Freebsd véd a túlkapásokat a vandálok és pogányok)
Védelme FreeBSD (védő 1)
Mint minden más FreeBSD rendszerben is meg kell védeni a túlkapásokat rá. ő
nem annyira védett, hogy hány ember gondol, és ez is lebontják, és kryaknut,
valamint ugyanazt a Windows csak FreeBSD ritka és kevés szakemberek, akik a
munkáját, és még ki tudja, hogy tökéletesen, így a több szakember
megtöri a nagyobb lyukakat, és a rootkitek kell nyitni és használni.
Védelme szakadék két csoportra oszthatók:
I) Védő külső támadásokkal szemben
II) elleni védelem belső támadásokkal
Most határozzuk meg a védelem előtt:
I) külsőleg támadás:
1.1) Apache - http.conf + mod_security
1.2) PHP - php.ini + mod_security + ki veszélyes jellemzői + erõforráskorlátozás
1.3) FTP - elkülönítése jogosultságokat a chroot + + + külön kvóta HDD
1.4) tűzfal - tűzfal megfelelően van konfigurálva
1.5) Shroot
II) támadás belül:
2.1) erõforráskorlátozás - /etc/login.conf + /etc/sysctl.conf
2.2) elkülönítése jogosultság - /etc/sysctl.conf + chmod + mappaszerkezetben
2.3) lógiai (logcheck)
2.4) felső / ps
III) általános intézkedések
3.1) Elemzés fstab
3.2) a hozzáférést a szerverhez
3.3) DNS - chroot + noroot
Most megy át a terméket (egyes ismertetjük röviden, mint az elve obshy
védelem keresztezik egyéb tételek), valamint, hogy mit tud védeni és korlát:
I) Cover külső lyukak.
1.1) Apache + virtuális állomás + mod_security
Ki kell terjednie a lyukak a szolgáltatás elindításához, meg kell, hogy meghatározzák,
a konfigurációs fájlban az egyes mi vhosthoz. Adjuk hozzá a következő paraméterekkel:
Mint tudja, sok a betörés (SQL Injection, XSS támadások, inklyuding) fordul
valójában a ravasz a HTTP kérés. Logikus feltételezni, hogy ugyanezek
kéri, hogy jó lenne kiszűrni. A megoldás formájában létezik egy modul
Apache, és ez az úgynevezett mod_security. Magyarán:
A telepítés után - fog beállítani. Nyitott minden olyan config virtuális host
pl 001.admin.hosting.ru, amely felett már kísérletezett. Minden érték
kell bevezetni a címkék között
Mert az Apache 1.x zakomentite a httpd.conf-ban:
Ez a modul - szokatlanul sikeres alapértelmezett beállításokat. Ahhoz, hogy az ő kis amely lehet
add, mivel a legtöbb beállítás - speciális. Az általános elv az előkészítés
megnéztük a szabályokat, és a többit hozzá lehet adni a saját.
1.2) PHP
Ezen kívül, lásd a - 2.1
Tekintsük a legsebezhetőbb pontot tárhely rendszer - futtatható fájlok, különösen,
PHP szkripteket. Nyissa meg a konfiguráció PHP:
Módosítsa a következő beállításokat:
Ezeket a funkciókat nagyon fontos. Annak ellenére, hogy nem állnak rendelkezésre, ha a safe mode,
a felhasználó elvégezheti a sikeres támadás, rámutatva, hogy a .htaccess fájlt nehézség nélkül:
php_flag safe_mode off
1.5) Chroot
Chroot - sandbox természetesen egyrészt a más jól - veszteség
teljesítmény, extra extra egyes programok
+ Modul konfiguráció rá. Úgy vélem, az illetékes chmod azonos eredményt ad. anélkül azonban, hogy
problémákat és az erőforrás-veszteséget. Alapvetően chrootolni a központban, amikor meg kell védeni
a szolgáltatás, amely nem teljesen biztonságos, mint a BIND (az alábbiakban ismertetett).
Jail - nem vesszük figyelembe ezt a tengelyt a tengely inkább összezavarják és rossz
dokumentált, és ha minden VHosts kell vezetni, hogy a börtönben kevés nepokazhetsya.
Még mindig úgy nebudu börtönben :)
II) Állítsa be a hátsó belső védelmi intézkedéseket.
