Re: [Lug-bg] " Сигурен сървър "
- Subject: Re: [Lug-bg] " Сигурен сървър "
- From: Nikolai Alexandrov <niki@xxxxxxxxxxx>
- Date: Tue, 30 Jan 2007 23:55:25 +0200
Атанас Мавров / Atanas Mavrov wrote:
> Здравейте,
> интересно ми е вашето мнение (като изключим всички останали фактори
влияещи на
> сигурността) за изграждане на "сигурен сървър". Имам предвид следното -
тъй
> като повечето сървъри са натоварени с повече от една услуга, как да
защитим
> цялостно системата, ако е осъществен пробив на една от работещите услуги?
> Вярно е, че повечето услуги се стартират със собствен потребител, някои от
> тях в chroot режим, но дали това е достатъчно, или да прибегнем към
> използването на chroot за всяка една услуга или може би до vserver или
user
> mode linux?
>
> Благодаря!
>
> П.П. Целта на въпроса ми не е да предизвика флейм, а възможност за
обмяна на
> мнения
>
Респект за темата. Интересни мнения видях... ето го и моето :)
1. Като за начало ти трябва стабилна система, бих ти препоръчал
SELinux, но това не е за всеки... настройването на acl-и си е доста
времеемка работа понякога. Ако нямаш кой-знае какви секрети да
пазиш... стандартна дистрибуция ще ти свърши перфектна работа. "Какъв
е смисъла да купуваш сейф за 200 милиона за да пазиш 20$ вътре?" :-) И
все пак... инсталиране само на нужен софтуер, никакви компилатори и
т.н. ненужни на една server машина. С две думи: каквото мислиш че не
ти трябва, не ти трябва.
2. firewall-а е винаги добра идея. Забрави за DROP, разгледай с TARPIT
(http://snafu.priv.at/mystuff/evil.html) какви работи могат да се
направят ;) (защо да улесняваме който иска да вреди?)
3. всяка услуга минимум с отделен потребител. chroot-а е много добра идея.
4. следи за дупки в kernel-a и пачвай при първа възможност
5. И за всяка от услугите също.
6. Backup, Backup, Backup. Back-вай всяка промяна на конфигурации/etc.
Това ще ти позволи дори в най-лошия случай да можеш бързо да
възстановиш грижливо гласения сървър.
6. IDS... виж какви има, и инсталирай някакво... snort е доста добро,
но си иска и време докато го "приучиш" да работи както искаш. В
началото има да квичи... :)
7. Е добре... не забравяй да си проверяваш логовете редовно.
Мейлването до отделна машина в реално време и агрегирането с цел
преглеждане с лог-анализатор (logwatch например) е добра идея :)
Направи си и някакви custom скриптове, който да ти мейлват на основния
адрес критични събития. Критични събития са: reboot (щом е сървър се
предполага че е up 24/7), грешки при аутентикация за root потребител, ...
Поздрави,
Николай
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
From mailman-bounces@xxxxxxxxxxxxxxxxxx Thu Feb 1 05:02:40 2007
Return-Path: <mailman-bounces@xxxxxxxxxxxxxxxxxx>
Received: from linux-bulgaria.org (linux-bulgaria.org [127.0.0.1])
by linux-bulgaria.org (8.13.8/8.13.8) with ESMTP id l1132X8L001589
for <webarchive@xxxxxxxxxxxxxxxxxx>; Thu, 1 Feb 2007 05:02:33 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit
Subject: linux-bulgaria.org mailing list memberships reminder
From: mailman-owner@xxxxxxxxxxxxxxxxxx
To: webarchive@xxxxxxxxxxxxxxxxxx
X-No-Archive: yes
Message-ID: <mailman.23.1170298803.1360.mailman@xxxxxxxxxxxxxxxxxx>
Date: Thu, 01 Feb 2007 05:00:03 +0200
Precedence: bulk
X-BeenThere: mailman@xxxxxxxxxxxxxxxxxx
X-Mailman-Version: 2.1.9
List-Id: <mailman.linux-bulgaria.org>
X-List-Administrivia: yes
Sender: mailman-bounces@xxxxxxxxxxxxxxxxxx
Errors-To: mailman-bounces@xxxxxxxxxxxxxxxxxx
X-Spam-Status: No, score=-2.1 required=5.0 tests=AWL,BAYES_00,NO_REAL_NAME,
UNPARSEABLE_RELAY autolearn=no version=3.1.7
X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on linux-bulgaria.org
This is a reminder, sent out once a month, about your
linux-bulgaria.org mailing list memberships. It includes your
subscription info and how to use it to change it or unsubscribe from a
list.
You can visit the URLs to change your membership status or
configuration, including unsubscribing, setting digest-style delivery
or disabling delivery altogether (e.g., for a vacation), and so on.
In addition to the URL interfaces, you can also use email to make such
changes. For more info, send a message to the '-request' address of
the list (for example, mailman-request@xxxxxxxxxxxxxxxxxx) containing
just the word 'help' in the message body, and an email message will be
sent to you with instructions.
If you have questions, problems, comments, etc, send them to
mailman-owner@xxxxxxxxxxxxxxxxxx. Thanks!
Passwords for webarchive@xxxxxxxxxxxxxxxxxx:
List Password // URL
---- --------
lug-bg@xxxxxxxxxxxxxxxxxx saucraci
http://linux-bulgaria.org/mailman/options/lug-bg/webarchive%40linux-bulgaria.org
|