The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Что поправить в FreeBSD для увеличения безопасности (freebsd security howto)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: freebsd, security, howto,  (найти похожие документы)
From: ZmeY <zmey@kahovka.net> Newsgroups: forum.opennet.ru Date: Thu, 7 Aug 2003 19:50:19 +0100 Subject: Что поправить в FreeBSD для увеличения безопасности Оригинал перевода: http://zmey.kahovka.net/trans/checklist.txt Оригинал: http://www.sddi.net/FBSDSecCheckList.html Перевод: by ZmeY (zmey@kahovka.net). Этот документ является списком параметров защиты для применения на FreeBSD серверах. Существует огромное количество статей, обзоров и инструкций в которых описаны методы защиты вашей FreeBSD системы. Но все они описывают отдельные методы и способы. Этот документ является списком, который удобно использовать при настройке сервера. В документе собраны рекомендации, которые помогут вам, настроить наиболее защищенный сервер. Более подробное описание всех настроек и проблем безопасности вы можете найти, обратившись к списку использованных источников, в конце этого документа. Окончательной версии этого документа не существует, он постоянно дополняется различными советами и рекомендациями. Рекомендуем вам распечатать этот документ и использовать при каждой настройке нового сервера. В этом документе описывается использование некоторых приложений, которые включены в дерево портов FreeBSD, эти приложения помогут вам сделать ваш сервер еще более защищенным. Мы не описываем конфигурацию брандмауэров (ipfw, ipf, pf), почтовых агентов или веб-сервера для этого существуют отдельные статьи, которые помогут вам наиболее безопасно установить, настроить и использовать данные приложения. В данном документе мы опишем использование chrootkit - программа для проверки наличия в системе root-kit-ов. rdate - замена для ntp. cvsup и portupgrade для обновления системы и дерева портов. Примечание о параметре log_in_vain. Многие писали мне о том, что бы этот параметр был обязательно описан в данном документе. Раньше я тратил очень много времени на анализ журнальных файлов моего брандмауэра с информацией о том, что кто-то сканирует порты на моем сервере и я должен сказать что это бесполезная трата времени. Любое ваше оборудование подключенное к Интернет рано или поздно будет просканировано и вам это известно. Если информация о сканировании портов не является частью ваших журнальных файлов, значит ваш компьютер не подключен к Интернет. Но тем не менее опция log_in_vain была описана в этом документе. 1. Инсталяция: При разметке диска, лучше всего не использовать значения по умолчанию, а разметить его в ручную, это позволит вам применить различные опции для каждого раздела. Если у вас мало пользователей, то нет необходимости делать раздел /usr/home большим. Если вы будете настраивать удаленную регистрацию событий, то раздел /var можно делать не очень большим. Например, разметка диска может выглядеть вот так: none(swap) / /tmp /usr /usr/home /var /root 2. Настройка Отключаем inetd Отключаем port_map (если не планируется использовать NFS) Откажемся от ntp, вместо этого мы используем rdate, при обновлении будут использоваться ntp-сервера. Нам необходимо установить коллекцию портов, которая будет расположена в /usr/ports После этого мы должны установить следующие порты /security/chrootkit /sysutils/rdate /sysutils/portupgrade /net/cvsup-without-gui (я считаю, что на серверах не должно быть графического интерфейса) 3. Пользователи. Так как мы запрещаем удаленную регистрацию под пользователем root через ssh, очень важно создать дополнительного пользователя. Для этого необходимо создать пользователя, который должен быть в группе wheel, что позволит ему в дальнейшем регистрироваться под пользователем root