форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Хотелось бы узнать ваше мнение."
Сообщение от Igor_Pisorev (ok) on 05-Июн-04, 22:26  (MSK)
После очередных попыток взлома сервера было принято вынести апача из системы. Так как ломают целенонаправляно и похоже на заказ (внутренее разборки учередителей) Схема распределения такова 192.168.0.1 - сервер гейт (новый сервер) 192.168.0.2 - сервер самба (он как раз перед этим стоял и как гейт) На гейте из приложений FreeBSD 5.2.1. djbdns - торчит только внутрь как кеширующий Почта - торчит только внутрь, забирает снаружи через фечмаил Апаче - торчит наружу на 80 порт DHCP - торчит только внутрь с раздачей айпи только по мак сквид с авторизацией - торчит только внутрь сети aide - торчит в некуда ,)) snort - как детектор вторжений mySql - для логов сквида и снорта а так же аккаутинга сквида ssh - с запретом коннекта как рут Открытые порты наружу - 22 и 80 Все сервера запускаються chroot с помощью jail /etc - открыта только как реадонли На самбе (где храняться все важные файлы) Red Hat 9.0 стоит потому что его только промайс и подерживает самба - с ПДЦ - пароли есттественно не такие же как на сквидею snort - без базы данных ssh - с запрещенным рутовым доступом clamoAv Запрет на конекты от 192.168.0.1 Открыты порты samba и ssh Разрешены конекты с айпи которые раздаются по DHCP c гейта Поругайте схему ))) Ну кроме человеческого фактора
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Хотелось бы узнать ваше мнение."
Сообщение от Junior (??) on 06-Июн-04, 10:32  (MSK)
>После очередных попыток взлома сервера было принято вынести апача из системы. Так >как ломают целенонаправляно и похоже на заказ (внутренее разборки учередителей) > >Схема распределения такова >192.168.0.1 - сервер гейт (новый сервер) >192.168.0.2 - сервер самба (он как раз перед этим стоял и как >гейт) > >На гейте из приложений >FreeBSD 5.2.1. >djbdns - торчит только внутрь как кеширующий >Почта - торчит только внутрь, забирает снаружи через фечмаил >Апаче - торчит наружу на 80 порт >DHCP - торчит только внутрь с раздачей айпи только по мак >сквид с авторизацией - торчит только внутрь сети >aide - торчит в некуда ,)) >snort - как детектор вторжений >mySql - для логов сквида и снорта а так же аккаутинга сквида > >ssh - с запретом коннекта как рут >Открытые порты наружу - 22 и 80 >Все сервера запускаються chroot с помощью jail >/etc - открыта только как реадонли > >На самбе (где храняться все важные файлы) >Red Hat 9.0 стоит потому что его только промайс и подерживает >самба - с ПДЦ - пароли есттественно не такие же как на >сквидею >snort - без базы данных >ssh - с запрещенным рутовым доступом >clamoAv >Запрет на конекты от 192.168.0.1 >Открыты порты samba и ssh >Разрешены конекты с айпи которые раздаются по DHCP c гейта > > >Поругайте схему ))) Ну кроме человеческого фактора Я бы может только добавил возможность коннекта по ssh только указанным пользователю(-лям) - администратору(-рам). И вынес порт ssh на другой, нестандартный. На почту антивирус (купить ключ для DrWeb), а то только на самбе вроде как есть антивирь. То, что бесплатный - это хорошо, но база сигнатур там вдвое меньше (за счёт отсутствия старых вирусо), но кто даст гарантию, что их и не пришлют? :) Ещё бы я воткнул потчики на ядро типа Lids, RSBAC, SELinux, Grsecuruty... Выбирай сам. Если уж так целенаправлено пытаются ломать, то такая защита не будет лишней. Тем более, что грамотно настроенный RSBAC сделает твою систему защищённой практически по классу B1. Хотя и потрудиться прийдётся с настройкой. Мне, лично, больше импонирует RSBAC. Там что root, что secoff имеют разные разделённые права, так что поимев доступ одного систему не удастся "положить". А так... Мне нравится ход твоих мыслей :)) Удачи.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Хотелось бы узнать ваше мнение."
