V lednu 2018 byly odhaleny zranitelnosti známé jako Spectre a Meltdown, které ovlivňují širokou škálu moderních procesorů. Tyto zranitelnosti umožňují útočníkům číst citlivé informace v paměti počítače, které by měly být chráněné. Vzhledem k tomu, že CentOS 7 je široce používaný operační systém pro servery, je nesmírně důležité zajistit jeho ochranu proti těmto hrozbám. V tomto článku probereme, jak můžete svůj systém CentOS 7 zabezpečit.
Aktualizace jádra
Prvním a nejdůležitějším krokem k ochraně vašeho systému je aktualizace jádra Linuxu. Distribuce CentOS vydává aktualizace jádra, které adresují různé zranitelnosti včetně Spectre a Meltdown.
-
Zkontrolujte aktuální verzi jádra
Před aktualizací je dobré zjistit aktuální verzi jádra. To lze provést příkazem:
uname -r
-
Aktualizujte systém
Použijte následující příkazy k aktualizaci vašeho systému, což zahrnuje jádro:
sudo yum update
Konfigurace ochrany
Mitigace na úrovni jádra
Linuxové jádro zahrnuje několik možností konfigurace, které pomáhají zmírnit rizika spojená se Spectre a Meltdown. Tyto možnosti lze nastavit prostřednictvím bootovacích parametrů jádra.
-
Edice GRUB konfigurace
Pro úpravu parametrů jádra upravte soubor
/etc/default/grub
. Přidání následujících parametrů do řádkuGRUB_CMDLINE_LINUX
zvýší ochranu:pti=on
zapne ochranu proti Meltdown.spectre_v2=on
zapne mitigace pro Spectre variantu 2.spec_store_bypass_disable=on
zapne ochranu proti variantě Speculative Store Bypass (SSB), která je součástí skupiny zranitelností Spectre.
Příklad řádku v konfiguračním souboru GRUB může vypadat takto:
GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet pti=on spectre_v2=on spec_store_bypass_disable=on"
-
Aktualizace GRUB konfigurace
Po úpravě konfiguračního souboru GRUB je nutné aplikovat změny spuštěním:
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
Pro systémy s EFI:
sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
Po této operaci je opět doporučeno restartovat systém.
Software a bezpečnostní politiky
Dalším důležitým aspektem zabezpečení je pravidelná aktualizace veškerého softwaru a pečlivé nastavení bezpečnostních politik.
-
Instalace bezpečnostních nástrojů
Zvážte instalaci nástrojů jako je
aide
(Advanced Intrusion Detection Environment) pro sledování neautorizovaných změn v souborovém systému. -
Konfigurace firewallování
Zabezpečte síťový přístup k vašemu systému pomocí
firewalld
neboiptables
, omezte přístup pouze k nezbytným službám. -
Pravidelné bezpečnostní audity
Pravidelně provádějte bezpečnostní audity vašeho systému, aby se zajistilo, že jsou všechna zabezpečení aktuální a účinná.
Zabezpečení CentOS 7 proti Spectre a Meltdown zranitelnostem vyžaduje komplexní přístup zahrnující aktualizace softwaru, konfiguraci systému a udržování dobrých bezpečnostních praxí. Dodržováním těchto kroků můžete výrazně snížit riziko, že váš systém bude kompromitován.