Zabezpieczanie Serwera Na Fc3

[Andrey]

Witam,

Mam do zabezpieczenia system Fedora Core 3, ma to być maszyna na której działa serwer www Apache, serwer ftp vsftp oraz Samba, większej ilości oprogramowania nie przewiduję.

 

Co chciałbym wykonać:

- usunąć zbędne oprogramowanie: mam listę zainstalowanego oprogramowania i czytam opisy z tego co wypluwa rpm -qi nazwa_pakietu ale chciałbym prosić o radę, jakie pakiety najlepiej pozostawić do tej pory zdecydowałem się na usunięcie:

- system-config-httpd-1.3.1-1

- system-config-nfs-1.2.8-1

- system-config-packages-1.2.20-1

- system-config-samba-1.2.21-1

- system-config-services-0.8.15-1

- system-config-soundcard-1.2.10-1

- system-config-users-1.2.25-1

- system-logviewer-0.9.11-1

- up2date-4.3.47-5

- usermode-gtk-1.74-1

- bluez-bluefw-1.0-6

- bluez-hcidump-1.11-1

- bluez-libs-2.10-2

- bluez-pin-0.23-3

- bluez-utils-2.10-2

- vconfig-1.8-4

Najchętniej pozbyłbym się wszystkiego co jest związane z X-ami.

- Chciałbym wykonać aktualizację pakietów. Jednak tutaj mam pytanie czy otrzymam pakiety najświeższe z danej gałęzi czy może jakieś starsze z powodu iż Fedora Core 3 jest już dość starym wydaniem?

Pozdrawiam

Andrey

[milosz_bozenski]

musisz zrobić to co mnie niestety czeka również: upgrade fedorki przynajmniej do wersji 5

[Andrey]

Powiem szczerze, że Fedory nigdy nie używałem zawsze siedziałem na BSD teraz jestem zmuszony korzystać z Linuksa system FC3 postawiony jest na 2GB dysku ma on być przykładem konfiguracji serwera i zabezpieczenia go. W tej chwili aplikuje następujace zmiany:

- usuwam zbędne oprogramowanie

- wyłączam nieistotne usługi

- usuwam konta zbędnych użytkowników zmieniam co poniektórym domyślna powłokę na /bin/false

- szukam plików bez właściciela, plików zapisywalnych dla świata, usuwam co poniektóre bity suid z programów

- chce wykonać aktualizację, z doświadczenia wiem, że kolejny release systemu nie oznacza większej jakości czy poprawy bezpieczeństwa więc postanowiłem, że dopóki będą aktualne pakiety dla FC3 to zostanę tak długo przy niej

- Chce jak najbardziej uszczelnic dla mnie najistotniejsze na tym serwerku uslugi:

* Sambe

* Apache

* VSFTP

Sendmail chcialbym aby nie był widoczny dla świata. Nasuwa mi się kolejne pytanie czy dovecot (serwer IMAP) mnie całkowicie zbędny ma może w Fedorze jakieś inne dodatkowe zadanie podobnie serwer TUX?

 

Pozdrawiam

Andrey

[wojtekjs]

z doświadczenia wiem, że kolejny release systemu nie oznacza większej jakości czy poprawy bezpieczeństwa więc postanowiłem, że dopóki będą aktualne pakiety dla FC3 to zostanę tak długo przy niej

O ile mi wiadomo każde kolejne wydanie Fedory jest uszczelniane. Poszukaj na forum, było kolka tematów na temat bezpieczeństwa fedory (np. o exec_shield).

Oto jeden z nich: http://forum.fedora.pl/index.php?showtopic=8359

[Andrey]

Wyszukałem listę plików z ustawionym bitem suid z których proponujecie usunąc ten bit?

