്കിൽ വലിയ അളവിലുള്ള ഡാറ്റ നിലനിർത്തുന്നതിന് നിരവധി ഫിസിക്കൽ ഡിസ്കുകൾ ഒരു വലിയ വെർച്വൽ RAID 0 ഡിവൈസിലേക്ക് കൂട്ടിച്ചേർക്കുക. ഡാറ്റയ്ക്കായി, റെയ്ഡ് 1 ലെവലിന് മുകളിലുള്ള എൽവിഎം ലേഔട്ട് ഉപയോഗിക്കുന്നത് ആവർത്തനം പരിഗണിക്കുക.

ഡിസ്കുകളിൽ LVM അല്ലെങ്കിൽ RAID സജ്ജീകരിക്കുന്നതിന്, ഞങ്ങളുടെ ഉപയോഗപ്രദമായ ഗൈഡുകൾ പിന്തുടരുക:

  1. LVM ഉപയോഗിച്ച് ലിനക്സിൽ ഡിസ്ക് സ്റ്റോറേജ് സജ്ജീകരിക്കുക
  2. vgcreate, lvcreate, lvextend എന്നിവ ഉപയോഗിച്ച് എൽവിഎം ഡിസ്കുകൾ സൃഷ്ടിക്കുക
  3. ഒരു വലിയ വെർച്വൽ സ്റ്റോറേജിലേക്ക് നിരവധി ഡിസ്കുകൾ സംയോജിപ്പിക്കുക
  4. ലിനക്സിൽ രണ്ട് ഡിസ്കുകൾ ഉപയോഗിച്ച് റെയിഡ് 1 സൃഷ്ടിക്കുക

7. ഡാറ്റ പാർട്ടീഷനുകൾ സുരക്ഷിതമാക്കാൻ fstab ഓപ്ഷനുകൾ പരിഷ്ക്കരിക്കുക

താഴെയുള്ള ഉദ്ധരണിയിൽ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ fstab ഫയലിലേക്ക് ഇനിപ്പറയുന്ന ഓപ്ഷനുകൾ ചേർത്ത് ഡാറ്റ സംഭരിക്കുന്നതിനും പ്രോഗ്രാമുകൾ, ഡിവൈസ് ഫയലുകൾ അല്ലെങ്കിൽ സെറ്റൂയിഡ് ബിറ്റ് എന്നിവയുടെ നിർവ്വഹണം തടയുന്നതിനും ഉദ്ദേശിച്ചുള്ള പ്രത്യേക പാർട്ടീഷനുകൾ:

/dev/sda5 	 /nas          ext4    defaults,nosuid,nodev,noexec 1 2

പ്രിവിലേജ്-എസ്കലേഷനും അനിയന്ത്രിതമായ സ്ക്രിപ്റ്റ് എക്സിക്യൂഷനും തടയുന്നതിന് /tmp-യ്uക്കായി ഒരു പ്രത്യേക പാർട്ടീഷൻ സൃഷ്uടിച്ച് അത് nosuid, nodev, noexec എന്നിങ്ങനെ മൌണ്ട് ചെയ്യുക.

/dev/sda6  	/tmp         ext4    defaults,nosuid,nodev,noexec 0 0

8. ഹാർഡ് ഡിസ്കുകൾ ബ്ലോക്ക് തലത്തിൽ LUKS ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യുക

മെഷീൻ ഹാർഡ് ഡ്രൈവുകളിലേക്കുള്ള ഫിസിക്കൽ ആക്uസസ്സിന്റെ കാര്യത്തിൽ സെൻസിറ്റീവ് ഡാറ്റ സ്uനൂപ്പിംഗ് പരിരക്ഷിക്കുന്നതിന്. LUKS ഉപയോഗിച്ചുള്ള ലിനക്സ് ഹാർഡ് ഡിസ്ക് ഡാറ്റ എൻക്രിപ്ഷൻ എന്ന ലേഖനം വായിച്ചുകൊണ്ട് ഡിസ്ക് എൻക്രിപ്റ്റ് ചെയ്യുന്നത് എങ്ങനെയെന്ന് അറിയാൻ ഞാൻ നിങ്ങളോട് നിർദ്ദേശിക്കുന്നു.