при помощи команды su. Создадим группу для пользователей, которые могут иметь удаленный доступ vi /etc/group sshusers:*:1001:список пользователей находящихся в этой группе Сохраним файл и выйдем из vi, для этого зажмите кнопку shift и нажмите дважды кнопку zz. (далее это действие будет обозначаться как ZZ) 4. Сообщение дня cp /etc/motd /etc/motd.old rm /etc/motd vi /etc/motd В содержании этого файла вам необходимо написать предупреждение о том, что доступ к данному серверу имеют только зарегистрированные пользователи и только для выполнения задач, которые разрешены для выполнения на этом сервере. Также необходимо указать что, регистрируясь на данном сервере пользователь соглашается с системной политикой данного сервера, что очень важно в случае возникновения судебных разбирательств с пользователями, которые нарушили правила работы на вашем сервере. Сохраняем и выходим из vi. ZZ cp /etc/motd /etc/issue # мы будем использовать motd для показа # при удаленной регистрации. # см. также /etc/ssh/sshd_config 5. OpenSSH Мы будем настраивать авторизацию через DSA ключи, без использования паролей. Конечно если кто-то получит доступ к вашему ssh-клиенту с dsa ключами, у вас возникнут проблемы, точно также если кто-то узнает ваш пароль. Используя dsa ключи мы избавляемся от возможности взломать нашу систему путем перебора паролей. Вы можете использовать dsa-ключи или пароли, выбирать вам, но никогда не пользуйтесь telnet-ом для удаленного доступа. Откройте и отредактируйте файл /etc/ssh/sshd_config для настроек параметров демона, к которому обращаются пользователи при удаленном доступе к вашему серверу. vi /etc/ssh/sshd_config Port 22 Protocol 2 #Hostkey /etc/ssh/ssh_host_key PermitRootLogin no MaxStartups 5:50:10 # после 5 неправильных регистраций, # отторгать 50% новых подключений, и # не отвечать совсем, если число # неправильных регистраций превысило 10 X11Forwarding no PrintLastLog yes SyslogFacility auth # писать информацию о регистрациях в # лог-файл to /var/log/auth. LogLevel VERBOSE # обычно OpenSSH это единственный путь # удаленного доступа к системе, мы # хотим получать наиболее полную # информацию от этого сервиса. PasswordAuthentication no PermitEmptyPasswords no Banner /etc/issue AllowGroups sshusers # группа, которой разрешена # регистрация через SSH можно указать # несколько групп через запятую. Сохраняем и выходим из vi. ZZ Теперь откроем и отредактируем файл /etc/ssh/ssh_config vi /etc/ssh/ssh_config ForwardAgent no ForwardX11 no PasswordAuthentication no CheckHostIP yes Port 22 Protocol 2 Сохраняем и выходим из vi. ZZ Теперь, давайте сгенерируем DSA ключи для авторизации с пользователем, AKA <noprivuser> su - noprivuser ssh-keygen -d На экране появится строка Generating public/private dsa key pair. Enter file in which to save the key (Введите файл в который сохранить ключ.) (/home/<nonprivuser>/.ssh/id_dsa): # значение по умолчанию Enter pass phrase (empty for no pass phrase): # введите пароль для ключа или без пароля Enter pass phrase (empty for no pass phrase): # подтверждение пароля Your identification has been saved in /home/<nonprivuser>/.ssh/id_dsa. Идентификационный ключ сохранен в .... Your public key has been saved in /home/<nonprivuser>/.ssh/id_dsa.pub Публичный ключ сохранен в ... The key fingerprint is (отпечаток ключа): xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx <nonprivuser>@<host> [user@server /dir]#cd .ssh [user@server /dir]#cat id_dsa.pub > authorized_keys2 Теперь скопируйте ключ на дискету, и перенесите на компьютер, с которого вы хотите подключаться к серверу. Выйдите из регистрационной записи пользователя. Убедитесь, что файл с ключом находится на дискете, потом удалите файл с ключом из директории .ssh пользователя. Убедитесь что дискета в безопасном месте и защищена от записи, потому что если она повредится, вам придется генерировать ключ заново. 