Скажите, как в Linux отключить работу лишних служб?
Например мне нужно отключить SSH.
Достаточно ли блокировать ее брандмауэром, или все таки лучше с точки зрения безопасности произвести ее отключение в корне?
Система ASP11.
Комментарии
— serzh (25/12/2006 04:32) Если она не нужна, то я бы отключал полностью.
— unknown (25/12/2006 08:58) Обязательно отключите ВСЕ лишние службы.
При запуске netstat -pan --inet у Вас должно быть пусто для значения 0.0.0.0.
Посмотрите свой уровень запуска в /etc/inittab: # The default runlevel.
Зайдите в каталоги /etc/rc[default runlevel]d
и замените симлинки с опции S[номер сервиса][название сервиса]
на K[номер сервиса][название сервиса].
Посмотрите также что у Вас запускается в /etc/rcS.d
и в /etc/inetd.conf
Изучите назначение всех запускаемых сервисов. Проделайте все операции по их отключению вручную из консоли. Забудьте про использование "удобных и дружественных" графических утилит из KDE, Gnome и им подобных.
Перепишите стартовые скрипты для запуска X-сервера с опцией --nolisten-tcp.
Отключите демон печати и заупскайте его при необходимости вручную. Разберитесь во всех его настройках, запрещающих удалённое подключение или подключение от постороннего пользователя.
После потраченного времени убедитесь, насколько дырява система, установленная по умолчанию и насколько тщетны все Ваши попытки её защитить (потому что всё равно найдётся 1024 и 1 способ их обойти).
— spinore (25/12/2006 15:57) Правда говоря, ssh – это единственная, кажись, служба, подключить которую предлагают в умолчальной установке OpenBSD. Для netbsd по умолчанию запущен только sendmail. Я его отключил :)
— unknown (25/12/2006 17:53) Про OpenBSD речи не идёт – он ведь и отличается тем, что "Secure by default"?
— spinore (27/12/2006 19:41)
>Про OpenBSD речи не идёт – он ведь и отличается тем, что “Secure by default”?
Если она не нужна, то я бы отключал полностью.
Обязательно отключите ВСЕ лишние службы.
При запуске netstat -pan --inet у Вас должно быть пусто для значения 0.0.0.0.
Посмотрите свой уровень запуска в /etc/inittab: # The default runlevel.
Зайдите в каталоги /etc/rc[default runlevel]d
и замените симлинки с опции S[номер сервиса][название сервиса]
на K[номер сервиса][название сервиса].
Посмотрите также что у Вас запускается в /etc/rcS.d
и в /etc/inetd.conf
Изучите назначение всех запускаемых сервисов. Проделайте все операции по их отключению вручную из консоли. Забудьте про использование "удобных и дружественных" графических утилит из KDE, Gnome и им подобных.
Перепишите стартовые скрипты для запуска X-сервера с опцией --nolisten-tcp.
Отключите демон печати и заупскайте его при необходимости вручную. Разберитесь во всех его настройках, запрещающих удалённое подключение или подключение от постороннего пользователя.
После потраченного времени убедитесь, насколько дырява система, установленная по умолчанию и насколько тщетны все Ваши попытки её защитить (потому что всё равно найдётся 1024 и 1 способ их обойти).
Правда говоря, ssh – это единственная, кажись, служба, подключить которую предлагают в умолчальной установке OpenBSD. Для netbsd по умолчанию запущен только sendmail. Я его отключил :)
Про OpenBSD речи не идёт – он ведь и отличается тем, что "Secure by default"?
По кр. мере они стремятся к этому.... :)
Ещё можно зайти с другой стороны:
http://www.linuxfromscratch.org
http://www.linuxfromscratch.org
Для этого есть Gentoo Linux, где и были воплощены все такие мечты