FreeBSD Hardening Best Practises
Marian Hercek
marian.hercek at ucm.sk
Mon Apr 30 08:22:08 CEST 2007
FreeBSD Hardening Best Practises
Na internete mozno najst viacero odporucanych postupov na zabezpecenie
zakladnej instalacie FreeBSD, ako aj postupy na zabezpecenie aplikacii
tretich stran.
Cielom tohto topicu je tieto postupy zjednotit do jednej "prirucky" a pridat
vlastne skusenosti.
Budeme uvazovat styri modelove instalacie FreeBSD:
(I1) webovy server: Apache, PHP, MySQL, phpMyAdmin, FTP;
(I2) mailovy server: MTA (Postfix, ...), webmail (na baze PHP/Perl);
(I3) shell server: SSH, SCP/FTP, Apache, MySQL;
(I4) proxy server/firewall: firewall (PF, ...), Squid, DansGuardian.
Pre kazdu instalaciu budeme uvazovat minimalne 100 sucasnych spojeni vo
vytazenom case.
Postupy na zabezpecenie jednotlivych instalacii FreeBSD by mali obsahovat:
(P1) zabezpecenie samotneho FreeBSD;
(P1a) vyladenie a zabezpecenie jadra FreeBSD pre konkretnu instalaciu;
(P1b) zabezpecenie systemu (suborovy system, logovanie, ...);
(P1c) nastavenie siete a firewallu (pf, ...);
(P2) zabezpecenie aplikacii tretich stran (Apache, PHP, ...).
Na zaciatku by bolo vhodne uviest par vseobecnych rad ako: system ma
obsahovat len nevyhnutne veci; vsade, kde je to len mozne pouzivat pravidlo
najmensich prav; zalohovat, zalohovat, zalohovat alebo logovat, logovat,
logovat.
Na zaciatok hardening-u systemu mozeme skusit utilitu lockdown
(ports/security/lockdown), ktorej jednotlive moznosti mozeme prebrat (napr.
nemoznost rotovat logy). Co vlastne dokaze lockdown zistime tu
http://www.bsdguides.org/guides/freebsd/security/harden.php
Su vitane vase pripomienky.
Marian Hercek
________ Information from NOD32 ________
This message was checked by NOD32 Antivirus System for Linux Mail Servers.
http://www.eset.com
More information about the Users-l
mailing list