Zabezpieczenie Serwera

[dawidson]

Witam,

Jak zabezpieczyc serwer na ktorym jest mail www mysql ssh

Czy macie jakies dobre linki odnosinie tego tematu

lub sugestie co trzeba zrobic lub jakie ustawienia

pomijam podstawowe kwestie firewall i antywirus.

np. ustawienia grupy mogacej logowac sie na serwer

blokowanie logowania sie jako root (przez ssh).

 

Moze cos pominolem a nie chcialbym

[@perl]

jezeli zaczynasz bawic sie w bezpieczenstwo linuksa, polecam projekt Bastille Linux: http://www.bastille-linux.org/

 

graficzny kreator poprowadzi Cie za raczke i w dodatku w opisie wyjasni wiele spraw zwiazanych z bezpieczenstwem,

 

minus jest taki ze na pierwsze zabezpieczenie musisz poswiecic z 2 godzinki

[walwat]

Błąd z tym Bastile - to jest firewall, a po co to skoro w FC juz jest.

A jak ktoś chce się pobawic to juz własny fw...

 

Kwestia bezpieczeństwa jest szeroka jak...

Wszystko zależy od tego co zamierzasz.

Jak serwer, to będziesz musiał przysiąść kilka kwestii, a jak desktop to olej sprawę.

SELinux, firewall, zapewnia ci jakąś taką ochronę.

Napisz jak wykorzystujesz kompa.

Mnie osobiście int. kwestia bezp., więc wal śmiało !

 

walwat

 

PS nie doczytałem - masz serwer i to z pocztą.

Jeżeli poważnie chcesz się tym zająć, to poczytaj o LIDS, GRSECURITY, albo o MAC (ale to pewnie tylko w BSD i Makówach). Potem coś takiego jak JAIL.

Naprawdę nie chce się wypowiadać, bo sam sobie to dostosujesz...

Generalnie FC taka jest nie zapewnia wystarczającego bezpieczeństwa dla serwrea, ale dla kompa bez otwatrych portów tak.

 

walwat

[jaro33]

Generalnie FC taka jest nie zapewnia wystarczającego bezpieczeństwa dla serwrea, ale dla kompa bez otwatrych portów tak.

 

walwat

????????????

dziwne stwierdzenie

Jakoś mało wiem ale RH wypuszczając FC do boju nie testuje zabezpieczeń , prze ciesz to darmowy poligon , gdzie miliony userów meczy wystawia na różne niebezpieczeństwa swoje system .

A RH chyba głównie swoją potęgę opiera na rozwiązaniach serwerowych a nie desktopowych ?

narka

 

a może się mylę ?

[@WalDo]

Warto się zapoznać ze snortem - szczególnie w przypadku serwera. Narzędzie typu IDS (intrusion detection system).

Dostępne chyba przez yuma, jak nie to http://snort.org

Pozdr,

W.

 

[mynus]

1, wyłącz usługi, których nie używasz:

/etc/rcX.d/ (gdzi X wskazuje na runvel)

wyłącz je również w xinetd

 

2. użyj jakiegoś programu skanującego np: nmap

zobacz co zwraca i wylacz to co niepotrzebne

 

3. jezeli z mysql korzysta tylko localhost (zadne inne komputery nie lacza sie z baza) to ustaw mozliwosc logowania sie do mysql tylko z localhosta

 

4. ustaw trudne hasla, ustaw logowanie wszystkiego

 

 

5.

-kompilacja jądra z patchem grsecurity

-zainstaluj dodatkowe oprogramowanie np: tripwire, osiris, PortSentry, Logcheck,

-wprowadź listy dostępu ACL (jest taka nakladka na Linuksa, acle jak w solarisie )

-zamontuj większość partycji jako read-only

-sprawdź pliki z bitem suid

-wywal możliwość czytania i wykonywania plików, których user nie potrzebuje do normalnej pracy

-wywal nie potrzebne pakiety

-wywal oprogramowanie do kompilacji, biblioteki develop etc.

-załóż "klatki na usługi na serwer" - chroot

itd... itd... itd...

 

Przy czym, często zbyt duże restrykcje powodują że na komputerze nie da się pracować

[Gość amdfanatyk]

http://forum.fedora.pl/index.php?showtopic=9353

[walwat]

Pisząc, że Fedora taka jaka jest (czyli instalowana domyślnie), na serwerze nie zapewnia wystarczającego bezpieczeństwa miałem na myśli to, że domyślnie w jądro nie są wkompilowane takie rzeczy jak Mandatory Accesss Control (jak np jest to w BSD), czy też LIDS, GRSECURITY albo inne.

