RPM-härdning är processen att säkra RPM-paket för att förbättra den övergripande säkerheten för ett Linux-system. Genom att implementera RPM-härdningstekniker kan du skydda ditt system från potentiella sårbarheter och stärka dess säkerhetsställning. Här är en steg-för-steg-guide för att utföra RPM-härdning på RHEL-, CentOS- eller Rocky Linux-system:
1. Uppdatera systemet:
Se till att ditt system är uppdaterat med de senaste säkerhetsuppdateringarna och programvaruversionerna. Kör följande kommando för att söka efter uppdateringar och tillämpa dem:
```
sudo yum uppdatering
```
2. Installera RPM-GPG:
RPM-GPG (GNU Privacy Guard) tillhandahåller kryptografiska signeringsmöjligheter för att säkerställa att installerade paket inte har manipulerats. Installera RPM-GPG med följande kommando:
```
sudo yum installera rpm-gpg
```
3. Konfigurera GPG-nycklar:
Importera Red Hat, Inc. GPG-nyckeln för att verifiera äktheten av RPM-paket som tillhandahålls av Red Hat. Kör följande kommando för att importera nyckeln:
```
sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
```
4. Aktivera GPG-verifiering:
Ändra filen `yum.conf` för att aktivera GPG-verifiering för RPM-paket. Öppna filen `yum.conf` med din föredragna redigerare och gör följande ändringar:
```
[huvud]
gpgcheck=1
[installonly_limit]
gpgcheck=1
```
Se till att ersätta `installonly_limit` med `installonly` om du använder paketet `yum-utils`.
5. Installera eller uppdatera paket med GPG-verifiering:
Nu kan du installera eller uppdatera paket med GPG-verifiering aktiverad. Till exempel, för att installera Apache HTTP-servern med GPG-verifiering, använd följande kommando:
```
sudo yum installera httpd -y
```
6. Konfigurera SELinux (säkerhetsförbättrad Linux):
SELinux tillhandahåller principer för obligatorisk åtkomstkontroll (MAC) för att ytterligare förbättra systemsäkerheten. Se till att SELinux är aktiverat och konfigurerat på rätt sätt för ditt system. Du kan kontrollera den aktuella SELinux-statusen med följande kommando:
```
sudo getenforce
```
Utgången ska visa det aktuella SELinux-läget (t.ex. "Enforcing" eller "Disabled").
7. Inaktivera RPM-paketsignering (valfritt):
RPM-paketsignering är aktiverad som standard. Om du föredrar att inte signera dina paket kan du inaktivera paketsignering genom att ändra konfigurationsfilen för `rpm`. Öppna filen `/etc/rpm/macros.dist` och ändra följande rad:
```
%_signatur gpg
```
till:
```
%_signature ingen
```
Kom ihåg att inaktivering av RPM-paketsignering kan minska säkerheten för ditt system.
8. Använd säkerhetsförbättrade paket (EPEL):
EPEL (Extra Packages for Enterprise Linux) är ett tredjepartsförråd som tillhandahåller ytterligare programvara och paket som inte ingår i standardförråden. Många EPEL-paket är signerade med GPG-nycklar. För att aktivera EPEL, kör följande kommando:
```
sudo yum installera epel-release
```
Genom att följa dessa steg kan du effektivt utföra RPM-härdning på ditt Linux-system för att förbättra säkerheten och skydda det mot potentiella sårbarheter och obehöriga ändringar.