# find / -path /proc -prune -o -type f -perm +6000 -ls
112294   60 -rwsr-xr-x   1 root     root        52770 Oct  5  2004 /bin/su
62162   40 -r-sr-xr-x   1 root     root        40916 Oct 20  2004 /sbin/unix_chkpwd
62201  252 -r-sr-xr-x   1 root     root       251422 Oct 20  2004 /sbin/pwdb_chkpwd
62231   12 -rwxr-s---   1 root     root        10839 Oct 28  2004 /sbin/netreport
62169   20 -r-s--x--x   1 root     root        16902 Oct 20  2004 /sbin/pam_timestamp_check
86790   44 -rwsr-x---   1 root     root        41260 Oct 21  2004 /usr/bin/gpasswd
86799   72 -rwsr-xr-x   1 root     root        66277 Oct 15  2004 /usr/bin/crontab
83369    8 -rws--x--x   1 root     root         6900 Oct 14  2004 /usr/bin/newgrp
87388   20 -r-s--x--x   1 root     root        19336 Sep  7  2004 /usr/bin/passwd
83120   64 -rwxr-sr-x   1 root     nobody      58448 Sep  7  2005 /usr/bin/ssh-agent
88481   20 -rws--x--x   1 root     root        17696 Oct 14  2004 /usr/bin/chfn
87218   32 -rwxr-sr-x   1 root     slocate     32084 Oct 20  2004 /usr/bin/slocate
82857   20 -rws--x--x   1 root     root        18392 Oct 14  2004 /usr/bin/chsh
85620   40 -rwsr-xr-x   1 root     root        39676 Oct 21  2004 /usr/bin/chage
86588   20 -rwsr-xr-x   1 root     root        15551 Oct 26  2004 /usr/bin/lppasswd
87209   12 -r-xr-sr-x   1 root     tty          9752 Oct  7  2004 /usr/bin/wall
86152   96 ---s--x--x   1 root     root        93744 Jun 21  2005 /usr/bin/sudo
79044   16 -rwxr-sr-x   1 root     mail        14808 Jun 16  2004 /usr/bin/lockfile
88081   12 -rwxr-sr-x   1 root     tty         10128 Oct 14  2004 /usr/bin/write
86093   12 -r-s--x---   1 root     apache      10760 Sep  5  2005 /usr/sbin/suexec
88084   20 -rwxr-sr-x   1 root     utmp        16583 Jun 16  2004 /usr/sbin/utempter
86498  724 -rwxr-sr-x   1 root     smmsp      732356 Sep  1  2004 /usr/sbin/sendmail.sendmail
88065   16 -rwxr-sr-x   1 root     lock        14664 Jun 16  2004 /usr/sbin/lockdev
86409   36 -rws--x---   1 root     root        34904 Oct 20  2004 /usr/sbin/userhelper
86263   12 -rwsr-xr-x   1 root     root         6668 Oct  5  2004 /usr/sbin/userisdnctl
88296   76 -rwsr-x---   1 root     disk        66169 Jun 28  2004 /usr/sbin/amcheck
156769  392 -rws--x--x   1 root     root       397134 Sep  7  2005 /usr/libexec/openssh/ssh-keysign
147632    8 -rws--x--x   1 vcsa     root         7404 Oct 20  2004 /usr/lib/mc/cons.saver
206181   68 -rwsr-x---   1 root     disk        59885 Jun 28  2004 /usr/lib/amanda/dumper
206182   76 -rwsr-x---   1 root     disk        66147 Jun 28  2004 /usr/lib/amanda/planner

Na pewno z programu write o ile w ogóle go nie usunę. Co sądzicie?

[MonteChristo]

zabezpieczyc ?

heh....ludzie ksiazki pisza o Tym a Ty tu chcesz gotowy przepis ?

 

Proponuje FC5 ewentualnie FC6 z nowym jajkiem ! np 2.6.1.19 a potem update pakietow.

to raz

wyszukac konta z pustymi haslami,

powylanczac serwisy niepotrzebne nieuzywane itp.

firewall tu jest pole do popisu.

IDS ew. IPS -> na poziomie jadra

IDS Lan ew. Inet.

 

poza tym tripwire przed wywaleniem go na zewnatrz.

 

silne haslo na roota, zmiana portu ssh,wylaczenie logowania przez ssh na roota ....

i wiele innych. to co najwazniejsze chyba napisalem.

 

Ja tak mniej wiecej postepuje i jak dotad ok.

Pracochlonne, ale skuteczne.