6. rc.conf [user@server /dir]#vi /etc/rc.conf inetd_enable="NO" # Better ways to run your daemons syslogd_enable="YES" # Конечно мы хотим вести регистрацию событий. Если вы планируете настроить # удаленную регистрацию событий, тогда пропустите следующую строку. # Если файлы регистрации событий будут расположены на локальном диске, # убедитесь что у вас смонтирован раздел /var. syslogd_flags="-ss" # Этим мы закроем 514 udp порт если мы не хотим использовать удаленную # регистрацию событий на или с этого сервера. Естественно не нужно добавлять # эту строчку, если вы планируете настроить удаленную регистрацию событий. icmp_drop_redirect="YES" # Отключаем прием и отправку переадресовующих ICMP пакетов. icmp_log_redirect="YES" # Регистрировать переадресовующие ICMP пакеты в журнальном файле clear_tmp_enable="YES" # Очищать директорию /tmp при загрузке. portmap_enable="NO" # Если не используется NFS icmp_bmcastecho="NO" # Предотвращает springboarding и smurf атаки, запрещая серверу отвечать # на широковещательные ping-пакеты. fsck_y_enable="YES" # При ошибках файловой системы на этапе загрузки утилита fsck будет # запущена с флагом -y (man fsck) update_motd="NO" #Не обновлять файл с сообщением дня /etc/motd tcp_drop_synfin="YES" # Отбрасывать synfin пакеты. Смотри ниже, необходимые изменения в ядре. log_in_vain="YES" # Установите эту опцию, если вы хотите записывать все попытки подключения # к закрытым портам вашего сервера. sshd_enable="YES" # Это позволит сделать удаленный доступ к серверу более защищенным. Сохраняем и выходим из vi. ZZ 7. login.conf & auth.conf Алгоритм md5 использующийся для шифрования паролей будет заменен на Blowfish алгоритм, который еще не взломан. Надежный алгоритм криптования необходим. Запомните: надежное криптование паролей это тоже часть безопасности. Как было сказано на встрече в Нью-Йорке наличие надежного алгоритма криптования паролей похоже на прихожую которая отлично защищена. Никто не может справится с этой защитой, но есть много других способов что бы обойти прихожую. Будут сделаны дополнительные настройки для защиты паролей, которые помогут обезопасить ваш сервер. [user@server /dir]#vi /etc/login.conf Делаем исправления в секции default:\ :passwd_format=blf:\ # заменяем алгоритм криптования паролей на # Blowfish вместо идущего по умолчанию md5. :passwordtime=52d:\ # период устаревания паролей 52 дня. :mixpasswordcase=true:\ # предупреждать пользователей о том что пароли должны содержать # разные символы (mixed-case passwords) :minpasswordlen=9:\ # минимальная длина пароля 9 символов :idletime=32:\ # автоматически отключать пользователей после # 32-х минут бездействия Сохраняем и выходим из vi. ZZ Теперь делаем базу. cap_mkdb /etc/login.conf Теперь необходимо изменить пароли всех пользователей, для того, что бы они были закриптованы при помощи алгоритма Blowfish. Убедитесь в этом при помощи vipw, это утилита для быстрого редактирования базы паролей /etc/master.passwd. Обратите внимание на второе и последнее поля, которые разделены : Второе поле содержит пароль пользователя в зашифрованном виде. Убедитесь что он начинается с $2. Это говорит о том что вы удачно перешли с md5 алгоритма криптования на Blowfish. Последнее поле определяет шелл пользователя. Для пользователей, которые будут использовать bash должно быть написано /usr/local/bin/bash. Для пользователей, которые не должны иметь права регистрироваться в системе, например пользователь www для Apache, должно быть написано /sbin/nologin Удалите пользователя toor нажмите dd на строке с пользователем toor Теперь сделаем что бы пароли пользователей, которые будут добавляться в дальнейшем криптовались алгоритмом Blowfish. vi auth.conf