Сливы курсов

Большая база курсов по честной ценe

Регистрация

[Linux Academy] Безопасность операционной системы хоста контейнеров. Часть 1. Тариф Базовый

Moderator

Administrator
Команда форума
Регистрация
24.09.2021
Сообщения
38 365

Вы получите: материалы 1-го курса из цикла 4-х (64 урока)
Для кого:

Расширенный курс для специалистов продвинутого уровня по защите операционной системы, работающей в качестве хоста для контейнеров от одной из самых лучших образовательных платформ в мире — Linux Academy
О чем курс:

Это первый курс из цикла 4 курсов, посвященных защите контейнеров. Цель курса - научить вас, как подготовить и укрепить операционную систему, сделать ее максимально защищенной до того, как вы начнете разворачивать на ней контейнеры.
Что будет на курсе:

Вы рассмотрите различные конфигурации и разберетесь, как использовать механизмы обеспечения безопасности в операционных системах для наилучшей защиты и укрепления нашей системы.
В первой части курса дается информация по firewalld и SELinux. firewalld - это инструмент в Linux, используемый для управления iptables. Вам нужен межсетевой экран, чтобы вы могли контролировать, какому трафику разрешено проходить, а какой будет запрещен. Вы пройдете через установку и правильную настройку firewalld. Рассмотрите основные команды firewalld и как их применять в зависимости от зон, портов, сервисов и других аспектов, касающихся системы.
Узнаете о контроле трафика, как разрешить трафик с одного IP на порт, как разрешить трафик со списка IP-адресов (белые списки), как создавать список IP-адресов, доступ с которых мы хотим запретить (черные списки) и многое другое.
После firewalld вы перейдете к SELinux. SELinux - это инструмент, который позволяет точно контролировать доступ к файлам, средствам управления, процессам и прочим вещам в системе. Он очень эффективен и используется практически во всех дистрибутивах на базе Red Hat. В этом разделе мы обсудим состояния SELinux, контекст SELinux, настройки контекста.
Далее перейдете к полезным командам, которые позволят вам составлять список запрещенных портов и протоколов, поговорим о переключателях (booleans), метках портов, модулях SELinux и логах. Обсудим автоматические скрипты для firewalld и SELinux.
После подробного рассмотрения основ firewalld и SELinux, вы перейдете к изучению доступа к серверу и настройке аутентификации. На данном этапе вы поиграетесь с доступом к системе. Для начала выполните базовую настройку путем изменения дефолтного порта для подключения по SSH. Добавите дополнительные слои аутентификации и создадим jump-сервер по аналогии с VPN через SSH. Вы узнаете, как настроить одновременную работу различных методов аутентификации: стандартную аутентификацию на основе ключей, аутентификацию на основе паролей, плюс третий слой аутентификации, в котором мы интегрируем Google Authenticator. Для входа на сервер будет требоваться смартфон. Это в значительной степени улучшит нашу защищенность, поскольку крайне маловероятно, что кто-либо сможет получить доступ одновременно к ключу, смартфону и паролю.
Вы разберетесь с точками прыжков (jump points). Вы узнаете, что это такое и для чего они используются. Точка прыжка - это место, к которому мы подключаемся. Она позволяет нам подключаться к другой части нашей инфраструктуры. Они могут значительно улучшить безопасность наших светящих в мир серверов и серверов инфраструктуры.
Далее вы познакомитесь о seccomp (режим безопасных вычислений). Это очень важный инструмент, который вы будете использовать вместе с контейнерами. С его помощью вы сможете правильно наложить некоторые дополнительные ограничения. Вы будете использовать его для ограничения системных вызовов. В целом, он участвует в заключении процесса в “тюрьму” и ограничивает, что можно сделать из самого процесса. Это предоставляет вам возможность диктовать, что процесс не может делать.
После работы с seccomp вы перейдете к длинному разделу, посвященному логированию. Изучите крайне полезные команды, которые помогают в навигации по очень крупным файлам логов. Разберетесь с системами оповещений. А в заключительной части курса узнаете о сканировании на уязвимости и отчетах.




Программа курса

firewalld
Установка, зоны, интерфейсы
Порты и сервисы
Блокировка пинга
ipset, blacklist, whitelist
ipset, blacklist, redirect
Lockdown, Panic

SELinux
Состояния SELinux
Move, Copy, Create
Контексты SELinux
*
Настройки контекста
Booleans
Метки портов
Домены SELinux
Модули SELinux
Логи SELinux

Первичная настройка SSH
Вход не под root, изменение дефолтного порта, адаптация правил межсетевого экрана и SELinux
Порты и firewalld

Многоэтапная верификация по SSH
Настройка 3-х шаговой верификации для SSH - на основе ключей, генерация ключей
Настройка 3-х шаговой верификации для SSH - добавление аутентификации на основе паролей
Настройка 3-х шаговой верификации для SSH - Google Authenticator

Точка прыжка для SSH
Характеристики
Конфигурация сервера с контейнерами
SSH-туннель, SOCKS5
SOCKS5 Proxy

Seccomp - безопасные вычисления
Введение
Проверка состояния seccomp из программы
Strace и системные вызовы
Seccomp и ограничения кода
Исправление проблем при ограничении кода с seccomp
Аргументы командной строки при ограничении кода с seccomp
Исправление проблем при ограничении systemd с seccomp

Логи
tail
cat
Файлы логов
Демон auditd: запуск, остановка, перезапуск, перезагрузка, статус, правила и общая информация
Настройка аудита, настройка логирования, служебный файл systemd
Правила для файловой системы
Правила для системных вызовов
Исправление проблем при настройке аудита
journalctl

Оповещения
Оповещения по e-mail
Оповещения по SMS, AWS, LAMBDA
Оповещения по SMS, AWS, вызовы REST API

Сканирования на уязвимости и отчеты
Сканирования на уязвимости с Nmap
Автоматическая отправка отчетов по e-mail












 

Партнеры

Верх Низ