- •Министерство Образования и Науки Украины
- •Вступление
- •Список используемых терминов и обозначений
- •Информация и информационные отношения. Субъекты информационных отношений, их безопасность
- •Определение требований к защищенности информации
- •Комплексные меры по защите информации Принцип «слабейшего звена»
- •Экономическая целесообразность защиты
- •Категоризация информации
- •Комплекс мер защиты
- •Часть іі. Практика Объект
- •Физическая защита
- •Организационная защита
- •Реализация политики безопасности
- •2. Реализация
- •3.3. Доступ к Интернету
- •3.3.1 Разрешенные службы
- •Программная защита
- •Безопасная настройка FreeBsd
- •1. Инсталяция:
- •2. Настройка
- •3. Пользователи.
- •4. Сообщение дня
- •6. Rc.Conf
- •8. Sysctl.Conf
- •9. Fstab
- •10. CvSup
- •11. Cron Jobs
- •12. Kernel Changes (изменения в ядре)
- •13. Права доступа к файлам.
- •14. Сетевой Протокол Времени (Network Time Protocol).
- •15. Tcp Wrappers
- •16. Console Access (доступ к консоли).
- •17. Bash Shell
- •18. Chflags
- •19. Зачистка.
- •Атрибуты файла и файловой системы
- •Способы защиты от флуда и dDoSатак. Черные дыры.
- •Защита очереди сокета от syn атак.
- •Редиректы (Перенаправления)
- •Настройка стека ip в системах unix на оптимальную производительность:
- •Другие средства защиты
- •Во FreeBsd существует еще множество средств защиты. Я не в силах рассмотреть их все, так что на этом придется закончить.
- •Надо только добавить, что необходимо также настроить аппаратные фареволы, которые стоят на точках выхода в Интернет и корпоративную сеть.
- •Литература:
6. Rc.Conf
[user@server /dir]#vi /etc/rc.conf
inetd_enable="NO" # выключить inetd
syslogd_enable="YES" # Конечно мы хотим вести регистрацию событий. Если вы планируете настроить
icmp_drop_redirect="YES" # Отключаем прием и отправку переадресовующих ICMP пакетов.
icmp_log_redirect="YES" # Регистрировать переадресовующие ICMP пакеты в журнальном файле
clear_tmp_enable="YES" # Очищать директорию /tmp при загрузке.
portmap_enable="NO" # Если не используется NFS
icmp_bmcastecho="NO" # Предотвращает springboarding и smurf атаки, запрещая серверу отвечать
# на широковещательные ping-пакеты.
fsck_y_enable="YES" # При ошибках файловой системы на этапе загрузки утилита fsck будет
# запущена с флагом -y (man fsck)
update_motd="NO" #Не обновлять файл с сообщением дня /etc/motd
tcp_drop_synfin="YES" # Отбрасывать synfin пакеты.
log_in_vain=1 # Позволяем записывать все попытки подключения
# к закрытым портам сервера.
sshd_enable="YES" # Это позволит сделать удаленный доступ к серверу более защищенным.
Сохраняем и выходим из vi.
ZZ
7. login.conf & auth.conf Алгоритм md5 использующийся для шифрования паролей
будет заменен на Blowfish алгоритм, который еще не взломан. Надежный алгоритм криптования необходим. Надежное криптование паролей это тоже часть
безопасности. Как было сказано на встрече в Нью-Йорке наличие надежного
алгоритма криптования паролей похоже на прихожую которая отлично защищена.
Никто не может справится с этой защитой, но есть много других способов что бы
обойти прихожую. Будут сделаны дополнительные настройки для защиты паролей,
которые помогут обезопасить сервер.
[user@server /dir]#vi /etc/login.conf
Делаем исправления в секции default:\
:passwd_format=blf:\ # заменяем алгоритм криптования паролей на
# Blowfish вместо идущего по умолчанию md5.
:passwordtime=52d:\ # период устаревания паролей 52 дня.
:mixpasswordcase=true:\ # предупреждать пользователей о том что пароли должны содержать
# разные символы (mixed-case passwords)
:minpasswordlen=9:\ # минимальная длина пароля 9 символов
:idletime=32:\ # автоматически отключать пользователей после
# 32-х минут бездействия
Сохраняем и выходим из vi.
ZZ
Теперь делаем базу.
cap_mkdb /etc/login.conf
Теперь необходимо изменить пароли всех пользователей, для того, что бы они были закриптованы при помощи алгоритма Blowfish.
Для пользователей, которые будут использовать bash должно быть написано /usr/local/bin/bash. Для пользователей, которые не должны иметь права регистрироваться в системе, например пользователь www для Apache, должно быть написано /sbin/nologin
Удалим пользователя toor
нажимаем dd на строке с пользователем toor
Теперь сделаем что бы пароли пользователей, которые будут добавляться в
дальнейшем криптовались алгоритмом Blowfish.
vi auth.conf
crypt_default=blf
Сохраняем и выходим из vi.
ZZ
8. Sysctl.Conf
vi /etc/sysctl.conf
net.inet.tcp.blackhole=2 # Это превращает машину в черную дыру при попытке подключиться к портам,
# которые не обслуживаются сервером.
net.inet.udp.blackhole=1
kern.ps_showallprocs=0 # только пользователь root может видеть все запущенные процессы