Zabezpeceni RH 7.2 - na beton
Marek Blasko
blasko na vuje.sk
Pátek Leden 25 10:42:49 CET 2002
> Co vsechno musim udelat, abych mel (skoro) 100% bezpecny RedHat 7.2?
vybrat disk a zavriet do trezoru ale 100% tomu nedavam ;)
> 1- Nakonfigurovat iptables (to bych snad nasel nekde na netu) -
> default vsechno zakazat (nehodlam poskytovat zadne sluzby, proste
> workstation), takze hodne restriktivni firewall.
to znamena zakazat vsetky nevyziadane pakety. ale pokial druha strana
nevie pasivny FTP tak musis povolit pristup cez datovy kanal FTP
> 2- K cemu jsou ty veci kolem xinetd, k cemu je cele to echo a date a
> tak? Je tcpwrapper nutny? Vzhledem k bodu 1? Jestli ano, tak
> nakonfiguruju hosts.allow (ALL: ALL na localhost) a hosts.deny (ALL:
> ALL na ALL)
nenainstaluj si ziaden serverovy SW (telnet/ftp/ssh/....) niektore
vyuzivaju xinet niektore nie ale ked nebudes mat ziadne servre nemusis
mat ani xinetd a ani tcpwraper.
> 3- Je nutne explicitne (vzhledem k bodum 2 a 3) zakazovat relaying na
> sendmailu? Pripadne neco dalsiho?
ano ale ked budes mat workstation tak ti sendmail nieje treba. niektore
mail klienty vedia stahovat i primat postu zo vzdialeneho servera (mozno
vsetky ale tym niesom si isty)
> 4- Co musim zkontrolovat (obecne), kdyz budu chtit poskytovat nejakou
> sluzbu ven? Napr. SSH - povolim to v iptables, staci to?
zalezi ako ak pre vsetkych tak povolit v iptables ak pre par ludi tak
pre kazdeho urobit vlastne pravidlo a este ho dat do hosts.allow
> 5- Kdyz dojde k nejhorsimu :-) a to vzdycky dojde, jak muzu zjistit
> utok? Zkusil jsem jakysi tripwire z instalacek, ale protoze na systemu
> porad neco menim, tak po mne hazel velke maily a kdo se v tom ma
> orientovat, ze... Jaka je nejlepsi cesta pro detekci napadeni?
tak v tom ti moc nepomozem ale minimalne si sprav md5sum zo vsetkych
suborov a adresarov a odloz na CD kde ti to nik neprepise.
> Kdybyste nekdo utrousili slovicko ci link na nejake dobre HOWTO nebo
> tak nejak... Dekuji moc.
wedsinu howtos co potrebujes najdes na doc.linux.cz
--
Niesom povinny byt taky, aky by som podla ostatnich mal byt.
Je to ich omyl nie moje zlyhanie.
Richard Philips Feynman
---------------
First they came for the Communists,
and I didn't speak up,
because I wasn't a Communist.
Then they came for the Jews,
and I didn't speak up,
because I wasn't a Jew.
Then they came for the Catholics,
and I didn't speak up,
because I was a Protestant.
Then they came for me,
and by that time there was no one
left to speak up for me.
by Rev. Martin Niemoller, 1945
Další informace o konferenci Linux