- •Министерство Образования и Науки Украины
- •Вступление
- •Список используемых терминов и обозначений
- •Информация и информационные отношения. Субъекты информационных отношений, их безопасность
- •Определение требований к защищенности информации
- •Комплексные меры по защите информации Принцип «слабейшего звена»
- •Экономическая целесообразность защиты
- •Категоризация информации
- •Комплекс мер защиты
- •Часть іі. Практика Объект
- •Физическая защита
- •Организационная защита
- •Реализация политики безопасности
- •2. Реализация
- •3.3. Доступ к Интернету
- •3.3.1 Разрешенные службы
- •Программная защита
- •Безопасная настройка FreeBsd
- •1. Инсталяция:
- •2. Настройка
- •3. Пользователи.
- •4. Сообщение дня
- •6. Rc.Conf
- •8. Sysctl.Conf
- •9. Fstab
- •10. CvSup
- •11. Cron Jobs
- •12. Kernel Changes (изменения в ядре)
- •13. Права доступа к файлам.
- •14. Сетевой Протокол Времени (Network Time Protocol).
- •15. Tcp Wrappers
- •16. Console Access (доступ к консоли).
- •17. Bash Shell
- •18. Chflags
- •19. Зачистка.
- •Атрибуты файла и файловой системы
- •Способы защиты от флуда и dDoSатак. Черные дыры.
- •Защита очереди сокета от syn атак.
- •Редиректы (Перенаправления)
- •Настройка стека ip в системах unix на оптимальную производительность:
- •Другие средства защиты
- •Во FreeBsd существует еще множество средств защиты. Я не в силах рассмотреть их все, так что на этом придется закончить.
- •Надо только добавить, что необходимо также настроить аппаратные фареволы, которые стоят на точках выхода в Интернет и корпоративную сеть.
- •Литература:
9. Fstab
Теперь добавим некоторые параметры к некоторым точкам монтирования. Например,
нет надобности кому-либо иметь возможность запускать программы из /tmp
Есть более серьезные ограничения, которые можно сделать при помощи настроек
в файле /etc/fstab. Например, можно сделать некоторые точки монтирования
только читаемые, такие как /usr/local/, но это значит, что надо иметь
копию менее ограничивающего файла /etc/fstab на случай обновлений системы или
установки дополнительного программного обеспечения. В нашем случае, мы
установим только те параметры, которые не придется менять в течении работы.
#Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b none swap sw 0 0
/dev/ad0s1a / ufs rw 1 1
/dev/ad0s1f /tmp ufs rw,noexec 2 2
/dev/ad0s1g /usr ufs rw 2 2
/dev/ad0s1h /usr/home ufs rw,nosuid,noexec 2 2
/dev/ad0s1i /var ufs rw,noexec 2 2
/dev/fd0 /floppy MSDOS rw,noauto,noexec,nosuid,nodev,noatime 0 0
/dev/acd0c /cdrom cd9660 ro,noauto 0 0
proc /proc procfs rw 0 0
Список опций, которые были заданы:
ro: только чтение
rw: чтение запись(устанавливается по умолчанию)
sw: своп
nosuid: опция suid не работает
noexec: запрет на запуск файлов
nodev: запрещает отображение файлов в виде устройств
noauto: не монтируется автоматически во время загрузки
noatime: препятствует файловой системе делать запись о доступе к файлу.
10. CvSup
Для того, что бы исходные коды и документация всегда были обновленными, мы должны регулярно запускать cvsup при помощи задач cron. Мы не используем обновление портов, мы просто будем регулярно обновлять необходимые исходные коды.
[user@server /dir]# cp /usr/share/examples/cvsup/stable-supfile /root
[user@server /dir]# cd /root
[user@server /dir]# vi stable-supfile
Исправим следующие строки:
*default host= # на странице http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cvsup.html
# найдем cvsup зеркало, которое наиболее быстрее будет отвечать на запросы,
# при помощи команды ping и введем его здесь. Это 68 строка в файле.
*default release=cvs tag=RELENG_4_7 # зависит от версии операционной системы. Это 73 строка файла.
#src-all # закомментирем это, хотя бы потому что нам не нужны исходные коды src-game. Это 84 строка в файле.
В следующей секции файла раскомментируме, разделы исходных кодов которые хотим обновлять, можно также включить и src-games.
11. Cron Jobs
chmod 0600 /etc/crontab # только пользователь root должен иметь доступ к файлу настройки cron
touch /var/cron/deny # добавим в этот файл всех пользователей, которым запрещено использовать cron
chmod 0600 /var/cron/deny
Теперь добавим несколько задач, которые должны выполнятся регулярно.
vi /etc/crontab
0 2 * * * root /usr/libexec/locate.updatedb # обновлять базу данных утилиты locate
каждое утро в 2 часа.
0 2 * * * root /usr/local/sbin/rdate yourNTPserver # запускать rdate каждое утро в 2 часа.
1 3 * * * root /usr/local/sbin/chkrootkit # запускать chkrootkit каждый месяц.