id: Гость   вход   регистрация
текущее время 23:49 06/04/2020
Автор темы: Вий, тема открыта 24/12/2006 18:54 Печать
https://www.pgpru.com/Форум/UnixLike/ОтключениеЛишнихСлужб
создать
просмотр
ссылки

Отключение лишних служб


Скажите, как в Linux отключить работу лишних служб?
Например мне нужно отключить SSH.
Достаточно ли блокировать ее брандмауэром, или все таки лучше с точки зрения безопасности произвести ее отключение в корне?
Система ASP11.


 
На страницу: 1, 2 След.
Комментарии
— nehadaim (30/05/2012 21:44)   профиль/связь   <#>
комментариев: 7   документов: 1   редакций: 0
-=ПОЛЬЗОВАТЕЛИ=-

Удалить всех лишних пользователей и всех стандартных пользователей, которые создаются в ОС Linux во время установки (таких, как "sys", "uucp", "nuucp", и "listen"), кроме пользователя root.

Запретить регистрацию в системе пользователей, имеющих следующие "служебные имена":

daemon
bin
sys
adm
lp
smtp
uucp
nuucp
listen
nobody
noaccess

Действие выполняется путем указания в файле /etc/passwd строки '/bin/false' в поле shell-программы и указания символа 'x' в поле пароля.

Проверить идентификаторы пользователя и группы для всех пользователей, перечисленных в файле /etc/passwd. Убедиться, что не существует пользователей, имеющих идентификатор пользователя 0 и идентификатор группы 0, кроме пользователя root.

В файле /etc/profile установить значения umask=022 (параметр задает маску создания файла по умолчанию).

Для пользователя root установить маску режима создания файлов 077 или 027:

umask 077 (umask 027).

Отредактировать файл /etc/shells и поместить в него имена только для тех исполняемых файлов оболочек, которые установлены в системе. По умолчанию, содержимое файла /etc/shells может быть таким:

/bin/csh
/bin/tcsh
/bin/sh
/bin/bash

Удалить файл (если он существует) /.rhosts.

Удалить содержимое файла /etc/host.equiv.

Отредактировать файл /etc/pam.conf с целью запрета rhosts-аутентификации. Выполняется комментированием всех строк, содержащих подстроку "pam_rhosts_auth.so".

Для ограничения доступа к системным файлам для непривилегированных пользователей, из командной строки выполнить следующие команды:

chown root /etc/mail/aliases
chmod 644 /etc/mail/aliases
chmod 444 /etc/default/login
chmod 750 /etc/security
chmod 000 /usr/bin/at
chmod 500 /usr/bin/rdist
chmod 400 /usr/sbin/snoop
chmod 400 /usr/sbin/sync
chmod 400 /usr/bin/uudecode
chmod 400 /usr/bin/uuencode

В ОС Linux существуют исполняемые файлы, которые запускаются с правами пользователя root. Эти файлы имеют установленный флаг SUID. Определить каким из этих файлов не требуется запуск с административными полномочиями и с помощью сброса флага SUID свести количество таких файлов к минимуму. Контролировать неизменность перечня этих программ.

Обнулить флаг SGID для некоторых исполняемых файлов:

chmod g-s /bin/mail
chmod g-s /usr/bin/write
chmod g-s /bin/netstat
chmod g-s /usr/sbin/nfsstat
chmod g-s /usr/bin/ipcs
chmod g-s /sbin/arp
chmod g-s /bin/dmesg
chmod g-s /sbin/swapon
chmod g-s /usr/bin/wall

На все директории, содержащие системные файлы ОС Linux установить права доступа, запрещающие запись всем пользователям, кроме Владельца (Owner).

Для пользователя установить надежный пароль входа в систему, удовлетворяющий следующим требованиям: длина пароля не менее 6 символов, среди символов пароля должны встречаться строчные символы, прописные символы, цифры и специальные символы.

Периодичность смены пароля пользователя – не реже одного раза в 3 месяца, пароля root – не реже одного раза в месяц.

В файле /etc/login.defs установить следующие директивы:

PASS_MAX_DAYS=30 (параметр задает максимальное время использования пароля).
PASS_MIN_DAYS=30 (параметр задает минимальное количество дней между сменами пароля).
PASS_MIN_LEN=6 (устанавливает минимальную длину пароля).

