Защита на FreeBSD (защитник 1)
Както и всяка друга система FreeBSD също трябва да бъдат защитени от посегателство върху нея. тя
не толкова защитени, колко много хора мислят за него и той може да се съборят и kryaknut,
както и един и същ Windows просто FreeBSD е необичайно и има няколко специалисти, които с
работата си, а дори и повече, които го знаят перфектно, така че колкото повече специалисти
тя се разпада по-големите дупки и руткитове да бъдат отворени и да се използват.
Защита на разделете на два вида:
I) Защита срещу външни атаки
II) Защита от вътрешни атаки
Сега дефинирайте фронта на защита:
I) външно Атака:
1.1) Apache - http.conf + mod_security
1.2) PHP - php.ini + mod_security + разстояние опасни функции + ограниченията за ресурси
1.3) FTP - Разделяне на привилегии на Chroot + + + отделна квота HDD
1.4) Firewall - защитна стена се конфигурира правилно
1.5) Shroot
II) Атака вътре:
2.1) ограниченията за ресурси - /etc/login.conf + /etc/sysctl.conf
2.2) Разделяне на привилегия - структура /etc/sysctl.conf + коригират + папка
2.3) на технологии (Logcheck)
2.4) най / к.с.
III) Общи мерки
3.1) Анализ fstab
3.2) за достъп до сървъра
3.3) DNS - Chroot + noroot
Сега проверете елементи (някои елементи ще бъдат описани накратко, както на принципа на obshy
защита се пресичат с други елементи), както и това, което можете, за да се защитят и лимит:
I) Покрийте външните отвори.
1.1) Apache + виртуални хостове + mod_security
Ще покрие дупките на услугата, за да започнете, трябва да се определят граници
в конфигурационния файл за всеки наш VHost. Добавете следните параметри:
Както знаете, много от влизане с взлом (SQL инжекция, XSS атаки, inklyuding) възниква
Всъщност от коварството на искането за HTTP. Логично е да се предположи, че същите тези
отправя искане би било хубаво да се филтрира. Разтворът съществува под формата на модул
Apache, и той се нарича mod_security. слагам:
След инсталацията - ще изберете. Отворете който конфигурационния виртуален хост
напр 001.admin.hosting.ru, върху които ние вече са експериментирали. Всички стойности
трябва да се въведе между маркерите
За за Apache 1.x zakomentite в httpd.conf:
Този модул - необичайно успешна конфигурация по подразбиране. За да я малко, че може да бъде
добави, тъй като повечето от настройките - конкретно. Основният принцип на подготовка
разгледахме правилата, а останалите могат да се добавят по своему.
1.2) PHP
В допълнение, вижте точка - 2,1
Помислете за най-уязвимото място на хостинг система - изпълними файлове, по-специално,
PHP скриптове. Отворете конфигурация PHP:
Променете следните опции:
Деактивирайте тези характеристики са много важни. Въпреки, че те не са на разположение, когато безопасен режим,
потребителят може да извърши успешна атака, сочещи към файла .htaccess без затруднения:
php_flag защитният режим изключен
1.5) Chroot
Chroot - пясък, разбира се, от една страна, с другата добре - загуба
производителност, екстра допълнително за някои програми
+ Модул конфигурация към него. Вярвам, че компетентен коригират дава същия резултат. но без
проблеми и загуби на ресурси. По принцип Chroot до курорта, когато трябва да се защити
услуга, която не е напълно безопасно като BIND (описано по-долу).
Затвор - ние няма да се помисли за тази ос в рамките на ос-скоро обърка и лошо
документирани, а ако всички VHosts имат за шофиране в затвора има малко nepokazhetsya.
Аз все още обмислят nebudu затвора :)
II) Създаване на гърба на вътрешните защитни мерки.
2.1) ограниченията за ресурси
Често така от основната функция на действие PHP скрипт N примки, едновременно
оценка на някои комплексно действие. В резултат на това - високо натоварване на процесора.
Това е много типична ситуация за хостинг. За да се предотврати такова неумишлено
(И умишлено) атаки, е необходимо да се ограничи на потребителя по отношение на ресурсите. В * BSD за
такива цели има система от потребителски профили. Това означава, че можем да
лесно да ограничи средствата за всеки потребител поотделно.
Open /etc/login.conf и добавете:
Тук имам само основни параметри.
Списък на всички параметри и тяхното описание може да се намери в Наръчника.
Сега нека да преминем да създадат ОС. Open /etc/sysctl.conf и запис на
следното:
3.1) HDD
Нека да направим някои промени в fstab за предотвратяване на лоши действия.
Ние определя къде и какво можете и не можете да направите система.
noexec - тази опция става ясно, че този раздел е забранено да го изпълним
или дори да коригират 777 права на файлове (Знам, че някои от най-защитените сървъра прекъсна
е през / ПТУ :) впоследствие не се препоръчват на администраторите да покрие дупката.
И незабравимо, че / ПТУ може да пише почти всяка услуга в системата)
nosuid - където значението на система игнорира SUID-бита. Потребителят няма да бъде в състояние да направи
#su и издигне до корен, дори и ако той знае корените му парола и е в една група
колело (но трябва да се разбере, че е необходимо juzverej, които се нуждаят #su домашна директория
е / ЮЕсАр, и тези, които трябва да се ограничи директория е / ЮЕсАр / вкъщи)
nodev - да се забрани създаването на \ съществуването в този раздел, специални устройства.
3.2) за достъп
Достъп до сървъра трябва да бъде ограничена. Т.е. премахване на сървъри недостъпни за прост
смъртни и заключване. Освен това, не забравяйте да премахнете всички лични вещи с тях
Claudia следи мишка и т.н. За какво трябва да се разбира, например, ако видя, че
обществен \ физически FreeBSD сървър веднага С любопитство искам да отида в това
и бръкнат по-дълбоко в нея. Но вие казвате, но какво да кажем за администраторската парола на и т.н. след това да слушате по-нататък,
Ако сте забравили паролата си, непознат :), но това се случва след това да направите това:
А) е обвинен в режим на единичен потребител. За да направите това в командния обувка
въведете зареждане -s
В) Поставете планината -u команда / корен дял в режим на четене и запис.
След това използвайте планината -А монтира всичко, което е (т.е. само с определен
в fstab няма опция noauto)
Б) Сега промените администраторската парола. )
Така че хората не отиват cmogli правя без корен парола в потребителски режим, както следва:
Промяна на договорената покупка конзола осигуряват на несигурни. Ако направите това,
FreeBSD ботуши в режим на единичен потребител ще поиска администраторската парола на.
Бъдете внимателни при смяна на това да несигурен. Ако сте забравили паролата си
корен, обувка в режим на единичен потребител може да бъде малко сложно.
Все пак е възможно, но е малко по-трудно.
3.3) DNS
Стик DNS пясък
-ф - UID стойност се дължи на процес, наречен
-т - определя основната директория за демон
Незабравими, че корен nedolzhen да бъде празен, той трябва да съдържа всички файлове
е необходим за нормалната работа на демон. Ако името е съставена така,
връзка библиотека статично и не трябва да се мисли, че той все още трябва корен
го сложи да започнат :) Просто някои съвети за отстраняване на DNS конфигурационния линия
версия на демона те казват, че може да помогне на някой хакер, и т.н. Не мисля, че това е много важно
тя може да подтикне администратор и себе си.