Zabezpeceni RH 7.2 - na beton

Neděle Leden 27 19:03:58 CET 2002

On Fri, 25 Jan 2002, Martin Bodlak wrote:

> Co vsechno musim udelat, abych mel (skoro) 100% bezpecny RedHat 7.2?

To zalezi na tom, proti jakemu druhu ohrozeni se chcete branit. Temer
kazdy asi bude chtit obranu proti primym utokum z Internetu, ale muzete
chtit i obranu proti zlym lokalnim uzivatelum, obranu proti neprimym
utokum (trojske kone, zneuzivani der v klientskych programech), obranu
proti prirodnim katastrofam, obranu proti rozvedkam nepratelskych
mocnosti atd... (polozky seznamu nejsou nutne tehoz druhu a po dvou
disjunktni)

> 2- K cemu jsou ty veci kolem xinetd, k cemu je cele to echo a date a tak?

Sluzby echo, daytime (to bylo mineni tim date?) a spol. nejsou skoro
k nicemu. Ja se priznam, ze jsem jednou pouzil discard na Solarisu, kde
byl z nejakych duvodu problem rozchodit sitovani, dokud nebezel aspon
jeden poslouchajici proces, ale jinak jsem nevidel, ze by nekde byly
tyhle veci k necemu dobre.

> Je tcpwrapper nutny? Vzhledem k bodu 1?

Na to nelze jednoznacne odpovedet. Vetsinou by pouze duplikoval praci
iptables, ale zase na druhou stranu 1. existuji komplikovanejsi pripady,
ktere jsou uz pod rozlisovaci schopnosti iptables (napr. kdyz neni
konstantni cislo portu), 2. duplikovane obranne mechanismy jsou
spolehlivejsi, protoze je mnohem mene pravdepodobne, ze selzou oba
dva najednou, nez ze selze jediny -- tohle samozrejme musite v softwarem
kontextu, kde prevladaji chyby systematicke nad chybami nahodilymi,
spravne interpretovat, takze spolehlivost se zvysi, pokud zkombinujete
vice ruznych programu (kvuli implementacnim chybam) s ruznymi metodami
konfigurace (kvuli konfiguracnim chybam).

> 4- Co musim zkontrolovat (obecne), kdyz budu chtit poskytovat nejakou
> sluzbu ven? Napr. SSH - povolim to v iptables, staci to?

Obecne musite zkontrolovat, jak ta sluzba komunikuje, co cizincum, kteri
ji pouziji, umoznuje, jakymi pravy disponuje program realizujici server
(pripadne klienta) teto sluzby resp. jaka prava potrebuje ke sve praci
(casto to neni totez a programy jsou z ruznych duvodu -- od lenosti toho,
kdo to konfiguruje az po snahu umoznit pouzivani i mene obvyklych a
v danem prostredi treba uplne zbytecnych funkci -- spousteny s mnohem
vetsimi privilegii, nez je zapotrebi). Take je dobre se podivat, jakou
povest si program, ktery zamyslite pouzivat, vytvoril (mnohe programy,
ktere v rozsirenych linuxovych distribucich najdete, maji velice spatnou 
reputaci a nikoli bezduvodne).

> 5- Kdyz dojde k nejhorsimu :-) a to vzdycky dojde, jak muzu zjistit
> utok?

Mam takovy dojem, ze nejobvyklejsim zpusobem, jakym nekdo prijde na to,
ze jeho pocitac byl uspesne napaden, jen dnes ten, ze dotycneho na to
upozorni nekdo jiny, specialne provozovatel pocitace, ktery byl --
tentokrat neuspesne -- napaden zprostredkovane pres tento napadeny
pocitac a na kterem zustala po takovem utoku dost napadna stopa.

To lze zobecnit na neco, co bych nazval "metoda minoveho pole". Musite
na vsechna mista, kam nema nikdo lezt, nalicit poplasna zarizeni a jine
pasti, napr. ten tripwire. Take ale musite zajistit, aby neexistovala
zjevna a snadna metoda, jak ty alarmy obejit nebo vyradit z provozu
(resp. jak zabranit jejich poplasnemu signalu, aby dorazil na patricna
mista). A vysledek se pochopitelne podoba tomu zminenu minovemu
poli: projit bez vyvolani patricne hlasite a nicive (napr. muzete
v krizove situaci pocitac automaticky odpojit od site, coz utocnika
urcite docela nastve) detonace lze pouze v pripade, ze peclive a bez
jedine chybicky najdete a zneskodnite kazdou minu na ceste.

> Zkusil jsem jakysi tripwire z instalacek, ale protoze na systemu
> porad neco menim, tak po mne hazel velke maily a kdo se v tom ma
> orientovat, ze...

Kdyz si doma pustite na plne pecky radio, take asi budete mit problemy
zaslechnout, ze nekdo rozbiji okno...

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."