Zabezpeceni RH 7.2 - na beton
Martin Mačok
martin.macok na underground.cz
Pátek Leden 25 13:21:00 CET 2002
On Fri, Jan 25, 2002 at 09:50:34AM +0100, Martin Bodlak wrote:
> Co vsechno musim udelat, abych mel (skoro) 100% bezpecny RedHat 7.2?
Vsechno.
> 1- Nakonfigurovat iptables (to bych snad nasel nekde na netu) -
> default vsechno zakazat (nehodlam poskytovat zadne sluzby, proste
> workstation), takze hodne restriktivni firewall.
Hlavne ty sluzby vubec nespoustejte (instalace - workstation).
Firewall pak ani moc potrebovat nebudete.
> 2- K cemu jsou ty veci kolem xinetd, k cemu je cele to echo a date a
> tak? Je tcpwrapper nutny? Vzhledem k bodu 1? Jestli ano, tak
> nakonfiguruju hosts.allow (ALL: ALL na localhost) a hosts.deny (ALL:
> ALL na ALL)
Proste ty sluzby vsechny povypinejte (napr. vubec xinetd
nespoustejte), pak ani nebudete muset nastavovat hosts.allow/deny ...
> 3- Je nutne explicitne (vzhledem k bodum 2 a 3) zakazovat relaying
> na sendmailu? Pripadne neco dalsiho?
Sendmail ma defaultne relaying zapnuty. Pokud nechcete mit zvenci
pristupny mailserver, tak ho spoustejte jen na interface localhost a
ne na zadnem vnejsim interface.
(A doporucuji misto sendmailu spise postfix).
> 4- Co musim zkontrolovat (obecne), kdyz budu chtit poskytovat
> nejakou sluzbu ven? Napr. SSH - povolim to v iptables, staci to?
Prectete si manual k dane sluzbe/service/software a podle nej ho
presne nastavte, aby ta sluzba delala presne to, co po ni chcete.
Konfiguraci lze samozrejme podporit firewallem.
> 5- Kdyz dojde k nejhorsimu :-) a to vzdycky dojde, jak muzu zjistit utok?
Obecna kucharka neni. Proste az budete system dobre znat, tak bude pro
vas snadnejsi rozeznat uspesny utok. Zamerte se spis na dobrou znalost
systemu a obecny prehled bezpecnosti... ostatni prijde samo.
> Kdybyste nekdo utrousili slovicko ci link na nejake dobre HOWTO nebo
> tak nejak... Dekuji moc.
Najdete si na undergroundu serial "Zabezpecujeme linux", dale si
najdete na internetu "linux security howto" apod. apod... zdroju je
opravdu dost a neexistuje zadna chci-to-rychle-a-hned-kucharka.
--
Martin Mačok http://underground.cz/
martin.macok na underground.cz http://Xtrmntr.org/ORBman/
Další informace o konferenci Linux