The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новое руководство по увеличению безопасности FreeBSD сервера.

09.09.2002 17:36

Руководство "FreeBSD Operating System Security Checklist" представляет собой пошаговый список изменений которые автор считает необходимым произвести для увеличения безопасности FreeBSD сервера. Документ составлен как объединение идей из десятка существующих руководств по увеличению безопасности FreeBSD. Краткое изложение:

* Разбивка на разделы:
none (swap)
/
/tmp
/usr
/usr/home
/var

* чистка inetd.conf

* запрещение port_map если не используется NFS

* vi /etc/motd; cp /etc/motd /etc/issue

* vi /etc/ssh/sshd_config:
Port 22 
Protocol 2
#Hostkey /etc/ssh/ssh_host_key
PermitRootLogin no
MaxStartups 5:50:10
X11Forwarding no
PrintLastLog yes
LogLevel VERBOSE
PasswordAuthentication no
PermitEmptyPasswords no
Banner /etc/issue
AllowGroups shellusers 

* vi /etc/ssh/ssh_config
ForwardAgent no
ForwardX11 no
PasswordAuthentication no
CheckHostIP yes
Port 22
Protocol 2

* генерируем DSA ключи: ssh-keygen -d; cd .ssh; cat id_dsa.pub > authorized_keys2

* vi /etc/rc.conf
inetd_enable=”NO”
syslogd_enable=”YES”
syslogd_flags=”-ss”
tcp_drop_redirect=”YES”
icmp_drop_redirect=”YES”
icmp_log_redirect=”YES”
clear_tmp_enable=”YES”
portmap_enable=”NO”
icmp_bmcastecho=”NO”
fsck_y_enable=”YES”
update_motd=”NO”
tcp_drop_synfin=”YES”


* vi /etc/login.conf
В default поменять md5 на blf:   ":passwd_format=blf:"
:passwordtime=52d:
:mixpasswordcase=true:
:minpasswordlen=9:
baduser:
:cputime=30m:
:openfiles=24:
:maxproc=32:
:memoryuse=16m:
:tc=default: 

cap_mkdb /etc/login.conf

* vi /etc/sysctl.conf

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ps_showallprocs=0 

* vi /etc/fstab
/tmp ufs rw,noexec
/usr/home ufs rw,nosuid,noexec
/var ufs rw,noexec

* chmod 0600 /etc/crontab

* Конфигурация ядра
#pseudo-device bpf
options SC_NO_HISTORY
options SC_DISABLE_REBOOT
options SC_DISABLE_DDBKEY
options TCP_DROP_SYNFIN


* chmod 0700 /root; chmod 0600 /etc/syslog.conf; chmod 0600 /etc/rc.conf; 
chmod 0600 /etc/newsyslog.conf; chmod 0600 /etc/hosts.allow; 
chmod 0600 /etc/login.conf; chmod 0700 /usr/home/*


* TCP Wrappers, vi /etc/hosts.allow
sshd : localhost : allow
sshd : x.x.x.x, x.x.x.x : allow
sshd : all : deny
ftpd : ALL : deny

* Console, vi /etc/ttys

console  none   unknown   off   insecure
ttyv0   "/usr/libexec/getty Pc" cons25   on   insecure
ttyv1   "/usr/libexec/getty Pc" cons25   on   insecure

* Bash Shell, vi /usr/share/skel/.bash_logout
clear

* Анализ sockstat -4 и tcpdump -xX



  1. Главная ссылка к новости (http://sddi.net/FBSDSecCheckLi...)
  2. FreeBsd Security Guide
  3. How to Build a FreeBSD-STABLE Firewall with IPFILTER
  4. A basic guide to securing FreeBSD 4.x-STABLE
  5. OpenNews: Что сделать в свежеустановленной FreeBSD для увеличения безопасности
Лицензия: CC-BY
Тип: Интересно / Практикум
Ключевые слова: bsd, freebsd, security, howto, ssh, sysctl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (2) RSS
  • 1, Аноним (-), 13:33, 17/07/2008 [ответить]  
  • +/
    chmod 0700 /usr/home/*

    пытаюсь теперь зайти на сайт. мне выдается You don't have permission to access / on this server.
    в чем проблемаа ХЕЛП

     
     
  • 2, PavelR (??), 15:24, 17/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >chmod 0700 /usr/home/*
    >
    >пытаюсь теперь зайти на сайт. мне выдается You don't have permission to
    >access / on this server.
    >в чем проблемаа ХЕЛП

    ;-) усиленная безопасность...

    chmod 0701 /usr/home/*

    несколько ослабит безопасность, но позволит работать веб-серверу.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру