centos cobbler如何设置安全策略 - 问答

CentOS 上 Cobbler 的安全策略设置

一网络与端口最小化

仅开放必要端口，并限制来源网段（示例为内网 192.168.1.0/24）：
- TCP 80/443：Cobbler Web 与 API（建议启用 TLS/HTTPS）
- UDP 69：TFTP
- TCP 25150：Cobbler XMLRPC API

firewalld 示例（按需收紧来源）：

firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --permanent --zone=internal --add-service=https
firewall-cmd --permanent --zone=internal --add-port=69/udp
firewall-cmd --permanent --zone=internal --add-port=25150/tcp
firewall-cmd --permanent --zone=internal --add-source=192.168.1.0/24
firewall-cmd --reload

说明：Cobbler 的 Web/API 默认走 80/443；TFTP 为 69/UDP；XMLRPC API 常用 25150/TCP。最小化开放能显著降低攻击面。

二身份与访问控制

Web 认证与强口令
- 修改认证方式：编辑 /etc/cobbler/modules.conf，将 [authentication] 设置为 authn_configfile（文件方式），为用户（如 cbadmin）设置口令：
```
htdigest -c /etc/cobbler/users.digest "Cobbler" cbadmin
```
  按提示输入两遍强口令，重启 httpd/cobblerd 生效。
- 设置系统默认加密口令：在 /etc/cobbler/settings 中配置 default_password_crypted（SHA-512 推荐），示例：
```
openssl passwd -6 -salt 'RANDOM' 'YourStrongP@ssw0rd!'
```
  将输出填入 default_password_crypted，用于装机阶段默认账户。
API 访问控制
- 建议将 API 仅暴露在内网，并通过防火墙限制来源；必要时结合 TLS 与反向代理进行访问控制与审计。
安全基线
- 使用强密码策略、定期轮换；仅授予必要人员 Web/API 访问权限；对关键操作启用二次确认或审批流程。

三传输加密与 Web 加固

启用 HTTPS/TLS
- 为 Apache HTTPd 配置有效的 TLS 证书（由受信任 CA 签发），开启 HSTS，并将 HTTP→HTTPS 强制跳转；禁用 SSLv3/TLS1.0/1.1 与弱套件，优先 TLS 1.2/1.3 与 AEAD 套件（如 AES-256-GCM）。
Web 服务器加固要点
- 关闭目录列表、限制 HTTP 方法（仅允许 GET/POST 等必要方法）、设置安全响应头（如 X-Frame-Options、X-Content-Type-Options、X-XSS-Protection、Referrer-Policy）、限制上传大小与类型（若启用文件分发）。
说明：TLS 能保护 Web/API 凭据与配置在传输过程中的机密性与完整性，是装机平台对外暴露面的重要防线。

四服务与系统加固

SELinux
- 实验/排障阶段可临时设为 Permissive 或关闭，但生产环境应启用 Enforcing 并针对 cobblerd/httpd/tftp/rsyncd/dhcpd 配置合适的策略模块，避免直接长期关闭。
服务最小化与隔离
- 仅启用必要服务（如 cobblerd、httpd、tftp、rsyncd、dhcpd）；将 DHCP 仅在内网接口监听；对 TFTP 使用 xinetd 限制访问来源；对 rsyncd 配置认证与访问控制。
引导与装机安全
- 启用 pxe_just_once: 1，避免客户端误重复重装；为装机应答文件（kickstart）移除明文 root 口令，改用 default_password_crypted 或安装后强制首次改密；限制可安装的系统版本与仓库，减少供应链风险。
运行维护
- 定期执行 cobbler check、cobbler sync 校验配置；及时更新 Cobbler 及其依赖组件；启用日志审计并集中收集（如 rsyslog），对异常装机与 API 调用进行告警。

0 赞

0 踩