FreeBSD Hardening Best Practises
Miroslav Lachman
000.fbsd at quip.cz
Wed May 2 15:05:27 CEST 2007
Marian Hercek wrote:
> Nikto sa nechyta? :-(
Spis jde o to, co ma byt vysledkem teto debaty a jakou formou se ma vest?
Za sebe mohu napriklad k MySQL postnout nasledujici kroky, ktere delam v
zajmu zvyseni bezpecnosti ihned po jejim nainstalovani:
## prihlasit se do MySQL, zalozit noveho uzivatele s root pravy
mysql -u root
USE mysql;
GRANT ALL ON *.* TO jinyroot at localhost IDENTIFIED BY
'somestrongpassword' WITH GRANT OPTION;
GRANT ALL ON *.* TO jinyroot at host.name.tld IDENTIFIED BY
'somestrongpassword' WITH GRANT OPTION;
## smazat puvodniho roota a accounty bez hesla
REVOKE ALL PRIVILEGES, GRANT OPTION FROM root at localhost;
REVOKE ALL PRIVILEGES, GRANT OPTION FROM root at host.name.tld;
DELETE FROM user WHERE User='' OR Password='';
## odstranit databazi test, ktera ma povolen pristup bez hesla
DROP DATABASE test;
DELETE FROM db WHERE Db LIKE 'test%';
FLUSH PRIVILEGES;
Nevim, jestli k tomu mama podavat jeste dalsi vysvetleni, ale ve
strucnosti: Zalozim si vlastniho uzivatele s opravnenim "superuzivatele"
s poradnym heslem. Smazu puvodniho uzivatele root, ktery je ve vychozi
instalaci bez hesla. Smazu ostatni uzivatele bez hesla a databazi test,
do ktere je pristup povolen kazdemu uzivateli.
U lockdown, nebo i vlastniho shellscriptu, kterym jsem (po vzoru
lockdown) menil pristupova prava k souborum jsem zjistil, ze pak nektere
veci nefunguji jak maji - pokud /etc/group, nebo /etc/hosts a dalsi veci
nejsou world readable... takze jsem prava zase vracel zpet.
jinak obecne plati - nastavovat souborum co nejmensi prava pri zachovani
stejne funkcionality - napriklad /root je normalne verejne citelny, to
same i ostatni home adresare - coz neni dobre.
Dale to plati pro ostatni konfiguracni soubory v /etc a /usr/local/etc,
hlavne ty, kde se nastavuji hesla k databazim atd. (napriklad FTP
accounty mam ulozene v MySQL, takze konfigurak FTP daemona obsahuje
heslo k MySQL, proto tento konfigurak ma byt citelny jen uzivatelem, pod
kterym se spousti FTP daemon)
I uzivatele e-mailu mam v MySQL databazi a k te databazi se pak musi
pripojovat Postfix, antispam, pop3 / imap daemon a webove administracni
rozhrani - tam zase plati, za pro kazdeho daemona pouzivam jine
pristupove udaje do databaze. Postfix, imap / pop3 maji prava jen pro
cteni a jen konkretnich tabulek, webove rozhrani pro zapisovani atd. atd...
Mirek
More information about the Users-l
mailing list