Часть 4. Обеспечение безопасности ваших серверов Linux
В данной части мы знакомимся с эталонным тестированием безопасности и приводим практические примеры того как их применять, продвигать в жизнь и выполнять аудит в вашем Предприятии
Данная часть состоит из следующих глав:
Глава 13. Применение эталонного тестирования CIS
Содержание
При реализации Linux в рамках предприятия, первостепенной является безопасность. Не существует никакого единого этапа, который можно предпринять и достичь необходимой нирваны реально безопасной среды - вместо этого основной подход состоит в соединении несопоставимых этапов воедино для сборки некой среды, которая пребыват в сохранности и безопасности настолько, насколько это возможно. Несомненно, это утверждение подводит нас к следующему важному моменту - безопасность это некая подвижная цель. Только в качестве одного из примеров, SSLv2 рассматривался в качестве безопасного и применялся для сохранности веб сайтов по всему интернету на протяжении долгих лет. Затем последовала в 2016 атака DROWN, которая выявила что он опасен. Таким образом, некий безопасный для интернета обмен (допустим, для веб сервера интерфейса) в 2015 рассматривался как безопасный. Однако в 2017 уже рассматривается как уязвимый в высокой степени.
Linux сам по себе всегда рассматривался в качестве некой безопасной операционной системы, хотя его высокие и всё возрастающие уровни приспособления наблюдали появление атак. На протяжении всей этой книги мы отстаивали, на верхнем уровне, хорошие практики безопасности при проектировании вашего штата Linux, например, не устанавливать не нужные службы в образе вашей базовой операционной системы. Тем не менее, имеется ещё много чего, что может сделать наше окружение Linux более безопасным, и в этой главе мы изучим основные способы, которыми развёртываются стандарты для обеспечения безопасности в средах Linux. В частности, мы рассмотрим применение эталонного тестирования CIS совместно с некоторыми практическими примерами того как его применять.
Конкретно, в данной главе мы рассмотрим следующие темы:
-
Понимание эталонного тестирования CIS
-
Широкое применение политик безопасности
-
Развёртывание упрочнения серверов сценариями
Данная глава содержит примеры, основывающиеся на следующих технологиях:
-
CentOS 7.6
-
Ansible 2.8
Для прохождения этих примеров вам потребуется доступ к двум серверам или виртуальным машинам с запущенными в них по одной из перечисленных здесь операционных систем, а также Ansible. Обратите внимание, что приводимые в этой главе примеры могут быть по своей природе разрушительными (например, они устанавливают и убирают установку пакетов и вносят изменения в настройки сервера), и при их исполнении как есть, они подразумевают запуск в некой изолированной среде.
После того как вы убедились в безопасности той среды, в которой вы работаете, давайте начнём с рассмотрения установки новых программных пакетов при помощи Ansible.
Все обсуждаемые в этой книге примеры доступны в GitHub.