Quale politica di sicurezza CentOS è adatta per un server monouso?

6

Sto esplorando CentOS come una possibilità per l'hosting di numerosi server (posta, web, database, ecc.). Ogni macchina avrà un unico scopo e la sicurezza è una priorità.

Alla prima installazione, mi trovo di fronte a questo:

inserisci qui la descrizione dell'immagine

Le informazioni su queste politiche sono qui ma sono un po 'schiaccianti. Anche se ci provi dentro vedi cose come

Per garantire che il sistema sia in grado di verificare crittograficamente i pacchetti software di base provenienti da Red Hat (e per connettersi a Red Hat Network per riceverli), la chiave GPG di Red Hat deve essere installata correttamente.

Presumibilmente non tutte queste cose si traducono esattamente in CentOS, ma sono un utente Ubuntu, quindi non capisco davvero l'estensione dell'equivalenza.

Sembra che questi profili di sicurezza siano creati principalmente in termini di conformità legale, audit e preoccupazioni aziendali, piuttosto che essere definiti rigorosamente in termini di sicurezza stessa.

Qual è l'opzione migliore per "Non sono esattamente sicuro di quello che sto facendo, ma per ora voglio essere paranoico"?

Oltre a ciascuna istanza del server con una singola funzione, saranno terminali non grafici con accesso ssh.

centos  security  redhat  openscap 
spraff
fonte
1
È necessario definire i requisiti in modo più specifico. Si può sempre essere più paranoici e dedicare più tempo alla personalizzazione della politica SCAP (o SELinux). Inoltre, questi servizi esistono per le esigenze delle organizzazioni, il business case li guida assolutamente. Improvvisamente più persone si preoccupano di TLS quando PCI richiede l'uso di implementazioni non interrotte.
John Mahowald,
L'opzione migliore è "Sperimenta e impara a capire cosa succede prima, prima di prendere una decisione". Qualsiasi scelta diversa da "Predefinito" qui può lasciarti con un sistema a cui non puoi effettivamente accedere, se non capisci cosa sta facendo la politica.
Michael Hampton

Risposte:

5

Basta usare la politica di default senza regole. Queste politiche riguardano la segnalazione dell'esistenza e la mancata violazione di determinate dichiarazioni di configurazione, il che è in qualche modo ortogonale ai reali problemi di sicurezza. Inoltre, usarli senza capire cosa fanno causerà comportamenti confusi.

Jonah Benton
fonte
0

Vorrei aggiungere un po 'di scoperte e ciò che mi ha davvero aiutato. Tali opzioni rendono la maggior parte degli utenti paranoica. Stavo anche cercando una spiegazione diretta che sia breve e al punto. Mi sono imbattuto in questo articolo redHat

L'articolo dice chiaramente menziona quanto segue:

L'applicazione di una politica di sicurezza non è necessaria su tutti i sistemi. Questa schermata deve solo essere utilizzato quando una politica specifica viene mandato dai vostri regole di organizzazione o regolamenti governemnt .

Sto usando l'installazione per il mio uso autonomo. Queste due frasi furono sufficienti per curarmi della paranoia. E ho disattivato la politica di sicurezza e sono andato avanti con i passaggi successivi. Nessun problema durante o dopo l'installazione a partire da ora.

Asif Kamran Malick
fonte
0

Sì, devi sapere quali sono le tue esigenze.

Per aggiungere alla discussione, un'alternativa alla politica predefinita, che non farà nulla al tuo sistema, è selezionare Profilo standard. Lo scopo di questo profilo è controllare le impostazioni di sicurezza e di controllo che migliorano il livello di sicurezza del sistema senza essere invadenti all'usabilità pratica.

yuuma
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.