Безопасность операционной системы хоста контейнеров [Linux Academy] - Часть 1 из 6

Складчина: Безопасность операционной системы хоста контейнеров [Linux Academy] - Часть 1 из 6

​

Расширенный курс для специалистов продвинутого уровня по защите операционной системы, работающей в качестве хоста для контейнеров от одной из самых лучших образовательных платформ в мире — Linux Academy

Описание:

Это первый курс из цикла 4 курсов, посвященных защите контейнеров. Цель курса - научить вас, как подготовить и укрепить операционную систему, сделать ее максимально защищенной до того, как вы начнете разворачивать на ней контейнеры. Мы рассмотрим различные конфигурации и разберемся, как использовать механизмы обеспечения безопасности в операционных системах для наилучшей защиты и укрепления нашей системы.

В первой части курса дается информация по firewalld и SELinux. firewalld - это инструмент в Linux, используемый для управления iptables. Нам нужен межсетевой экран, чтобы мы могли контролировать, какому трафику разрешено проходить, а какой будет запрещен. Мы пройдем через установку и правильную настройку firewalld. Рассмотрим основные команды firewalld и как их применять в зависимости от зон, портов, сервисов и других аспектов, касающихся системы. Мы также поговорим о контроле трафика, как разрешить трафик с одного IP на порт, как разрешить трафик со списка IP-адресов (белые списки), как создавать список IP-адресов, доступ с которых мы хотим запретить (черные списки) и многое другое.

После firewalld мы перейдем к SELinux. SELinux - это инструмент, который позволяет точно контролировать доступ к файлам, средствам управления, процессам и прочим вещам в системе. Он очень эффективен и используется практически во всех дистрибутивах на базе Red Hat. В этом разделе мы обсудим состояния SELinux, контекст SELinux, настройки контекста. Далее перейдем к полезным командам, которые позволяют нам составлять список запрещенных портов и протоколов, поговорим о переключателях (booleans), метках портов, модулях SELinux и логах. Обсудим автоматические скрипты для firewalld и SELinux.

После подробного рассмотрения основ firewalld и SELinux, мы перейдем к изучению доступа к серверу и настройке аутентификации. На данном этапе мы поиграемся с доступом к системе. Для начала выполним базовую настройку путем изменения дефолтного порта для подключения по SSH. Добавим дополнительные слои аутентификации и создадим jump-сервер по аналогии с VPN через SSH. Вы узнаете, как настроить одновременную работу различных методов аутентификации: стандартную аутентификацию на основе ключей, аутентификацию на основе паролей, плюс третий слой аутентификации, в котором мы интегрируем Google Authenticator. Для входа на сервер будет требоваться смартфон. Это в значительной степени улучшит нашу защищенность, поскольку крайне маловероятно, что кто-либо сможет получить доступ одновременно к ключу, смартфону и паролю.

Мы разберемся с точками прыжков (jump points). Вы узнаете, что это такое и для чего они используются. Точка прыжка - это место, к которому мы подключаемся. Она позволяет нам подключаться к другой части нашей инфраструктуры. Они могут значительно улучшить безопасность наших светящих в мир серверов и серверов инфраструктуры.

Далее мы поговорим о seccomp (режим безопасных вычислений). Это очень важный инструмент, который мы будем использовать вместе с контейнерами. С его помощью мы сможем правильно наложить некоторые дополнительные ограничения. Мы будем использовать его для ограничения системных вызовов. В целом, он участвует в заключении процесса в “тюрьму” и ограничивает, что можно сделать из самого процесса. Это предоставляет нам возможность диктовать, что процесс не может делать.

После работы с seccomp мы перейдем к длинному разделу, посвященному логированию. Мы изучим крайне полезные команды, которые помогают в навигации по очень крупным файлам логов. Разберемся с системами оповещений. А в заключительной части курса поговорим о сканировании на уязвимости и отчетах.

Содержание:

• firewalld (красным выделено содержание первой части перевода)

Установка, зоны, интерфейсы
Порты и сервисы
Блокировка пинга
ipset, blacklist, whitelist
ipset, blacklist, redirect
Lockdown, Panic​

• SELinux

Состояния SELinux
Move, Copy, Create
Контексты SELinux
*
Настройки контекста
Booleans
Метки портов
Домены SELinux
Модули SELinux
Логи SELinux​

• Первичная настройка SSH

Вход не под root, изменение дефолтного порта, адаптация правил межсетевого экрана и SELinux
Порты и firewalld​

• Многоэтапная верификация по SSH

Настройка 3-х шаговой верификации для SSH - на основе ключей, генерация ключей
Настройка 3-х шаговой верификации для SSH - добавление аутентификации на основе паролей
Настройка 3-х шаговой верификации для SSH - Google Authenticator​

• Точка прыжка для SSH

Характеристики
Конфигурация сервера с контейнерами
SSH-туннель, SOCKS5
SOCKS5 Proxy​

• Seccomp - безопасные вычисления

Введение
Проверка состояния seccomp из программы
Strace и системные вызовы
Seccomp и ограничения кода
Исправление проблем при ограничении кода с seccomp
Аргументы командной строки при ограничении кода с seccomp
Исправление проблем при ограничении systemd с seccomp​

• Логи

tail
cat
Файлы логов
Демон auditd: запуск, остановка, перезапуск, перезагрузка, статус, правила и общая информация
Настройка аудита, настройка логирования, служебный файл systemd
Правила для файловой системы
Правила для системных вызовов
Исправление проблем при настройке аудита
journalctl​

• Оповещения

Оповещения по e-mail
Оповещения по SMS, AWS, LAMBDA
Оповещения по SMS, AWS, вызовы REST API​

• Сканирования на уязвимости и отчеты

Сканирования на уязвимости с Nmap
Автоматическая отправка отчетов по e-mail

​

Спойлер

Тип перевода: перевод с английского языка на русский и озвучивание
Объем оригинала: 8 ч 12 мин
Объем перевода первой части: 1 ч 20 мин
Формат: видео, без субтитров

Код:

https://linuxacademy.com/course/secure-container-host-operating-system/

 

Будем пробовать собираться в ближайшее время. Максимально возможный взнос в этой складчине убран, потому что его можно было бы применить лишь при наличии 60 участников в основном списке.

Пробуем собраться, если не получится, то тему придется удалить, в будущем к ней возвращаться уже не буду (нет времени).

Еще раз повторюсь, в курсе только практика, с первого видео работа в консоли и конфигурирование машины в боевых условиях.

 

Очень ценный материал, собирать его по крупицам - очень затратно, буду здесь до конца

 

Может будет возможность прорекламировать складчину?

 

Если сделаем этот курс, то далее получится сделать и его продолжения от этого же автора (уровень сложности курсов продвинутый): Безопасность Docker на основе сценариев и Безопасность LXD/LXC на основе сценариев