Można oczywiście to zrobić nakładając łatę na jądro i potem je kompilując, ale większość tzw. zwyklych użytkowników tego nie robi z prostej przyczyny, ponieważ wtedy system jest mniej wygodny w używaniu.

Fedora to rozsądny kompromis pomiędzy bezpieczeństwem, funkcjonalnościę i łatwościę obsługi, stworzona głównie z przeznaczeniem na desktop.

Można z niej uczynić bezpieczny serwer, ale wymaga to głębokich zmian.

 

walwat

[yoda6886]

hmm ja powiedzialbym tak:

1. mail - mam nadzieje ze nie uzywasz sendmaila tylko postfixa+TSL+SASL

2. www - tutaj zalezy od tego czy jest jakies logowanie etc. jesli tak to ssl. w kazdym razie chroot obowiazkowy.

3. mysql - nie mam pojecia:P

4. ssh - tutaj zalezy czy logujesz sie tylko Ty czy tez inni oraz spod jakiego systemu sie to dzieje. w miare mozliwosci polecam KNOCK.

 

i oczywiscie chyba glowe przed mynusem, ktory wypisal niemal wszystko:)

[@perl]

Błąd z tym Bastile - to jest firewall, a po co to skoro w FC juz jest.

A jak ktoś chce się pobawic to juz własny fw...

proponuje wejsc na stronke ktora podalem zamiast pisac bujdy, oto czym jest Bastille:

The Bastille Hardening program "locks down" an operating system, proactively configuring the system for increased security and decreasing its susceptibility to compromise. Bastille can also assess a system's current state of hardening, granularly reporting on each of the security settings with which it works.

 

Bastille to jeden z najlpeszych sposobow na stuningowanie systemu pod katem bezpieczenstwa, bez ingerencji (rekompilacji pakietow) w system,

[dawidson]

Dziekuje za posty teraz widze ogrom problemu

1. mail - mam nadzieje ze nie uzywasz sendmaila tylko postfixa+TSL+SASL

2. www - tutaj zalezy od tego czy jest jakies logowanie etc. jesli tak to ssl. w kazdym razie chroot obowiazkowy.

3. mysql - nie mam pojecia:P

4. ssh - tutaj zalezy czy logujesz sie tylko Ty czy tez inni oraz spod jakiego systemu sie to dzieje. w miare mozliwosci polecam KNOCK.

 

Oczywiscie ze uzywam postfix +SALSL +calmav+spamasian

mysql tylko z lokalnego localhost nie da sie polaczyc inaczej.

ssh logowanie polega na tym ze tylko przez user.

4. ustaw trudne hasla, ustaw logowanie wszystkiego

co to znaczy logowanie do wszystkiego. W moim przypadku tylko placzenie przez ssh do serwera .nie wiem czy dobrze to rozumiem

 

sprawdź pliki z bitem suid

jak to zrobic

 

Fedora to rozsądny kompromis pomiędzy bezpieczeństwem, funkcjonalnościę i łatwościę obsługi, stworzona głównie z przeznaczeniem na desktop.

Można z niej uczynić bezpieczny serwer, ale wymaga to głębokich zmian.

to co nie nadaje sie na serwer www i mail bo wlasnie walczylem znim przez kilka dni aby wszystko postawic i teraz to mowicie

 

 

 

[@WalDo]

4. ustaw trudne hasla, ustaw logowanie wszystkiego

co to znaczy logowanie do wszystkiego. W moim przypadku tylko placzenie przez ssh do serwera .nie wiem czy dobrze to rozumiem

Sądzę, że chodziło o logowanie (zapis historii) zdarzeń a nie sposób logowania użytkowników do systemu (syslogd, klogd) Wnikliwa lektura logów umożliwia/ułatwia namierzenie słabych punktów systemu.

Pozdr,

W.

[walwat]

Zwracam honor z tym Bastille - pamiętam to jeszcze sprzed kilku lat jak miałem Mandrake 9.0 - był tam reklamowany jako firewall.

Strony nie sprawdzałem.

Bez rekompilowania bądź instalacji na poziomie jądra, można zmienić kilka rzeczy - bity suid, prawa do plików i inne, dobre i to...

 

Pozdrawiam i dzięki za wyprowadzenie z błędu.

 

walwat

[dawidson]

takie pytanie czy snort moze sobie chodzic caly czas jako demon

 

?

[walwat]

Oczywiście, wtedy jego używanie ma w ogóle sens.

 

walwat