crypt_default=blf Сохраняем и выходим из vi. ZZ 8. sysctl.conf vi /etc/sysctl.conf net.inet.tcp.blackhole=2 # Это превращает машину в черную дыру при попытке подключиться к портам, # которые не обслуживаются вашим сервером. net.inet.udp.blackhole=1 kern.ps_showallprocs=0 # только пользователь root может видеть все запущенные процессы 9. fstab Теперь добавим некоторые параметры к некоторым точкам монтирования. Например, нет надобности кому-либо иметь возможность запускать программы из /tmp Есть более серьезные ограничения, которые вы можете сделать при помощи настроек в файле /etc/fstab. Например, вы можете сделать некоторые точки монтирования только читаемые, такие как /usr/local/, но это значит, что вы должны иметь копию менее ограничивающего файла /etc/fstab на случай обновлений системы или установки дополнительного программного обеспечения. В нашем случае, мы установим только те параметры, которые не придется менять в течении работы. #Device Mountpoint FStype Options Dump Pass# /dev/ad0s1b none swap sw 0 0 /dev/ad0s1a / ufs rw 1 1 /dev/ad0s1f /tmp ufs rw,noexec 2 2 /dev/ad0s1g /usr ufs rw 2 2 /dev/ad0s1h /usr/home ufs rw,nosuid,noexec 2 2 /dev/ad0s1i /var ufs rw,noexec 2 2 /dev/fd0 /floppy MSDOS rw,noauto,noexec,nosuid,nodev,noatime 0 0 /dev/acd0c /cdrom cd9660 ro,noauto 0 0 proc /proc procfs rw 0 0 Список опций, которые были заданы: ro: только чтение rw: чтение запись(устанавливается по умолчанию) sw: своп nosuid: опция suid не работает noexec: запрет на запуск файлов nodev: запрещает отображение файлов в виде устройств noauto: не монтируется автоматически во время загрузки noatime: препятствует файловой системе делать запись о доступе к файлу. 10. CVSup Для того, что бы исходные коды и документация всегда были обновленными, мы должны регулярно запускать cvsup при помощи задач cron. Обратите внимание, что мы не используем обновление портов, мы просто будем регулярно обновлять необходимые исходные коды. [user@server /dir]# cp /usr/share/examples/cvsup/stable-supfile /root [user@server /dir]# cd /root [user@server /dir]# vi stable-supfile Исправьте следующие строки: *default host= # на странице http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html # найдите cvsup зеркало, которое наиболее быстрее будет отвечать на ваши запросы, # при помощи команды ping и введите его здесь. Это 68 строка в файле. *default release=cvs tag=RELENG_4_7 # зависит от версии операционной системы которую вы используете. Это 73 строка файла. #src-all # закомментируйте это, хотя бы потому что нам не нужны исходные коды src-game. Это 84 строка в файле. В следующей секции файла раскомментируйте, разделы исходных кодов которые вы хотите обновлять, можно также включить и src-games. Для дополнительной информации обращайтесь в списку использованных источников в конце этого файла. 11. Cron Jobs chmod 0600 /etc/crontab # только пользователь root должен иметь доступ к файлу настройки cron touch /var/cron/deny # добавьте в этот файл всех пользователей, которым запрещено использовать cron chmod 0600 /var/cron/deny Теперь добавим несколько задач, которые должны выполнятся регулярно. vi /etc/crontab 0 2 * * * root /usr/libexec/locate.updatedb # обновлять базу данных утилиты locate каждое утро в 2 часа. 0 2 * * * root /usr/local/sbin/rdate yourNTPserver # запускать rdate каждое утро в 2 часа. 1 3 * * * root /usr/local/sbin/chkrootkit # запускать chkrootkit каждый месяц. 