— serzh (25/12/2006 04:32)   
Если она не нужна, то я бы отключал полностью.

— unknown (25/12/2006 08:58)   
Обязательно отключите ВСЕ лишние службы.

При запуске netstat -pan --inet у Вас должно быть пусто для значения 0.0.0.0.

Посмотрите свой уровень запуска в /etc/inittab: # The default runlevel.

Зайдите в каталоги /etc/rc[default runlevel]d
и замените симлинки с опции S[номер сервиса][название сервиса]
на K[номер сервиса][название сервиса].

Посмотрите также что у Вас запускается в /etc/rcS.d

и в /etc/inetd.conf

Изучите назначение всех запускаемых сервисов. Проделайте все операции по их отключению вручную из консоли. Забудьте про использование "удобных и дружественных" графических утилит из KDE, Gnome и им подобных.

Перепишите стартовые скрипты для запуска X-сервера с опцией --nolisten-tcp.

Отключите демон печати и заупскайте его при необходимости вручную. Разберитесь во всех его настройках, запрещающих удалённое подключение или подключение от постороннего пользователя.

После потраченного времени убедитесь, насколько дырява система, установленная по умолчанию и насколько тщетны все Ваши попытки её защитить (потому что всё равно найдётся 1024 и 1 способ их обойти).

— spinore (25/12/2006 15:57)   
Правда говоря, ssh – это единственная, кажись, служба, подключить которую предлагают в умолчальной установке OpenBSD. Для netbsd по умолчанию запущен только sendmail. Я его отключил :)

— unknown (25/12/2006 17:53)   
Про OpenBSD речи не идёт – он ведь и отличается тем, что "Secure by default"?

— spinore (27/12/2006 19:41)   


По кр. мере они стремятся к этому.... :)

— SATtva (28/12/2006 15:56)   
Ещё можно зайти с другой стороны:
http://www.linuxfromscratch.org

— spinore (31/12/2006 16:51)   

http://www.linuxfromscratch.org

Для этого есть Gentoo Linux, где и были воплощены все такие мечты

— dolboyob (15/02/2012 12:55, исправлен 15/02/2012 13:21)   

Обязательно отключите ВСЕ лишние службы

unknown если не затруднит не могли бы Вы на досуге отметить для меня лишние демоны
p.s. машинка голая и выделена под relay то есть cups и bluetooth точно не понадобятся
а sudo и network-manager точно понадобятся :)
но назначение некоторых иных демонов для меня зело велика тайна есть :()

uname -a Linux 2.6.32-5-amd64 #1 SMP Mon Jan 16 16:22:28 UTC 2012 x86_64 GNU/Linux

ls /etc/rc2.d S14portmap S15nfs-common S17sudo S17binfmt-support S17fancontrol S17rsyslog S18cron S18loadcpufreq S18acpid S18dbus S18tor S18anacron S18exim4 S18atd S18kerneloops S19cpufrequtils S19network-manager S19avahi-daemon S19bluetooth S20saned S20cups S20gdm3 S21bootlogs S22stop-bootlogd S22rc.local S22rmnologin

Отключение сервисов происходит исправлением символических ссылок в каталогах /etc/rc4.d и аналогичных

я так понимаю что это при default runlevel = 4 но у меня он равен 2 значит в /etc/rc[3-5].d мне править ничего не надо?

ls /etc/rcS.d S01mountkernfs.sh S02udev S03mountdevsubfs.sh S04bootlogd S05keyboard-setup S06hdparm S06hostname.sh S06hwclockfirst.sh S07checkroot.sh S08hwclock.sh S08ifupdown-clean S08module-init-tools S08mtab.sh S09checkfs.sh S10ifupdown S10mountall.sh S11mountall-bootclean.sh S12mountoverflowtmp S13networking S13pppd-dns S13procps S13udev-mtab S13urandom S13x11-common S14portmap S15nfs-common S16mountnfs.sh S17mountnfs-bootclean.sh S18kbd S19console-setup S20alsa-utils S20bootmisc.sh S20fuse S20lm-sensors S21stop-bootlogd-single