	Сообщение от Igor_Pisorev (ok) on 06-Июн-04, 13:39  (MSK)
	> >Я бы может только добавил возможность коннекта по ssh только указанным пользователю(-лям) >- администратору(-рам). И вынес порт ssh на другой, нестандартный. На почту >антивирус (купить ключ для DrWeb), а то только на самбе вроде >как есть антивирь. То, что бесплатный - это хорошо, но база >сигнатур там вдвое меньше (за счёт отсутствия старых вирусо), но кто >даст гарантию, что их и не пришлют? :) >Ещё бы я воткнул потчики на ядро типа Lids, RSBAC, SELinux, Grsecuruty... > >Выбирай сам. Если уж так целенаправлено пытаются ломать, то такая защита не >будет лишней. Тем более, что грамотно настроенный RSBAC сделает твою систему >защищённой практически по классу B1. Хотя и потрудиться прийдётся с настройкой. >Мне, лично, больше импонирует RSBAC. Там что root, что secoff имеют >разные разделённые права, так что поимев доступ одного систему не удастся >"положить". > >А так... Мне нравится ход твоих мыслей :)) > >Удачи. Спасибо за наводку на порт ssh - что я сам до этого не додумался. RSBAC я в свое время смотрел. Но сомневаюсь в его полезности при одном админе. Да кстати, там добавляеться патчик в ядро которые добавляет аттрибуты файлов, будет ли он работать при reiserfs. Если только на гейте. Сейчас отправлюсь читать про это; С drWeb ситуация следующая. Расчет лицензии вчера у них на сайте дал не маленькую суммую больше 1000 у.е. контора на такое наврядли пойдет. Не тот пошив. И минимальное количество лицензий для почты там 50 штук. Сейчас смотрю в сторону касперского. Да возник вопрос - помниться где то читал, был для линуха патчик в ядро, проверят соотвествие IP c MAC, не подскажите как он назывался.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Хотелось бы узнать ваше мнение."
	Сообщение от Junior (??) on 06-Июн-04, 16:51  (MSK)
	>Спасибо за наводку на порт ssh - что я сам до этого >не додумался. >RSBAC я в свое время смотрел. Но сомневаюсь в его полезности при >одном админе. Спорный вопрос, но... сколько людей, столько и мнений :) Да кстати, там добавляеться патчик в ядро которые добавляет >аттрибуты файлов, будет ли он работать при reiserfs. Увы, не могу сказать точно будет или нет, возможно на сайте разработчиков  есть информация. >Если только на гейте. Сейчас отправлюсь читать про это; >С drWeb ситуация следующая. Расчет лицензии вчера у них на сайте дал >не маленькую суммую больше 1000 у.е. контора на такое наврядли пойдет. >Не тот пошив. И минимальное количество лицензий для почты там 50 >штук. Сейчас смотрю в сторону касперского. К счастью сейчас нет проверки по количеству ящиков :) Об этом говорят сами разработчики. И когда будет - неизвестно. А лицензия на год для 50 ящиков (минимальный вариант) стоит около 16100. Я купил такой и не вижу проблем с работой. Правда у меня нет 50 ящиков на проверку, но на форуме у них уже не раз поднимался этот вопрос и они сами отвечале о невозможности проверки на количество. Так что ... :) >Да возник вопрос - помниться где то читал, был для линуха патчик >в ядро, проверят соотвествие IP c MAC, не подскажите как он >назывался. Назывался antidote2 (и соответственно версия 1). Добавляет в /proc-каталоге в соответствующем разделе возможность установки arp_antidote в величину 1, 2 или 3. Одним словом там всё описано :) Удачи.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.