Вы можете сделать несколько вещей. Моя первая рекомендация - посетить страницу open scap и просканировать вашу систему, используя самые последние конфигурации директив безопасности
, доступные для нее. Пройдитесь по своей системе и постарайтесь добиться, чтобы она соответствовала как минимум 90%. Сосредоточение внимания на таких вещах, как брандмауэры
и SELinux
Хотя openscap
и связанные с ним инструкции по безопасности больше ориентированы на среду правительства / Министерства обороны, они, как правило, являются хорошими рекомендациями по безопасности. Выполнение этих задач в качестве основы будет означать, что любое устанавливаемое вами программное обеспечение может столкнуться с проблемами, связанными с усилением защиты, что даст вам лучшее представление о проблемах , связанных с установкой программного обеспечения в безопасном режиме. производственная среда.
Для чего-то вроде apache
я бы порекомендовал просто попробовать настроить простой сайт wordpress
, который по возможности использует https
. Это также даст вам некоторый опыт настройки базы данных sql
. Опять же, как только это будет сделано, попробуйте найти некоторые рекомендации по безопасности, чтобы укрепить их, посмотреть, что ломается, и узнать, как это исправить. Узнайте, какие разрешения должны быть сделаны (в производственной среде единственная 100% безопасная система - это система, которая ничего не делает, поэтому разные конфигурации требуют разных разрешений безопасности. Это одна ] причин, по которым в производственной среде лучше не размещать все службы на одной машине.Разделение сервисов между множеством серверов означает, что ваша инфраструктура не только не выйдет из строя в результате одной атаки, но и на любом одном сервере будет меньше возможностей для атаки)
что касается ваших прямых вопросов:
В моем производстве среда Я буду использовать yum install
для всего, что доступно для меня. Это гарантирует, что все мои исправления управляются / тестируются redhat / centos / Oracle
в зависимости от используемого дистрибутива. Таким образом, существует более высокая вероятность того, что что-то НЕ сломается при исправлении.
Настройте клиентский компьютер, который находится в той же сети, что и ваш сервер, и посмотрите, можно ли получить к нему доступ через него. В более верном тесте вы бы настроили его так, чтобы он был доступен и на вашем локальном компьютере, но это откроет вам возможность выполнять больше работы, чем это строго необходимо.
Что касается Марионетки
, шеф-повара
или соли
. Настройте 2–3 виртуальных машины, которые будут клиентами / миньонами
, и приступайте к написанию состояний
/ рецептов
/ независимо от того, как марионетка называет свои вещи
, это обеспечит соблюдение настроек безопасности, которые я рекомендовал вам применить выше. Это даст вам хороший опыт настройки систем, как они были бы настроены естественным образом, а также убедитесь, что после применения безопасности ваши серверы salt / puppet / chef по-прежнему могут связываться с клиентами.
Кроме того, многое из того, что вы хотите узнать, на самом деле покрыто довольно хорошими лабораторными сценариями для многих учебных пособий для тестов Redhat Certified System admin
и Redhat Certified Engineer
, поиск лабораторий для этого тоже может быть хорошим местом для поиска информации.
if [ "$SHELL" == '/bin/bash' ] ; then
PS1='\[\033[46m\]'
else
PS1='\033[46m'
fi