Re: [Lug-bg] " Сигурен сървър "
- Subject: Re: [Lug-bg] " Сигурен сървър "
- From: Momchil Ivanov <idiotbg@xxxxxxxxx>
- Date: Mon, 29 Jan 2007 12:46:05 +0100
На 29.1.2007 11:35 Атанас Мавров / Atanas Mavrov пише:
> Здравейте,
> интересно ми е вашето мнение (като изключим всички останали фактори влияещи
> на сигурността) за изграждане на "сигурен сървър". Имам предвид следното -
> тъй като повечето сървъри са натоварени с повече от една услуга, как да
> защитим цялостно системата, ако е осъществен пробив на една от работещите
> услуги? Вярно е, че повечето услуги се стартират със собствен потребител,
> някои от тях в chroot режим, но дали това е достатъчно, или да прибегнем
> към използването на chroot за всяка една услуга или може би до vserver или
> user mode linux?
>
1) firewall блокираш всичко входящо, освен работещите услуги (това ти
гарантира, че при пробив на услуга, атакуващия няма да може да си пусне друга
такава на порт по желание - изключваме придобиването на root права от
атакуващия)
2) всяка услуга да е със собствен потребител (това ти гарантира следващо ниво
на сигурност: права на файлове)
3) ако можеш да chroot-неш всички е най-добре (гарантира ти достъп само в
определена директория, което изключва поразии по други)
4) даваш им точно толкова досъп до системата, колкото им е нужен, не повече
(ако на някой не му трябва да листва съдържанието на директория махаш x
флага, ако не му трябва да я чете, махаш r и т.н.)
5) трябва да внимаваш за правата върху останалите файлове и директории, да не
се окаже така, че една услуга да може да се бърка на друга (скриптове които
периодично следят права са добра идея винаги)
6) трябва да внимаваш за приложения със setuid/setgid (скриптове които ти
казват кои файлове/директории имат такива)
7) трябва да следиш услугите за дупки и своевременно да ги закъпрваш, в
противан случай пробият ли ти една, от там могат да ти пробият и друга
(най-лошото е когато и ядрото има дупка)
8) да си следиш логовете и да си направиш система за известяване, при
определени събития
9) не е толкова страшно да ти пробият услуга, страшното е ако не разбереш за
това. Постоянното наблюдение на услугите (от друга машина) и известяване при
проблеми ще ти донесе само плюсове
!!!! да си правиш бекъпи (нямаш ли бекъпи другаде, нямаш сигурност),
независимо колко сигурен си мислиш, че е сървърът (хардуерните хакери са
най-зловещите) :) винаги може да те изненада механичен/електрически проблем
В крайна сметка, решението което ще избереш трябва да се базира на услугите,
които вървят на машината + колко "сигурна" искаш да е. Параноята, колкото и
ползотворна да е, може да ти донесе главоболия :)
> Благодаря!
>
> П.П. Целта на въпроса ми не е да предизвика флейм, а възможност за обмяна
> на мнения
>
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
--
This correspondence is strictly confidential. Any screening, filtering
and/or production for the purpose of public or otherwise disclosure is
forbidden without written permission by the author signed above. If you are
not the intended recipient, please immediately notify the sender and
permanently delete any copies
PGP KeyID: 0x3118168B
Keyserver: pgp.mit.edu
Key fingerprint BB50 2983 0714 36DC D02E 158A E03D 56DA 3118 168B
Attachment:
pgpGv8dn2c6ju.pgp
Description: PGP signature
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|