Цвет фона Бэша и КШ - PS1

Вы можете сделать несколько вещей. Моя первая рекомендация - посетить страницу open scap и просканировать вашу систему, используя самые последние конфигурации директив безопасности , доступные для нее. Пройдитесь по своей системе и постарайтесь добиться, чтобы она соответствовала как минимум 90%. Сосредоточение внимания на таких вещах, как брандмауэры и SELinux

Хотя openscap и связанные с ним инструкции по безопасности больше ориентированы на среду правительства / Министерства обороны, они, как правило, являются хорошими рекомендациями по безопасности. Выполнение этих задач в качестве основы будет означать, что любое устанавливаемое вами программное обеспечение может столкнуться с проблемами, связанными с усилением защиты, что даст вам лучшее представление о проблемах , связанных с установкой программного обеспечения в безопасном режиме. производственная среда.

Для чего-то вроде apache я бы порекомендовал просто попробовать настроить простой сайт wordpress , который по возможности использует https . Это также даст вам некоторый опыт настройки базы данных sql . Опять же, как только это будет сделано, попробуйте найти некоторые рекомендации по безопасности, чтобы укрепить их, посмотреть, что ломается, и узнать, как это исправить. Узнайте, какие разрешения должны быть сделаны (в производственной среде единственная 100% безопасная система - это система, которая ничего не делает, поэтому разные конфигурации требуют разных разрешений безопасности. Это одна ] причин, по которым в производственной среде лучше не размещать все службы на одной машине.Разделение сервисов между множеством серверов означает, что ваша инфраструктура не только не выйдет из строя в результате одной атаки, но и на любом одном сервере будет меньше возможностей для атаки)

что касается ваших прямых вопросов:

• В моем производстве среда Я буду использовать yum install для всего, что доступно для меня. Это гарантирует, что все мои исправления управляются / тестируются redhat / centos / Oracle в зависимости от используемого дистрибутива. Таким образом, существует более высокая вероятность того, что что-то НЕ сломается при исправлении.

• Настройте клиентский компьютер, который находится в той же сети, что и ваш сервер, и посмотрите, можно ли получить к нему доступ через него. В более верном тесте вы бы настроили его так, чтобы он был доступен и на вашем локальном компьютере, но это откроет вам возможность выполнять больше работы, чем это строго необходимо.

Что касается Марионетки , шеф-повара или соли . Настройте 2–3 виртуальных машины, которые будут клиентами / миньонами , и приступайте к написанию состояний / рецептов / независимо от того, как марионетка называет свои вещи , это обеспечит соблюдение настроек безопасности, которые я рекомендовал вам применить выше. Это даст вам хороший опыт настройки систем, как они были бы настроены естественным образом, а также убедитесь, что после применения безопасности ваши серверы salt / puppet / chef по-прежнему могут связываться с клиентами.

Кроме того, многое из того, что вы хотите узнать, на самом деле покрыто довольно хорошими лабораторными сценариями для многих учебных пособий для тестов Redhat Certified System admin и Redhat Certified Engineer , поиск лабораторий для этого тоже может быть хорошим местом для поиска информации.