-=СОФТ=-

На ПЭВМ устанавливается только одна ОС. Не устанавливать и не использовать средства разработки и отладки ПО. Избегать попадания в систему программ, позволяющих, пользуясь ошибками ОС, получать привилегии root.

После инсталляции ОС Linux установить все рекомендованные программные обновления и программные обновления, связанные с безопасностью, существующие на момент инсталляции.

Ограничить использование в системе планировщика задач cron и средств пакетной обработки заданий. Для нормального функционирования системы минимально необходимым является разрешение использования планировщика задач cron и средств пакетной обработки заданий только пользователю root. Для этого следует выполнить следующие команды (от имени суперпользователя):

echo root > /etc/cron.allow
echo root > /etc/at.allow

Ограничения при монтировании файловых систем реализуются редактированием файла /etc/fstab:

Установить опцию nosuid при монтировании файловой системы /var.

При инсталляции системы выделить для файловых систем /, /usr, /usr/local, /var разные разделы диска для предотвращения переполнения критичных файловых систем (/, /var) за счет, например, пользовательских данных и обеспечения возможности монтирования файловой системы /usr в режиме "только для чтения".

Ограничить использование пользователями команд su и sudo – предоставления пользователю административных полномочий.

Запустить процедуру регистрации запуска процессов (accounting) выполнением команды /sbin/accton.

В связи с тем, что аварийный дамп оперативной памяти может содержать криптографически опасную информацию, в прикладных программах отключить возможность его создания с помощью функции setrlimit с параметром RLIMIT_CORE=0.

В случае подключения ПЭВМ к общедоступным сетям передачи данных отключить использование JavaScript, VBScript, ActiveX и других программных объектов, загружаемых из сети, в прикладных программах.

Использовать физическое затирание содержимого удаляемых файлов c использованием программ типа wipe.

-=СЕТЬ=-

Отключить все неиспользуемые сетевые протоколы.

Ограничить функциональность демона управления сетевыми соединениями xinetd. Действие заключается в редактировании файла /etc/xinetd.conf и файлов в каталоге /etc/xinetd.d. Как минимум запретить следующие сервисы:

echo
discard
daytime
chargen
finger
nfsd
systat
netstat
tftp
telnet

Если не планируется использовать компьютер в качестве маршрутизатора, необходимо в стартовые файлы поместить команду /sbin/sysctl –w net.ipv4.ip_forward = 0

Запретить прием из внешней сети "широковещательных" (broadcast) пакетов, а также передачу ответов на принятые "широковещательные" пакеты.

Если планируется использовать сервис FTP, то следует создать (отредактировать) файл /etc/ftpusers со списком пользователей, для которых запрещен доступ к серверу по протоколу FTP. Файл имеет текстовый формат и должен содержать по одному имени пользователя в строке. В списке "запрещенных" пользователей, как минимум, должны быть перечислены следующие имена пользователей:

adm
bin
daemon
listen
lp
nobody
noaccess
nobody4
nuucp
root
smtp
sys
uucp

Запретить суперпользователю доступ по ftp, для этого добавить "root" в файл /etc/ftpusers.

Если используется web-сервер надо убедиться, что только "владелец" процесса httpd имеет доступ на запись к протоколам httpd.

-=АУДИТ=-

Удостовериться, что только пользователь root имеет доступ на запись для следующих файлов:

/var/log/authlog
/var/log/syslog
/var/log/messages
/var/log/sulog
/var/log/utmp
/var/log/utmpx

Обеспечить протоколирование неуспешных попыток регистрации в системе в локальном протоколе. Для этого выполнить следующие команды:

touch /var/adm/loginlog
chown root /var/adm/loginlog
chgrp root /var/adm/loginlog
chmod 644 /var/adm/loginlog

Протоколировать попытки использования программ su и sudo. Для этого в файл /etc/syslog.conf добавить запись:

auth.notice /var/log/authlog
или
auth.notice /var/log/authlog, @loghost

Вторая строка аналогична первой, но указывает, что протокол дополнительно передается на сервер сбора протоколов.