12. Kernel Changes (изменения в ядре) Сделайте следующие изменения в конфигурационном файле вашего ядра, и перекомпилируйте его. Вы можете найти эти и другие опции ядра в файле /usr/src/sys/i386/conf/LINT. #pseudo-device bpf #Berkley Packet Filter. защита от снифинга на уровне ядра. Не убирайте эту опцию если собираетесь использовать dhcp options SC_NO_HISTORY # отменяем историю команд на виртуальных терминалах options SC_DISABLE_REBOOT # отменяем перезагрузку по комбинации клавиш ctl-alt-del options SC_DISABLE_DDBKEY # отменяем debug key options TCP_DROP_SYNFIN # смотри выше в разделе rc.conf. options RANDOM_IP_ID # случайный идентификатор IP пакетов препятствует # idlescan-style сканирования. Мешает взломщику # определить разряд(rate) генерации пакетов. options ICMP_BANDLIM # Если вы решите разрешить пакеты icmp к вашему серверу, этот # параметр, ограничит количество ответов, что помогает при # защите от DOS атак. 13. Права доступа к файлам. При помощи команды chmod 600, мы разрешаем доступ только пользователю root на запись и чтение файла. При помощи команды chmod 700, мы также даем возможность пользователю root возможность запускать файл. chmod 0700 /root chmod 0600 /etc/syslog.conf chmod 0600 /etc/rc.conf chmod 0600 /etc/newsyslog.conf chmod 0600 /etc/hosts.allow chmod 0600 /etc/login.conf chmod 0700 /usr/home/* 14. Сетевой Протокол Времени (Network Time Protocol). Как вы уже заметили в нашем crontab файле (файл настройки системы crontab) мы используем rdate вместо ntp для синхронизации часов сервера с мировым временем. Точное время на сервере является очень важным пунктом для правильного ведения журнальных файлов и часто помогает при разрешении конфликтов и устранении неисправностей. vi /etc/ntp.conf restrict default ignore # не работать в качестве ntp сервера. 15. TCP Wrappers vi /etc/hosts.allow sshd : localhost : allow sshd : x.x.x.x, x.x.x.x : allow # разрешить ssh запросы только из сетей x.x.x.x sshd : all : deny # запретить запросы ssh из остальных сетей В случае если вы будете подключаться к серверу с динамически выделяемых IP адресов, найдите другой защищенный сервер с статическим IP адресом, на который вы можете заходить через ssh и используйте его в качестве шлюза для подключения к вашему серверу. Убедитесь что вы также настроили права доступа для других служб, может быть вы захотите добавить это: ftpd : ALL : deny 16. Console Access (доступ к консоли). Запомните что хоть мы и блокируем доступ от неавторизованного доступа в однопользовательском режиме, это не обеспечивает полную защиту вашего сервера. Некто с плохими намерениями может снять жесткий диск с вашего сервера и установить его на другом компьютере. Если сервер не защищен физически, то никакие программные настройки, вас не спасут от взлома вашей системы. Изменение прав доступа к первой консоли означает что вы не сможете войти в систему в однопользовательском режиме, не зная пароля пользователя root. vi /etc/ttys console none unknown off insecure # запрашивать пароль пользователя root в однопользовательском режиме. ttyv0 "/usr/libexec/getty Pc" cons25 on insecure # Virtual terminals ttyv1 "/usr/libexec/getty Pc" cons25 on insecure ttyv2 "/usr/libexec/getty Pc" cons25 on insecure ttyv3 "/usr/libexec/getty Pc" cons25 on insecure ttyv4 "/usr/libexec/getty Pc" cons25 on insecure ttyv5 "/usr/libexec/getty Pc" cons25 on insecure ttyv6 "/usr/libexec/getty Pc" cons25 on insecure ttyv7 "/usr/libexec/getty Pc" cons25 on insecure 17. Bash Shell vi /usr/share/skel/.bash_logout # Файл .bash_logout созданный в домашнем каталоге каждого # пользователя с командой 'clear' будет очищать экран при # выходе пользователя из системы. Скопируйте в домашний # каталог пользователя root. clear 18. chflags Команда chflags увеличивает уровень безопасности (the level of security) на указанных файлах. Эта команда особенно полезна для исполняемых или конфигурационных файлов, код или информация которых может быть испорчены другими программами/действиями. Рассмотрите возможность применения команды chflags к приложениям которые запускаются на вашем сервере, а также к важным конфигурационным файлам. Запуск команды производится следующим