V lednu 2018 byly odhaleny zranitelnosti známé jako Spectre a Meltdown, které ovlivňují širokou škálu moderních procesorů. Tyto zranitelnosti umožňují útočníkům číst citlivé informace v paměti počítače, které by měly být chráněné. Vzhledem k tomu, že CentOS 7 je široce používaný operační systém pro servery, je nesmírně důležité zajistit jeho ochranu proti těmto hrozbám. V tomto článku probereme, jak můžete svůj systém CentOS 7 zabezpečit.
Aktualizace jádra
Prvním a nejdůležitějším krokem k ochraně vašeho systému je aktualizace jádra Linuxu. Distribuce CentOS vydává aktualizace jádra, které adresují různé zranitelnosti včetně Spectre a Meltdown.
-
Zkontrolujte aktuální verzi jádra
Před aktualizací je dobré zjistit aktuální verzi jádra. To lze provést příkazem:
uname -r
-
Aktualizujte systém
Použijte následující příkazy k aktualizaci vašeho systému, což zahrnuje jádro:
sudo yum update
Po dokončení aktualizací je doporučeno restartovat systém, aby se použila nová verze jádra.
Konfigurace ochrany
Mitigace na úrovni jádra
Linuxové jádro zahrnuje několik možností konfigurace, které pomáhají zmírnit rizika spojená se Spectre a Meltdown. Tyto možnosti lze nastavit prostřednictvím bootovacích parametrů jádra.
-
Edice GRUB konfigurace
Pro úpravu parametrů jádra upravte soubor /etc/default/grub. Přidání následujících parametrů do řádku GRUB_CMDLINE_LINUX zvýší ochranu:
pti=on zapne ochranu proti Meltdown.spectre_v2=on zapne mitigace pro Spectre variantu 2.spec_store_bypass_disable=on zapne ochranu proti variantě Speculative Store Bypass (SSB), která je součástí skupiny zranitelností Spectre.
Příklad řádku v konfiguračním souboru GRUB může vypadat takto:
GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet pti=on spectre_v2=on spec_store_bypass_disable=on"
-
Aktualizace GRUB konfigurace
Po úpravě konfiguračního souboru GRUB je nutné aplikovat změny spuštěním:
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
Pro systémy s EFI:
sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
Po této operaci je opět doporučeno restartovat systém.
Software a bezpečnostní politiky
Dalším důležitým aspektem zabezpečení je pravidelná aktualizace veškerého softwaru a pečlivé nastavení bezpečnostních politik.
-
Instalace bezpečnostních nástrojů
Zvážte instalaci nástrojů jako je aide (Advanced Intrusion Detection Environment) pro sledování neautorizovaných změn v souborovém systému.
-
Konfigurace firewallování
Zabezpečte síťový přístup k vašemu systému pomocí firewalld nebo iptables, omezte přístup pouze k nezbytným službám.
-
Pravidelné bezpečnostní audity
Pravidelně provádějte bezpečnostní audity vašeho systému, aby se zajistilo, že jsou všechna zabezpečení aktuální a účinná.
Zabezpečení CentOS 7 proti Spectre a Meltdown zranitelnostem vyžaduje komplexní přístup zahrnující aktualizace softwaru, konfiguraci systému a udržování dobrých bezpečnostních praxí. Dodržováním těchto kroků můžete výrazně snížit riziko, že váš systém bude kompromitován.
