- Регистрация
- 24.09.2021
- Сообщения
- 38 365
Вы получите: материалы 1-го курса из цикла 4-х (64 урока) Для кого: Расширенный курс для специалистов продвинутого уровня по защите операционной системы, работающей в качестве хоста для контейнеров от одной из самых лучших образовательных платформ в мире — Linux Academy О чем курс: Это первый курс из цикла 4 курсов, посвященных защите контейнеров. Цель курса - научить вас, как подготовить и укрепить операционную систему, сделать ее максимально защищенной до того, как вы начнете разворачивать на ней контейнеры. Что будет на курсе: Вы рассмотрите различные конфигурации и разберетесь, как использовать механизмы обеспечения безопасности в операционных системах для наилучшей защиты и укрепления нашей системы. В первой части курса дается информация по firewalld и SELinux. firewalld - это инструмент в Linux, используемый для управления iptables. Вам нужен межсетевой экран, чтобы вы могли контролировать, какому трафику разрешено проходить, а какой будет запрещен. Вы пройдете через установку и правильную настройку firewalld. Рассмотрите основные команды firewalld и как их применять в зависимости от зон, портов, сервисов и других аспектов, касающихся системы. Узнаете о контроле трафика, как разрешить трафик с одного IP на порт, как разрешить трафик со списка IP-адресов (белые списки), как создавать список IP-адресов, доступ с которых мы хотим запретить (черные списки) и многое другое. После firewalld вы перейдете к SELinux. SELinux - это инструмент, который позволяет точно контролировать доступ к файлам, средствам управления, процессам и прочим вещам в системе. Он очень эффективен и используется практически во всех дистрибутивах на базе Red Hat. В этом разделе мы обсудим состояния SELinux, контекст SELinux, настройки контекста. Далее перейдете к полезным командам, которые позволят вам составлять список запрещенных портов и протоколов, поговорим о переключателях (booleans), метках портов, модулях SELinux и логах. Обсудим автоматические скрипты для firewalld и SELinux. После подробного рассмотрения основ firewalld и SELinux, вы перейдете к изучению доступа к серверу и настройке аутентификации. На данном этапе вы поиграетесь с доступом к системе. Для начала выполните базовую настройку путем изменения дефолтного порта для подключения по SSH. Добавите дополнительные слои аутентификации и создадим jump-сервер по аналогии с VPN через SSH. Вы узнаете, как настроить одновременную работу различных методов аутентификации: стандартную аутентификацию на основе ключей, аутентификацию на основе паролей, плюс третий слой аутентификации, в котором мы интегрируем Google Authenticator. Для входа на сервер будет требоваться смартфон. Это в значительной степени улучшит нашу защищенность, поскольку крайне маловероятно, что кто-либо сможет получить доступ одновременно к ключу, смартфону и паролю. Вы разберетесь с точками прыжков (jump points). Вы узнаете, что это такое и для чего они используются. Точка прыжка - это место, к которому мы подключаемся. Она позволяет нам подключаться к другой части нашей инфраструктуры. Они могут значительно улучшить безопасность наших светящих в мир серверов и серверов инфраструктуры. Далее вы познакомитесь о seccomp (режим безопасных вычислений). Это очень важный инструмент, который вы будете использовать вместе с контейнерами. С его помощью вы сможете правильно наложить некоторые дополнительные ограничения. Вы будете использовать его для ограничения системных вызовов. В целом, он участвует в заключении процесса в “тюрьму” и ограничивает, что можно сделать из самого процесса. Это предоставляет вам возможность диктовать, что процесс не может делать. После работы с seccomp вы перейдете к длинному разделу, посвященному логированию. Изучите крайне полезные команды, которые помогают в навигации по очень крупным файлам логов. Разберетесь с системами оповещений. А в заключительной части курса узнаете о сканировании на уязвимости и отчетах. Программа курса firewalld Установка, зоны, интерфейсы Порты и сервисы Блокировка пинга ipset, blacklist, whitelist ipset, blacklist, redirect Lockdown, Panic SELinux Состояния SELinux Move, Copy, Create Контексты SELinux * Настройки контекста Booleans Метки портов Домены SELinux Модули SELinux Логи SELinux Первичная настройка SSH Вход не под root, изменение дефолтного порта, адаптация правил межсетевого экрана и SELinux Порты и firewalld Многоэтапная верификация по SSH Настройка 3-х шаговой верификации для SSH - на основе ключей, генерация ключей Настройка 3-х шаговой верификации для SSH - добавление аутентификации на основе паролей Настройка 3-х шаговой верификации для SSH - Google Authenticator Точка прыжка для SSH Характеристики Конфигурация сервера с контейнерами SSH-туннель, SOCKS5 SOCKS5 Proxy Seccomp - безопасные вычисления Введение Проверка состояния seccomp из программы Strace и системные вызовы Seccomp и ограничения кода Исправление проблем при ограничении кода с seccomp Аргументы командной строки при ограничении кода с seccomp Исправление проблем при ограничении systemd с seccomp Логи tail cat Файлы логов Демон auditd: запуск, остановка, перезапуск, перезагрузка, статус, правила и общая информация Настройка аудита, настройка логирования, служебный файл systemd Правила для файловой системы Правила для системных вызовов Исправление проблем при настройке аудита journalctl Оповещения Оповещения по e-mail Оповещения по SMS, AWS, LAMBDA Оповещения по SMS, AWS, вызовы REST API Сканирования на уязвимости и отчеты Сканирования на уязвимости с Nmap Автоматическая отправка отчетов по e-mail 
|