образом: chflags [no]appnd или [no]schg имя файла Наберите ls -ol (буквы o и l в маленьком регистре) для просмотре измененных свойств файла. Должны быть два флажка которые вы заметите. sappnd Переводит файл в append-only режим, и только для пользователя root. Другими словами, в файл можно добавить любые данные, но первоначальная информация не может быть изменена/удалена. schg Делает файл изменяемым только для пользователя root. Обе команды имеют префиксы. "u" перед sappnd или schg применяет те же опции, но при этом добавляет владельца файла в список пользователей которые будут иметь доступ к этому файлу. "no" перед sappnd или schg отменит chflag опцию на файле. 19. Зачистка. Убедитесь что все строки в файле /etc/inetd.conf закомментированы. sockstat -4 #убедитесь что ничего лишнего не запущено tcpdump -xX #пока сервер только появился в сети, посмотрим кто обращается к нему. 20. Возможные дополнения. 1. Более жесткие ограничения паролей, включая историю паролей и тп. 2. Уровень безопасности на уровне ядра (securelevel on kernel) 3. Дисковые квоты 4. Тюрьмы (jails) 5. portupgrade/cvs 6. опрятность системы Список источников: Должен сказать что ЛУЧШИМ источником является FreeBSD Handbook. http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/index.html FreeBSD Security How-To http://people.freebsd.org/~jkb/howto.html A Basic Guide to Securing FreeBSD 4.x-STABLE http://draenor.org/securebsd/ How to Build a FreeBSD-STABLE Firewall with IPFILTER http://www.schlacter.net/public/FreeBSD-STABLE_and_IPFILTER.html FreeBSD Security Guide http://defcon1.org/html/Security/Secure-Guide/secure-guide.html TCP Wrappers (TCPD) Under FreeBSD http://flag.blackened.net/freebsd/tcpd.html FreeBSD Handbook, 10.3 Securing FreeBSD http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/securing-freebsd.html FreeBSD Handbook, 10.10 OpenSSH http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/openssh.html FreeBSD Handbook, 18.10 NTP http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ntp.html (permanently down, i think) Taking Advantage of TCP_Wrappers http://www.freebsdzine.org/attic/199905/security.txt BSD Security Fundamentals http://www.subterrain.net/presentations/bsd_files/v3_document.htm Establishing Good Password Policies http://www.onlamp.com/lpt/a//bsd/2001/01/17/FreeBSD_Basics.html Rotating Log Files http://www.onlamp.com/lpt/a//bsd/2001/06/14/Big_Scary_Daemons.html Securing BSD Daemons http://www.onlamp.com/lpt/a//bsd/2001/02/07/FreeBSD_Basics.html Securing FreeBSD http://www.onlamp.com/lpt/a/2622 AusCERT UNIX Security Checklist v2.0 http://www.auscert.org.au/Information/Auscert_info/Papers/usc20.html Changing the Default Password Encryption Algorithm http://bsdvault.net/sections.php?op=viewarticle&artid=89 Hardening BSD http://www.antioffline.com/deviation/bsd.html Building Linux and OpenBSD Firewalls Wes Sonnenreich's www site: OpenlySecure.org publisher: http://www.wiley.com/legacy/compbooks/catalog/35366-3.htm GIAC's GCUX Practical Assignment, Version 1.8 by Jason Lam on "Securing MySQL Server on FreeBSD 4.5" http://www.giac.org/practical/Jason_Lam_GCUX2.pdf Simple Things to Improve Your System's Security http://www.onlamp.com/pub/a/bsd/2002/10/31/ssn_openbsd.html Hardening BSD by sil http://www.astalavista.com/library/hardening/bsd/hardeningbsd1.shtml FreeBSD Handbook, Obtaining FreeBSD, Appendix A.5, Using CVSup http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Anton (?), 07:08, 21/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть одна очень неприятная ошибка, по крайне мере мне она бросилась в глаза и остался неприятный осадок.
    /etc/crontab - это системный кронтаб !!!
    Не надо в него свои задачи писать...
    Это настолько же плохой тон, как и исправления в /etc/defaults/*
     
