Zabezpeceni RH 7.2 - na beton
Stepan Cirkl
cirkl na cc-ultd.cz
Pátek Leden 25 12:45:09 CET 2002
DD
V prvni rade bych Vas chtel upozornit, ze pro provedeni zabezpeceni
stroje (jakehokoliv), potrebujete znat dobre dany system a vedet jak
funguje TCP/IP. I kdyz tomu budete dobre rozumet, tak tam asi neaka
dirka zustane, natoz pokud o bezpecnosti, TCP/IP a vasem systemu nemate
ani paru. Dokonale zabezpeceni se nedela a ani nelze udelat, vzdy se
pocita s jistym zbytkovym rizikem.
Bohuzel Vami polozene otazky mne vedu k zaveru, ze asi svemu sytemu moc
nerozumite, proto Vam doporucuji se nejprve seznamit se systemem. Pote
obecne s bezpecnosti. Velmi dobrym zdrojem pro Vas budou ruzne diplomove
prace na tema Pocitacova bezpecnost a podobne. Pro ziskani prehledu o
vasem systemu vam doporucuji si precist LDP cast pro spravce systemu a
spravce site, dale velmi dobrou (v nekterych vecech jiz postarsi) knihu
LINUX - Internet Server (Satrapa). V ni sou popsany i principy
jednotlivych sluzeb. Zabezpeceni systemu/site IMHO neni vec, na kterou
se necha napsat jednoducha kucharka a rozhodne je to beh na dlouhou
trat, spis na nekonecne dlouhou, protoze stale musite sledovat deni a
podle vyskytu novych der a zpusobu utoku provadet aktualizaci vasi
bezpecnostni politiky.
Zakladni princip je ze pousitm co nejmene sluzeb (jen ty, co opravdu
potrebuji) a in FW povoluji jen vybrane (=nezbytne nutne) sluzby, zbytek
zakazuji.
Dale v textu se pokusim zjednodusene odpovedet na Vase otazky a preji
Vam mnoho uspechu a stesti pri pokusech o zabezpeceni Vaseho systemu s site.
Martin Bodlak wrote:
> Hello!
>
> Co vsechno musim udelat, abych mel (skoro) 100% bezpecny RedHat 7.2?
> Hodlam se pripojovat zatim pres dial-up, pozdeji doufam pres bezdrat :-)
> Nejakou predstavu mam, ale co na to odbornici?
>
> 1- Nakonfigurovat iptables (to bych snad nasel nekde na netu) - default vsechno zakazat (nehodlam poskytovat zadne sluzby, proste workstation), takze hodne restriktivni firewall.
K IP tables naleznete na netu nekolik zdroju. Rozhodne doporucuju
prislusna HowTo a clanky na root a undergroundu. Nehledejte jen
dokumenty k iptables (netfilter), ale take se seznamte s TCP/IP a jeho
principem.
Predpokladam ze se jedna je o Vas jeden PC na kterem nema ject zadna
sluzba. V tom pripade hlavne vsechny nepotrebne vypnete (nestartujte
prislusne demony). Vyuzijte stavovosti netfiltru. Povolte vytvoreni
spojeni z vaseho pocitace ven, ale zadne dovnitr.
>
> 2- K cemu jsou ty veci kolem xinetd, k cemu je cele to echo a date a tak? Je tcpwrapper nutny? Vzhledem k bodu 1? Jestli ano, tak nakonfiguruju hosts.allow (ALL: ALL na localhost) a hosts.deny (ALL: ALL na ALL)
XINETD je supredemon, jenz poslucha na ruznych portech a pri pokusu o
komunikaci na danem portu spusti teprve program, jenz danou sluzbu
realizuje. Pokud nechcete poskytovat zadne sluzby do okoli, tak jej ani
nepoustejte.
>
> 3- Je nutne explicitne (vzhledem k bodum 2 a 3) zakazovat relaying na sendmailu? Pripadne neco dalsiho?
IMHO sendmail ani poustet jako server nemusite. Tim padem nepotrebujete
jej nijak konfigurovat. Jinak sendmail neni povazovan za bezpecny mail
server.
>
> 4- Co musim zkontrolovat (obecne), kdyz budu chtit poskytovat nejakou sluzbu ven? Napr. SSH - povolim to v iptables, staci to?
Nejprve musite pochopit co ta sluzba dela a jak. Pak teprve najdete a
provedete prislusne akce na jeji zpristupneni. Obecne se toho moc rict
neda, zalezi na kazde sluzbe.
>
> 5- Kdyz dojde k nejhorsimu :-) a to vzdycky dojde, jak muzu zjistit utok? Zkusil jsem jakysi tripwire z instalacek, ale protoze na systemu porad neco menim, tak po mne hazel velke maily a kdo se v tom ma orientovat, ze... Jaka je nejlepsi cesta pro detekci napadeni?
Pokud Vam to vyheckuje opravdovy profik, tak to ani moc sanci zjistit
nemate. Obecne - kontrola logu (ne 100%), pravidelne kontrolujte
integritu souboru a databazi kontrolnich souctu mejte nekde mimo vlastni
system. (To dela treba ten tripwire).
Dale na svuj PC neinstalujte zadne neoverene programy.
>
> Kdybyste nekdo utrousili slovicko ci link na nejake dobre HOWTO nebo tak nejak... Dekuji moc.
>
> Martin
>
Další informace o konferenci Linux