Закрыто

Безопасность операционной системы хоста контейнеров [Linux Academy] - Часть 1 из 6

Тема в разделе "Программирование", создана пользователем Ianuaria, 24 мар 2020.

Цена: 25000р.
Взнос: 1921р.
91%

Основной список: 14 участников

Резервный список: 5 участников

Статус обсуждения:
Комментирование ограничено.
  1. 24 мар 2020
    #1
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)

    Безопасность операционной системы хоста контейнеров [Linux Academy] - Часть 1 из 6

    sc.png

    Расширенный курс для специалистов продвинутого уровня по защите операционной системы, работающей в качестве хоста для контейнеров от одной из самых лучших образовательных платформ в мире — Linux Academy

    Описание:

    Это первый курс из цикла 4 курсов, посвященных защите контейнеров. Цель курса - научить вас, как подготовить и укрепить операционную систему, сделать ее максимально защищенной до того, как вы начнете разворачивать на ней контейнеры. Мы рассмотрим различные конфигурации и разберемся, как использовать механизмы обеспечения безопасности в операционных системах для наилучшей защиты и укрепления нашей системы.

    В первой части курса дается информация по firewalld и SELinux. firewalld - это инструмент в Linux, используемый для управления iptables. Нам нужен межсетевой экран, чтобы мы могли контролировать, какому трафику разрешено проходить, а какой будет запрещен. Мы пройдем через установку и правильную настройку firewalld. Рассмотрим основные команды firewalld и как их применять в зависимости от зон, портов, сервисов и других аспектов, касающихся системы. Мы также поговорим о контроле трафика, как разрешить трафик с одного IP на порт, как разрешить трафик со списка IP-адресов (белые списки), как создавать список IP-адресов, доступ с которых мы хотим запретить (черные списки) и многое другое.

    После firewalld мы перейдем к SELinux. SELinux - это инструмент, который позволяет точно контролировать доступ к файлам, средствам управления, процессам и прочим вещам в системе. Он очень эффективен и используется практически во всех дистрибутивах на базе Red Hat. В этом разделе мы обсудим состояния SELinux, контекст SELinux, настройки контекста. Далее перейдем к полезным командам, которые позволяют нам составлять список запрещенных портов и протоколов, поговорим о переключателях (booleans), метках портов, модулях SELinux и логах. Обсудим автоматические скрипты для firewalld и SELinux.

    После подробного рассмотрения основ firewalld и SELinux, мы перейдем к изучению доступа к серверу и настройке аутентификации. На данном этапе мы поиграемся с доступом к системе. Для начала выполним базовую настройку путем изменения дефолтного порта для подключения по SSH. Добавим дополнительные слои аутентификации и создадим jump-сервер по аналогии с VPN через SSH. Вы узнаете, как настроить одновременную работу различных методов аутентификации: стандартную аутентификацию на основе ключей, аутентификацию на основе паролей, плюс третий слой аутентификации, в котором мы интегрируем Google Authenticator. Для входа на сервер будет требоваться смартфон. Это в значительной степени улучшит нашу защищенность, поскольку крайне маловероятно, что кто-либо сможет получить доступ одновременно к ключу, смартфону и паролю.

    Мы разберемся с точками прыжков (jump points). Вы узнаете, что это такое и для чего они используются. Точка прыжка - это место, к которому мы подключаемся. Она позволяет нам подключаться к другой части нашей инфраструктуры. Они могут значительно улучшить безопасность наших светящих в мир серверов и серверов инфраструктуры.

    Далее мы поговорим о seccomp (режим безопасных вычислений). Это очень важный инструмент, который мы будем использовать вместе с контейнерами. С его помощью мы сможем правильно наложить некоторые дополнительные ограничения. Мы будем использовать его для ограничения системных вызовов. В целом, он участвует в заключении процесса в “тюрьму” и ограничивает, что можно сделать из самого процесса. Это предоставляет нам возможность диктовать, что процесс не может делать.

    После работы с seccomp мы перейдем к длинному разделу, посвященному логированию. Мы изучим крайне полезные команды, которые помогают в навигации по очень крупным файлам логов. Разберемся с системами оповещений. А в заключительной части курса поговорим о сканировании на уязвимости и отчетах.