     
  • 2.5, Gritt (?), 10:08, 08/12/2003 [^] [^^] [^^^] [ответить]  
  • +/
    А собственно чем это плохой тон?
    chmod 600 /etc/crontab
    vi /etc/crontab только из по rootа.

    Это гораздо удобнее и практичнее, чем писать отдельные кронтабчики, а потом вспоминать что и где, а главное из под какого пользака пускается.


     

  • 1.2, FLY (?), 10:21, 25/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /security/chrootkit
    такого порта нет :-(
    есть только:
    /usr/ports/security/chkrootkit
     
  • 1.3, sky (?), 16:14, 19/09/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полезная статья. ( :) мое мнение)
     
  • 1.4, Insane (?), 02:54, 26/09/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про kern.ps_showallprocs не знал... Спасибо!
    Кстати в пятой фре этот параметр переименовали в
    security.bsd.see_other_uids...
     
  • 1.6, sgy (?), 18:20, 26/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Под рутом crontab -e и вставляй записи сколько угодно в рутовый cron, а зачем в системный писаться не понятно совсем.
     
  • 1.7, citrin (??), 20:08, 31/10/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стоит сюда добавить про /usr/ports/security/portaudit
    IMHO эта программа должна стоять на каждом сервере.
     
  • 1.8, MDV (??), 12:28, 20/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ошибка в /etc/ttys

    Если поставить все консоли в insecure, то вообще на получится локально войти по root, PAM выдаст ошибку. Чтобы в однопользовательском режиме запрашивался пароль, достатосчно прописать:
    console  none   unknown   off   insecure
    Как, в принципе, и сказано в комментах в файле.

     
     
  • 2.10, nEwUR (ok), 15:41, 26/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Если поставить режим insecure для всех виртуальных терминалов, то чтобы войти на сервер из локального терминала, необходимо сначала зарегестрировать пользователем из группы wheel, а уж потом su
     

  • 1.9, Mister_Lu (?), 14:22, 12/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    log_in_vain="YES"  # Установите эту опцию, если вы хотите записывать все попытки подключения
    # к закрытым портам вашего сервера.
    Неверно указано значение. Здесь указываеться bool значение, одноко это значение int, по умолчанию присвоенно значение 0.
    И я бы сказал что логичние прописать в sysctl.conf:
    net.inet.tcp.log_in_vain=1
    net.inet.udp.log_in_vain=1
    читаем man rc.conf:
    log_in_vain
                     (int) Set to 0 by default.  The  sysctl(8) variables,
                     net.inet.tcp.log_in_vain and net.inet.udp.log_in_vain, as
                     described in tcp(4) and udp(4), are set to the given value.

     
  • 1.11, кирюха (ok), 23:42, 06/12/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что то options ICMP_BANDLIM не работает %)
     
  • 1.12, Аноним (-), 13:35, 17/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сделал так: chmod 0700 /usr/home/*
    пытаюсь теперь зайти на сайт. мне выдается You don't have permission to access / on this server.
    в чем проблемаа ХЕЛП
     
     
  • 2.13, fsdfssssd (?), 11:21, 12/06/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >сделал так: chmod 0700 /usr/home/*
    >пытаюсь теперь зайти на сайт. мне выдается You don't have permission to
    >access / on this server.
    >в чем проблемаа ХЕЛП

    проблема в том...что статья хз какого года и частично не актуальна...а еще твои и мои кривые руки...проблема в том, что в плане безопасности очень Х1овая идея играться с правами на директории и fstab'ами всякими...проблема в том, что Бл1тть! спустя 5 лет с написания статьи все еще находятся те, кто напарываются на эти грабли....п13дец аааааааааааааа!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру