Éles Linux rendszerek biztonságának fokozása

Titkosítás, biztonság, privát szféra

Werner Puschitz összeállított egy olyan biztonsági útmutatót, amelynek célja, hogy összeszedje az éles körülmények között üzemeltett Linux rendszerek biztonságosabbá tételéhez szükséges alapvető dolgokat.

A tartalomból:* General

* Patching Linux Systems and Limiting Software Packages (RPMs)

* Disabling System Services

* Checking Accounts

* Enabling Password Aging

* Setting Password Restrictions

* Restricting Use of Previous Passwords

* Locking User Accounts After Too Many Login Failures

* Restricting User Access Based on Time and Day

* Restricting Direct Login Access for System and Shared Accounts

* Restricting su Access for System and Shared Accounts

* Restricting System Access from Servers and Networks

* Preventing Accidental Denial of Service

* Checking File Permissions and Ownership

* Securing NFS

* Securing SSH

* Securing Sendmail

* Kernel Tunable Parameters

* Displaying Login Banners

* Miscellaneous

* Security Books

Az útmutató elolvasható itt.

( iron v | 2005. 01. 13., cs – 11:32 )

Micskó Gábor wrote:
> Werner Puschitz összeállított egy olyan biztonsági útmutatót, amelynek
> célja, hogy összeszedje az éles körülmények között üzemeltett Linux
> rendszerek biztonságosabbá tételéhez szükséges alapvető dolgokat.
>
> A tartalomból:
>
> * General
>
> * Patching Linux Systems and Limiting Software Packages (RPMs)

Mar jol indul... Eljen a disztribucio-fuggetlen biztonsagossag...

> Az útmutató elolvasható itt [0].
>
> [0] http://www.puschitz.com/SecuringLinux.shtml

Nos, megneztem az adott oldalt...
Csak nekem szurja a szemem a bal felso sarokban meteres betukkel kiirt ilyen meg
olyan certified engineer (es itt most a kalaposra gondoltam)?

Miert nem lehet egyszeruen megprobalni disztro-fuggetlenul tippeket, tanacsokat
adni???


IroNiQ
p.s.:
a) tudom, minden szentnek maga fele hajlik a keze.
b) tudom, mostanaban divat a kereskedelmi linuxokat favorizalni.
--
Member of Frugalware Developer Team
Web: http://www.ironiq.hu
LinuxCounter: #331532

( Névtelen (nem ellenőrzött) | 2005. 01. 13., cs – 11:50 )

Egyetértek. Én most olvasom át a doksit, de tényleg nagyon általános információkat ír le, pedig sokkal fontosabb lenne megemlíteni hogy ha kernel, és 2.6, akkor -ac, -am fa, -as fa, stb, meg GRSec, Chroot, PAX...

Össze kellene írni egy ilyen Linux/UNIX Security Global howto-t, mint a Securing Linux the ulimate solution című doksit, s azt publikálni.

Ez a cikk megint a hírverésre volt jó, kicsit bikeshed szerű...

Miert zavar? Ha o azt szereti irjon rola. Te meg vagy elolvasod es tanulsz belole, vagy ha nem tetszik hogy van a lapon kalap akkor nem olvasod el.

Ha ugy erzed hogy hianyzik egy disztro fuggetlen biztonsagi osszefoglalo a linux kozossegnek akkor meg irj egyet.

( necrolite | 2005. 01. 13., cs – 11:59 )

Hülye fejjel elkezdtem olvasni én is ezt az "égi mannát". Kissé lejjeb haladva a következő zseniális szörtifájd iq bajnokságra bukkantam:

Add the following line to the /etc/security/time.conf file:

*;*;contractor1|contractor2|contractor3;Wk0800-1700

The first field specifies any service (login, su,...).
The second field specifies any tty.
The third field lists all user names where access should be restricted.
The last field specifies Mon-Fri (Wk) from 8:00am through 6:00pm (0800-1700).

Tény, hogy nem vagyok szörtifájd meg 97 óta linux zseni de egyrészt tudok számolni, (17:00 nekem 5 óra és nem 6) kettő ismerem a 24 órás időbeállítást...

Nem akarom védeni az illetőt, de egyéb írásait is olvastam már. Valóban RH specifikusak az írásai... de ő RH rendszerekkel és Oracle-el foglalkozik. Ez van.

Nekem sem a kedvencem a RH, de több helyen kényszerülök használni. Ha lehet csak ott, ahol tényleg valamiért kötelező.

Nekem már töbször hasznosak voltak az Oracle doksik, amiket készített, és sokszor Debian-on is felhasználtam pár ötletét.

Nézd a jó oldalát, még írhatsz disztrib független doksit. ;-)

Totya

Elolvastam.

Ha jol megnezed a HUP forgalmanak 80 szazaleka a disztro war. Nem ertem miert kell ez. Abban is biztos vagyok, hogy a Linuxos rendszereket uzemelteto rendszergazdak 90 %-a meg a legalapvetobb biztonsagi intezkedeseket sem tartja be. Szoval ha van egy iras a halozaton, trey erdemesnek talalta valamilyen szempontbol itt hirt adni rola es azt most 5 Red Hat rendszergazda elolvasta, 2 pedig meg is csinalta ami abban foglaltatik, akkor miert baj az neked hogy kalap van a dokumentum tetejen. Ha nem jo, vagy nem igaz ami abban foglaltatik akkor javitsd ki, hivd fel ra a figyelmet itt a forumon, valamint a szerzot is ertesitsd rola. Ha szakmailag teljesen rosszak az ott leirtak akkor publikald hogy mi a baj, hogy az 5 RedHat admin ne rontsa el a rendszereit.

necrolite wrote:

>
> Hülye fejjel elkezdtem olvasni én is ezt az "égi mannát". Kissé lejjeb
> haladva a következő zseniális szörtifájd iq bajnokságra bukkantam:
>
> Add the following line to the /etc/security/time.conf file:
>
> *;*;contractor1|contractor2|contractor3;Wk0800-1700
>
> The first field specifies any service (login, su,...).
> The second field specifies any tty.
> The third field lists all user names where access should be restricted.
> The last field specifies Mon-Fri (Wk) from 8:00am through 6:00pm
> (0800-1700).
>
> Tény, hogy nem vagyok szörtifájd meg 97 óta linux zseni de egyrészt tudok
> számolni, (17:00 nekem 5 óra és nem 6) kettő ismerem a 24 órás
> időbeállítást...

Valószínű nem neked írták, hanem a kevésbé hozzáértő embereknek. ;)

Tóth Nándor wrote:

>
> es erre jon mindig a valasz, hogy akkor majd fordit maganak otthon es azt
> huzza le. Ez tipikusan olyan intezkedes, ami csak a rendszeragzda
> lelkivilagabn erositi a biztonsagot.

Attól, hogy otthon fordítja le, attól még nem valószínű, hogy működni is fog,
arról nem is beszélve, hogy gcc nemcsak Linuxon van, illetve C fordító...

Micskó Gábor wrote:

>
> Azert megnezem, hogy ki lesz az aki Oracle szervert grsec-es kernelre tesz.
Soha nem telepítettem méág Oracle-t, így sajnos érdemben tényleg nem tudok ebből
a szempontból hozzászólni, de volt egyálalán szó Oracle-ről a leírásában? Én
nem találtam... (mint ahogy az elején le is írta: ez általános leírás...)

Stefán Tamás wrote:

>
> Elolvastam.
>
> Ha jol megnezed a HUP forgalmanak 80 szazaleka a disztro war. Nem ertem
> miert kell ez. Abban is biztos vagyok, hogy a Linuxos rendszereket
> uzemelteto rendszergazdak 90 %-a meg a legalapvetobb biztonsagi
> intezkedeseket sem tartja be. Szoval ha van egy iras a halozaton, trey
> erdemesnek talalta valamilyen szempontbol itt hirt adni rola es azt most 5
> Red Hat rendszergazda elolvasta, 2 pedig meg is csinalta ami abban
> foglaltatik, akkor miert baj az neked hogy kalap van a dokumentum tetejen.
> Ha nem jo, vagy nem igaz ami abban foglaltatik akkor javitsd ki, hivd fel
> ra a figyelmet itt a forumon, valamint a szerzot is ertesitsd rola. Ha
> szakmailag teljesen rosszak az ott leirtak akkor publikald hogy mi a baj,
> hogy az 5 RedHat admin ne rontsa el a rendszereit.

Nem érted a lényeget: nem azzal van a baj, hogy Redhat, ott merül fel a hiány,
hogy a leírás egy nagy részét CSAK RedHaton tudod úgy beállítani, ahogy ez ott
le van írva.

Nem tartom az irast semmivel rosszabbnak, mint az OpenBSD vagy a NetBSD ``man afterboot''-jat. Szamos olyan dolog van benne leirva, amit egy szervertelepítes utan illik leellenorizni. Az hogy van benne rpm? Vannak benne tevedesek? Naes? A 90%-ka atultetheto mas disztribuciora. Egy trivial typo miatt meg valamit megitelni... Nyilvan o is tudja, hogy a 17:00 ora az nem delutan 6.

En a hoborgoknek azt javaslom, hogy egyszer uljenek le magukban, fejben valasszanak ki egy altaluk erdemesnek itelt temat, azt probaljak meg kidolgozni. Tegyek el az eredmenyt, majd nezzek meg 2 ev mulva. Igerem, hogy jokat lehet majd rajta hahotazni (sajat tapasztalat).

Az oldalon ott van, hogy az irast egy Oracle es Red Hat Certified Professional irta. Nekem ebbol meg az eles kornyezetrol a Red Hat ES-en valo Oracle uzemeltetes jut eszembe, ami egy kicsit mas teszta, mint altalaban egy desktop vagy internetes web / mail szerver telepites / uzemeltetes / biztonsagossa tetel.

(Elore rogzitem, hogy az osszes rendszerem Debian Woody, valamint nehany Sarge.)

Akkor most a Securing Debian Howto sem jo? Az sem disztro fuggetlen.

Egy dologban igazatok van. A dokumentumnak esetleg "Securing Red Hat Linux production systems" cimmel kellett volna megjelennie. De szerintem nincs jelentossege. Adott a doksi, akit erdekel elolvassa, esetleg tanul belole vagy jot mosolyog.

RedHat AS,ES: vannak olyan ingyenes disztrók, amik binárisan kompatibilisek vele (ld. CentOS, WBEL, meg ami nem jut eszembe)

Novel szerver: te nem pályáztál Novell Linux Resource Kit DVD készletért? :) Csak mert azon volt SLES9, amúgy pedig asszem trial formájában letölthetőek

Micskó Gábor wrote:

>
> Az oldalon ott van, hogy az irast egy Oracle es Red Hat Certified
> Professional irta. Nekem ebbol meg az eles kornyezetrol a Red Hat ES-en
> valo Oracle uzemeltetes jut eszembe, ami egy kicsit mas teszta, mint
> altalaban egy desktop vagy internetes web / mail szerver telepites /
> uzemeltetes / biztonsagossa tetel.

Igazad van, érvelés jogos, bár itt a cikkében Red Hat Linux rendszerek minimális
biztonsági beállításairól írt, szóva ahogy már feljebb is írta Stefán Tamás, a
cikk címe elég pontatlan.

congo wrote:

>
> RedHat AS,ES: vannak olyan ingyenes disztrók, amik binárisan kompatibilisek
> vele (ld. CentOS, WBEL, meg ami nem jut eszembe)
>
> Novel szerver: te nem pályáztál Novell Linux Resource Kit DVD készletért?
> :) Csak mert azon volt SLES9, amúgy pedig asszem trial formájában
> letölthetőek
Pályáztam, írták is, hogy már csomagolják, de a mai napig nem érkezett semmi,
majd november végén meg írtak levelet, hogy már biztos örömmel forgatom az
anyagot, meg próbálgatom...
Szóval akkor majdnem eldurrant az agyam, aztán tojtam az egészre :)
Bár kérdem én, ha ennyire körülményes megközelíteni egy rendszert, csak azért,
hogy egy jól működő megfelelő binárist feltegyek, akkor nem éri meg hogy
lemaradjon a gcc, ha ennyire körülményessé is tudja tenni a támadást? :)

( harg | 2005. 01. 13., cs – 12:45 )

Itt [www.gentoo.org] van Gentoo Linux Security Guide ha valakinek az kell.

Felreertesek elkerulese vegett. Semmilyen disztrofuggetlensegi illetve csomagkezelesi problemam nem volt az egy illetve ket sorral feljebbi velemeny (noha lenne de ezzel nem foglalkoztam) Az egyetlen gondom ami van es volt az ilyen emberekkel hogy az elejen ott a plecsni amitol kinyilik minden ertelmes ember zsebeben a bicska. De az ujraolvasas TELJES hianyat mutato trivialis problemak nem szamitanak? Lehet ostobasag de el szoktam az irasaimat olvasni en is tobbszor es megkerem ismerosoket tegyek ezt mielott az erdemileg olvasasra kerul. A masik hogy az iras tartalma egyreszt a spanyolviasz ujrafeltalalasa csak higabban (gyk.: securing linux red hat edition....) masreszt a tipikus amerikai gyikarc es muveltseg megnyilvanulasa. Ami pedig a bsd-k doksijait illeti nem is akarom es nem is fogom osszehasonlitani mert nem is ismerem oket (nem is erdekel). Mivel ez linuxrol szol es ilyen tipusu iras n+1 keriing a neten nem szeretnem es ertelme sincs vele osszehasonlitani. Mar bocsanat de a mosogatoszer a mososzerrel osszehasonlithato csak ertelme nincs.... Szo nincs arrol hogy haszontalan az olvasmany. De igazan gyomorforgato a talalas modja...

