The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Увеличение безопасности FreeBSD сервера (freebsd security howto)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >> 
Ключевые слова: freebsd, security, howto,  (найти похожие документы)

Date: 9 Sep 2002
From: opennet
Subject: Увеличение безопасности FreeBSD сервера

По материалам "FreeBSD Operating System Security Checklist":
 http://www.opennet.ru/opennews/art.shtml?num=1491
 http://sddi.net/FBSDSecCheckList.html

* Разбивка на разделы:
none (swap)
/
/tmp
/usr
/usr/home
/var

* чистка inetd.conf

* запрещение port_map если не используется NFS

* vi /etc/motd; cp /etc/motd /etc/issue

* vi /etc/ssh/sshd_config:
Port 22 
Protocol 2
#Hostkey /etc/ssh/ssh_host_key
PermitRootLogin no
MaxStartups 5:50:10
X11Forwarding no
PrintLastLog yes
LogLevel VERBOSE
PasswordAuthentication no
PermitEmptyPasswords no
Banner /etc/issue
AllowGroups shellusers 

* vi /etc/ssh/ssh_config
ForwardAgent no
ForwardX11 no
PasswordAuthentication no
CheckHostIP yes
Port 22
Protocol 2

* генерируем DSA ключи: ssh-keygen -d; cd .ssh; cat id_dsa.pub > authorized_keys2

* vi /etc/rc.conf
inetd_enable="NO"
syslogd_enable="YES"
syslogd_flags="-ss"
tcp_drop_redirect="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
clear_tmp_enable="YES"
portmap_enable="NO"
icmp_bmcastecho="NO"
fsck_y_enable="YES"
update_motd="NO"
tcp_drop_synfin="YES"


* vi /etc/login.conf
В default поменять md5 на blf:   ":passwd_format=blf:"
:passwordtime=52d:
:mixpasswordcase=true:
:minpasswordlen=9:
baduser:
:cputime=30m:
:openfiles=24:
:maxproc=32:
:memoryuse=16m:
:tc=default: 

cap_mkdb /etc/login.conf

* vi /etc/sysctl.conf

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ps_showallprocs=0 

* vi /etc/fstab
/tmp ufs rw,noexec
/usr/home ufs rw,nosuid,noexec
/var ufs rw,noexec

* chmod 0600 /etc/crontab

* Конфигурация ядра
#pseudo-device bpf
options SC_NO_HISTORY
options SC_DISABLE_REBOOT
options SC_DISABLE_DDBKEY
options TCP_DROP_SYNFIN


* chmod 0700 /root; chmod 0600 /etc/syslog.conf; chmod 0600 /etc/rc.conf; 
chmod 0600 /etc/newsyslog.conf; chmod 0600 /etc/hosts.allow; 
chmod 0600 /etc/login.conf; chmod 0700 /usr/home/*


* TCP Wrappers, vi /etc/hosts.allow
sshd : localhost : allow
sshd : x.x.x.x, x.x.x.x : allow
sshd : all : deny
ftpd : ALL : deny

* Console, vi /etc/ttys

console  none   unknown   off   insecure
ttyv0   "/usr/libexec/getty Pc" cons25   on   insecure
ttyv1   "/usr/libexec/getty Pc" cons25   on   insecure

* Bash Shell, vi /usr/share/skel/.bash_logout
clear

* Анализ sockstat -4 и tcpdump -xX

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру