Отключение лишних служб
Скажите, как в Linux отключить работу лишних служб?
Например мне нужно отключить SSH.
Достаточно ли блокировать ее брандмауэром, или все таки лучше с точки зрения безопасности произвести ее отключение в корне?
Система ASP11.
Ссылки
[link1] https://www.pgpru.com/comment5123
[link2] https://www.pgpru.com/comment5167
[link3] https://www.pgpru.com/comment29618
[link4] https://www.pgpru.com/comment5120
[link5] https://www.pgpru.com/comment26403
[link6] https://www.pgpru.com/proekt/gruppy
[link7] http://www.cryptopro.ru/sites/default/files/docs/admin_guide_aix.pdf
[link8] https://www.pgpru.com/comment58015
[link9] https://www.pgpru.com/comment57968
[link10] https://www.pgpru.com/comment58024
Если она не нужна, то я бы отключал полностью.
Обязательно отключите ВСЕ лишние службы.
При запуске netstat -pan --inet у Вас должно быть пусто для значения 0.0.0.0.
Посмотрите свой уровень запуска в /etc/inittab: # The default runlevel.
Зайдите в каталоги /etc/rc[default runlevel]d
и замените симлинки с опции S[номер сервиса][название сервиса]
на K[номер сервиса][название сервиса].
Посмотрите также что у Вас запускается в /etc/rcS.d
и в /etc/inetd.conf
Изучите назначение всех запускаемых сервисов. Проделайте все операции по их отключению вручную из консоли. Забудьте про использование "удобных и дружественных" графических утилит из KDE, Gnome и им подобных.
Перепишите стартовые скрипты для запуска X-сервера с опцией --nolisten-tcp.
Отключите демон печати и заупскайте его при необходимости вручную. Разберитесь во всех его настройках, запрещающих удалённое подключение или подключение от постороннего пользователя.
После потраченного времени убедитесь, насколько дырява система, установленная по умолчанию и насколько тщетны все Ваши попытки её защитить (потому что всё равно найдётся 1024 и 1 способ их обойти).
Правда говоря, ssh – это единственная, кажись, служба, подключить которую предлагают в умолчальной установке OpenBSD. Для netbsd по умолчанию запущен только sendmail. Я его отключил :)
Про OpenBSD речи не идёт – он ведь и отличается тем, что "Secure by default"?
По кр. мере они стремятся к этому.... :)
Ещё можно зайти с другой стороны:
http://www.linuxfromscratch.org
http://www.linuxfromscratch.org
Для этого есть Gentoo Linux, где и были воплощены все такие мечты
unknown если не затруднит не могли бы Вы на досуге отметить для меня лишние демоны
p.s. машинка голая и выделена под relay то есть cups и bluetooth точно не понадобятся
а sudo и network-manager точно понадобятся :)
но назначение некоторых иных демонов для меня зело велика тайна есть :()
я так понимаю что это при default runlevel = 4 но у меня он равен 2 значит в /etc/rc[3-5].d мне править ничего не надо?
но все кроме tor'a да?
но у меня нет такого файла
.
у меня в /etc/X11/xinit/xinitrc
а в /etc/X11/xinit/xserverrc
это правильно?
Найдите, какой командой искать принадлежность файлов к пакету и как смотреть описание пакета в вашем пакетном менеджере и это перестанет быть тайной.
Не надо. Раз вы туда всё равно не грузитесь.
тогда зачем там иксы вообще?
Если не знаете, что такое портмап — то он вам не нужен, остальное скорее всего тоже. Exim (или его аналоги) при локальной доставке должен работать и без запуска слушающего демона.
Кроме тора, ничего у вас сеть слушать не должно и это можно на такой машинке не просто отключить, а вообще снести под ноль. А на будущее, не ставить изначально.
P.S. Недавно думал, не закрыть ли этот раздел форума? А вместо него открыть другой — про Win и прочие альтернативные системы.
[offtopic]
[/offtopic]
для серфинга в tor'е
[а меж строк кагбэ негодование] imho лучше добавить раздел 'маздай' [с вашего позволения добавлю опросик?]
Разгребать форум в любом случае бессмысленно, просто всвязи с наступлением локального виндовскапца, пометить раздел как [Архив] и закрыть для создания новых тем (и продолжения старых тоже). Всё это (продолжать) обсуждать в общих ветках.
Теперь понял. Просто думал, что
означает сервер или роутер.
unknown, а никто больше "умных" вопросов про то, как сделать безопасным и анонимным Windows, не задает?!
Я раньше задавал, пока несколько лет назад не послушал Гуру, не снес винду и не начал осваивать никсы :)
P.S. Просто соскочив с винды, я особого внимания не обращал на наличие вендовопросов уже. Поэтому и спрашиваю.
Проблема в том, что некому дать умные ответы на такие вопросы. А самих виндоспецифичных вопросов стало меньше, хотя и не исчезли совсем.
Если как было исторически, то SATtva создал этот форум, когда винда была для него ещё актуальной. Большая часть участников групп[link6] пришла, уже будучи пользователями открытых систем (UNIX/Linux). Далее был только один виндовый всплеск — появление ntldr (2007-2008), но потом он подзабил на консультирование. Теперь по факту никто из ядра проекта не пользуется (и, пожалуй, даже не интересуется) win-системами, кроме изредка проскакивающего ntldr'а.
-=ПОЛЬЗОВАТЕЛИ=-
Удалить всех лишних пользователей и всех стандартных пользователей, которые создаются в ОС Linux во время установки (таких, как "sys", "uucp", "nuucp", и "listen"), кроме пользователя root.
Запретить регистрацию в системе пользователей, имеющих следующие "служебные имена":
daemon
bin
sys
adm
lp
smtp
uucp
nuucp
listen
nobody
noaccess
Действие выполняется путем указания в файле /etc/passwd строки '/bin/false' в поле shell-программы и указания символа 'x' в поле пароля.
Проверить идентификаторы пользователя и группы для всех пользователей, перечисленных в файле /etc/passwd. Убедиться, что не существует пользователей, имеющих идентификатор пользователя 0 и идентификатор группы 0, кроме пользователя root.
В файле /etc/profile установить значения umask=022 (параметр задает маску создания файла по умолчанию).
Для пользователя root установить маску режима создания файлов 077 или 027:
umask 077 (umask 027).
Отредактировать файл /etc/shells и поместить в него имена только для тех исполняемых файлов оболочек, которые установлены в системе. По умолчанию, содержимое файла /etc/shells может быть таким:
/bin/csh
/bin/tcsh
/bin/sh
/bin/bash
Удалить файл (если он существует) /.rhosts.
Удалить содержимое файла /etc/host.equiv.
Отредактировать файл /etc/pam.conf с целью запрета rhosts-аутентификации. Выполняется комментированием всех строк, содержащих подстроку "pam_rhosts_auth.so".
Для ограничения доступа к системным файлам для непривилегированных пользователей, из командной строки выполнить следующие команды:
chown root /etc/mail/aliases
chmod 644 /etc/mail/aliases
chmod 444 /etc/default/login
chmod 750 /etc/security
chmod 000 /usr/bin/at
chmod 500 /usr/bin/rdist
chmod 400 /usr/sbin/snoop
chmod 400 /usr/sbin/sync
chmod 400 /usr/bin/uudecode
chmod 400 /usr/bin/uuencode
В ОС Linux существуют исполняемые файлы, которые запускаются с правами пользователя root. Эти файлы имеют установленный флаг SUID. Определить каким из этих файлов не требуется запуск с административными полномочиями и с помощью сброса флага SUID свести количество таких файлов к минимуму. Контролировать неизменность перечня этих программ.
