CentOS上Cobbler的安全加固清单

一基础加固与网络边界

启用并正确配置防火墙，仅开放必要端口；最小化暴露面。示例（生产环境请按网段收敛）：

DHCP：UDP67/68

TFTP：UDP69

HTTP/HTTPS：TCP80/443

命令示例：firewall-cmd--permanent--add-port={67,68}/udp--add-port={80,443}/tcp&&firewall-cmd--reload

不建议直接关闭SELinux；如确需排障可临时设为Permissive并尽快恢复Enforcing，同时为目标服务设置正确的布尔值与策略模块。

将服务绑定到管理网段或回环地址，避免公网直连；在/etc/cobbler/settings中正确设置server与next_server为本机管理地址，减少误用与外泄风险。

二身份与访问控制

Web管理认证

使用基于摘要的htdigest认证管理用户与口令：htdigest/etc/cobbler/users.digest“Cobbler”<用户名>，并定期轮换口令。

默认凭据（如用户cobbler与默认口令）必须第一时间修改，且仅限内网使用。

认证与授权模块

文件认证：/etc/cobbler/modules.conf中[authentication]使用authn_configfile，[authorization]使用authz_allowall（仅测试环境）。

生产建议接入企业目录（如LDAP/AD）或启用更强的授权策略模块，细化到用户/组/动作的访问控制。

默认安装root口令

在/etc/cobbler/settings设置default_password_crypted，使用opensslpasswd-1生成强口令哈希，避免明文或弱口令流入装机流程。

三传输加密与Web防护

强制HTTPS访问WebUI

在/etc/httpd/conf.d/ssl.conf或虚拟主机中对/cobbler/web/做80→443强制跳转，仅暴露443；证书建议使用受信任CA签发或企业内网CA。

证书管理

自签名证书仅用于测试；生产可用CFSSL或OpenSSL自建CA与服务器证书，确保证书链完整、域名/IP匹配、定期轮换与撤销检查。

仅限必要方法与会话安全

在Apache配置中限制WebUI仅允许GET/POST，启用HttpOnly/Secure等会话Cookie属性，关闭目录浏览与默认欢迎页。

四服务组件与引导安全

服务最小化与隔离

仅启用必需服务：httpd、cobblerd、tftp、rsync、dhcpd；为TFTP与DHCP配置最小权限与专用运行账户（如适用），并限制可写目录。

引导与装机控制

在/etc/cobbler/settings启用pxe_just_once:1，避免客户端重复自动重装；装机完成后引导菜单自动降级，减少被滥用风险。

使用cobblercheck例行自检，核查配置、证书、引导文件与服务等健康状态，及时修复告警。

五审计、日志与合规

集中与长期留存日志

Web层日志：/var/log/httpd/error_log；Cobbler业务日志：/var/log/cobbler/cobbler.log。配置logrotate按日/大小滚动，保留不少于90天。

变更与合规

对/etc/cobbler/、/etc/httpd/conf.d/、/var/lib/cobbler/等关键目录设置版本化备份与变更审计（如auditd或文件完整性监控）。

定期审查cobblerusers.digest、modules.conf、settings与dhcp.template的变更记录，确保最小权限与合规配置落地。