Отключите все ненужное, особенно то, что имеет Foreign Address 0.0.0.0:*

но все кроме tor'a да?

netstat -pan --inet Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1034/portmap tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1783/cupsd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1651/exim4 tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 1415/tor tcp 0 0 127.0.0.1:9051 0.0.0.0:* LISTEN 1415/tor tcp 0 0 0.0.0.0:55678 0.0.0.0:* LISTEN 1046/rpc.statd tcp 0 0 0.0.0.0:9030 0.0.0.0:* LISTEN 1415/tor tcp 0 0 0.0.0.0:9001 0.0.0.0:* LISTEN 1415/tor tcp 0 0 192.168.1.99:53425 85.223.49.156:9001 ESTABLISHED 1415/tor tcp 0 0 192.168.1.99:48562 213.239.216.222:443 ESTABLISHED 1415/tor tcp 0 0 192.168.1.99:42255 188.138.104.154:9001 ESTABLISHED 1415/tor udp 0 0 192.168.1.99:43183 80.254.111.254:53 ESTABLISHED 1415/tor udp 0 0 0.0.0.0:68 0.0.0.0:* 1697/dhclient udp 0 0 0.0.0.0:43594 0.0.0.0:* 1046/rpc.statd udp 0 0 0.0.0.0:49227 0.0.0.0:* 1681/avahi-daemon: udp 0 0 0.0.0.0:5353 0.0.0.0:* 1681/avahi-daemon: udp 0 0 0.0.0.0:111 0.0.0.0:* 1034/portmap udp 0 0 0.0.0.0:631 0.0.0.0:* 1783/cupsd udp 0 0 192.168.1.99:56956 83.221.202.254:53 ESTABLISHED 1415/tor udp 0 0 0.0.0.0:798 0.0.0.0:* 1046/rpc.statd

Посмотрите также что у Вас запускается ... и в /etc/inetd.conf

но у меня нет такого файла

.

у меня в /etc/X11/xinit/xinitrc
. /etc/X11/Xsession

а в /etc/X11/xinit/xserverrc
exec /usr/bin/X -nolisten tcp "$@"

это правильно?

— unknown (15/02/2012 14:31, исправлен 15/02/2012 14:34)   

Найдите, какой командой искать принадлежность файлов к пакету и как смотреть описание пакета в вашем пакетном менеджере и это перестанет быть тайной.

Не надо. Раз вы туда всё равно не грузитесь.

тогда зачем там иксы вообще?

Если не знаете, что такое портмап — то он вам не нужен, остальное скорее всего тоже. Exim (или его аналоги) при локальной доставке должен работать и без запуска слушающего демона.

Кроме тора, ничего у вас сеть слушать не должно и это можно на такой машинке не просто отключить, а вообще снести под ноль. А на будущее, не ставить изначально.

P.S. Недавно думал, не закрыть ли этот раздел форума? А вместо него открыть другой — про Win и прочие альтернативные системы.

— dolboyob (15/02/2012 18:50)   

зачем там иксы вообще?

для серфинга в tor'е

не закрыть ли этот раздел форума? А вместо него открыть другой — про Win

[а меж строк кагбэ негодование] imho лучше добавить раздел 'маздай' [с вашего позволения добавлю опросик?]

— unknown (15/02/2012 20:37)   
Разгребать форум в любом случае бессмысленно, просто всвязи с наступлением локального виндовскапца, пометить раздел как [Архив] и закрыть для создания новых тем (и продолжения старых тоже). Всё это (продолжать) обсуждать в общих ветках.

зачем там иксы вообще?

для серфинга в tor'е

Теперь понял. Просто думал, что

машинка голая и выделена под relay

означает сервер или роутер.

— Гость (05/04/2012 12:33)   

в связи с наступлением локального виндовскапца

unknown, а никто больше "умных" вопросов про то, как сделать безопасным и анонимным Windows, не задает?!
Я раньше задавал, пока несколько лет назад не послушал Гуру, не снес винду и не начал осваивать никсы :)
P.S. Просто соскочив с винды, я особого внимания не обращал на наличие вендовопросов уже. Поэтому и спрашиваю.

— unknown (05/04/2012 12:43)   
Проблема в том, что некому дать умные ответы на такие вопросы. А самих виндоспецифичных вопросов стало меньше, хотя и не исчезли совсем.

— nehadaim (30/05/2012 21:44)   
-=ПОЛЬЗОВАТЕЛИ=-

Удалить всех лишних пользователей и всех стандартных пользователей, которые создаются в ОС Linux во время установки (таких, как "sys", "uucp", "nuucp", и "listen"), кроме пользователя root.

Запретить регистрацию в системе пользователей, имеющих следующие "служебные имена":

daemon
bin
sys
adm
lp
smtp
uucp
nuucp
listen
nobody
noaccess

Действие выполняется путем указания в файле /etc/passwd строки '/bin/false' в поле shell-программы и указания символа 'x' в поле пароля.

Проверить идентификаторы пользователя и группы для всех пользователей, перечисленных в файле /etc/passwd. Убедиться, что не существует пользователей, имеющих идентификатор пользователя 0 и идентификатор группы 0, кроме пользователя root.

В файле /etc/profile установить значения umask=022 (параметр задает маску создания файла по умолчанию).

Для пользователя root установить маску режима создания файлов 077 или 027:

umask 077 (umask 027).

Отредактировать файл /etc/shells и поместить в него имена только для тех исполняемых файлов оболочек, которые установлены в системе. По умолчанию, содержимое файла /etc/shells может быть таким:

/bin/csh
/bin/tcsh
/bin/sh
/bin/bash

Удалить файл (если он существует) /.rhosts.

Удалить содержимое файла /etc/host.equiv.

Отредактировать файл /etc/pam.conf с целью запрета rhosts-аутентификации. Выполняется комментированием всех строк, содержащих подстроку "pam_rhosts_auth.so".

Для ограничения доступа к системным файлам для непривилегированных пользователей, из командной строки выполнить следующие команды:

chown root /etc/mail/aliases
chmod 644 /etc/mail/aliases
chmod 444 /etc/default/login
chmod 750 /etc/security
chmod 000 /usr/bin/at
chmod 500 /usr/bin/rdist
chmod 400 /usr/sbin/snoop
chmod 400 /usr/sbin/sync
chmod 400 /usr/bin/uudecode
chmod 400 /usr/bin/uuencode

В ОС Linux существуют исполняемые файлы, которые запускаются с правами пользователя root. Эти файлы имеют установленный флаг SUID. Определить каким из этих файлов не требуется запуск с административными полномочиями и с помощью сброса флага SUID свести количество таких файлов к минимуму. Контролировать неизменность перечня этих программ.

Обнулить флаг SGID для некоторых исполняемых файлов:

chmod g-s /bin/mail
chmod g-s /usr/bin/write
chmod g-s /bin/netstat
chmod g-s /usr/sbin/nfsstat
chmod g-s /usr/bin/ipcs
chmod g-s /sbin/arp
chmod g-s /bin/dmesg
chmod g-s /sbin/swapon
chmod g-s /usr/bin/wall

На все директории, содержащие системные файлы ОС Linux установить права доступа, запрещающие запись всем пользователям, кроме Владельца (Owner).

Для пользователя установить надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля должны встречаться строчные символы, прописные символы, цифры и специальные символы.

Периодичность смены пароля пользователя – не реже одного раза в 3 месяца, пароля root – не реже одного раза в месяц.

В файле /etc/login.defs установить следующие директивы:

PASS_MAX_DAYS=30 (параметр задает максимальное время использования пароля).
PASS_MIN_DAYS=30 (параметр задает минимальное количество дней между сменами пароля).
PASS_MIN_LEN=6 (устанавливает минимальную длину пароля).

-=СОФТ=-

На ПЭВМ устанавливается только одна ОС. Не устанавливать и не использовать средства разработки и отладки ПО. Избегать попадания в систему программ, позволяющих, пользуясь ошибками ОС, получать привилегии root.

После инсталляции ОС Linux установить все рекомендованные программные обновления и программные обновления, связанные с безопасностью, существующие на момент инсталляции.