    Содержание:

    • firewalld (красным выделено содержание первой части перевода)
    Установка, зоны, интерфейсы
    Порты и сервисы
    Блокировка пинга
    ipset, blacklist, whitelist
    ipset, blacklist, redirect
    Lockdown, Panic
    • SELinux
    Состояния SELinux
    Move, Copy, Create
    Контексты SELinux

    *
    Настройки контекста
    Booleans
    Метки портов
    Домены SELinux
    Модули SELinux
    Логи SELinux​
    • Первичная настройка SSH
    Вход не под root, изменение дефолтного порта, адаптация правил межсетевого экрана и SELinux
    Порты и firewalld​
    • Многоэтапная верификация по SSH
    Настройка 3-х шаговой верификации для SSH - на основе ключей, генерация ключей
    Настройка 3-х шаговой верификации для SSH - добавление аутентификации на основе паролей
    Настройка 3-х шаговой верификации для SSH - Google Authenticator​
    • Точка прыжка для SSH
    Характеристики
    Конфигурация сервера с контейнерами
    SSH-туннель, SOCKS5
    SOCKS5 Proxy​
    • Seccomp - безопасные вычисления
    Введение
    Проверка состояния seccomp из программы
    Strace и системные вызовы
    Seccomp и ограничения кода
    Исправление проблем при ограничении кода с seccomp
    Аргументы командной строки при ограничении кода с seccomp
    Исправление проблем при ограничении systemd с seccomp​
    • Логи
    tail
    cat
    Файлы логов
    Демон auditd: запуск, остановка, перезапуск, перезагрузка, статус, правила и общая информация
    Настройка аудита, настройка логирования, служебный файл systemd
    Правила для файловой системы
    Правила для системных вызовов
    Исправление проблем при настройке аудита
    journalctl​
    • Оповещения
    Оповещения по e-mail
    Оповещения по SMS, AWS, LAMBDA
    Оповещения по SMS, AWS, вызовы REST API​
    • Сканирования на уязвимости и отчеты
    Сканирования на уязвимости с Nmap
    Автоматическая отправка отчетов по e-mail

    Тип перевода: перевод с английского языка на русский и озвучивание
    Объем оригинала: 8 ч 12 мин
    Объем перевода первой части: 1 ч 20 мин
    Формат: видео, без субтитров
    Код:
    https://linuxacademy.com/course/secure-container-host-operating-system/
     
    Последнее редактирование: 21 ноя 2021
    1 человеку нравится это.
  2. Последние события

    1. skladchik.com
      Складчина закрыта.
      21 ноя 2021
    2. MuxaJIbI4
      MuxaJIbI4 участвует.
      3 апр 2021
    3. Ghost Rider
      Ghost Rider участвует.
      13 янв 2021
    4. skladchik.com
      Складчина доступна.
      30 дек 2020

    Последние важные события

    1. skladchik.com
      Складчина закрыта.
      21 ноя 2021
    2. skladchik.com
      Складчина доступна.
      30 дек 2020
    3. skladchik.com
      Взнос составляет 1921р.
      12 дек 2020
    4. skladchik.com
      Складчина активна.
      12 дек 2020
  3. Обсуждение
  4. 8 дек 2020
    #2
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)
    Будем пробовать собираться в ближайшее время. Максимально возможный взнос в этой складчине убран, потому что его можно было бы применить лишь при наличии 60 участников в основном списке.

    Пробуем собраться, если не получится, то тему придется удалить, в будущем к ней возвращаться уже не буду (нет времени).

    Еще раз повторюсь, в курсе только практика, с первого видео работа в консоли и конфигурирование машины в боевых условиях.
     
    1 человеку нравится это.
  5. 11 дек 2020
    #3
    akmonk
    akmonk ЧКЧлен клуба
    Очень ценный материал, собирать его по крупицам - очень затратно, буду здесь до конца
     
    2 пользователям это понравилось.
  6. 11 дек 2020
    #4
    Netwise
    Netwise ОргОрганизатор
    Может будет возможность прорекламировать складчину?
     
    2 пользователям это понравилось.
  7. 12 дек 2020
    #5
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)
    Если сделаем этот курс, то далее получится сделать и его продолжения от этого же автора (уровень сложности курсов продвинутый): Безопасность Docker на основе сценариев и Безопасность LXD/LXC на основе сценариев
     
    3 пользователям это понравилось.
Статус обсуждения:
Комментирование ограничено.

Поделиться этой страницей