Златокрылец Ярослав СергеевичГруппа ПО-99аE-mail: discipler@ukrtop.comТема магистерской работы: |
Руководитель: доцент, к.т.н Губенко Наталья Евгеньевна
Выпускная работа магистра | Библиотека | Биография |
Индивидуальное задание | Фотогалерея | Отчет о поиске |
Работая системным администратором и занимаясь вопросами информационной безопасности в рамках своей магистерской работы начал интересоваться вопросами настройки Linux-сервера с целью повышения его защиты. Причем защиты от атак, как из внешней сети так и из внутренней. В результате некоторого поиска и общения в сети был собран этот материал. Указать авторов не представляется возможным, но материал используется не в коммерческих, а в учебно-информационных целях. Отмечу также, что все эти рекомендации были использованы при настройке рабочего сервера под управлением FreeBSD 4.9 и что их можно использовать для всех Linux-систем с небольшими вариациями, связанными с особенностью реализации той или иной версии.
Всегда устанавливайте на BIOS пароль для запрета изменения установок и запрещайте загрузку с дискеты. Это заблокирует попытку загрузить систему со специального загрузочного диска и защитит вас от людей, пытающихся изменить настройки BIOS: возможность загрузки с дискеты или загрузка сервера без запроса пароля.
Добавьте в файл /etc/lilo.conf три параметра: time-out, restricted и password. Эти опции указывают на необходимость ввода пароля, если в процессе загрузки LILO будут указаны такие опции загрузки, как "linux single". Удалите из системы всех пользователей и все группы, которые не используются: например, lp, sync, shutdown, halt, news, uucp, operator, games,
gopher и т.д. Для удаления пользователя используйте команду:
Прежде чем выбирать пароль, выполните следующие рекомендации.
Длина пароля: после установки Linux минимально возможная длина пароля
по умолчанию - 5 символов. Этого недостаточно, должно быть 8.
Отредактируйте файл login.defs (vi /etc/login.defs) и измените следующую
строку: Включите возможность использования теневых [shadow] паролей. Для включения поддержки теневых паролей в вашей системе можно использовать утилиту /usr/sbin/authconfig. Если хотите конвертировать существующие пароли и группы в теневые, то используйте команды pwconv, grpconv соответственно.
Учетная запись root - наиболее привилегированная в Unix. Когда администратор забывает выйти из системы, то система может автоматически закрыть консоль после заданного периода неактивности. Для того чтобы этого добиться, нужно выставить значение в секундах в специальной переменной TMOUT. Отредактируйте файл vi /etc/profile, добавив в него следующую строку: На вашем сервере отключите консольный доступ обычных пользователей к
таким программам, как shutdown, reboot и halt. Чтобы сделать это, выполните команду: Чтобы избавить себя от лишних волнений, отключите и деинсталлируйте все
сервисы, которые вы не используете. Просмотрите файл /etc/inetd.conf и
отключите ненужные сетевые сервисы, закомментировав их (добавив # в начало строки), и пошлите демону inetd сигнал SIGHUP для того, чтобы изменения вступили в силу. Для этого выполните следующее: Используя TCP_WRAPPERS, можно сделать сервер более защищенным от
вторжения. Лучшая политика - запретить доступ к серверу всем хостам,
поместив в файл /etc/hosts.deny строку "ALL: ALL@ALL, PARANOID" и
поместить список хостов, которым вы разрешаете доступ к вашему серверу, в
/etc/hosts.allow. TCP_WRAPPERS контролируется из двух файлов, и поиск в
них прекращается при первом совпадении. Не показывайте issue-файл вашей системы при удаленном подключении. Для
этого можно изменить опции запуска telnet в файле /etc/inetd.conf. Строка в /etc/inetd.conf Файл /etc/host.conf содержит настройки для библиотеки разрешения имен
(механизм преобразования имен узлов сети в ip-адреса и обратно).
Отредактируйте файл host.conf (vi /etc/host.conf) и добавьте следующие строки: Вы должны установить атрибут "i" у файла /etc/services для предотвращения
неавторизованного удаления или добавления сервисов. Используйте команду: Файл /etc/securetty разрешает вам выбирать, какие TTY-устройства пользователь root будет использовать для входа в систему. Отредактируйте
файл /etc/securetty для отключения тех tty, которые вам не нужны (символ # в
начале строки).
