Мне приятно, что Вы сочли мой ответ полезным. Постараюсь дать Вам ещё несколько советов, по защите Ваших сервисов от крякеров. Они достаточно известны, но я всётаки попробую изложить их здесь.
Натройка системы.
На что следует обратить внимание при настройки того или иного сервера:
Первое, и, наверное, самое важное это сайзинг и выбор OS.
Грамотно спланировав нагрузку и аппаратные средства сервер можно уберечь или по крайней мере максимально смягчить последствия атак типа отказ в обслуживании. Выбор аппаратных средств для PC более всего зависит от выбора OS как и наоборот. Например, в случае многопроцессорной системы некоммерческие OS могут неподойти, так как поддержка SMP в некоторых из них реализована достаточно криво. Необходимо обязательно ознакомиться с такими критически важными системами всех претендующих на использование Вами OS как управление памятью, свопинг (пэйджинг), файловая система (на предмет максимального размера файла, и самой файловой системы - как минимум), реализация многопроцессорной поддержки и.т.д. В одной из фидошных конф видел пример, как неправильный сайзинг сервера помимо того, что вызвал большие проблеммы у администратора, вызвал необоснованые нападки на реализацию системы выделения памяти в OS Solaris. Где-то здесь есть ссылка на часть этого текста. Вам вероятно уделять особое внимание сайзингу не понадобится, но в случае если вы будете администрить большую сеть, или загруженый сервер время уделённое на изучение особенностей различных OS и аппаратных средств сэкономит Вам Время, деньги и Здоровье. Конкретные рекомендации здесь дать сложно так как всё зависит от задач которые перед Вами стоят и множества других факторов.
Второе: Демоны и приложения.
Есть такое правило: Все порты, кроме нужных, надо закрывать, все сервисы, кроме нужных, надо останавливать, все приложения, кроме нужных, надо удалять.
И этому правилу надо стараться следовать, но не слишком буквально (особенно последнему пункту).
Например: Иксы на web сервере не нужны, а вот Perl надо бы поставить, не стоит также удалять, что либо из базовой поставки системы, однако такие сервисы как finger надо бы запретить. В идеале на web сервере должен вертеться только апачи и сислог, но обычно нужен ещё и ftp причём не анонимный :(.
Третье: Настройка демонов.
Первое что надо заметить здесь, это любовь демонов рассказывать всем кому попало информацю о себе и о системе. Это надо запретить. Незачем кому-то кроме Вас знать какой версии ваш ftpd или sendmail и какую OS вы юзаете. Любой крякер зателнетившись на 25 порт к sendmail, поздоровавшись с ним и узнав какая версия у Вас стоит может выкачать эксплоит к нему и испортить Вам жизнь. Это же касается и всех остальных демонов. Не надейтесь, что эксплоита нет. Если его нет, значит он скоро будет, так как программ без ошибок не бывает.
Всегда следите за патчами, и выходом новых версий демонов. Однако не спешите проапгрейдиться на последние, подождите пока это сделает кто-то другой и посмотрите как оно работает у него, или же протестите их на тестовой, не критической машине. Никогда не используйте альфа и бета версии демонов на серверах. Скачивайте демонов только с оффициальных сайтов.
Если у демона есть опции, которые позволяют логить больше чем он это делает по дефолту включайте их. Это сильно увеличит размеры логов, однако в случае атак значительно облегчит вам жизнь.
По возможности не запускайте демонов с привилегиями root, старайтесь предоставлять им минимально возможные права. Если юзера с правами, которые нужны демону нет, создайте его дав ему эти права, но не больше. В поле паролей таки юзерам ставьте "*". В вашей системе уже есть несколько таких юзверей.
Четвёртое: Логи.
Логьте всё что движется, происходит, изменяется во времени итд. Пишите скрипты для анализа логов на шеле, перле, юзайте если хотите sed и awk, представляйте информацию в удобном для Вас виде.
Следите за правами доступа к логам, в них содержится куча информации о которой никому лучше не знать. Если логи отправляются к Вам по почте шифруйте почту.
Пятое: Коры (segmentation fault (core dumped)).
В документации к FreeBSD писано, что всякие демоны типа ftpd core не бросают из принципиальных соображений, даже если их подвесят. Но всётаки лучше подстраховаться и отрубить коры совсем. Core это дамп памяти ипользуемой процессом, следовательно там могут содержаться пароли и прочая ценная информация.
Например: Если какой-нибудь злобный крякер, каким-то эксплоитом пришибёт Вам ftpd, тот выплюнет кору и перезапустится. Злобный крякер утянет эту кору по ftp и порывшись в ней сможет вытянуть от туда пароли. Если ftp не анонимный, то это пароли реальных юзверей.
Пятое: Сканирование портов.
Сканируйте себе порты, пока это не сделал кто-то другой. Занимайтесь этим периодически (раз в неделю хотябы) с хоста рядового юзверя и логьте результат, чтобы было с чем сравнить следующее сканирование. Таким образом вы сможете обнаружить трояны и прочие открытые порты, а так же проверить конфигурацию своего файрвола. Мои любимые сканеры это strobe (выводит версию демона, если он не зафайрволен и её разбазаривает) и nmap (с хитрыми ключами можно проломиться через не слишком грамотно настроеный файрвол). Процесс как всегда можно автоматизировать написав скрипты.
Шестое: Пароли.
Всё выше перечисленное бесполезно если вы юзаете неправильные пароли.
Пароль должен быть случайной комбинацией строчных и заглавных латинских букв, цифр, знаков препинания, пробелов, знаков подчёркивания длинной в восемь символов.
Как всегда чего-нибудь забыл.
С уважением, ZOD.
PS
Если чего ещё в голову придёт, напишу. Уже 5:56 а мне вставать рано.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
30-Авг-00, 20:19 (MSK)
