Отключение лишних служб
Скажите, как в Linux отключить работу лишних служб?
Например мне нужно отключить SSH.
Достаточно ли блокировать ее брандмауэром, или все таки лучше с точки зрения безопасности произвести ее отключение в корне?
Система ASP11.
комментариев: 7 документов: 1 редакций: 0
Удалить всех лишних пользователей и всех стандартных пользователей, которые создаются в ОС Linux во время установки (таких, как "sys", "uucp", "nuucp", и "listen"), кроме пользователя root.
Запретить регистрацию в системе пользователей, имеющих следующие "служебные имена":
daemon
bin
sys
adm
lp
smtp
uucp
nuucp
listen
nobody
noaccess
Действие выполняется путем указания в файле /etc/passwd строки '/bin/false' в поле shell-программы и указания символа 'x' в поле пароля.
Проверить идентификаторы пользователя и группы для всех пользователей, перечисленных в файле /etc/passwd. Убедиться, что не существует пользователей, имеющих идентификатор пользователя 0 и идентификатор группы 0, кроме пользователя root.
В файле /etc/profile установить значения umask=022 (параметр задает маску создания файла по умолчанию).
Для пользователя root установить маску режима создания файлов 077 или 027:
umask 077 (umask 027).
Отредактировать файл /etc/shells и поместить в него имена только для тех исполняемых файлов оболочек, которые установлены в системе. По умолчанию, содержимое файла /etc/shells может быть таким:
/bin/csh
/bin/tcsh
/bin/sh
/bin/bash
Удалить файл (если он существует) /.rhosts.
Удалить содержимое файла /etc/host.equiv.
Отредактировать файл /etc/pam.conf с целью запрета rhosts-аутентификации. Выполняется комментированием всех строк, содержащих подстроку "pam_rhosts_auth.so".
Для ограничения доступа к системным файлам для непривилегированных пользователей, из командной строки выполнить следующие команды:
chown root /etc/mail/aliases
chmod 644 /etc/mail/aliases
chmod 444 /etc/default/login
chmod 750 /etc/security
chmod 000 /usr/bin/at
chmod 500 /usr/bin/rdist
chmod 400 /usr/sbin/snoop
chmod 400 /usr/sbin/sync
chmod 400 /usr/bin/uudecode
chmod 400 /usr/bin/uuencode
В ОС Linux существуют исполняемые файлы, которые запускаются с правами пользователя root. Эти файлы имеют установленный флаг SUID. Определить каким из этих файлов не требуется запуск с административными полномочиями и с помощью сброса флага SUID свести количество таких файлов к минимуму. Контролировать неизменность перечня этих программ.
Обнулить флаг SGID для некоторых исполняемых файлов:
chmod g-s /bin/mail
chmod g-s /usr/bin/write
chmod g-s /bin/netstat
chmod g-s /usr/sbin/nfsstat
chmod g-s /usr/bin/ipcs
chmod g-s /sbin/arp
chmod g-s /bin/dmesg
chmod g-s /sbin/swapon
chmod g-s /usr/bin/wall
На все директории, содержащие системные файлы ОС Linux установить права доступа, запрещающие запись всем пользователям, кроме Владельца (Owner).
Для пользователя установить надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля должны встречаться строчные символы, прописные символы, цифры и специальные символы.
Периодичность смены пароля пользователя – не реже одного раза в 3 месяца, пароля root – не реже одного раза в месяц.
В файле /etc/login.defs установить следующие директивы:
PASS_MAX_DAYS=30 (параметр задает максимальное время использования пароля).
PASS_MIN_DAYS=30 (параметр задает минимальное количество дней между сменами пароля).
PASS_MIN_LEN=6 (устанавливает минимальную длину пароля).
-=СОФТ=-
На ПЭВМ устанавливается только одна ОС. Не устанавливать и не использовать средства разработки и отладки ПО. Избегать попадания в систему программ, позволяющих, пользуясь ошибками ОС, получать привилегии root.
После инсталляции ОС Linux установить все рекомендованные программные обновления и программные обновления, связанные с безопасностью, существующие на момент инсталляции.
Ограничить использование в системе планировщика задач cron и средств пакетной обработки заданий. Для нормального функционирования системы минимально необходимым является разрешение использования планировщика задач cron и средств пакетной обработки заданий только пользователю root. Для этого следует выполнить следующие команды (от имени суперпользователя):
echo root > /etc/cron.allow
echo root > /etc/at.allow
Ограничения при монтировании файловых систем реализуются редактированием файла /etc/fstab:
Установить опцию nosuid при монтировании файловой системы /var.
При инсталляции системы выделить для файловых систем /, /usr, /usr/local, /var разные разделы диска для предотвращения переполнения критичных файловых систем (/, /var) за счет, например, пользовательских данных и обеспечения возможности монтирования файловой системы /usr в режиме "только для чтения".
Ограничить использование пользователями команд su и sudo – предоставления пользователю административных полномочий.
Запустить процедуру регистрации запуска процессов (accounting) выполнением команды /sbin/accton.
В связи с тем, что аварийный дамп оперативной памяти может содержать криптографически опасную информацию, в прикладных программах отключить возможность его создания с помощью функции setrlimit с параметром RLIMIT_CORE=0.
В случае подключения ПЭВМ к общедоступным сетям передачи данных отключить использование JavaScript, VBScript, ActiveX и других программных объектов, загружаемых из сети, в прикладных программах.
Использовать физическое затирание содержимого удаляемых файлов c использованием программ типа wipe.
-=СЕТЬ=-
Отключить все неиспользуемые сетевые протоколы.
Ограничить функциональность демона управления сетевыми соединениями xinetd. Действие заключается в редактировании файла /etc/xinetd.conf и файлов в каталоге /etc/xinetd.d. Как минимум запретить следующие сервисы:
echo
discard
daytime
chargen
finger
nfsd
systat
netstat
tftp
telnet
Если не планируется использовать компьютер в качестве маршрутизатора, необходимо в стартовые файлы поместить команду /sbin/sysctl –w net.ipv4.ip_forward = 0
Запретить прием из внешней сети "широковещательных" (broadcast) пакетов, а также передачу ответов на принятые "широковещательные" пакеты.
Если планируется использовать сервис FTP, то следует создать (отредактировать) файл /etc/ftpusers со списком пользователей, для которых запрещен доступ к серверу по протоколу FTP. Файл имеет текстовый формат и должен содержать по одному имени пользователя в строке. В списке "запрещенных" пользователей, как минимум, должны быть перечислены следующие имена пользователей:
adm
bin
daemon
listen
lp
nobody
noaccess
nobody4
nuucp
root
smtp
sys
uucp
Запретить суперпользователю доступ по ftp, для этого добавить "root" в файл /etc/ftpusers.
Если используется web-сервер надо убедиться, что только "владелец" процесса httpd имеет доступ на запись к протоколам httpd.
-=АУДИТ=-
Удостовериться, что только пользователь root имеет доступ на запись для следующих файлов:
/var/log/authlog
/var/log/syslog
/var/log/messages
/var/log/sulog
/var/log/utmp
/var/log/utmpx
Обеспечить протоколирование неуспешных попыток регистрации в системе в локальном протоколе. Для этого выполнить следующие команды:
touch /var/adm/loginlog
chown root /var/adm/loginlog
chgrp root /var/adm/loginlog
chmod 644 /var/adm/loginlog
Протоколировать попытки использования программ su и sudo. Для этого в файл /etc/syslog.conf добавить запись:
auth.notice /var/log/authlog
или
auth.notice /var/log/authlog, @loghost
Вторая строка аналогична первой, но указывает, что протокол дополнительно передается на сервер сбора протоколов.
Для протоколирования сетевых соединений, контролируемых демоном xinetd (включая дату/время соединения, IP-адрес клиента, установившего соединение и имя сервиса, обслуживающего соединение), в файл /etc/syslog.conf добавить запись:
daemon.notice /var/log/syslog
-=ХАРД=-
Из состава системы должно быть исключено оборудование, которое может создавать угрозу безопасности ОС Linux. Также нельзя использовать нестандартные аппаратные средства, имеющие возможность влиять на функционирование ПЭВМ или ОС Linux.
Отключить в ПЭВМ штатные средства выхода в радиоканал.
Отключить в ПЭВМ использование беспроводных компьютерных мышей и клавиатур.
Ежемесячно проверять систему охлаждения процессорного блока ПЭВМ.
Ежесуточно перезагружать ПЭВМ.
Область виртуальной памяти должна быть организована на отдельном HDD. По окончании работы содержимое виртуальной памяти должно затираться с использованием средств ОС. В случае аварийного завершения работы ПЭВМ, при следующей загрузке необходимо в режиме “single user” очистить область виртуальной памяти программой типа wipe. В случае выхода из строя HDD, на котором находится область виртуальной памяти, криптографические ключи подлежат выводу из действия, а HDD считается не подлежащим ремонту. Этот HDD уничтожается по правилам уничтожения ключевых носителей.
Средствами BIOS исключить возможность работы на ЭВМ, если во время его начальной загрузки не проходят встроенные тесты ЭВМ (POST).
В BIOS исключить возможность загрузки операционной системы, отличной от установленной на HDD: отключить возможность загрузки с гибкого диска, привода CD-ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Не применять ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.
Средствами BIOS исключить возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ защитить паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть отличным от пароля пользователя root для входа в ОС Linux.
Не оставлять без контроля вычислительные средства после ввода ключевой информации. При отходе от ПЭВМ использовать автоматическое включение парольной заставки.
А смысл этой копипасты здесь? Кроме того, в оригинале (см. стр. 11) звучало так (найди 10 отличий):
Счастливые пользователи компьютеров с ОС Linux передают привет в начало 90ых пользователям ЭВМ с ОС AIX.
what services do you recommend to stop?
Thanks.
Carissimo,
Come minimo, è necessario rimuovere avahi-daemon e vmware.
Inoltre, è necessario disattivare dhclient, se non è necessario.
Poi, guarda qui per altri dettagli utili.
Impari la lingua russa. Saluti.
unknown
良好的自我批判
комментариев: 254 документов: 9 редакций: 753
דרך לעקוף את מפעילי קופה אחת.
комментариев: 11558 документов: 1036 редакций: 4118