漫游笔记本电脑访问 CentOS LAMP Box——安全问题！

我有以下几点建议：

• 我会首先禁用所有未使用的服务（例如 pop3 和 imap）。这将大大减少您的攻击面。如果您必须保留某些服务，请通过防火墙阻止任何外部来源。
• 此外，预先填充 SSH 服务器密钥指纹或以某种方式将其提供给负责人。确保他/她不会连接到机器，除非指纹确实匹配，否则可能会发生中间人攻击。
• 考虑使用 sudo 而不是普通的 su，并限制开发主管可以做的事情。只有在有正当理由的情况下才放宽安全策略。

在任何情况下避免FTP。SSH 内置了对文件传输的支持，因此根本不要使用 FTP。它以明文形式发送凭证（用户名/密码）和文件，因此同一网络上的任何人都可以拦截所有数据。

将此视为您有趣旅程的起点：）。

还可以考虑国家安全局提供的指南，该机构负责安全增强型 Linux 等事务。它们涵盖 RedHat（和 CentOS）5.3、Mac、Windows、Solaris。使用以下指南：http://www.nsa.gov/ia/_files/。（请谨慎：在浏览器中输入 URL，而不是点击链接。）

本指南未涵盖访问控制列表的使用。可在 上找到。谷歌搜索“red hat acl”。这从根本上改善了基于 *nix 的访问控制，让您在允许或禁止访问方面拥有更大的灵活性。这需要一些时间来适应，但非常值得。

“未使用的端口”你的帖子没有说如果你需要那些应用程序。但是，除非绝对需要（例如，没有其他方法可以做到这一点），否则我会禁用对所有内容的访问。听起来您需要 http 和 ssh，但如果您确实需要，其他所有内容都应该有解决方法。（即，在 ssh 进入机器后，可以通过命令行访问 mysql。如果您需要更多，您可以使用 SSH 端口转发。等等。）

其他考虑因素：

• 我不知道 subversion，但是 GIT（分布式源代码控制）使用 SSH。
• 与 ftp 相比，有多种使用更安全的文件传输的方法。
• 根据研究，几乎可以肯定 Windows 机器已经受到威胁，因此永远不要完全信任机器或用户。
• 如果您拥有硬件资源（例如足够的 CPU 和 RAM），请使用虚拟机进一步分区服务（然后在这些主机上运行 SELinux）。
• NSA 指南建议修改防火墙以锁定端口。其他选项由您自己决定（即基于 Linux 文档项目中的伪装指南）。

如果对系统或驱动器的物理安全性有任何疑问，请考虑在安装过程中使用易于使用的 LUKS 加密选项。然后是备份安全性。享受旅程。

艾瑞克·乔万斯基

考虑使用强化工具，例如巴士底狱。CentOS 本质上是 RedHat 的改名，因此二进制兼容，所以大多数情况下，针对相同版本号的 RHEL 的任何说明都适用于 CentOS。

另一个很好的 CentOS 特定资源是操作系统保护维基页面。

最深入的分析是遵循CIS 基准。