FreeBSD Hardening Best Practises

[Dan Lukes]

Miroslav Lachman wrote:
> Za sebe mohu napriklad k MySQL postnout nasledujici kroky, ktere delam v 
> zajmu zvyseni bezpecnosti ihned po jejim nainstalovani:
> ...

	A jeste - uplne zakazat sitovy pristup (--skip-networking). Samozrejme, 
na pocitaci, kde plati, ze neni jinych uzivatelu nez spravcu.

> miera snahy o maximalne zabezpecenie systemu je nepriamo umerna
> schopnostiam a sikovnosti admina.

	Jen do urciteho bodu. Od urcite urovne snahy se totiz ukazuje, ze je 
rozdil mezi "velikosti snahy" a realnym vyslednym zabezpecenim.

	Typickym pripadem jsou "silne snahy o zabezpeceni" projevujici se 
"heslovym fasismem" - uzivatele musi mit dlouha hesla, povinne 
obsahujici pismena, cisla a jeste dalsi jine znakys povinnosti tato 
hesla pomeren casto obmenovat a kontrolou, ze nerotuji stale stejnou 
malou sady totoznych hesel.

	Tato extremni snaha o maximalni zabezpeceni ve sktuecnosti prinasi 
realne nizsi bezpecnost, protoze uzivatele si hesla nutne zacnou psat. 
Casto primo na monitor. Nebo na papirek v prvnim supliku ...

	Zminene schopnosti a sikovnosti admina se tedy projevuji nejen v tom, 
jake ochrany je schopen vymyslet a nasadit, ale take ve schopnosti 
odhadnou, za jakou mez uz nema smysl jit, protoze zisk nedosahuje 
vynalozenych prostredkum nebo je dokonce uz sam zisk zaporny.

> neplati to vzdy plosne (vid napr. banky, kde je maximalna security
> nutna)

	Skoda, ze na tohle tema se tady bavit nemuzeme. Mam nekolik moc 
veselych a soucasne poucnych historek o realne bezpecnosti v podobnych 
institucich. ;-)

						Dan