На 29.1.2007 11:35 Атанас Мавров / Atanas Mavrov пише: > Здравейте, > интересно ми е вашето мнение (като изключим всички останали фактори влияещи > на сигурността) за изграждане на "сигурен сървър". Имам предвид следното - > тъй като повечето сървъри са натоварени с повече от една услуга, как да > защитим цялостно системата, ако е осъществен пробив на една от работещите > услуги? Вярно е, че повечето услуги се стартират със собствен потребител, > някои от тях в chroot режим, но дали това е достатъчно, или да прибегнем > към използването на chroot за всяка една услуга или може би до vserver или > user mode linux? >
1) firewall блокираш всичко входящо, освен работещите услуги (това ти гарантира, че при пробив на услуга, атакуващия няма да може да си пусне друга такава на порт по желание - изключваме придобиването на root права от атакуващия) 2) всяка услуга да е със собствен потребител (това ти гарантира следващо ниво на сигурност: права на файлове) 3) ако можеш да chroot-неш всички е най-добре (гарантира ти достъп само в определена директория, което изключва поразии по други) 4) даваш им точно толкова досъп до системата, колкото им е нужен, не повече (ако на някой не му трябва да листва съдържанието на директория махаш x флага, ако не му трябва да я чете, махаш r и т.н.) 5) трябва да внимаваш за правата върху останалите файлове и директории, да не се окаже така, че една услуга да може да се бърка на друга (скриптове които периодично следят права са добра идея винаги) 6) трябва да внимаваш за приложения със setuid/setgid (скриптове които ти казват кои файлове/директории имат такива) 7) трябва да следиш услугите за дупки и своевременно да ги закъпрваш, в противан случай пробият ли ти една, от там могат да ти пробият и друга (най-лошото е когато и ядрото има дупка) 8) да си следиш логовете и да си направиш система за известяване, при определени събития 9) не е толкова страшно да ти пробият услуга, страшното е ако не разбереш за това. Постоянното наблюдение на услугите (от друга машина) и известяване при проблеми ще ти донесе само плюсове !!!! да си правиш бекъпи (нямаш ли бекъпи другаде, нямаш сигурност), независимо колко сигурен си мислиш, че е сървърът (хардуерните хакери са най-зловещите) :) винаги може да те изненада механичен/електрически проблем В крайна сметка, решението което ще избереш трябва да се базира на услугите, които вървят на машината + колко "сигурна" искаш да е. Параноята, колкото и ползотворна да е, може да ти донесе главоболия :) > Благодаря! > > П.П. Целта на въпроса ми не е да предизвика флейм, а възможност за обмяна > на мнения > > _______________________________________________ > Lug-bg mailing list > [email protected] > http://linux-bulgaria.org/mailman/listinfo/lug-bg -- This correspondence is strictly confidential. Any screening, filtering and/or production for the purpose of public or otherwise disclosure is forbidden without written permission by the author signed above. If you are not the intended recipient, please immediately notify the sender and permanently delete any copies PGP KeyID: 0x3118168B Keyserver: pgp.mit.edu Key fingerprint BB50 2983 0714 36DC D02E 158A E03D 56DA 3118 168B
pgpdmnGO7voCO.pgp
Description: PGP signature
_______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