Apropo trivial typo... miert gaz ha elfelejtenek alapot epiteni egy haznak? trivialis problema igazan semmi gaz nem is ertem mi a baj vele... Ha ugymond olyan regi az olvasmany akkor plane szegyen hogy trivialis hiba van benne. Ha pedig a kedves iro akkorara tartja magat mint amekkora feneket keritett neki az elejen ne varjon mas megitelest...

Nem hiszem, hogy neked valaszoltam, de... szamtalanszor elofordul velem, hogy megirok valamit, haromszor elolvasom, kiteszem a webre, majd utana ismet elolvasva trivialis helyesirasi hibakat veszek eszre benne. Mindezt ugy, hogy elotte ketszer is elolvastam, es elsiklottam felette.

>Ha pedig a kedves iro akkorara tartja magat mint amekkora feneket keritett neki az elejen ne varjon mas megitelest...

valld be nyugodtan, hogy neked igazabol ez a bajod :-)

totya wrote:
> Nem akarom védeni az illetőt, de egyéb írásait is olvastam már. Valóban RH
> specifikusak az írásai... de ő RH rendszerekkel és Oracle-el foglalkozik.
> Ez van.
>
> Nekem sem a kedvencem a RH, de több helyen kényszerülök használni. Ha lehet
> csak ott, ahol tényleg valamiért kötelező.
>
> Nekem már töbször hasznosak voltak az Oracle doksik, amiket készített, és
> sokszor Debian-on is felhasználtam pár ötletét.
>
> Nézd a jó oldalát, még írhatsz disztrib független doksit. ;-)

Alighanem rosszul fejeztem ki magam...

Nem az a bajom, hogy meg van irva. A tartalma is lehet hasznos valaki szamara
(csak vegigfutottam, nem volt idom pontosan vegigolvasni), de legalabb ugy
cimezte volna meg, ahogy azt norbert79 is megfogalmazta. Egyeb irasait nem
ismerem. Tehat az alapotlet nem rossz, de sajnos nem a legjobb formaba ontotte.


IroNiQ
--
Member of Frugalware Developer Team
Web: http://www.ironiq.hu
LinuxCounter: #331532

Stefán Tamás wrote:
> Miert zavar? Ha o azt szereti irjon rola. Te meg vagy elolvasod es tanulsz
> belole, vagy ha nem tetszik hogy van a lapon kalap akkor nem olvasod el.

Az alapotlet nem rossz, hogy hogy lehet biztonsagosabba tenni a linux-alapu eles
szervereket. Viszont a koritessel van neminemu gondom, amiket kifejtettem mar...

> Ha ugy erzed hogy hianyzik egy disztro fuggetlen biztonsagi osszefoglalo a
> linux kozossegnek akkor meg irj egyet.

Igen, ugy erzem. De mivel nekem is szuksegem lenne ilyesmire, igy sajnos
nemhinnem hogy en lennek a megfelelo ember ra...


IroNiQ
--
Member of Frugalware Developer Team
Web: http://www.ironiq.hu
LinuxCounter: #331532

vili wrote:
> ha gcc -t nem is, mas c forditot vszinu. en legalabbis nem sok olyan unix
> -szal talalkoztam, ahol nem volt fenn..
Speciel Solarishoz legjobb tudomásom szerint csak pénzért van C fordító
(Sunos), így ha nem fordítasz semmit, gcc-t sem teszel rá, akkor elég
nehezen lesz rajta bármi.

A te Unixaidra pedig biztos azok adminjai tettek cc-t, mert valami GNU
cuccot használnak...

Krisztian VASAS wrote:

> Miert nem lehet egyszeruen megprobalni disztro-fuggetlenul tippeket,
> tanacsokat
> adni???
>
> IroNiQ

iron bazzeg te aztan jol tudsz langot szitani. sajnos ez az ami oly'
jellemzo a linuxosok nagy reszere: ha van vmi useful leiras/tipp/stb. de
typo van benne vagy egyszeruen csak nem a kedvenc disztrodra irtak,
maris sux es lamer a szerzo, etc....

!!!

Bra!

jo hat persze hogy nem. de most arrol van szo hogy egyatalan biztonsagosabb lesz a rendszered ha nincsen fent c- fordito.

nahmost akkor atirjak az explot perlre vagy olyan nyelvre ami van fent a gepen es akkor ugyanugy b*szhatod

a lenyeg a lenyeg sztem nem lesz biztonsagosabb egy rendszer ettol hogy nincsen fent rajta akarmien fordito