Какая политика безопасности CentOS подходит для одноцелевого сервера?

Question

Какая политика безопасности CentOS подходит для одноцелевого сервера?

Я изучаю CentOS как возможность для размещения ряда серверов (почта, Интернет, базы данных и т. Д.). У каждой машины будет одна цель, и безопасность является приоритетом.

При первой установке я сталкиваюсь с этим:

Информация об этих политиках находится здесь, но это немного ошеломляет. Также, если вы углубитесь в это, вы увидите такие вещи, как

Чтобы система могла криптографически проверять базовые программные пакеты, поступающие из Red Hat (и подключаться к Red Hat Network для их получения), необходимо правильно установить ключ Red Hat GPG.

Предположительно, не все такие вещи переводятся именно на CentOS, но я пользователь Ubuntu, поэтому я не совсем понимаю степень эквивалентности.

Похоже, что эти профили безопасности создаются в первую очередь с точки зрения соответствия требованиям законодательства, аудита и бизнес-задач, а не определяются строго с точки зрения самой безопасности.

Какой лучший вариант для "Я не совсем уверен, что я делаю, просто получаю, но сейчас я хочу быть параноиком"?

Как и каждый экземпляр сервера, имеющий одну функцию, они будут неграфическими терминалами с доступом по ssh.

7

centos security redhat openscap

Источник

spraff 11 сен '16 в 11:36

3 ответа

Другие вопросы по тегам centos security redhat openscap

Jonah Benton 14 сен '16 в 02:07 2016-09-14 02:07 · Answer 1 · 2016-09-14 02:07

Просто используйте политику по умолчанию без правил. Эти политики предназначены для сообщения о том, что определенные декларации конфигурации существуют и не нарушаются, что несколько ортогонально фактическим проблемам безопасности. Кроме того, использование их без понимания того, что они делают, приведет к запутанному поведению.

Asif Kamran Malick 21 июл '18 в 14:26 2018-07-21 14:26 · Answer 2 · 2018-07-21 14:26

Хотелось бы добавить немного моих выводов и что действительно помогло мне. Такие параметры заставляют большинство пользователей чувствовать себя параноиком. Я также искал прямое объяснение, которое является коротким и конкретным. Я наткнулся на эту статью RedHat

В статье четко сказано, упоминается следующее:

Применение политики безопасности не обязательно во всех системах. Этот экран следует использовать только в том случае, если конкретная политика предписана правилами вашей организации или нормативными актами правительства.

Я использую установку для автономного использования. Этих двух предложений было достаточно, чтобы вылечить меня от паранойи. И я отключил политику безопасности и продвинулся в следующих шагах. Никаких проблем во время или после установки на данный момент.

Yuuma 15 авг '18 в 13:29 2018-08-15 13:29 · Answer 3 · 2018-08-15 13:29

Да, вам нужно знать, каковы ваши требования.

Чтобы добавить к обсуждению, альтернативой политике по умолчанию, которая ничего не делает для вашей системы, является выбор стандартного профиля. Целью этого профиля является проверка параметров безопасности и аудита, которые повышают уровень безопасности системы, не мешая практическому использованию.