Команда su (Substitute User) предоставляет вам возможность становиться
другими существующими пользователями системы. Если вы хотите, чтобы
никто не мог получить права пользователя root или хотите ограничить
использование команды su для определенных пользователей, то добавьте две
следующие строки в начале файла конфигурации su в каталоге /etc/pam.d/. Bash хранит до 500 введенных ранее команд в файле ~/.bash_ history, упрощая повторное использование команд. Каждый пользователь, который имеет в системе учетную запись, имеет и этот файл в домашнем каталоге. Bash может хранить меньшее число команд, чем указано выше, и удалять их при выходе пользователя из системы. Чтобы сделать это, закомментируйте следующую строку в файле /etc/inittab: Зафиксируйте права доступа для скриптов, которые ответственны за запуск и остановку всех процессов, необходимых для работы в процессе загрузки: По умолчанию, когда вы входите в систему, вам сообщают название
дистрибутива Linux, версию, версию ядра и имя сервера. Кракерам
достаточно и такой информации о сервере. Лучше оставить пользователю
только приглашение "Login:" и все. Постоянные пользователи имеют возможность запускать программы с правами root, если у них выставлен бит SUID. Системный администратор должен минимизировать использование таких программ (SUTD/SGID) и отключить те программы, которые не нужны. После выполнения всего вышесказанного системный администратор может
рассчитывать на то, что он настроил основной уровень безопасности системы.
Некоторые из перечисленных задач по настройке системы представляют
собой непрерывный процесс.
Шаг1
Отредактируйте файл lilo.conf (vi /etc/lilo.conf) и добавьте или измените три опции:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
time-out=00 # измените эту строку на 00
prompt
Default=linux
restricted # добавьте эту строку
password=
image=/boot/vmlinuz-2.2.14-12
label=linux
initrd=/boot/initrd-2.2.14-12.img
root=/dev/hda6
read-only
Шаг 2
Файл /etc/lilo.conf должен быть доступен только пользователю root, так как он
содержит незашифрованный пароль:
[root@dios]# chmod 600 /etc/lilo.conf
ШагЗ
Чтобы изменения вступили в силу, выполните команду:
[root@ dios]# /sbin/lilo -v
Шаг 4
Еще одной мерой по усилению безопасности может стать установка
атрибута "неизменяемости" (immutable - "i") файла /etc/lilo.conf при
помощи команды chattr. Для этого воспользуйтесь командой:
[root@dios]# chattr +i /etc/lilo.conf
Это предотвращает любые изменения (случайные и не только) в файле
lilo.conf.
Отключите все специальные учетные записи
[root@dios]# userdel lp
Для удаления группы:
[root@dios]# groupdel lp
Выбирайте правильный пароль
PASS_MIN_LEN 5
на
PASS_MIN_LEN 8
Файл login.defs - конфигурационный файл для программы login.
Включите поддержку теневых паролей
Учетная запись root'a
TMOUT-3600
Значение, указанное в переменной TMOUT в секундах, - это один час (60*60=3600). Если указать эту строку в /etc/profile, то консоль любого пользователя системы автоматически закроется после часа отсутствия активности. В файле -/.bashrc вы можете установить эту переменную для каждого пользователя индивидуально. Чтобы изменения вступили в силу, необходимо выйти из системы и войти в нее снова.
Отключите консольный (console-equivalent) доступ для обычных пользователей
[root@dios]# rm -f/etc/security/console.apps/
Отключите и деинсталлируйте все неиспользуемые сервисы
Шаг1
Смените права доступа к файлу /etc/inetd.conf на 600, чтобы читать и писать в
него мог только root.
[root@dios]# chmod 600 /etc/inetd.conf
Шаг 2
Убедитесь, что владельцем файла/etc/inetd.conf является root.
ШагЗ
Отредактируйте inetd.conf (vi /etc/inetd.conf) и отключите те сервисы, которые
вы не используете (ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3,
finger, auth и т.д.). Отключение ненужных сервисов снижает уровень риска
взлома системы.
Шаг 4
Пошлите HUP сигнал демону inetd
[root@dios]# killall -HUP inetd
Шаг 5
Сделайте файл /etc/inetd.conf недоступным, используя команду chattr, чтобы
никто не мог модифицировать этот файл. Выполните команду:
[root@dios]# chattr +i /etc/inetd.conf
Это предотвратит любые изменения файла inetd.conf. Только один человек может снять атрибут - это суперпользователь root. Для модификации файла нужно снять immutable-флаг. Это делается следующей командой:
[root@ dios]# chattr -i /etc/inetd.conf
TCP_WRAPPERS
Шаг 1
Отредактируйте файл hosts.deny (vi /etc/hosts.deny) и добавьте такие строки:
# Отказать в доступе всем
ALL: ALL@ALL, PARANOID
Имеется в виду, что все сервисы и хосты блокируются, если им не разрешен доступ в hosts.allow
Шаг 2
Отредактируйте файл hosts.al-low (vi /etc/hosts.allow) и добавьте в него,
например, следующую строку:
ftp:202.54.15.99 foo.com
Клиентской машине с ip-адресом 202.54.15.99 и именем foo.com разрешен
доступ к серверу через службу ftp.