9. പിജിപിയും പബ്ലിക്-കീ ക്രിപ്റ്റോഗ്രഫിയും ഉപയോഗിക്കുക

ഡിസ്കുകൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനായി, ഈ ലേഖനത്തിൽ കാണിച്ചിരിക്കുന്നതുപോലെ ഒരു രഹസ്യവാക്ക് ഉപയോഗിച്ച് സെൻസിറ്റീവ് ഫയലുകൾ എൻക്രിപ്റ്റ് ചെയ്യാനും ഡീക്രിപ്റ്റ് ചെയ്യാനും PGP, Public-Key Cryptography അല്ലെങ്കിൽ OpenSSL കമാൻഡ് ഉപയോഗിക്കുക എൻക്രിപ്റ്റ് ചെയ്ത ലിനക്സ് സിസ്റ്റം സ്റ്റോറേജ് കോൺഫിഗർ ചെയ്യുക.

10. ആവശ്യമായ ഏറ്റവും കുറഞ്ഞ പാക്കേജുകൾ മാത്രം ഇൻസ്റ്റാൾ ചെയ്യുക

പാക്കേജ് കേടുപാടുകൾ ഒഴിവാക്കാൻ അപ്രധാനമോ അനാവശ്യമോ ആയ പ്രോഗ്രാമുകൾ, ആപ്ലിക്കേഷനുകൾ അല്ലെങ്കിൽ സേവനങ്ങൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഒഴിവാക്കുക. ഒരു സോഫ്uറ്റ്uവെയറിന്റെ വിട്ടുവീഴ്uച മറ്റ് ആപ്ലിക്കേഷനുകൾ, സിസ്റ്റത്തിന്റെ ഭാഗങ്ങൾ, അല്ലെങ്കിൽ ഫയൽ സിസ്റ്റങ്ങൾ എന്നിവയിൽ പോലും വിട്ടുവീഴ്uചയ്uക്ക് ഇടയാക്കിയേക്കാവുന്ന അപകടസാധ്യത ഇത് കുറയ്ക്കും, ഇത് ഒടുവിൽ ഡാറ്റ അഴിമതിയിലോ ഡാറ്റാ നഷ്uടത്തിലോ കലാശിക്കുന്നു.

11. സിസ്റ്റം ഇടയ്ക്കിടെ അപ്ഡേറ്റ് ചെയ്യുക

സിസ്റ്റം പതിവായി അപ്ഡേറ്റ് ചെയ്യുക. ഏറ്റവും പുതിയ സെക്യൂരിറ്റി പാച്ചുകളുമായും ഇൻസ്റ്റോൾ ചെയ്ത എല്ലാ സോഫ്റ്റ്uവെയറുകളും ഏറ്റവും പുതിയ പതിപ്പുകൾക്കൊപ്പം ലിനക്സ് കേർണൽ സമന്വയിപ്പിച്ച് താഴെ പറയുന്ന കമാൻഡ് നൽകി നിലനിർത്തുക:

# yum update

12. Ctrl+Alt+Del പ്രവർത്തനരഹിതമാക്കുക

ഉപയോക്താക്കൾക്ക് ഒരു കീബോർഡിലേക്കോ റിമോട്ട് കൺസോൾ ആപ്ലിക്കേഷൻ വഴിയോ അല്ലെങ്കിൽ ഒരു വെർച്വലൈസ്ഡ് കൺസോൾ വഴിയോ സെർവർ റീബൂട്ട് ചെയ്യുന്നത് തടയുന്നതിന്, നിങ്ങൾ Ctrl+Alt+Del കീ പ്രവർത്തനരഹിതമാക്കണം. താഴെയുള്ള കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്തുകൊണ്ട് ക്രമം.

# systemctl mask ctrl-alt-del.target

13. അനാവശ്യ സോഫ്റ്റ്uവെയർ പാക്കേജുകൾ നീക്കം ചെയ്യുക

നിങ്ങളുടെ മെഷീന് ആവശ്യമായ ഏറ്റവും കുറഞ്ഞ സോഫ്റ്റ്uവെയർ ഇൻസ്റ്റാൾ ചെയ്യുക. അധിക പ്രോഗ്രാമുകളോ സേവനങ്ങളോ ഒരിക്കലും ഇൻസ്റ്റാൾ ചെയ്യരുത്. വിശ്വസനീയമായ അല്ലെങ്കിൽ ഔദ്യോഗിക ശേഖരങ്ങളിൽ നിന്ന് മാത്രം പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക. മെഷീൻ അതിന്റെ മുഴുവൻ ജീവിതവും ഒരു സെർവറായി പ്രവർത്തിപ്പിക്കാൻ വിധിക്കപ്പെട്ടിട്ടുണ്ടെങ്കിൽ, സിസ്റ്റത്തിന്റെ ഏറ്റവും കുറഞ്ഞ ഇൻസ്റ്റാളേഷൻ ഉപയോഗിക്കുക.

