Zabezpeceni RH 7.2 - na beton

Marek Blasko blasko na vuje.sk
Pátek Leden 25 10:42:49 CET 2002


> Co vsechno musim udelat, abych mel (skoro) 100% bezpecny RedHat 7.2?

vybrat disk a zavriet do trezoru ale 100% tomu nedavam ;)

> 1- Nakonfigurovat iptables (to bych snad nasel nekde na netu) - 
> default vsechno zakazat (nehodlam poskytovat zadne sluzby, proste 
> workstation), takze hodne restriktivni firewall.

to znamena zakazat vsetky nevyziadane pakety. ale pokial druha strana
nevie pasivny FTP tak musis povolit pristup cez datovy kanal FTP

> 2- K cemu jsou ty veci kolem xinetd, k cemu je cele to echo a date a 
> tak? Je tcpwrapper nutny? Vzhledem k bodu 1? Jestli ano, tak 
> nakonfiguruju hosts.allow (ALL: ALL na localhost) a hosts.deny (ALL: 
> ALL na ALL)

nenainstaluj si ziaden serverovy SW (telnet/ftp/ssh/....) niektore
vyuzivaju xinet niektore nie ale ked nebudes mat ziadne servre nemusis
mat ani xinetd a ani tcpwraper.

> 3- Je nutne explicitne (vzhledem k bodum 2 a 3) zakazovat relaying na 
> sendmailu? Pripadne neco dalsiho?

ano ale ked budes mat workstation tak ti sendmail nieje treba. niektore
mail klienty vedia stahovat i primat postu zo vzdialeneho servera (mozno
vsetky ale tym niesom si isty)

> 4- Co musim zkontrolovat (obecne), kdyz budu chtit poskytovat nejakou 
> sluzbu ven? Napr. SSH - povolim to v iptables, staci to?

zalezi ako ak pre vsetkych tak povolit v iptables ak pre par ludi tak
pre kazdeho urobit vlastne pravidlo a este ho dat do hosts.allow 

> 5- Kdyz dojde k nejhorsimu :-) a to vzdycky dojde, jak muzu zjistit 
> utok? Zkusil jsem jakysi tripwire z instalacek, ale protoze na systemu 
> porad neco menim, tak po mne hazel velke maily a kdo se v tom ma 
> orientovat, ze... Jaka je nejlepsi cesta pro detekci napadeni?

tak v tom ti moc nepomozem ale minimalne si sprav md5sum zo vsetkych
suborov a adresarov a odloz na CD kde ti to nik neprepise. 
 
> Kdybyste nekdo utrousili slovicko ci link na nejake dobre HOWTO nebo 
> tak nejak... Dekuji moc.

wedsinu howtos co potrebujes najdes na doc.linux.cz

-- 
Niesom povinny byt taky, aky by som podla ostatnich mal byt.
Je to ich omyl nie moje zlyhanie.
		Richard Philips Feynman
---------------
First they came for the Communists,
     and I didn't speak up,
         because I wasn't a Communist.
Then they came for the Jews,
     and I didn't speak up,
         because I wasn't a Jew.
Then they came for the Catholics,
     and I didn't speak up,
         because I was a Protestant.
Then they came for me,
     and by that time there was no one
         left to speak up for me.

   by Rev. Martin Niemoller, 1945


Další informace o konferenci Linux