Ограничить использование в системе планировщика задач cron и средств пакетной обработки заданий. Для нормального функционирования системы минимально необходимым является разрешение использования планировщика задач cron и средств пакетной обработки заданий только пользователю root. Для этого следует выполнить следующие команды (от имени суперпользователя):

echo root > /etc/cron.allow
echo root > /etc/at.allow

Ограничения при монтировании файловых систем реализуются редактированием файла /etc/fstab:

Установить опцию nosuid при монтировании файловой системы /var.

При инсталляции системы выделить для файловых систем /, /usr, /usr/local, /var разные разделы диска для предотвращения переполнения критичных файловых систем (/, /var) за счет, например, пользовательских данных и обеспечения возможности монтирования файловой системы /usr в режиме "только для чтения".

Ограничить использование пользователями команд su и sudo – предоставления пользователю административных полномочий.

Запустить процедуру регистрации запуска процессов (accounting) выполнением команды /sbin/accton.

В связи с тем, что аварийный дамп оперативной памяти может содержать криптографически опасную информацию, в прикладных программах отключить возможность его создания с помощью функции setrlimit с параметром RLIMIT_CORE=0.

В случае подключения ПЭВМ к общедоступным сетям передачи данных отключить использование JavaScript, VBScript, ActiveX и других программных объектов, загружаемых из сети, в прикладных программах.

Использовать физическое затирание содержимого удаляемых файлов c использованием программ типа wipe.

-=СЕТЬ=-

Отключить все неиспользуемые сетевые протоколы.

Ограничить функциональность демона управления сетевыми соединениями xinetd. Действие заключается в редактировании файла /etc/xinetd.conf и файлов в каталоге /etc/xinetd.d. Как минимум запретить следующие сервисы:

echo
discard
daytime
chargen
finger
nfsd
systat
netstat
tftp
telnet

Если не планируется использовать компьютер в качестве маршрутизатора, необходимо в стартовые файлы поместить команду /sbin/sysctl –w net.ipv4.ip_forward = 0

Запретить прием из внешней сети "широковещательных" (broadcast) пакетов, а также передачу ответов на принятые "широковещательные" пакеты.

Если планируется использовать сервис FTP, то следует создать (отредактировать) файл /etc/ftpusers со списком пользователей, для которых запрещен доступ к серверу по протоколу FTP. Файл имеет текстовый формат и должен содержать по одному имени пользователя в строке. В списке "запрещенных" пользователей, как минимум, должны быть перечислены следующие имена пользователей:

adm
bin
daemon
listen
lp
nobody
noaccess
nobody4
nuucp
root
smtp
sys
uucp

Запретить суперпользователю доступ по ftp, для этого добавить "root" в файл /etc/ftpusers.

Если используется web-сервер надо убедиться, что только "владелец" процесса httpd имеет доступ на запись к протоколам httpd.

-=АУДИТ=-

Удостовериться, что только пользователь root имеет доступ на запись для следующих файлов:

/var/log/authlog
/var/log/syslog
/var/log/messages
/var/log/sulog
/var/log/utmp
/var/log/utmpx

Обеспечить протоколирование неуспешных попыток регистрации в системе в локальном протоколе. Для этого выполнить следующие команды:

touch /var/adm/loginlog
chown root /var/adm/loginlog
chgrp root /var/adm/loginlog
chmod 644 /var/adm/loginlog

Протоколировать попытки использования программ su и sudo. Для этого в файл /etc/syslog.conf добавить запись:

auth.notice /var/log/authlog
или
auth.notice /var/log/authlog, @loghost

Вторая строка аналогична первой, но указывает, что протокол дополнительно передается на сервер сбора протоколов.

Для протоколирования сетевых соединений, контролируемых демоном xinetd (включая дату/время соединения, IP-адрес клиента, установившего соединение и имя сервиса, обслуживающего соединение), в файл /etc/syslog.conf добавить запись:

daemon.notice /var/log/syslog

-=ХАРД=-

Из состава системы должно быть исключено оборудование, которое может создавать угрозу безопасности ОС Linux. Также нельзя использовать нестандартные аппаратные средства, имеющие возможность влиять на функционирование ПЭВМ или ОС Linux.

