Безопасность |
Предыдущая Содержание Следующая |
|
(недоделано)
После отладки всей системы необходимо повысить надёжность работы, отключив всё лишнее и проверить безопасность системы. В файле /etc/profile: •Добавить автоматическое завершение сеанса пользователя: •Уменьшить число хранимых команд истории оболочки: •Уничтожать файл истории команд .ash_history после выхода пользователя: В файле /etc/passwd удалить неиспользуемых пользователей и указать домашние директории.
root:x:0:0:root:/root:/bin/sh daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:100:sync:/bin:/bin/sync mail:x:8:8:mail:/var/spool/mail:/bin/sh --proxy:x:13:13:proxy:/bin:/bin/sh --www-data:x:33:33:www-data:/var/www:/bin/sh --backup:x:34:34:backup:/var/backups:/bin/sh --operator:x:37:37:Operator:/var:/bin/sh haldaemon:x:68:68:hald:/:/bin/sh --dbus:x:81:81:dbus:/var/run/dbus:/bin/sh --nobody:x:99:99:nobody:/home:/bin/sh sshd:x:103:99:Operator:/var:/bin/sh --default:x:1000:1000:Default non-root user:/home/default:/bin/sh
Найти всех "мёртвых" пользователей, можно командой:
cut -f 1 -d : /etc/passwd | while read i; do find / -user "$i" | grep -q . && echo "$i"; done В файле /etc/group удалить неиспользуемые группы. http://www.yolinux.com/TUTORIALS/LinuxTutorialManagingGroups.html http://refspecs.linux-foundation.org/LSB_3.2.0/LSB-Core-generic/LSB-Core-generic/usernames.html
root:x:0: daemon:x:1: bin:x:2: sys:x:3: --adm:x:4: tty:x:5: --disk:x:6: wheel:x:10:root --utmp:x:43: --staff:x:50: haldaemon:x:68: --dbus:x:81: netdev:x:82: --nobody:x:99: nogroup:x:99: users:x:100: default:x:1000: Установить атрибут immutable для файлов /etc/passwd, /etc/shadow, /etc/group:
chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/services Запретить доступ к сценариям запуска программ всем, кроме root:
chmod 0700 /etc/init.d/* Запретить обычному пользователю выполнять программы с правами root, сняв s-бит у файлов /bin/mount, /bin/umount, /bin/ping:
chmod a-s /bin/mount chmod a-s /bin/umount chmod a-s /bin/ping
Найти все программы, у которых стоит разрешение на запуск можно:
find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls lg {} \; В файле /etc/sysctl.conf: •Установить запрет ответа на широковещательные ping-запросы: •Запретить использование сервером информации об источнике пакета: •Включить защиту от SYN-атак: •Включить защиту от подделки IP-адреса: •Выключить ICMP-переадресацию (при необходимости для сетей несложной структуры):
Если требуется доступ только с определённых IP-адресов: Создать или отредактировать файл /etc/hosts.deny и добавить в него запрет доступа для всех, кто не прописан в файле разрешений:
ALL: ALL@ALL, PARANOID
Создать или отредактировать файл /etc/hosts.allow и добавить в него список разрешений:
ftp: 200.20.20.200 example.com
Проверить конфигурацию на наличие проблем:
tcpdchk Отключить доступ root: •Оставить только физическую консоль ttyS0 в файле /etc/securetty; •Запретить доступ через SSH. Для dropbear: добавить в строку запуска ключ -w. Либо вообще его выключить; •Запретить доступ через FTP. Для ProFTP: RootLogin off; •При необходимости выключить возможность логина, заменить в /etc/passwd оболочку /bin/sh на /sbin/nologin (?такой нет...);
|
Предыдущая Содержание Следующая |