ഇനിപ്പറയുന്ന കമാൻഡുകളിലൊന്ന് ഉപയോഗിച്ച് ഇൻസ്റ്റാൾ ചെയ്ത പാക്കേജുകൾ പരിശോധിക്കുക:

# rpm -qa

ഇൻസ്റ്റാൾ ചെയ്ത എല്ലാ പാക്കേജുകളുടെയും ഒരു പ്രാദേശിക ലിസ്റ്റ് ഉണ്ടാക്കുക.

# yum list installed >> installed.txt

ഉപയോഗശൂന്യമായ സോഫ്uറ്റ്uവെയറിനായുള്ള ലിസ്റ്റ് പരിശോധിച്ച് താഴെ പറയുന്ന കമാൻഡ് നൽകി ഒരു പാക്കേജ് ഇല്ലാതാക്കുക:

# yum remove package_name

14. ഡെമൺ അപ്uഡേറ്റുകൾക്ക് ശേഷം Systemd സേവനങ്ങൾ പുനരാരംഭിക്കുക

പുതിയ അപ്ഡേറ്റുകൾ പ്രയോഗിക്കുന്നതിനായി ഒരു systemd സേവനം പുനരാരംഭിക്കുന്നതിന് താഴെയുള്ള കമാൻഡ് ഉദാഹരണം ഉപയോഗിക്കുക.

# systemctl restart httpd.service

15. ആവശ്യമില്ലാത്ത സേവനങ്ങൾ നീക്കം ചെയ്യുക

ഇനിപ്പറയുന്ന ss കമാൻഡ് ഉപയോഗിച്ച് നിർദ്ദിഷ്ട പോർട്ടുകളിൽ കേൾക്കുന്ന സേവനങ്ങൾ തിരിച്ചറിയുക.

# ss -tulpn

ഇൻസ്റ്റാൾ ചെയ്ത എല്ലാ സേവനങ്ങളും അവയുടെ ഔട്ട്uപുട്ട് സ്റ്റാറ്റസ് ഉപയോഗിച്ച് ലിസ്റ്റുചെയ്യുന്നതിന് താഴെയുള്ള കമാൻഡ് നൽകുക:

# systemctl list-units -t service

ഉദാഹരണത്തിന്, CentOS ഡിഫോൾട്ട് മിനിമൽ ഇൻസ്റ്റാളേഷനിൽ പോസ്റ്റ്ഫിക്സ് ഡെമൺ ഡിഫോൾട്ടായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്, അത് പോർട്ട് 25-ന് കീഴിൽ ഒരു മാസ്റ്ററുടെ പേരിൽ പ്രവർത്തിക്കുന്നു. നിങ്ങളുടെ മെഷീൻ ഒരു മെയിൽ സെർവറായി ഉപയോഗിക്കാത്ത സാഹചര്യത്തിൽ പോസ്റ്റ്ഫിക്സ് നെറ്റ്uവർക്ക് സേവനം നീക്കം ചെയ്യുക.

# yum remove postfix

16. ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുക

ടെൽനെറ്റ്, എഫ്uടിപി, അല്ലെങ്കിൽ എസ്എംടിപി, എച്ച്ടിടിപി, എൻഎഫ്എസ് അല്ലെങ്കിൽ എസ്എംബി പോലുള്ള മറ്റ് പ്ലെയിൻ ടെക്uസ്uറ്റ് ഹൈ പ്രോട്ടോക്കോളുകൾ പോലുള്ള റിമോട്ട് ആക്uസസിനോ ഫയൽ കൈമാറ്റത്തിനോ സുരക്ഷിതമല്ലാത്ത പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കരുത്, അവ സ്ഥിരസ്ഥിതിയായി പ്രാമാണീകരണ സെഷനുകളോ അയച്ച ഡാറ്റയോ എൻക്രിപ്റ്റ് ചെയ്യില്ല.

ഫയൽ കൈമാറ്റങ്ങൾക്കായി scp മാത്രം ഉപയോഗിക്കുക, റിമോട്ട് കൺസോൾ കണക്ഷനുകൾക്കോ GUI ആക്uസസിനോ വേണ്ടി SSH ടണലുകൾ വഴി SSH അല്ലെങ്കിൽ VNC ഉപയോഗിക്കുക.