2.1) erõforráskorlátozás
Gyakran úgy mint az alapeljárás PHP script funkciót N körök, egyidejűleg
értékelő néhány bonyolult művelet. Ennek eredményeként - a magas CPU terhelés.
Ez egy nagyon tipikus helyzet a tárhely. Hogy megelőzzék az ilyen véletlen
(És szándékosan) támadások, szükséges, hogy korlátozza a felhasználó szempontjából a források. A * BSD
ilyen célokra van egy rendszer a felhasználói profilokat. Ez azt jelenti, hogy
egyszerűen korlátozza a források minden egyes felhasználóhoz.
Nyílt /etc/login.conf és adjunk hozzá:
Itt már csak az alapvető paramétereket.
Összes paramétert és ezek leírása megtalálható a könyvben.
Most térjünk rá, hogy hozzanak létre operációs rendszer. Nyílt /etc/sysctl.conf és írj
következő:
3.1) HDD
Tegyük néhány változtatást az fstab hogy megakadályozzák a rossz intézkedéseket.
Mi határozza meg, hogy hol és mit lehet és mit nem a rendszer.
noexec - ez az opció egyértelművé teszi, hogy ez a szakasz tilos futtatni
vagy akár chmod 777 fájl jogok (Tudom, hogy néhány, a védett szerver tört
ez a / tmp :) utólag tájékoztatta a rendszergazdák, hogy fedezze a lyukat.
És felejthetetlen, hogy a / tmp írhat szinte minden szolgáltatás a rendszerben)
nosuid - ahol a képletben rendszer figyelmen kívül hagyja suid-bit. A felhasználó nem lesz képes megtenni
#su, és emelkedik a gyökér, akkor is, ha tudja a root jelszót, és egy csoportban
kerék (de meg kell érteni, hogy szükség van juzverej, akiknek szükségük van #su home könyvtár
/ usr, és azok, akiknek szükségük van, hogy korlátozza a könyvtár a / usr / home)
nodev - megtiltják a létrehozása \ létezését ebben a szakaszban, speciális eszközökkel.
3.2) Access
Hozzáférést a szerverhez kell korlátozni. Ie távolítsa szerverek megközelíthetetlen egyszerű
halandók és zár. Ezen kívül ne felejtsük el, hogy távolítsa el az összes személyes tárgyait velük
Claudia monitorok, stb Mert mit kell érteni, például, ha látom
public \ fizikailag FreeBSD szerver I azonnal egy furcsa akar belemenni
és mélyebbre ássa bele. De azt mondja, de mi a helyzet a root jelszót, stb majd hallgatni tovább,
Ha elfelejtette jelszavát idegen :) de ez történik, akkor tegye a következőket:
A) töltöttünk egy egyfelhasználós módban. Ehhez az indító jelnél
írja boot -s
B) Helyezze a mount -u parancs / root partíció írható-olvasható módban.
Ezután mount -a tartó minden, ami (vagyis csak meghatározott
fstab fájlban nincs noauto opció)
B) Most következik a root jelszót. )
Tehát az emberek nem mennek cmogli csinálni anélkül, hogy root jelszót egyfelhasználós módban, az alábbiak szerint:
Változás a konzol sor biztosítsa a biztonságos. Ha ezt teszi,
A FreeBSD elindul egyfelhasználós módba kérni fogja a root jelszót.
Legyen óvatos, amikor ezt az bizonytalan. Ha elfelejtette a jelszavát
gyökér, az egyfelhasználós mód használata is részt vesz.
Még mindig lehetséges, de egy kicsit nehezebb.
3.3) DNS
Stick DNS sandbox
-u - UID érték tulajdonítható egy folyamat nevű
-t - megadja a gyökér könyvtárat a démon
Felejthetetlen, hogy gyökér nedolzhen üresnek, tartalmaznia kell az összes fájlt
szükségesek a normális munka egy démon. Ha a named össze, így
link library statikusan és nem kell gondolni, hogy ő még mindig gyökér
õt indítani :) Csak néhány tanácsot, hogy távolítsa el a DNS-config vonal
változata a démon azt mondják ez segíthet a támadó, stb Nem hiszem, hogy ez kritikus
akkor kérje a rendszergazda és én.