FreeBSD Hardening Best Practises

Miroslav Lachman 000.fbsd at quip.cz
Wed May 2 15:05:27 CEST 2007


Marian Hercek wrote:

> Nikto sa nechyta? :-(

Spis jde o to, co ma byt vysledkem teto debaty a jakou formou se ma vest?

Za sebe mohu napriklad k MySQL postnout nasledujici kroky, ktere delam v 
zajmu zvyseni bezpecnosti ihned po jejim nainstalovani:

## prihlasit se do MySQL, zalozit noveho uzivatele s root pravy

mysql -u root
USE mysql;
GRANT ALL ON *.* TO jinyroot at localhost IDENTIFIED BY 
'somestrongpassword' WITH GRANT OPTION;
GRANT ALL ON *.* TO jinyroot at host.name.tld IDENTIFIED BY 
'somestrongpassword' WITH GRANT OPTION;

## smazat puvodniho roota a accounty bez hesla

REVOKE ALL PRIVILEGES, GRANT OPTION FROM root at localhost;
REVOKE ALL PRIVILEGES, GRANT OPTION FROM root at host.name.tld;
DELETE FROM user WHERE User='' OR Password='';

## odstranit databazi test, ktera ma povolen pristup bez hesla

DROP DATABASE test;
DELETE FROM db WHERE Db LIKE 'test%';

FLUSH PRIVILEGES;


Nevim, jestli k tomu mama podavat jeste dalsi vysvetleni, ale ve 
strucnosti: Zalozim si vlastniho uzivatele s opravnenim "superuzivatele" 
s poradnym heslem. Smazu puvodniho uzivatele root, ktery je ve vychozi 
instalaci bez hesla. Smazu ostatni uzivatele bez hesla a databazi test, 
do ktere je pristup povolen kazdemu uzivateli.


U lockdown, nebo i vlastniho shellscriptu, kterym jsem (po vzoru 
lockdown) menil pristupova prava k souborum jsem zjistil, ze pak nektere 
veci nefunguji jak maji - pokud /etc/group, nebo /etc/hosts a dalsi veci 
nejsou world readable... takze jsem prava zase vracel zpet.

jinak obecne plati - nastavovat souborum co nejmensi prava pri zachovani 
stejne funkcionality - napriklad /root je normalne verejne citelny, to 
same i ostatni home adresare - coz neni dobre.
Dale to plati pro ostatni konfiguracni soubory v /etc a /usr/local/etc, 
hlavne ty, kde se nastavuji hesla k databazim atd. (napriklad FTP 
accounty mam ulozene v MySQL, takze konfigurak FTP daemona obsahuje 
heslo k MySQL, proto tento konfigurak ma byt citelny jen uzivatelem, pod 
kterym se spousti FTP daemon)

I uzivatele e-mailu mam v MySQL databazi a k te databazi se pak musi 
pripojovat Postfix, antispam, pop3 / imap daemon a webove administracni 
rozhrani - tam zase plati, za pro kazdeho daemona pouzivam jine 
pristupove udaje do databaze. Postfix, imap / pop3 maji prava jen pro 
cteni a jen konkretnich tabulek, webove rozhrani pro zapisovani atd. atd...

Mirek



More information about the Users-l mailing list