Обнулить флаг SGID для некоторых исполняемых файлов:
chmod g-s /bin/mail
chmod g-s /usr/bin/write
chmod g-s /bin/netstat
chmod g-s /usr/sbin/nfsstat
chmod g-s /usr/bin/ipcs
chmod g-s /sbin/arp
chmod g-s /bin/dmesg
chmod g-s /sbin/swapon
chmod g-s /usr/bin/wall
На все директории, содержащие системные файлы ОС Linux установить права доступа, запрещающие запись всем пользователям, кроме Владельца (Owner).
Для пользователя установить надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля должны встречаться строчные символы, прописные символы, цифры и специальные символы.
Периодичность смены пароля пользователя – не реже одного раза в 3 месяца, пароля root – не реже одного раза в месяц.
В файле /etc/login.defs установить следующие директивы:
PASS_MAX_DAYS=30 (параметр задает максимальное время использования пароля).
PASS_MIN_DAYS=30 (параметр задает минимальное количество дней между сменами пароля).
PASS_MIN_LEN=6 (устанавливает минимальную длину пароля).
-=СОФТ=-
На ПЭВМ устанавливается только одна ОС. Не устанавливать и не использовать средства разработки и отладки ПО. Избегать попадания в систему программ, позволяющих, пользуясь ошибками ОС, получать привилегии root.
После инсталляции ОС Linux установить все рекомендованные программные обновления и программные обновления, связанные с безопасностью, существующие на момент инсталляции.
Ограничить использование в системе планировщика задач cron и средств пакетной обработки заданий. Для нормального функционирования системы минимально необходимым является разрешение использования планировщика задач cron и средств пакетной обработки заданий только пользователю root. Для этого следует выполнить следующие команды (от имени суперпользователя):
echo root > /etc/cron.allow
echo root > /etc/at.allow
Ограничения при монтировании файловых систем реализуются редактированием файла /etc/fstab:
Установить опцию nosuid при монтировании файловой системы /var.
При инсталляции системы выделить для файловых систем /, /usr, /usr/local, /var разные разделы диска для предотвращения переполнения критичных файловых систем (/, /var) за счет, например, пользовательских данных и обеспечения возможности монтирования файловой системы /usr в режиме "только для чтения".
Ограничить использование пользователями команд su и sudo – предоставления пользователю административных полномочий.
Запустить процедуру регистрации запуска процессов (accounting) выполнением команды /sbin/accton.
В связи с тем, что аварийный дамп оперативной памяти может содержать криптографически опасную информацию, в прикладных программах отключить возможность его создания с помощью функции setrlimit с параметром RLIMIT_CORE=0.
В случае подключения ПЭВМ к общедоступным сетям передачи данных отключить использование JavaScript, VBScript, ActiveX и других программных объектов, загружаемых из сети, в прикладных программах.
Использовать физическое затирание содержимого удаляемых файлов c использованием программ типа wipe.
-=СЕТЬ=-
Отключить все неиспользуемые сетевые протоколы.
Ограничить функциональность демона управления сетевыми соединениями xinetd. Действие заключается в редактировании файла /etc/xinetd.conf и файлов в каталоге /etc/xinetd.d. Как минимум запретить следующие сервисы:
echo
discard
daytime
chargen
finger
nfsd
systat
netstat
tftp
telnet
Если не планируется использовать компьютер в качестве маршрутизатора, необходимо в стартовые файлы поместить команду /sbin/sysctl –w net.ipv4.ip_forward = 0
Запретить прием из внешней сети "широковещательных" (broadcast) пакетов, а также передачу ответов на принятые "широковещательные" пакеты.
Если планируется использовать сервис FTP, то следует создать (отредактировать) файл /etc/ftpusers со списком пользователей, для которых запрещен доступ к серверу по протоколу FTP. Файл имеет текстовый формат и должен содержать по одному имени пользователя в строке. В списке "запрещенных" пользователей, как минимум, должны быть перечислены следующие имена пользователей:
adm
bin
daemon
listen
lp
nobody
noaccess
nobody4
nuucp
root
smtp
sys
uucp
Запретить суперпользователю доступ по ftp, для этого добавить "root" в файл /etc/ftpusers.
Если используется web-сервер надо убедиться, что только "владелец" процесса httpd имеет доступ на запись к протоколам httpd.
