Атанас Мавров / Atanas Mavrov wrote: > Здравейте, > интересно ми е вашето мнение (като изключим всички останали фактори влияещи на > сигурността) за изграждане на "сигурен сървър". Имам предвид следното - тъй > като повечето сървъри са натоварени с повече от една услуга, как да защитим > цялостно системата, ако е осъществен пробив на една от работещите услуги? > Вярно е, че повечето услуги се стартират със собствен потребител, някои от > тях в chroot режим, но дали това е достатъчно, или да прибегнем към > използването на chroot за всяка една услуга или може би до vserver или user > mode linux? > > Благодаря! > > П.П. Целта на въпроса ми не е да предизвика флейм, а възможност за обмяна на > мнения > Респект за темата. Интересни мнения видях... ето го и моето :)
1. Като за начало ти трябва стабилна система, бих ти препоръчал SELinux, но това не е за всеки... настройването на acl-и си е доста времеемка работа понякога. Ако нямаш кой-знае какви секрети да пазиш... стандартна дистрибуция ще ти свърши перфектна работа. "Какъв е смисъла да купуваш сейф за 200 милиона за да пазиш 20$ вътре?" :-) И все пак... инсталиране само на нужен софтуер, никакви компилатори и т.н. ненужни на една server машина. С две думи: каквото мислиш че не ти трябва, не ти трябва. 2. firewall-а е винаги добра идея. Забрави за DROP, разгледай с TARPIT (http://snafu.priv.at/mystuff/evil.html) какви работи могат да се направят ;) (защо да улесняваме който иска да вреди?) 3. всяка услуга минимум с отделен потребител. chroot-а е много добра идея. 4. следи за дупки в kernel-a и пачвай при първа възможност 5. И за всяка от услугите също. 6. Backup, Backup, Backup. Back-вай всяка промяна на конфигурации/etc. Това ще ти позволи дори в най-лошия случай да можеш бързо да възстановиш грижливо гласения сървър. 6. IDS... виж какви има, и инсталирай някакво... snort е доста добро, но си иска и време докато го "приучиш" да работи както искаш. В началото има да квичи... :) 7. Е добре... не забравяй да си проверяваш логовете редовно. Мейлването до отделна машина в реално време и агрегирането с цел преглеждане с лог-анализатор (logwatch например) е добра идея :) Направи си и някакви custom скриптове, който да ти мейлват на основния адрес критични събития. Критични събития са: reboot (щом е сървър се предполага че е up 24/7), грешки при аутентикация за root потребител, ... Поздрави, Николай _______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