Для протоколирования сетевых соединений, контролируемых демоном xinetd (включая дату/время соединения, IP-адрес клиента, установившего соединение и имя сервиса, обслуживающего соединение), в файл /etc/syslog.conf добавить запись:

daemon.notice /var/log/syslog

-=ХАРД=-

Из состава системы должно быть исключено оборудование, которое может создавать угрозу безопасности ОС Linux. Также нельзя использовать нестандартные аппаратные средства, имеющие возможность влиять на функционирование ПЭВМ или ОС Linux.

Отключить в ПЭВМ штатные средства выхода в радиоканал.

Отключить в ПЭВМ использование беспроводных компьютерных мышей и клавиатур.

Ежемесячно проверять систему охлаждения процессорного блока ПЭВМ.

Ежесуточно перезагружать ПЭВМ.

Область виртуальной памяти должна быть организована на отдельном HDD. По окончании работы содержимое виртуальной памяти должно затираться с использованием средств ОС. В случае аварийного завершения работы ПЭВМ, при следующей загрузке необходимо в режиме “single user” очистить область виртуальной памяти программой типа wipe. В случае выхода из строя HDD, на котором находится область виртуальной памяти, криптографические ключи подлежат выводу из действия, а HDD считается не подлежащим ремонту. Этот HDD уничтожается по правилам уничтожения ключевых носителей.

Средствами BIOS исключить возможность работы на ЭВМ, если во время его начальной загрузки не проходят встроенные тесты ЭВМ (POST).

В BIOS исключить возможность загрузки операционной системы, отличной от установленной на HDD: отключить возможность загрузки с гибкого диска, привода CD-ROM и прочие нестандартные виды загрузки ОС, включая сетевую загрузку. Не применять ПЭВМ с BIOS, исключающим возможность отключения сетевой загрузки ОС.

Средствами BIOS исключить возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ защитить паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть отличным от пароля пользователя root для входа в ОС Linux.

Не оставлять без контроля вычислительные средства после ввода ключевой информации. При отходе от ПЭВМ использовать автоматическое включение парольной заставки.
— Гость (30/05/2012 22:43)   <#>

А смысл этой копипасты здесь? Кроме того, в fileоригинале (см. стр. 11) звучало так (найди 10 отличий):

Средствами BIOS должна быть исключена возможность отключения пользователями ISA-устройств и PCI-устройств. Для исключения этой возможности вход в BIOS ЭВМ должен быть защищен паролем, к которому предъявляются те же требования, что и к паролю пользователя root. Пароль для входа в BIOS должен быть известен только пользователю root и быть отличным от пароля пользователя root для входа в ОС AIX 5/6.

Счастливые пользователи компьютеров с ОС Linux передают привет в начало 90ых пользователям ЭВМ с ОС AIX.
— Гость (05/12/2012 00:05)   <#>
Dear unknown,
what services do you recommend to stop?
Thanks.

— Гость (05/12/2012 05:58)   <#>

Carissimo,
Come minimo, è necessario rimuovere avahi-daemon e vmware.
Inoltre, è necessario disattivare dhclient, se non è necessario.
Poi, guarda qui per altri dettagli utili.
Impari la lingua russa. Saluti.
— Гость (05/12/2012 18:39)   <#>
首席白痴標記的主題。現在在意大利。
— Гость (05/12/2012 22:42)   <#>
ओह, स्टेग्नोग्राफ़ी
— Гость (05/12/2012 22:50)   <#>
אורח יקר, ללמוד את השפה הרוסיה ראשון, ואז לשאול.
unknown
— Гость (05/12/2012 23:02)   <#>

首席白痴標記的主題。現在在意大利。
良好的自我批判
— Гость (05/12/2012 23:10)   <#>
लेकिन आप कर रहे हैं नशेड़ी
— Гость (05/12/2012 23:22)   <#>
سلسلة من العلاقات الدولية
— Гость (06/12/2012 00:46)   <#>
سلسلة من العلاقات الدولية
Да нет, это просто хомячки освили translate.google.com и срутся друг с другом в каментах :)
— Гость (06/12/2012 10:19)   <#>
సాఫ్ట్వేర్ అనువాద టాక్సీలు
— Eridan (06/12/2012 11:19)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Теперь pgpru будет включен в поисковые выдачи на большем количестве языков.
— Гость (06/12/2012 15:04)   <#>
이제 파울없이 제재 조치를 사용할 수 있습니다.
דרך לעקוף את מפעילי קופה אחת.
— SATtva (06/12/2012 15:08)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
...И закончили упражнение.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3