1. Cài Đặt Hệ Điều Hành Linux
Để bắt đầu, bạn cần tải xuống file ISO của Redhat Enterprise Linux 8.8 từ trang chủ của Redhat: Redhat Download. Sau đó, dựng máy chủ ảo bằng phần mềm VMware Workstation 17 và thiết lập mạng NAT để kết nối cho máy ảo.
-
Cấu hình Thời gian và Ngày tháng: Chọn khu vực là Asia, thành phố là Ho Chi Minh City và bật NTP (Network Time Protocol) để tự động đồng bộ với NTP Server.
-
Chọn Phần Mềm: Trong phần Software Selection, hãy chọn bản Minimal để giảm thiểu các phần mềm không cần thiết.
-
Chính sách An ninh: Trong mục Security Policy, chọn PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8. Điều này đảm bảo rằng hệ điều hành được cài đặt theo các yêu cầu bảo mật của PCI-DSS.
-
Chia Phân Vùng: Sử dụng Manual Partitioning với LVM để quản lý các phân vùng.
-
Sau khi hoàn tất cài đặt phân vùng, nhấn Accept Changes để tiếp tục.
-
Cuối cùng, cấu hình Network cho Ipv4.
2. Hardening Hệ Điều Hành
Sau khi cài đặt thành công, bước tiếp theo là kiểm tra mức độ bảo mật của hệ thống bằng OpenSCAP.
Thực hiện các lệnh sau:
-
Đăng ký hệ thống của bạn với tài khoản Redhat để có thể cài đặt các gói phần mềm:
subscription-manager register -
Cài đặt gói openscap:
dnf install -y openscap-scanner scap-security-guide -
Kiểm tra phiên bản OpenSCAP và các thuộc tính của tệp tin:
oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml -
Đánh giá bảo mật theo chuẩn PCI-DSS của OpenSCAP:
oscap xccdf eval --results /tmp/results.xml --profile xccdf_org.ssgproject.content_profile_pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml -
Xuất ra báo cáo HTML:
oscap xccdf generate report --output /tmp/rhel8.html /tmp/results.xml
Sau khi hoàn tất đánh giá, bạn sẽ tìm thấy báo cáo trong thư mục /tmp/rhel8.html. Tiến hành xem xét các kết quả trong báo cáo.
Sau khi chạy OpenSCAP, hệ thống của tôi chỉ đạt mức bảo mật 67,95%. Tôi đã tiếp tục thực hiện Hardening bằng tay theo hướng dẫn trong báo cáo OpenSCAP để cải thiện tỷ lệ bảo mật của máy chủ. Cuối cùng, sau khi thực hiện Hardening bằng tay, số lượng lỗi giảm từ 68 xuống còn 12, và điểm bảo mật đạt 87%.
3. Tuning Hệ Thống
Tuning hệ thống là quá trình điều chỉnh cấu hình của hệ thống máy tính để cải thiện hiệu suất và tính ổn định. Các thông số và cấu hình cần điều chỉnh được lưu tại /etc/sysctl.conf.
| Tên thông số | Ý nghĩa |
|---|---|
| net.ipv4.iplocalportrange = 0 65535 | Thiết lập tối đa số lượng cổng từ 0 đến 65535. |
| net.ipv4.icmpechoignorebroadcasts = 1 | Tắt việc phản hồi ICMP echo từ gói tin broadcast nhằm ngăn chặn tấn công ping flood từ broadcast. |
| net.ipv4.conf.all.secureredirects = 0 | Tắt chấp nhận các gói tin ICMP redirect trên tất cả các giao diện để ngăn chặn các cuộc tấn công điều hướng. |
| net.ipv6.conf.default.acceptsourceroute = 0 | Tắt chấp nhận đường dẫn nguồn từ gói tin IPv6 nhằm ngăn chặn các cuộc tấn công điều hướng. |
| net.ipv4.icmpignoreboguserrorresponses = 1 | Tắt phản hồi các thông báo lỗi ICMP không hợp lệ nhằm bảo vệ hệ thống. |
| net.ipv4.tcpsyncookies = 1 | Kích hoạt TCP SYN cookies để bảo vệ chống lại tấn công SYN flood. |
| fs.suiddumpable = 0 | Không ghi dump core cho các file thực thi setuid/setgid nhằm bảo vệ bảo mật. |
| kernel.randomizevaspace = 2 | Kích hoạt bảo vệ NX (No eXecute) và ASLR (Address Space Layout Randomization) cho các phân đoạn bộ nhớ của quá trình. |
| kernel.corepattern =/bin/false | Ngăn chặn ghi file dump. |
| net.ipv4.ipforward = 0 | Tắt chuyển tiếp IP trên hệ thống, giúp ngăn chặn việc chuyển tiếp gói tin giữa các giao diện. |
| net.ipv4.tcpcongestioncontrol = htcp | Sử dụng thuật toán H-TCP để kiểm soát tắt nghẽn cho những kết nối mạng có băng thông lớn và độ trễ thấp. |
Kết Luận
Cảm ơn bạn đã theo dõi bài viết! Hy vọng bạn sẽ có một ngày mới tốt lành và sẽ học được nhiều điều bổ ích từ những hướng dẫn này! 🤩🤩😘😘
source: viblo