-=АУДИТ=-
Удостовериться, что только пользователь root имеет доступ на запись для следующих файлов:
/var/log/authlog
/var/log/syslog
/var/log/messages
/var/log/sulog
/var/log/utmp
/var/log/utmpx
Обеспечить протоколирование неуспешных попыток регистрации в системе в локальном протоколе. Для этого выполнить следующие команды:
touch /var/adm/loginlog
chown root /var/adm/loginlog
chgrp root /var/adm/loginlog
chmod 644 /var/adm/loginlog
Протоколировать попытки использования программ su и sudo. Для этого в файл /etc/syslog.conf добавить запись:
auth.notice /var/log/authlog
или
auth.notice /var/log/authlog, @loghost
Вторая строка аналогична первой, но указывает, что протокол дополнительно передается на сервер сбора протоколов.
Для протоколирования сетевых соединений, контролируемых демоном xinetd (включая дату/время соединения, IP-адрес клиента, установившего соединение и имя сервиса, обслуживающего соединение), в файл /etc/syslog.conf добавить запись:
daemon.notice /var/log/syslog
-=ХАРД=-
Из состава системы должно быть исключено оборудование, которое может создавать угрозу безопасности ОС Linux. Также нельзя использовать нестандартные аппаратные средства, имеющие возможность влиять на функционирование ПЭВМ или ОС Linux.
Отключить в ПЭВМ штатные средства выхода в радиоканал.
Отключить в ПЭВМ использование беспроводных компьютерных мышей и клавиатур.
Ежемесячно проверять систему охлаждения процессорного блока ПЭВМ.
Ежесуточно перезагружать ПЭВМ.
Область виртуальной памяти должна быть организована на отдельном HDD. По окончании работы содержимое виртуальной памяти должно затираться с использованием средств ОС. В случае аварийного завершения работы ПЭВМ, при следующей загрузке необходимо в режиме “single user” очистить область виртуальной памяти программой типа wipe. В случае выхода из строя HDD, на котором находится область виртуальной памяти, криптографические ключи подлежат выводу из действия, а HDD считается не подлежащим ремонту. Этот HDD уничтожается по правилам уничтожения ключевых носителей.
Средствами BIOS исключить возможность работы на ЭВМ, если во время его начальной загрузки не проходят встроенные тесты ЭВМ (POST).
В BIOS исключить возможность загрузки операционной системы, отличной от установленной на HDD: отключить возможность загрузки с гибкого диска, привода CD-ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Не применять ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.
Средствами BIOS исключить возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ защитить паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть отличным от пароля пользователя root для входа в ОС Linux.
Не оставлять без контроля вычислительные средства после ввода ключевой информации. При отходе от ПЭВМ использовать автоматическое включение парольной заставки.
А смысл этой копипасты здесь? Кроме того, в оригинале[link7] (см. стр. 11) звучало так (найди 10 отличий):
Счастливые пользователи компьютеров с ОС Linux передают привет в начало 90ых пользователям ЭВМ с ОС AIX.
Dear unknown,
what services do you recommend to stop?
Thanks.
Carissimo,
Come minimo, è necessario rimuovere avahi-daemon[link8] e vmware.
Inoltre, è necessario disattivare dhclient, se non è necessario.
Poi, guarda qui[link9] per altri dettagli utili[link10].
Impari la lingua russa. Saluti.
首席白痴標記的主題。現在在意大利。
ओह, स्टेग्नोग्राफ़ी
unknown
良好的自我批判
लेकिन आप कर रहे हैं नशेड़ी
سلسلة من العلاقات الدولية
Да нет, это просто хомячки освили translate.google.com и срутся друг с другом в каментах :)
సాఫ్ట్వేర్ అనువాద టాక్సీలు
Теперь pgpru будет включен в поисковые выдачи на большем количестве языков.
이제 파울없이 제재 조치를 사용할 수 있습니다.
דרך לעקוף את מפעילי קופה אחת.
...И закончили упражнение.