ШагЗ
tcpdchk - программа проверки конфигурации tcpd wrapper. Она
просматривает конфигурацию tcp wrapper и сообщает обо всех
потенциальных и реальных проблемах, которые сможет найти. По окончании настройки запустите программу tcpdchk:
[root@dios]# tcpdchk
Не давайте системе показывать issue-файл
telnet stream tcp nowait root /usr/sbin/ tcpd in.telnetd
будет выглядеть так:
telnet stream tcp nowait root /usr/sbin/ tcpd in.telnetd -h
Добавление флага -h в конце заставляет демон выводить приглашение для
входа в систему, не показывая никакой системной информации. Кроме того, я
рекомендую использовать, вместо telnet, sshd.
Изменения в файле /etc/host.conf
#Просматривать имена хостов сперва через DNS, потом в файле /etc/hosts,
order bind,hosts
#Мы имеем машины с несколькими ip-адресами.
multi on
#Проверка ip-адресов на спуфинг.
nospoof on
Защита файла /etc/services
[root@dios]# chattr +i /etc/services
Запрещение для root входа с разных консолей
Блокирование получения прав root при помощи команды su
Шаг1
Отредактируйте файл su (vi /etc/pam.d/su) и добавьте следующие две строки в
начале файла:
auth sufficient /lib/security/pam_rootok. so debug
auth required /lib/security/Pam_wheel.so group^wheel
Вторая строка подразумевает, что только пользователи группы wheel могут получить права root при помощи su. Вы можете добавить пользователей в группу wheel - и только эти пользователи смогут получать через su права суперпользователя.
Ведение логов командной оболочки
Шаг1
Строки HISTFILESIZE и HISTSIZE в файле /etc/profile определяют размер
файла .bash_history для всех пользователей системы. Я настоятельно
рекомендую установить значение HISTFILESIZE и HISTSIZE не более 30.
Отредактируйте файл profile (vi /etc/profile) и измените строки на:
HISTFILESIZE-30
HISTSIZE=30
Это позволит файлу .bash_history хранить не более 30 команд.
Шаг 2
Администратор может добавить в файл /etc/skel/.bash_logout строку rm -f
$HOME/.bash_history, которая будет удалять файл .bash_history каждый раз,
когда пользователь будет выходить из системы. Отредактируйте файл .bash_!ogout (vi /etc/skel/.bash_logout) и добавьте следующую строку:
rm -f $HOME/.bash_history
Отключите команду перезагрузки системы с клавиатуры (Ctrl+Alt+Del)
ca::ctrlaltdel:/sbin/shutdown -t3 -mow
Для того чтобы изменения вступили в силу, выполните команду:
[root@dios]# /sbin/init q
Зафиксируйте права на скрипты в каталоге /etc/re.d/init.d
[root@dios]# chmod -R 700 /etc/rc.d/ init.d/*
Эта команда предоставляет возможность читать, писать и исполнять скрипты только пользователю root.
Сокрытие вашей системной информации
Шаг1
Отредактируйте файл /etc/re.d/rc.local и поставьте "#" перед следующими строками:
#This will overwrite /etc/issue at every boot. So, make any changes you
#want to make to /etc/issue here or you will lose them when you reboot.
#echo""> /etc/issue
#echo "$R" "/etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" " /etc/issue
#
#cp -f/etc/issue /etc/issue.net
#echo "/etc/issue
Шаг 2
Удалите также следующие файлы: issue.net и issue в каталоге /etc:
[root@dios]# пп -f /etc/issue
[root@dios]# rm -f/etc/issue.net
Отключите неиспользуемые программы с битами STJID/SGID
Шаг1
Чтобы найти программы с владельцем root и установленным битом V,
воспользуйтесь командой:
[root@dios]# find / -type f \( -perm -04000 -о -perm -02000 \) \-exec Is -Ig {} \;
Для отключения у выбранных программ бита suid выполните:
[root@dios]# chmod a-s [имя программы]
Выпускная работа магистра
Библиотека
Биография
Индивидуальное задание
Фотогалерея
Отчет о поиске