Zabezpeceni RH 7.2 - na beton

Michal Vymazal gandalf na mbox.vol.cz
Pátek Leden 25 13:31:58 CET 2002


Stepan Cirkl wrote:

> DD
> 
> V prvni rade bych Vas chtel upozornit, ze pro provedeni zabezpeceni
> stroje (jakehokoliv), potrebujete znat dobre dany system a vedet jak
> funguje TCP/IP. I kdyz tomu budete dobre rozumet, tak tam asi neaka
> dirka zustane, natoz pokud o bezpecnosti, TCP/IP a vasem systemu nemate
> ani paru. Dokonale zabezpeceni se nedela a ani nelze udelat, vzdy se
> pocita s jistym zbytkovym rizikem.
> 
> Bohuzel Vami polozene otazky mne vedu k zaveru, ze asi svemu sytemu moc
> nerozumite, proto Vam doporucuji se nejprve seznamit se systemem. Pote
> obecne s bezpecnosti. Velmi dobrym zdrojem pro Vas budou ruzne diplomove
> prace na tema Pocitacova bezpecnost a podobne. Pro ziskani prehledu o
> vasem systemu vam doporucuji si precist LDP cast pro spravce systemu a
> spravce site, dale velmi dobrou (v nekterych vecech jiz postarsi) knihu
> LINUX - Internet Server (Satrapa). V ni sou popsany i principy
> jednotlivych sluzeb. Zabezpeceni systemu/site IMHO neni vec, na kterou
> se necha napsat jednoducha kucharka a rozhodne je to beh na dlouhou
> trat, spis na nekonecne dlouhou, protoze stale musite sledovat deni a
> podle vyskytu novych der a zpusobu utoku provadet aktualizaci vasi
> bezpecnostni politiky.
> 
> Zakladni princip je ze pousitm co nejmene sluzeb (jen ty, co opravdu
> potrebuji) a in FW povoluji jen vybrane (=nezbytne nutne) sluzby, zbytek
> zakazuji.
> 

Zdravim
Kucharka pravda neexistuje, nicmene mohu poslouzit nekolika zakladnimi 
zasadami. Pokud dospejete k zaveru, ze se Vam Ty zasady ale vubec, vubec 
nelibi, pak je to spravne. Nicmene je vrele doporucuji dodrzovat.

1) Na stroji bezi jen nejnutnejsi sluzby.
2) Vsechny ostatni sluzby nejsou nainstalovany
3) Vsechny sluzby, ktere na stroji provozujete, musite umet "rozebrat a 
slozit".
4) Co neni povoleno, je zakazano.
5) Sebevzdelavani provadite DENNE.
6) Zakladni kontrolu stroje provadite DENNE.
7) Na firewallu NEJSOU zadna dulezita data v podobe dokumentu, vypisu apod.
8) Vzdalenou spravu POUZE pomoci SSH (pripadne Webmin, no). Zadne ftp, 
telnet, sambu, nfs apod.
9) Paketovy filtr (skript) umite "rozebrat a slozit" - opakuji se, ze?
10) Smirte se s tim, ze v intervalu 14 dnu (prubezne) budete provadet 
upgrade jednotlivych demonu apod.
11) Vrele doporucuji sledovat alespon jednu konferenci a to DENNE.

-- 
Michal Vymazal
Office Computer
gandalf na mbox.vol.cz



Další informace o konferenci Linux