എസ്എസ്എച്ച് വഴി ഒരു വിഎൻസി കൺസോൾ ടണൽ ചെയ്യുന്നതിന്, വിഎൻസി പോർട്ട് 5901 റിമോട്ട് മെഷീനിൽ നിന്ന് നിങ്ങളുടെ ലോക്കൽ മെഷീനിലേക്ക് ഫോർവേഡ് ചെയ്യുന്ന ഉദാഹരണം ഉപയോഗിക്കുക:

# ssh -L 5902:localhost:5901 remote_machine

റിമോട്ട് എൻഡ് പോയിന്റിലേക്ക് വെർച്വൽ കണക്ഷൻ ലഭിക്കുന്നതിന് ലോക്കൽ മെഷീനിൽ താഴെയുള്ള കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

# vncviewer localhost:5902

17. നെറ്റ്uവർക്ക് പോർട്ട് സ്കാനിംഗ്

LAN വഴിയുള്ള ഒരു റിമോട്ട് സിസ്റ്റത്തിൽ നിന്ന് Nmap ടൂൾ ഉപയോഗിച്ച് ബാഹ്യ പോർട്ട് പരിശോധനകൾ നടത്തുക. നെറ്റ്uവർക്ക് കേടുപാടുകൾ പരിശോധിക്കുന്നതിനോ ഫയർവാൾ നിയമങ്ങൾ പരിശോധിക്കുന്നതിനോ ഇത്തരത്തിലുള്ള സ്കാനിംഗ് ഉപയോഗിക്കാം.

# nmap -sT -O 192.168.1.10

18. പാക്കറ്റ്-ഫിൽട്ടറിംഗ് ഫയർവാൾ

സിസ്റ്റം പോർട്ടുകൾ പരിരക്ഷിക്കുന്നതിന് ഫയർവാൾഡ് യൂട്ടിലിറ്റി ഉപയോഗിക്കുക, നിർദ്ദിഷ്ട സേവന പോർട്ടുകൾ തുറക്കുകയോ അടയ്ക്കുകയോ ചെയ്യുക, പ്രത്യേകിച്ച് അറിയപ്പെടുന്ന പോർട്ടുകൾ (<1024).

താഴെ പറയുന്ന കമാൻഡുകൾ നൽകി ഫയർവാൾ നിയമങ്ങൾ ഇൻസ്റ്റാൾ ചെയ്യുക, ആരംഭിക്കുക, പ്രവർത്തനക്ഷമമാക്കുക, ലിസ്റ്റ് ചെയ്യുക:

# yum install firewalld
# systemctl start firewalld.service
# systemctl enable firewalld.service
# firewall-cmd --list-all

19. Tcpdump ഉപയോഗിച്ച് പ്രോട്ടോക്കോൾ പാക്കറ്റുകൾ പരിശോധിക്കുക

നെറ്റ്uവർക്ക് പാക്കറ്റുകൾ പ്രാദേശികമായി സ്uനിഫ് ചെയ്യുന്നതിനും സംശയാസ്പദമായ ട്രാഫിക്കിനായി അവയുടെ ഉള്ളടക്കം പരിശോധിക്കുന്നതിനും tcpdump യൂട്ടിലിറ്റി ഉപയോഗിക്കുക (ഉറവിട ലക്ഷ്യസ്ഥാന പോർട്ടുകൾ, TCP/IP പ്രോട്ടോക്കോളുകൾ, ലെയർ ടു ട്രാഫിക്, അസാധാരണമായ ARP അഭ്യർത്ഥനകൾ).

tcpdump ക്യാപ്uചർ ചെയ്uത ഫയലിന്റെ മികച്ച വിശകലനത്തിനായി, Wireshark പോലുള്ള കൂടുതൽ വിപുലമായ പ്രോഗ്രാം ഉപയോഗിക്കുക.

# tcpdump -i eno16777736 -w tcpdump.pcap

20. ഡിഎൻഎസ് ആക്രമണങ്ങൾ തടയുക

നിങ്ങളുടെ റിസോൾവറിന്റെ ഉള്ളടക്കങ്ങൾ പരിശോധിക്കുക, സാധാരണയായി /etc/resolv.conf ഫയലാണ്, അത് ഡൊമെയ്uൻ നാമങ്ങൾക്കായി അന്വേഷിക്കാൻ ഉപയോഗിക്കേണ്ട DNS സെർവറുകളുടെ IP വിലാസം നിർവചിക്കുന്നു, ഇത് മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണങ്ങൾ, അനാവശ്യ ട്രാഫിക്ക് ഒഴിവാക്കുന്നതിന് റൂട്ട് ഡിഎൻഎസ് സെർവറുകൾ, കബളിപ്പിക്കുക അല്ലെങ്കിൽ ഒരു ഡോസ് ആക്രമണം സൃഷ്ടിക്കുക.

ഇത് ആദ്യ ഭാഗം മാത്രമാണ്. അടുത്ത ഭാഗത്ത് CentOS 8/7-നുള്ള മറ്റ് സുരക്ഷാ നുറുങ്ങുകൾ ഞങ്ങൾ ചർച്ച ചെയ്യും.