Отключить в ПЭВМ штатные средства выхода в радиоканал.

Отключить в ПЭВМ использование беспроводных компьютерных мышей и клавиатур.

Ежемесячно проверять систему охлаждения процессорного блока ПЭВМ.

Ежесуточно перезагружать ПЭВМ.

Область виртуальной памяти должна быть организована на отдельном HDD. По окончании работы содержимое виртуальной памяти должно затираться с использованием средств ОС. В случае аварийного завершения работы ПЭВМ, при следующей загрузке необходимо в режиме “single user” очистить область виртуальной памяти программой типа wipe. В случае выхода из строя HDD, на котором находится область виртуальной памяти, криптографические ключи подлежат выводу из действия, а HDD считается не подлежащим ремонту. Этот HDD уничтожается по правилам уничтожения ключевых носителей.

Средствами BIOS исключить возможность работы на ЭВМ, если во время его начальной загрузки не проходят встроенные тесты ЭВМ (POST).

В BIOS исключить возможность загрузки операционной системы, отличной от установленной на HDD: отключить возможность загрузки с гибкого диска, привода CD-ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Не применять ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.

Средствами BIOS исключить возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ защитить паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть отличным от пароля пользователя root для входа в ОС Linux.

Не оставлять без контроля вычислительные средства после ввода ключевой информации. При отходе от ПЭВМ использовать автоматическое включение парольной заставки.

— Гость (30/05/2012 22:43)   

А смысл этой копипасты здесь? Кроме того, в оригинале^[link7] (см. стр. 11) звучало так (найди 10 отличий):

Средствами BIOS должна быть исключена возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ должен быть защищен паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть известен только пользователю root и быть отличным от пароля пользователя root для входа в ОС AIX 5/6.

Счастливые пользователи компьютеров с ОС Linux передают привет в начало 90ых пользователям ЭВМ с ОС AIX.

— Гость (05/12/2012 00:05)   
Dear unknown,
what services do you recommend to stop?
Thanks.

netstat -pan --inet Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN 1872/vmware-authdla tcp 0 0 192.168.1.33:48873 2.23.147.51:443 ESTABLISHED 2220/vmplayer udp 0 0 0.0.0.0:68 0.0.0.0:* 1791/dhclient udp 0 0 0.0.0.0:5353 0.0.0.0:* 1739/avahi-daemon: udp 0 0 0.0.0.0:46197 0.0.0.0:* 1739/avahi-daemon: raw 0 0 0.0.0.0:1 0.0.0.0:* 7 1831/vmnet-natd

— Гость (05/12/2012 05:58)   

Carissimo,
Come minimo, è necessario rimuovere avahi-daemon^[link8] e vmware.
Inoltre, è necessario disattivare dhclient, se non è necessario.
Poi, guarda qui^[link9] per altri dettagli utili^[link10].
Impari la lingua russa. Saluti.

— Гость (05/12/2012 18:39)   
首席白痴標記的主題。現在在意大利。

— Гость (05/12/2012 22:42)   
ओह, स्टेग्नोग्राफ़ी

— Гость (05/12/2012 23:02)   

首席白痴標記的主題。現在在意大利。

良好的自我批判

— Гость (05/12/2012 23:10)   
लेकिन आप कर रहे हैं नशेड़ी

— Гость (05/12/2012 23:22)   
سلسلة من العلاقات الدولية

— Гость (06/12/2012 00:46)   

سلسلة من العلاقات الدولية

Да нет, это просто хомячки освили translate.google.com и срутся друг с другом в каментах :)

— Гость (06/12/2012 10:19)   
సాఫ్ట్వేర్ అనువాద టాక్సీలు

— Гость (06/12/2012 15:04)   
이제 파울없이 제재 조치를 사용할 수 있습니다.
דרך לעקוף את מפעילי קופה אחת.

— SATtva (06/12/2012 15:08)   
...И закончили упражнение.