Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: вопросы безопасности
Показать сообщение отдельно
mar mar вне форума Автор темы

Аватара для mar

just mar


Moderator


Сообщения: 3904
Благодарности: 163

Профиль | Отправить PM | Цитировать

SantaXP
вообще-то FreeBSD неплохо защищена по-дефолту, но ежели хочется дополнений (в том числе по руткитам):
1) смотрим какой у Вас стоит securelevel и рихтуем, если надо
2) расставляем (если надо) и куда считаем нужным флаг schg
3) в /etc/fstab для /tmp устанавливаем: rw,noexec,nosuid,nodev,nosymfollow и nodev на все места, где не нужны dev (а не нужны они нигде, кроме /dev и мест, где организуется chroot, или jail-среда)
4) Если стоит ipfw, убедитесь в том, что у Вас на вход закрыто все, кроме необходимого, а большая часть необходимого открывается изнутри по запросу (динамические правила)
5) Правим /etc/sysctl.conf (защищаемся от DOS-атак, превращаем машину в черную дыру для nmap и Ko и т.д.)
Цитата:
# Предотвращение DoS атак в FreeBSD
net.inet.tcp.msl=время # время ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах
net.inet.tcp.blackhole=2 # blackhole pings, traceroutes, etc. - все пакеты на закрытый порт отбрасываются без отсылки RST; (черная дыра)
net.inet.udp.blackhole=1 # отбрасывать пакеты для закрытых портов;
net.inet.icmp.icmplim=50 # защита от генерирование потока ответных пакетов,
#- максимальное количество ICMP Unreachable и TCP RST пакетов в секунду
6) если установлен демон ssh,
3-1) - правим (и проверяем /etc/ssh/sshd_config, обращаем внимание:
Цитата:
Port 22 # или тот, на котором хотите слушать
AllowUsers SantaXP # только этому пользователю
PermitEmptyPasswords no # нет пустым паролям (по-дефолту)
PermitRootLogin no # никаких рутовых входов (по-дефолту)
+ смотрите, что Вам кажется более безопасным - ключи, или пароли
3-2) правим /etc/hosts.allow, разрешая вход по ssh только с определенных ip (заодно правим нужное для других демонов)
7) Ставим программу portsentry и настраиваем ее на блокировку атакующих хостов (чтоб больше не лезли)
8) Установливаем программу chkrootkit и припишите в crontab:
Цитата:
0 3 * * * root (/usr/local/sbin/chkrootkit -q 2>&1 | mail -s "chkrootkit output" root)
9) не забываем читать логи (в aliases прописываем root: свой ник и даем команду newaliases
На самом деле можно защищаться и сильнее, вопрос, насколько это нужно (одно дело защита firewall, другое - внутреннего сервера, третье - рабочей машины )

Последний раз редактировалось mar, 05-07-2005 в 10:23. Причина: добавлено про nodev

Отправлено: 12:13, 04-07-2005 | #42

Название темы: вопросы безопасности